GUIA DE ORIENTAÇÃO: LGPD E CONTRATOS ADMINISTRATIVOS
GUIA DE ORIENTAÇÃO: LGPD E CONTRATOS ADMINISTRATIVOS
2022
SUPERINTENDÊNCIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
Xxxxxx Xxxxxx Superintendente
Xxxxx Xxxxxxx xx Xxxxx Diretor Técnico
EQUIPE DE ELABORAÇÃO
Xxxxx Xxxxx xx Xxxxxx
Encarregado pelo Tratamento de Dados Pessoais
Xxxxx Xxxxxxxx xxx Xxxxxx Xxxxxx Xxxxxxxxx
REVISÃO GRÁFICA
Xxxx X X Xxxxxx Designer Gráfico
Xxxx Xxxxxx Nogueira Assessora de Tecnologia
VERSÃO
VERSÃO | DATA | AUTOR | AÇÃO |
1.0 | 18/07/2022 | Equipe de Elaboração | Primeira versão do Guia de Orientação: LGPD e Contratos Administrativos. |
LISTA DE ABREVIATURAS E SIGLAS
ABNT | Associação Brasileira de Normas Técnicas |
ANPD | Autoridade Nacional de Proteção de Dados |
DOD | Documento de Oficialização da Demanda |
ETP | Estudo Técnico Preliminar |
GSI/PR | Gabinete de Segurança Institucional da Presidência da República |
IN | Instrução Normativa |
IoT | Internet of Things (Internet das Coisas) |
LGPD | Lei Geral de Proteção de Dados Pessoais - Lei nº 13.709/2018 |
SETIC | Superintendência Estadual de Tecnologia da Informação e Comunicação do Governo do Estado de Rondônia |
SGD/ME | Secretaria de Governo Digital do Ministério da Economia |
SIP | Segurança da Informação e Privacidade |
TIC | Tecnologia da Informação e Comunicação |
TR | Termo de Referência |
SUMÁRIO
1 O QUE É CONTRATO ADMINISTRATIVO? 7
2 IDENTIFICAÇÃO PESSOAL DAS PARTES 8
3 CONTRATAÇÕES ADMINISTRATIVAS CUJO OBJETO ENVOLVA O TRATAMENTO DE DADOS PESSOAIS 9
4 CONTRATAÇÕES DE SOLUÇÕES DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (TIC) 12
5 REQUISITOS DE SEGURANÇA DA INFORMAÇÃO E DE PRIVACIDADE EM CONTRATAÇÕES DE SOLUÇÕES DE TIC 14
ANEXO ÚNICO - Exemplos de Cláusulas Contratuais relativas à Privacidade e Proteção de Dados Pessoais em Contratos Administrativos 19
INTRODUÇÃO
A Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Xxxxx Xxxxxxxx – LGPD), tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Dispõe sobre o tratamento de dados pessoais realizado por pessoa natural ou por pessoa jurídica (pública ou privada), abrangendo inclusive o tratamento realizado nos meios digitais. Entrou totalmente em vigor em 01/08/2021, após as sanções administrativas ganharem efetividade.
No contexto da administração pública, como bem esclarecido no art. 23, LGPD, o tratamento de dados pessoais deve ser realizado para atender à "finalidade pública, na persecução do interesse público, com objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”. Deve ainda, os órgãos e entidades públicas, informarem as hipóteses em que realizam o tratamento de tais dados, fornecendo informações sobre a previsão legal, finalidade, procedimentos e práticas utilizadas, bem como indicar um encarregado pelo tratamento desses dados. Neste sentido, a LGPD constitui marco importante para a administração pública, seja municipal, estadual ou federal, pois deve cumprir com os seus ditames.
Dentre as características da aplicação da LGPD, destaca-se a sua transdisciplinaridade, pois permeia os mais variados órgãos e departamentos na administração pública, cujo tratamento de dados pessoais pode envolver diferentes titulares, desde os próprios servidores até usuários dos serviços públicos.
Portanto, a Superintendência Estadual de Tecnologia da Informação e Comunicação (SETIC), como parte integrante da administração pública do Governo do Estado de Rondônia, objetivando entrar em conformidade perante as exigências da LGPD, agindo com responsabilidade e transparência, apresenta o “Guia de Orientação LGPD e Contratos Administrativos”.
