2. O Compliance nas contratações públicas
De forma geral, a execução de políticas públicas e a realização dos atos administrativos têm se pautado por pilares e características de programas de integridade, com grande influência da Lei Federal nº 12.846/2013, a chamada Lei Anticorrupção, e com a publicação do Decreto nº 8.420/2015, pelo qual pessoas jurídicas de direito público e privado se baseiam para a criação de seus respectivos programas de integridade; bem como da Lei Federal nº 13.303/2016, a Lei das Estatais, que estabelece regras de governança e transparência a serem observada pelas empresas estatais federais, estaduais e municipais.
Conforme visto anteriormente, um programa de integridade pode se direcionar para fins além do combate à corrupção, como a finalidade de se atingir um maior grau de políticas voltadas à sustentabilidade como a criação de um programa de governança em privacidade e proteção de dados pessoais em observância às normas mais atuais no contexto da ética e inclusão digital, como a Lei do Governo Digital e o Marco Legal da Inteligência Artificial, ainda à espera de análise pelo Senado Federal41, que, entretanto, serão temas tratados oportunamente.
Nessa linha, a esfera das contratações também é alvo das inovações trazidas pelas novas leis que buscam uma maior integridade pelo Poder Público e pelas empresas privadas contratadas, no sentido de se fazer valer os direitos fundamentais e princípios garantidos pela Constituição Federal e a probidade no trato com os recursos públicos.
Mirela Miró Zilioto42 bem observa:
Um dos mecanismos resultantes do impulsionamento à criação de instrumentos de combate à corrupção no âmbito das contratações públicas são os programas de integridade e compliance. Esses mecanismos têm sido exigidos das empresas que contratam com o Poder Público para assegurar, dentre outros parâmetros, eficiência, vantajosidade e sustentabilidade às contratações públicas.
Irene Nohara e Aloísio Zimmer Júnior também lecionam:
Nesta perspectiva, o planejamento das modelagens das licitações e contratos se destina, enquanto política pública voltada ao alcance de objetivos maiores relacionados com o pleno emprego, ao bem-estar social, à preservação ambiental e à inovação, à consecução de objetivos maiores associados com a promoção do desenvolvimento (nacional sustentável), devendo ser, portanto, criteriosamente articulado para se harmonizar a este horizonte mais largo de escopos, sem que sejam desconsiderados, evidentemente, os objetivos contratuais. 43
Por fim, Bruna Magacho e Fabrício Motta44, ressaltando a importância dos programas de integridade pelas empresas privadas que prestam serviços públicos com a finalidade de que sejam efetivamente prestadas políticas públicas, advertem:
A exigência de programas de compliance no contexto de procedimentos de contratação pública caracteriza a utilização do módulo contratual como instrumento ou estratégia para a implementação de políticas públicas voltadas à prevenção e combate à corrupção.
Assim, a Nova Lei de Licitações e Administrativos, publicada em 01 de abril de 2021 sob o número 14.133/2021, reforça a preocupação da Administração Pública com o objetivo geral de combate à corrupção e do desenvolvimento nacional sustentável, num ambiente ético que valorize, inclusive, as boas práticas previstas no artigo 50 da LGPD.
2.1. Breves apontamentos sobre a Lei Federal nº 14.133/2021
Neste ponto, abordar-se-á os relevantes pontos previstos na Lei Federal nº 14.133/2021 que destacam o programa de integridade anticorrupção na esfera das contratações públicas.
Em primeiro lugar, o artigo 25, §4º, da Lei nº 14.133/2021, estabelece que, nas contratações de grande vulto, isto é, nas contratações cujo valor seja maior de duzentos milhões de reais, o edital deverá prever a implementação, pelo licitante vencedor, de um programa de integridade, no prazo de seis meses contados da assinatura do contrato, “conforme regulamento que disporá sobre medidas a serem adotadas, a forma de comprovação e as penalidades pelo seu descumprimento.”45
Além disso, a lei determina que referido programa de integridade pelas licitantes é tratado como critério de desempate entre duas ou mais empresas, observada a ordem discriminada no artigo 60 da Lei, tendo em vista que “o programa de integridade exigido deve refletir proporcionalmente o porte e as característica da empresa.”46
Por fim, o programa de integridade pelas empresas privadas interessadas em participação em certames é tratado na esfera das sanções, de forma que é considerado para mitigação de eventuais sanções por violação de cláusulas contratuais e é requisito obrigatório para reabilitação de interessado que sofreu sanções em virtude de apresentação de documentação falsa e de cometimento de ato contra a administração nos termos previstos no artigo 5º da Lei Anticorrupção.
