Compliance digital nas licitações públicas.

Resumo: O presente trabalho visa analisar a conformidade às normas previstas na Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) pela Administração Pública enquanto controladora no tratamento de dados pessoais e pelas entidades privadas prestadoras de serviços públicos enquanto operadoras no tratamento dessas informações pessoais dos cidadãos em virtude de contratos administrativos que preveem o compartilhamento de dados pessoais, inclusive dos dados considerados sensíveis nos termos da Lei, em conformidade com a Nova Lei Geral de Licitações e Contratos Administrativos, em vigor desde 1 de abril de 2021. O trabalho analisa o Compliance adotado pela Administração Pública sob a perspectiva digital e a aplicação da lei brasileira de proteção de dados pessoais na prestação de serviços públicos, com foco na análise dos pilares constantes num programa de integridade na esfera digital e das cláusulas dos contratos administrativos firmados entre órgãos públicos e entes da iniciativa privada que tratem das obrigações e direitos das partes sobre a realização do tratamento de dados pessoais de cidadãos, inclusive sensíveis, como as informações relativas à questão sanitária da população, por exemplo no caso do combate à disseminação do Coronavírus no Brasil, classificada como pandemia pela Organização Mundial da Saúde (OMS) em março de 2020.

Palavras-chave: Lei Geral de Proteção de Dados; Nova Lei de Licitações e Contratos Administrativos; Tratamento de dados sensíveis; Conformidade Digital; Serviços públicos.

Sumário: Introdução; 1. Compliance Digital no Setor Público; 1.1. A LGPD no Setor Público; 1.2. Pilares de um programa de privacidade; 1.3. Uso de tecnologias para o monitoramento do Coronavírus no mundo; 2. O Compliance nas contratações públicas; 2.1. Breves apontamentos sobre a Lei Federal nº 14.133/2021; 2.2. O Compliance digital nas contratações públicas envolvendo tecnologia; 2.3. Breves apontamentos sobre o reequilíbrio econômico-financeiro e o Compliance digital; 2.4. O Compliance digital na prestação de serviços na área da saúde como no combate à pandemia do Coronavírus entre os anos de 2020 e 2022; Conclusão; Referências.

---

Introdução

Nos últimos anos, diante das novas tecnologias que surgem na humanidade, a fim de que facilitar a vida e os negócios entre os homens, o Estado tem sido obrigado a se adequar, cada vez mais, à nova realidade e às novas demandas da população, com o fim de tornar cada vez mais eficientes os serviços públicos oferecidos, acompanhando as inesgotáveis disrupções que aparecem na vida das pessoas.

Podemos dizer que o Poder Público tem se esforçado para estabelecer aquilo que se chama de Governo Digital, num contexto de Cidade Inteligente, definido com um conjunto de ferramentas tecnológicas usadas pela Administração Pública com o intuito de atender às novas demandas dos cidadãos que exigem maior eficiência do Estado na execução das políticas públicas e na prestação dos serviços públicos. Nesse contexto, por exemplo, é possível imaginar a quantidade de dados disponíveis ao Poder Público, passíveis de serem tratados na execução de políticas públicas, na prestação dos serviços públicos, atividades administrativas, atividades de polícia (quando do uso do poder de polícia pela Administração Pública), de fiscalização, sem se falar dos dados pessoais dos cidadãos coletados por bens ou máquinas estatais, “todos sujeitos a processamento e podendo servir de insumo à capacitação de programas de inteligência artificial”.2

Diante dessa realidade, e dentro do contexto de desestatizações promovidas pela Administração Pública desde os anos 90, a empresas privadas e estatais, por exemplo, mediante concessão (por meio da qual o concessionário executa o serviço, em seu próprio nome e por sua própria conta e risco, porém mediante fiscalização pelo Poder Público, inclusive sob o aspecto remuneratório pelo usuário, consubstanciada na tarifa)3; os governos se viram obrigados a contratar serviços de empresas de tecnologia para auxiliar na prestação de serviços públicos, bem como nas demais atividades por eles exercidas, que correspondem à execução de políticas públicas.

As contratações de serviços de tecnologia, ou que envolvam tecnologia, a favor do interesse coletivo e dos cidadãos, entretanto, devem observar as normas anticorrupção e, atualmente, às normas que estabelecem a ética na transformação digital da sociedade, que a cada ano utiliza meios digitais nas suas relações interpessoais e profissionais e, assim, interferem na privacidade e utilizam dados pessoais dos cidadãos. Tais normas, assim, são aquelas que protegem a privacidade e os dados pessoais dos indivíduos e que estão previstas em legislações recentes brasileiras, tais como o Marco Civil da Internet, a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigência desde 18 de setembro de 20204, a Lei do Governo Digital e o Marco Legal da Inteligência Artificial.

O Compliance Digital, nesse cenário, deve ser observado nas contratações públicas de serviços de tecnologia ou que envolvam tecnologia e que tratam dados pessoais dos cidadãos.