Este Guia foi construído com base na legislação vigente, doutrina e guias operacionais do Governo Federal, tendo por tem por objetivo promover orientações sobre o adequado tratamento de dados pessoais nos
processos de contratação administrativa pelo Poder Público, incluindo a os de soluções de TIC, Aborda aspectos conceituais, como a definição de contratos administrativos, bem como requisitos e obrigações relacionados à segurança da informação e privacidade, que precisam ser observados sempre que o objeto do contrato exigir.
Dentre as peculiaridades deste Guia, destaca-se a atenção especial à primeira fase da contratação, denominada “planejamento da contratação”, oportunidade em que a Administração Pública elencará os requisitos mínimos de segurança da informação e de privacidade que devem nortear essas contratações.
Este Guia de Orientação LGPD e Contratos Administrativos, foi estruturado em cinco capítulos, sendo eles:
● Capítulo 1 - O que é contrato administrativo?;
● Capítulo 2 - Identificação pessoal das partes;
● Capítulo 3 - Contratações administrativas cujo objeto envolva o tratamento de dados pessoais;
● Capítulo 4 - Contratações de soluções de tecnologia da informação e comunicação (TIC); e
● Capítulo 5 - Requisitos de segurança da informação e de privacidade em contratações de soluções de TIC.
Cabe ressaltar que as orientações presentes neste Guia não possuem caráter vinculativo e nem exaustivo. Devendo ser considerada a identificação dos requisitos aplicáveis às especificidades do objeto a ser contratado, e a conformidade com as normas e regulamentações existentes.
Sugere-se ainda a aplicabilidade, no que couber, dos exemplos de cláusulas contratuais que foram anexadas neste Guia. Salientando que tais cláusulas não possuem poder vinculativo, servindo como orientações para a consecução de contratos administrativos no que diz respeito ao adequado tratamento de dados pessoais.
1 O QUE É CONTRATO ADMINISTRATIVO?
O conceito de contrato administrativo pode ser encontrado na Lei Federal nº 8.666/1993 (Lei de Licitações e Contratos Administrativos), no parágrafo único do art. 2º que dispõe: “contrato é todo e qualquer ajuste entre órgãos ou entidades da Administração Pública e particulares, em que haja um acordo de vontades para a formação de vínculo e a estipulação de obrigações recíprocas, seja qual for a denominação utilizada”.
Apesar da definição de contrato estar baseada na Lei Federal 8.666/1993, é importante destacar que existe outra Lei que trata da mesma temática, a Lei Federal nº 14.133/2021 (Lei de Licitações e Contratos Administrativos), que em breve revogará a 8.666.
Vale ressaltar que a licitação é a regra para as compras ou contratações de obras e serviços na Administração Pública. Porém, há casos em que a contratação será direta, sendo legalmente dispensável ou inexigível.
A Lei Federal nº 14.133/2021 enumera em seu art. 75 os casos de licitação dispensável, quando há possibilidade de realizar licitação, mas não é obrigatória, por exemplo: situação de emergência ou calamidade pública, contratações de pequeno valor ou falta de interessados no objeto da licitação.
Ademais, a licitação será inexigível, com base no art. 74 da mesma normativa, quando a competição entre os licitantes não é viável, seja em razão da singularidade do objeto, da existência de um único agente apto a fornecê-lo ou nos casos de contratação de profissional de qualquer setor artístico consagrado pela opinião pública.
Importante destacar que as disposições aplicáveis à Lei Federal nº 14.133/2021 também são aplicáveis, no que couber e na ausência de norma específica, aos convênios, acordos, ajustes e outros instrumentos congêneres celebrados por órgãos e entidades da Administração Pública, inteligência do caput do art. 184.
É importante destacar que os contratos administrativos ou congêneres devem observar os preceitos da finalidade pública, na persecução do interesse público, atentando-se ainda, conforme preceitua o art. 5º da Lei Federal nº 14.133/2021, aos seguintes princípios: legalidade, impessoalidade, moralidade,
publicidade, eficiência, interesse público, probidade administrativa, igualdade, planejamento, transparência, eficácia, segregação de funções, motivação, vinculação ao edital, julgamento objetivo, segurança jurídica, razoabilidade, competitividade, proporcionalidade, celeridade, economicidade e desenvolvimento nacional sustentável.