2.2. O Compliance digital nas contratações públicas envolvendo tecnologia;
No contexto de se implementar um programa de privacidade nos órgãos públicos e no corpo das empresas privadas, necessário também aplicar as medidas e boas práticas de um programa de compliance na esfera digital no momento da contratação de empresas da inciativa privada que ofertarão serviços públicos utilizando tecnologias que se valem de dados pessoais e dados sensíveis dos usuários cidadãos para sua prestação, atendendo sua finalidade pública de execução de políticas públicas com maior eficiência, como nos casos em que se utilizam bilhetagem eletrônica ou o reconhecimento facial e biométrico.
Nesse sentido, os pilares de um programa de privacidade apontados por Crespo e Cavalieri, citados acima, funcionam como parâmetro para se garantir um efetivo comprometimento entre as partes envolvidas nos contratos administrativos, tendo como objetivo o atendimento aos princípios da finalidade pública, da supremacia do interesse público sobre o privado e da minimização dos dados pessoais.
Tais pilares, como o apoio da alta administração, a criação de um Código de Conduta e políticas sob a perspectiva digital e o monitoramento contínuo dos processos de tratamento de dados pessoais, são essenciais e funcionais para a conformidade com leis e regulamentos no tratamento de dados pessoais e sensíveis dos usuários cidadãos dos serviços públicos prestados por empresas privadas, fundamentados em contratos administrativos.
O apoio da alta administração influenciará os colaboradores da companhia a adotarem medidas exemplares no uso dos meios digitais e no tratamento de dados pessoais dos cidadãos, demonstrando de forma clara e transparente o esforço da empresa como um todo para a disseminação da cultura ética sob o contexto digital.
A criação do Código de Conduta e políticas voltados para o tratamento de dados pessoais dos cidadãos, conforme os dispositivos das leis e regulamentos brasileiros voltados à Administração Pública, sempre lembrando a observância ao princípio da supremacia do interesse público nos contratos administrativos.
E o monitoramento contínuo dos processos de tratamento de dados pessoais e sensíveis cujos titulares correspondem aos cidadãos, usuários dos serviços públicos, a fim de que a finalidade pública que legitima a prestação desses serviços seja sempre observada, assim como as peculiaridades previstas na LGPD nos casos de tratamento de dados pessoais pelo Poder Público.
Com o intuito de se firmarem obrigações e direitos e a previsão sobre a responsabilidade civil solidária nos contratos administrativos que preveem a prestação de serviços públicos, de forma clara e transparente, importante a determinação das responsabilidades dos entes públicos e privados nesses instrumentos no tratamento de dados pessoais e sensíveis, bem como as bases legais e limites previstos na LGPD para o tratamento de dados pessoais nessas condições.
Assim, importante se revelam as obrigações e direitos voltados à Administração Pública, na figura de controladora, e ao ente privado, como operador no tratamento de dados pessoais; e a obra de Fernanda Schramm, que trata justamente sobre essas responsabilidades fixadas em contratos administrativos que preveem o compartilhamento de dados pessoais entre órgãos públicos e entidades da iniciativa privada.
Fernanda Schramm, primeiramente, faz importantes observações sobre a aplicação da LGPD sobre os contratos administrativos firmados entre entidades da inciativa privada e órgãos públicos.
Conforme Schramm47, a atividade administrativa é pautada, de forma precípua, pelo princípio da legalidade, de forma que a discricionariedade do Estado na elaboração de editais de licitação e de minutas de contratos é limitada, por exemplo, com a definição das condições de participação do certame pelas empresas privadas e de execução do objeto licitado, “aí compreendidas as disposições legais concernentes à proteção de dados.”
Schramm48 acrescenta, porém, que, se estiver na margem de discricionariedade da Administração Pública, esta pode, na elaboração do instrumento convocatório, acrescentar exigência ou prever a repartição dos direitos e obrigações pelas partes a fim de que se priorize a persecução do interesse público.