As cláusulas contratuais devem apresentar com clareza as responsabilidades e obrigações da Administração Pública e do particular.
2 IDENTIFICAÇÃO PESSOAL DAS PARTES
O art. 89, § 1º, da Lei Federal 14.133/2021 dispõe que “todo contrato deverá mencionar os nomes das partes e os de seus representantes, a finalidade, o ato que autorizou sua lavratura, o número do processo da licitação ou da contratação direta e a sujeição dos contratantes às normas” da referida Lei.
Dessa maneira, torna-se fundamental proceder com a identificação pessoal dos envolvidos. Porém, é essencial que haja o cuidado de dispor apenas dos dados essenciais à efetivação do contrato administrativo.
Na Lei Geral de Proteção de Dados (LGPD), são elencados princípios norteadores para todos aqueles que tratam de dados pessoais. Nesse aspecto, merece destaque o Princípio da Necessidade, expresso pelo art. 6º, inciso III, dispondo sobre a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.”
Dessa forma, orienta-se que apenas os dados essenciais de identificação das partes sejam inseridos no contrato, tal como o nome completo e instrumento de nomeação. Portanto, é importante evitar o uso de CPF, RG, endereço residencial, estado civil, telefone e e-mail particular de contato etc., salvo disposição legal contrária.
3 CONTRATAÇÕES ADMINISTRATIVAS CUJO OBJETO ENVOLVA O TRATAMENTO DE DADOS PESSOAIS
O Poder Público necessita se adequar às premissas da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei Federal nº 13.709/2018), inteligência do parágrafo único do art. 1º, combinado com o caput do art. 23, da LGPD.
Nesse contexto, atentando-se às regras de boas práticas e aos princípios da administração pública, torna-se imperioso que a Setic, como órgão governamental, preveja em suas contratações, acordos, termos ou congêneres, cujo objeto envolva o tratamento de dados pessoais, requisitos e obrigações quanto ao adequado tratamento de dados pessoais. Mas antes de especificar tais requisitos e obrigações, faz-se necessário descrever como são denominados os agentes de tratamento de dados pessoais, que serão as partes envolvidas na contratação.
Primeiramente, tem-se a figura do controlador, que é a pessoa física ou jurídica, de direito público ou privado, que será responsável pelas decisões referentes ao tratamento de dados pessoais, conforme especificado no art. 5º, VI, LGPD.
A controladoria poderá ser singular ou conjunta. Porém esses conceitos não estão expressos na LGPD. Assim, a ANPD, em seu Guia de Agentes de Tratamento de Xxxxx Xxxxxxxx e do Encarregado1, conceituou controladoria conjunta como sendo “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”. A responsabilidade dos controladores nesse caso é solidária, nos termos do art. 42, §1º, II, LGPD.
Já na controladoria singular, temos a figura de apenas um controlador, com objetivo e finalidade de tratamento específicos.
O operador é a pessoa jurídica ou natural, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, segundo
O suboperador é definido, segundo a ANPD em seu Guia de Agentes de Tratamento de Dados Pessoais e do Encarregado2, como aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Com relação às responsabilidades, ele é equiparado ao operador perante a LGPD naquilo que foi contratado para executar. Frisa-se que o operador deve dar ciência ao controlador em caso de eventual contratação, atendendo aos princípios da LGPD, destacando-se o da transparência (art. 6º, VI, LGPD).
No que diz respeito à tomada de decisões quanto ao tratamento de dados pessoais, é importante destacar que basta que o controlador mantenha sob sua influência e controle as principais decisões, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento. O operador pode decidir e tomar decisões parciais a respeito do tratamento, limitadas aos seus elementos não essenciais como escolha de softwares, equipamentos, medidas de prevenção e segurança etc., conforme prevê a ANPD no Guia de Agentes de Tratamento de Dados Pessoais e do Encarregado3.
Dessa forma, depois de conceituar os agentes de tratamento de dados pessoais, é relevante destacar aspectos referentes às fases da contratação. Assim, analisando o art. 17 da Lei Federal nº 14.133/2021, é possível observar as seguintes fases do processo licitatório: preparatória; de divulgação do edital de licitação; de apresentação de propostas e lances, quando for o caso; de julgamento; de habilitação; recursal; e de homologação.
2 Disponível em: xxxxx://xxx.xxx.xx/xxxx/xx-xx/xxxxxxxxxx-x- publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf: Acesso em: 07 jun. 2022, p. 19-20.
Dentre tais fases, daremos ênfase à fase preparatória (art. 18, Lei Federal nº 14.133/2021), caracterizada pelo planejamento da contratação, abrangendo, em especial:
a. o Estudo Técnico Preliminar (ETP): contendo a descrição da necessidade da contratação, subsidiando a elaboração do termo de referência (art. 6º, XX, Lei Federal nº 14.133/2021); e
b. o Termo de Referência (TR): contendo, dentre outras, a definição do objeto, a fundamentação da contratação, a descrição da solução e os requisitos da contratação (art. 6º, XXIII, Lei Federal nº 14.133/2021).
A atenção especial à fase preparatória se justifica por ser o momento em que o órgão ou entidade da administração pública externaliza o interesse em contratar o objeto, realizando estudos e justificativas necessárias para tal, abordando todas as considerações técnicas, mercadológicas e de gestão que podem interferir na contratação e observando os requisitos que deverão ser cumpridos pela parte contratada.
Desse modo, ao especificar os requisitos da contratação no ETP (art. 18, § 1º, III, Lei nº 14.133/2021) e no TR (art. 6º, XXIII, d, Lei nº 14.133/2021),
deve-se prever a responsabilidade das partes e diretrizes quanto ao adequado tratamento de dados pessoais, tais como:
a. identificação das partes quanto às figuras de controlador e operador, podendo prever inclusive a possibilidade controladoria conjunta;
b. guarda de sigilo dos dados pessoais tratados, inclusive de informações de cunho restrito ou confidencial que as partes tenham acesso em decorrência da execução do contrato;
c. registro das operações de tratamento de dados pessoais;
d. adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
e. formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais;
f. compromisso de notificar/informar sobre os casos de incidentes de segurança da informação;
g. atenção ao descarte seguro dos dados pessoais após o término do tratamento;
h. compromisso em não compartilhar os dados pessoais com organizações ou pessoas estranhas ao contrato sem autorização do Contratante;
i. compromisso em não tratar os dados pessoais de forma incompatível com as finalidades previstas no contrato; e
j. ciência à Contratante quando a Contratada constituir operador ou suboperador.
Em anexo, estão disponíveis sugestões de cláusulas contratuais que abrangem as diretrizes aqui destacadas, salientando-se que tais cláusulas e diretrizes não possuem poder vinculativo, podendo ser adequadas à realidade da contratação do objeto, atentando-se às normas e regulamentações pertinentes.
4 CONTRATAÇÕES DE SOLUÇÕES DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (TIC)
Agora, é importante destacar as boas práticas na contratação de soluções de Tecnologia da Informação e Comunicação (TIC), orientando-se por meio da Instrução Normativa (IN) SGD/ME nº 1/2019. O conceito de “solução de TIC”,
conforme o art. 2º, VII, da IN supra, consiste no “conjunto de bens e/ou serviços que apoiam processos de negócio mediante a conjugação de recursos de TIC”. As contratações de soluções de TIC seguem três fases no seu processamento, conforme o art. 8º, sendo elas: planejamento de contratação;
seleção do fornecedor; e gestão do contrato.
Para abordar os requisitos e obrigações nas contratações de Soluções de TIC, é importante dar ênfase à primeira fase, denominada “planejamento da contratação". De acordo com o art. 10, a fase de Planejamento da Contratação terá início com o recebimento do Documento de Oficialização da Demanda (DOD), documento elaborado pela área requisitante da solução que deverá detalhar a necessidade a ser atendida pela contratação. Nesta fase, conforme o art. 9º, deve ser instituída uma Equipe de Planejamento da Contratação, elaborado o Estudo Técnico Preliminar e o Termo de Referência ou Projeto Básico, onde deve conter, no que couber, requisitos e obrigações de Segurança da Informação e Privacidade (SIP), devendo o órgão ou entidade empregar, conforme critérios próprios, aqueles requisitos que forem imprescindíveis, considerando a legislação vigente e os riscos de segurança da informação e privacidade.