Em relação às responsabilidades de cada parte dos contratos administrativos no respeito às normas da LGPD, Schramm ensina que
embora a lei não trate especificamente das contratações públicas, é altamente é altamente recomendável que os editais de licitação sejam acompanhados de matriz de risco dispondo sobre as obrigações vinculadas a cada uma das partes no que tange à segurança no tratamento e dados – inclusive para fins de posterior discussão acerca do equilíbrio econômico-financeiro do contrato.
Nesse sentido, Schramm apresenta possíveis direitos e obrigações a serem inseridas nesses contratos administrativos, pensando a Administração Pública como controladora e o ente privado terceiro como operador no tratamento de dados pessoais dos cidadãos na execução dos serviços públicos objetos desses instrumentos.
Segundo Schramm49, portanto, a Administração Pública, enquanto controladora cuja incumbência se resume nas decisões sobre o tratamento de dados pessoais, deve observar as seguintes obrigações, por exemplo:
Elaboração de prova documental sobre a análise de impacto de proteção de dados, contendo quais os dados coletados e base legal para sua coleta e tratamento, além da finalidade do mesmo, à luz dos princípios da minimização e da adequação;
Prova documental sobre o conteúdo e outras informações do banco de dados existente no sistema eletrônico do órgão;
Prova documental sobre o meio de obtenção dos dados pessoais;
-
Prova sobre o meio de obtenção de consentimento dos pais e responsáveis para tratamento de dados pessoais de crianças e adolescentes, nos ermos do Estatuto da Criança e do Adolescente;
Prova documental sobre como será realizada a anonimização dos dados pessoais, se necessário e cabível ao caso concreto;
O dever de instruir o particular operador sobre a observância ao formato interoperável e outras exigências referentes aos padrões de proteção de dados e segurança da informação pela Administração Pública;
O dever de fiscalização das atividades realizadas pelo contratado-operador, tendo em vista sua posição de controladora dos dados pessoais; e
A indicação de um encarregado de dados, que figurará como canal de comunicação entre o ente público, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados.
Schramm50, por fim, esclarece quais são as prerrogativas e deveres dos contratados-operadores nos contratos administrativos.
Como esses entes privados exercem função de operadores de tratamento de dados pessoais, sua responsabilidade é limitada pela Lei.
O operador, conforme os artigos 3751 e 3952 da Lei, deve “realizar o tratamento segundo as informações fornecidas pelo controlador – ente contratante – e assegurar o registro de todas as operações de tratamento de dados pessoais por si realizadas. ”53
Além disso, o operador deve54, igualmente ao controlador, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais tratados de acesso não autorizados e de situações de violação, sendo relevante, para isso, inclusive, o fortalecimento ou a criação do programa de compliance sob a esfera digital para o fomento de uma cultura ética digital entre seus colaboradores.
Para finalizar, o artigo 1255 da LGPD apresenta uma prerrogativa ao operador, neste caso representado pelos contratados, que se resume na não aplicação da Lei sobre os casos em que os dados são anonimizados, desde que tal processo não seja passível de ser revertido para a possível identificação dos titulares dos dados pessoais, os cidadãos.56
2.3. Breves apontamentos sobre o reequilíbrio econômico-financeiro e o Compliance digital
Ronny Charles Torres e Davidson de Brito57 advertem que a aplicação da LGPD nos contratos administrativos forçará as empresas contratadas a implementarem novos meios tecnológicos para a prestação dos serviços prestados, além de aperfeiçoarem seu capital humano, material e de infraestrutura para a observância das normas e pilares de boas práticas previstas na LGPD.
Augusto Neves Dal Pozzo e Renan Facchinatto58, nesse raciocínio, esclarecem:
Com efeito, novos custos e novos riscos geram a necessidade de restauração do equilíbrio econômico-financeiro do contrato em favor do contratado e, ao final das contas, em favor do próprio interesse público, pois o reequilíbrio do contrato permite, ao concessionário, suplantado de algum modo economicamente, continuar a prestar as atividades de interesse público que lhe foram delegados.