Para melhor compreensão:
a. Equipe de Planejamento da Contratação: responsável por realizar todas as fases de planejamento e fiscalizar as demais etapas, devendo considerar, no que couber, os aspectos referentes aos requisitos e obrigações quanto à Segurança da Informação e Privacidade (SIP). Formada por um integrante técnico (servidor representante da Área de TIC), um integrante administrativo (servidor representante da Área Administrativa) e um integrante requisitante (servidor representante da área requisitante da solução), indicados pela autoridade competente dessas áreas, como dispõe o art. 2º, IV;
b. Estudo Técnico Preliminar da Contratação: documento que descreve as análises realizadas em relação às condições da contratação em termos de necessidades, requisitos, alternativas, escolhas, resultados pretendidos e demais características, e que demonstra a viabilidade técnica e econômica da contratação,
inteligência do art. 2º, XI. Deve ser realizado pelo integrante técnico e requisitante; e
c. Termo de Referência ou Projeto Básico: documento que deverá conter, dentre outros quesitos, a definição do objeto da contratação, descrição da solução de TIC, justificativa para contratação da solução, especificação dos requisitos da contratação, definição das responsabilidades da contratante e da contratada. Deve ser elaborado pela Equipe de Planejamento da Contratação a partir do Estudo Técnico Preliminar da Contratação. Em licitações de bens e serviços de soluções de TIC regidas pela IN SGD/ME nº 1/2019, usa-se em geral o Termo de Referência, porque, em regra, ocorrem na modalidade pregão, conforme preceitua o Curso Enap de Planejamento da Contratação de Soluções de TIC4.
Posto isso, além das diretrizes gerais já descritas, é importante analisar detalhadamente os requisitos de segurança da informação e de privacidade necessários nessas contratações, além de elencar cláusulas específicas sobre proteção de dados pessoais, sempre que o objeto do contrato exigir.
5 REQUISITOS DE SEGURANÇA DA INFORMAÇÃO E DE PRIVACIDADE EM CONTRATAÇÕES DE SOLUÇÕES DE TIC
Ao realizar uma nova contratação de solução de TIC, ou até mesmo a renovação contratual, o órgão ou entidade deve estabelecer, no que couber, requisitos gerais de segurança da informação e de privacidade.
Dessa forma, se faz necessária a adoção, sempre que possível, de orientações contidas em normas legais e de boas práticas, tais como:
● Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019, com as alterações da Instrução Normativa SGD/ME nº 202/2019 e da Instrução Normativa SGD/ME nº 31/2021, que dispõe sobre o
4 Disponível em: xxxxx://xxxx00.xxxxxxxxxxxxx.xxx.xx/xxxxxx/xxxx.xxx?xxx0000. Acesso em: 13 jun. 2022, p. 41.
processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;
● Guia de Requisitos e de Obrigações quanto à Segurança da Informação e Privacidade da Secretaria de Governo Digital do Ministério da Economia;
● ABNT NBR ISO/IEC 29151:2020: código de prática para proteção de dados pessoais; e
● ABNT NBR ISO/IEC 27701:2019: especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação.
Assim, é fundamental adotar as diretrizes extraídas dos instrumentos supracitados, em especial, dos anexos da IN SGD/ME nº 1/2019, que estabelecem os requisitos e obrigações quanto à segurança da informação e privacidade, bem como do Guia de Requisitos e Obrigações quanto à Segurança da Informação e Privacidade, da Secretaria de Governo Digital do Ministério da Economia (SGD/ME). Desta forma, com base nesses dois dispositivos, é possível aferir que a Equipe de Planejamento da Contratação, ao especificar os requisitos e obrigações de SIP, deve considerar, no que couber, aspectos que:
a. propiciem a disponibilidade da solução de TIC contratada;
b. evitem vazamento de dados e fraudes digitais;
x. xxxxxx, por parte da contratada, a definição de processo de gestão de risco;
d. possibilitem a rastreabilidade de forma a manter trilha de auditoria;
e. assegurem a continuidade do negócio implementado pela solução de TIC contratada;
f. realizem o adequado tratamento de dados pessoais e de informações classificadas, conforme legislação vigente;
g. prevejam a realização de auditoria relativa à conformidade dos requisitos de SIP;
x. xxxxxxxxx a gestão e tratamento de incidentes de forma sistematizada;
i. indiquem e implementem diretrizes para o desenvolvimento e obtenção de software seguro;
j. contemplem processo de gestão de mudanças e implementem a gestão de capacidade; e
k. implementem controles de acesso, controles criptográficos, registros de logs, políticas de segurança da informação e privacidade.
Conforme exposto, almejando o devido tratamento de dados pessoais nas contratações administrativas, conclui-se ser de extrema relevância a adoção dos requisitos de segurança da informação e de privacidade que foram mencionados, salientando que essas orientações encontram respaldo na IN SGD/ME nº 1/2019. Entretanto, é fundamental a leitura das orientações contidas nos demais documentos que foram referenciados neste Guia, procurando adequá-las às necessidades do órgão ou entidade pública.
REFERÊNCIAS
BRASIL. Guia de requisitos e de obrigações quanto a segurança da informação e privacidade. ANPD. Brasília: março 2021. Disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdf Acesso em: 10 jun. 2022.
BRASIL. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. ANPD. Brasília: abr. 2022. Disponível em: xxxxx://xxx.xxx.xx/xxxx/xx-xx/xxxxxxxxxx-x- publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificad a.pdf Acesso em: 10 jun. 2022.
BRASIL. Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019 - versão compilada - julho/2022. Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal. Disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxxxxx/xxxxxxxxx-xxxxxxxxx-xxx- me-no-1-de-4-de-abril-de-2019. Acesso em: 5 jul. 2022.
BRASIL. Lei nº 8.666, de 21 de junho de 1993. Regulamenta o art. 37, inciso XXI, da Constituição Federal, institui normas para licitações e contratos da Administração Pública e dá outras providências. Disponível em: xxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx_00/xxxx/x0000xxxx.xxx. Acesso em: 10 jun.
2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: xxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx_00/_xxx0000- 2018/2018/lei/ L13709compilado.htm. Acesso em: 10 jun. 2022.
BRASIL. Lei nº 14.133, de 1º de abril de 2021. Lei de Licitações e Contratos Administrativos. Disponível em: xxxxx://xxx.xx.xxx.xx/xx/xxx/xxx/-/xxx-x- 14.133-de-1- de-abril-de-2021-311876884. Acesso em: 10 jun. 2022.
BRASIL. Portaria nº 93, de 18 de outubro de 2021. Aprova o Glossário de Segurança da Informação. Presidência da República/Gabinete de Segurança Institucional. Disponível em: xxxxx://xxx.xx.xxx.xx/xx/xxx/xxx/-/xxxxxxxx-xxx/xx- n-93-de-18-de-outubro-de-2021-353056370. Acesso em 10 jun. 2022.
Consulta Jurídica SEPLAG/SUBGOVES nº 01/2021. Cláusulas de proteção de dados pessoais em contratos. Minas Gerais: jul. 2021. Disponível em: xxxxx://xxxx.xx.xxx.xx/xxxxxxxxx-xxxxxxxxxxx. Acesso em: 13 jun. 2022.
ENAP, Escola Nacional de Administração Pública. 1ª Semana de Proteção de Dados Pessoais xxx.xx (Dia 5 - Desafios da Privacidade). Youtube: 3 jun.
2022. Disponível em:
xxxxx://xxx.xxxxxxx.xxx/xxxxx?xxx0XxXX0XxXX&xx0000x Acesso em: 10 jun. 2022.
ENAP, Escola Nacional de Administração Pública. Curso Planejamento da Contratação de Soluções de TIC. Disponível em: xxxxx://xxxx00.xxxxxxxxxxxxx.xxx.xx/xxxxxx/xxxx.xxx?xxx0000 Acesso em: 13 jun. 2022.