Por isso,
será necessária a adoção de importantes avaliações de impacto regulatório para dirimir as questões que alterarão sensivelmente a dinâmica de contratos de concessão em diversos setores pela plêiade de atores que já protagonizam a cena concessionária.59
Ronny Charles e Davidson de Brito, ainda, sugerem a via consensual para a necessária repactuação do equilíbrio, tendo em vista que seus instrumentos próprios proporcionam um ambiente harmônico entre os interesses das partes contratuais, bem como do interesse público primário, podendo, inclusive, fomentar a ampliação dos trabalhos pelas Câmaras de Prevenção e Resolução Administrativa de Conflitos e demais órgãos da esfera alternativa de resolução de conflitos, tão valorizadas pela Nova Lei de Licitações, nos termos, por exemplo, dos artigos 151 e seguintes.
Fernando Menegat60, por fim, lembra o impacto da necessidade de proteção de dados pessoais como receita acessória nos contratos administrativos, que, simultaneamente, auxiliam na observância ao princípio da modicidade das tarifas, desonerando os usuários dos serviços prestados quanto à essa obrigação adicional, bem como “facilitam a manutenção do equilíbrio econômico-financeiro da concessão.”
2.4. O compliance digital na prestação de serviços por entes privados na área da saúde como no combate à pandemia do Coronavírus em 2020-2022
Diante do exposto até aqui, importante abordar sobre o Compliance digital a ser estabelecido na prestação de serviços públicos por terceiros contratados que necessitam do tratamento de dados sensíveis dos titulares cidadãos como nos casos de combate à pandemia do Coronavírus.
Na mesma lógica pensada por Schramm na formulação de contratos administrativos que necessitam de uma matriz de risco sobre a proteção de dados pessoais dos cidadãos, é necessário fixar as obrigações e direitos voltados ao órgão público controlador e ao terceiro privado operador em relação ao tratamento de dados sensíveis, como no caso de aplicação da Telemedicina por hospitais ou demais profissionais da área da saúde que prestam serviços públicos.
Há a necessidade, portanto, de se fazer presentes nos contratos as bases legais, os princípios e fundamentos que permitem o tratamento de dados sensíveis pelas duas partes, bem como os direitos e obrigações de cada parte dependendo de sua função conforme a Lei, de modo que cabe às duas partes as mesmas obrigações e direitos previstos no casos dos contratos administrativos que preveem o tratamento de dados pessoais dos usuários cidadãos dos serviços públicos, com observância às regras previstas pela LGPD para os casos de tratamento de dados sensíveis, como aquela que prevê o compartilhamento de dados pelo setor público ao ente privado sem a necessidade do consentimento específico e destacado, voltado para finalidades específicas, desde que previsto em leis ou regulamentos para execução de políticas públicas.
Para isso, importante também os entes envolvidos criarem, cada um, um programa de privacidade rígido e transparente, que envolva todos os servidores e colaboradores num ambiente que os conscientize sobre a importância da proteção de dados pessoais e dados sensíveis dos cidadãos e com o intuito de fortalecer uma cultura ética sob o âmbito digital, desde o apoio da alta administração até o monitoramento contínuo sobre o processamento dos dados tradados nos sistemas eletrônicos dessas entidades, fazendo prevalecer a proteção dos sensíveis contra acesso não autorizados ou contra possíveis incidentes e violações que possam comprometer os direitos dos titulares previstos na LGPD ou, inclusive, os direitos fundamentais constantes da Constituição Federal; lembrando que os dados sensíveis são dados que, conforme Côrrea et al, são reconhecidos por seu tratamento acarretar “maior risco à personalidade, sobretudo em termos de práticas discriminatórias”, pois seu tratamento “apresentava maior propensão a favorecer práticas de exclusão, segregação e desigualdade, exigindo assim maiores cuidados.”61
A implementação de tais programas de governança em privacidade, inclusive, auxilia na análise, pela alta administração das contratadas e dos órgãos contratantes, do interesse pública e da finalidade do tratamento dos dados dos administrados, de modo a evitar o tratamento de dados pessoais para fins diversos que os informados quando da assinatura do contrato administrativo, como foi o que ocorrera no caso da Linha Amarela do Metrô de São Paulo, em que os dados pessoais dos usuários eram tratados para fins de oferecimento de propagandas direcionadas para cada perfil de usuário, de forma geral, sem o consentimento dos titulares.62