ANEXO ÚNICO - Exemplos de Cláusulas Contratuais relativas à Privacidade e Proteção de Dados Pessoais em Contratos Administrativos
1. CLÁUSULA PRIMEIRA - DAS REGRAS APLICÁVEIS À PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
1.1. A CONTRATANTE se caracteriza por ser a controladora, a quem compete as decisões referentes ao tratamento de dados pessoais. A CONTRATADA se caracteriza como operadora, que realizará o tratamento de dados pessoais em nome da CONTRATANTE, seguindo as instruções fornecidas, observando as próprias instruções e normas sobre a matéria. (art. 5º, VI e VII, c/c art. 39, LGPD)
1.2. A CONTRATADA se compromete em seguir as normas relativas ao tratamento de dados pessoais, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD), regulamentações expedidas pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Comitê Gestor de Privacidade e Proteção de Dados Pessoais do Estado de Rondônia (CGPD).
1.3. A CONTRATADA se compromete em seguir, no que couber, as orientações contidas nas normas ABNT NBR ISO/IEC 29151:2020 (código de prática para proteção de dados pessoais) e ABNT NBR ISO/IEC 27701:2019 (requisitos e fornecimento de diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação).
1.4. A CONTRATANTE indicará o encarregado pelo tratamento de dados pessoais, cujas informações para contato estarão disponíveis em seu sítio eletrônico xxxxx://xxxxxxxx.xx.xxx.xx/xxxxx/xxxxxxxxxxxxx/xxxx/xxxxxxxxxxx/. (art. 23, III, e art. 41, LGPD)
1.5. A CONTRATADA deverá dar ciência à CONTRATANTE em caso de contrato com suboperador.
1.6. A CONTRATADA deve supervisionar os seus suboperadores e qualquer outra parte agindo em seu nome para que estes apenas realizem o tratamento de dados seguindo as instruções fornecidas por ela, assumindo responsabilidade integral por todos os atos e omissões do subcontratado, assim como pelos danos decorrentes, qualquer que seja sua natureza.
1.7. A CONTRATADA é responsável pela guarda de sigilo dos dados pessoais tratados ou por informações de cunho restrito ou confidencial que tenha acesso em decorrência da execução do contrato.
1.8. A CONTRATADA deve manter registro das operações de tratamento de dados pessoais que realizar. (art. 37, LGPD)
1.9. A CONTRATADA deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (caput, art. 46, LGPD)
1.10. A CONTRATADA é obrigada a reparar dano patrimonial, moral, individual ou coletivo que causar a outrem em razão do exercício de atividade de tratamento de dados pessoais, respondendo inclusive solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas da CONTRATANTE. (art. 42, LGPD)
1.11. A CONTRATADA, no âmbito de suas competências, deve formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (art. 50, LGPD)
1.12. A CONTRATADA deverá seguir as diretrizes do Programa de Governança em Privacidade, da Política de Privacidade, da Política de Segurança da Informação e das regras de boas práticas da CONTRATANTE, que estão disponíveis no sítio eletrônico xxxxx://xxxxxxxx.xx.xxx.xx/xxxxx/xxxxxxxxxxxxx/xxxx/xxxxx/.
1.13. A CONTRATADA se compromete em notificar/informar imediatamente à CONTRATANTE os casos de incidentes de segurança da informação que envolva o objeto deste contrato, podendo, a CONTRATANTE, acompanhar toda a fase de tratamento do incidente.
1.14. A CONTRATADA deve se atentar ao descarte seguro dos dados pessoais após o término de seu tratamento, autorizada a conservação nos termos da legislação vigente. (art. 15 e 16, LGPD)
1.15. A CONTRATADA se compromete em não compartilhar os dados pessoais com outras organizações ou pessoas sem autorização da CONTRATANTE, e nem a tratá-los de forma incompatível com as finalidades deste contrato. (art. 6º, I, LGPD)
1.16. A CONTRATANTE terá direito de monitorar, auditar, acompanhar e fiscalizar a conformidade da CONTRATADA, no que diz respeito à proteção de dados pessoais relativa à execução do contrato.
1.17. As PARTES darão conhecimento formal a seus empregados e colaboradores das obrigações e condições acordadas nesta cláusula. As diretrizes aqui estipuladas deverão ser aplicadas a toda e qualquer atividade que envolva a presente contratação.
22