O Brasil já apresentara exemplos de necessidade de observância às boas práticas de Compliance Digital, como a questão da proteção de dados pessoais. Exemplos esses negativos ou positivos, como a publicação de edital de licitação, em 2020, pela prefeitura Municipal de Canoas, no Rio Grande do Sul, para contratação de empresa de consultoria especializada em implementação e adequação da LGPD nos órgãos municipais, a fim de adequar a Prefeitura, de modo geral, à lei.5

A Companhia de Tecnologia da Informação e Comunicação do Paraná – Celepar, igualmente em 2020, lançou edital de licitação para contratação de empresa especializada em treinamentos para formação de DPO (Data Protection Officer), ou encarregado, na forma da lei brasileira, tendo em vista a adequação da empresa à LGPD.6

Mais recentemente, a empresa Gas Brasiliano, pertencente à PETROBRAS, responsável pela distribuição de gás natural canalizado na região Noroeste do Estado de São Paulo, com abrangência de até 375 municípios, lançou, em março de 2021, edital de licitação cujo objeto se concentrava na contratação de empresa para prestação de serviços de consultoria para adequação da empresa à legislação de proteção de dados. Referido edital, inclusive, encontra-se disponível no Novo Portal Nacional de Contratações Públicas7, novidade implementada pela Nova Lei nº 14.133/2021.

Existem, porém, exemplos negativos de Compliance Digital, como o caso da contratação de transporte público municipal no município de Paulínia, sob a forma de concessão, no estado de São Paulo, que prometia um serviço inovador, eficiente e adequado às novas demandas da população, no contexto mais digital, mas que restou prejudicada por questões apresentadas no Tribunal de Contas do Estado sobre o aspecto da bilhetagem eletrônica. Tal fato demonstra que, em alguns casos e locais, o Brasil não consegue se adequar, de forma satisfatória e eficaz, às novas normas envolvendo o Compliance Digital.8

A pandemia do Coronavírus, de igual forma, obrigou os Governos, ao redor do mundo, a adotarem medidas preventivas contra a disseminação do vírus. Entre as medidas, foram adotadas políticas envolvendo o monitoramento dos cidadãos e a contratação de serviços sanitários que envolvam tecnologia. Essas medidas, no entanto, devem ser adotadas sob a observância dos princípios e normas relacionados à privacidade e à proteção de dados pessoais, não podendo os contratantes firmarem contratos e parcerias sem seu respeito.

Conforme se verá no presente artigo, as contratações pelo Poder Público de serviços terceirizados de tecnologia ou que envolvam tecnologia e a coleta de dados de usuários devem ser realizadas conforme a legislação brasileira de privacidade e proteção de dados, de forma que se deve observar as diretrizes e boas práticas que os especialistas da área de Compliance Digital sugerem. E em momentos de crises sanitárias, como a que o mundo presenciou no ano de 2020, e presencia até os dias de hoje9, com o surgimento de novas variantes do Coronavírus (Delta e Ômicron), com mais de 263 milhões de pessoas contaminadas e mais de cinco milhões de óbitos10, a disseminação do Coronavírus, os cuidados devem ser ainda maiores, tendo em vista a maior utilização de meios digitais pela população e pela Administração Pública, o que afeta diretamente os efeitos no tratamento dos dados pessoais dos usuários dos serviços públicos oferecidos pelos entes estatais e pelas concessionárias ou prestadoras dos serviços privadas, que coletam seus dados pessoais e sensíveis.

---

1. Compliance Digital no Setor Público

Importante, antes de entrar na questão central do presente trabalho, é a explicação do que se refere o instituto do Compliance na Administração Pública, analisando quais seus pilares e a quem ele se destina.

Nos dizeres de Irene Nohara, o instituto do Compliance

oferece, portanto, a faceta preventiva da ocorrência de atos contra a Administração Pública, pois ele internaliza parâmetros éticos na organização, por meio de técnicas e mecanismos que irão permear as decisões estratégicas e as ações da empresa. 11

Marcelo Zenkner e Rodrigo Pironti Aguirre de Castro, por sua vez, ao analisarem o conceito e os fundamentos do Compliance no Setor Público, entendem que este é um mundo em que se observa um “necessário reconhecimento de que” suas práticas e fundamentos

conduzirão a uma justiça real e concreta (social, econômica, ambiental, etc.), trazendo a reboque melhores condições de saúde, de educação, de mobilidade urbana e de diversas outras garantias constitucionais sociais. 12

A Lei Federal nº 12.846/2013, conhecida como a Lei Anticorrupção, elenca, por meio do Decreto nº 8.420/2015, alguns parâmetros para que seja instalado num programa de integridade em uma empresa privada ou um ente estatal. Entre esses pilares, podem-se destacar, por exemplo: 1) o comprometimento da alta administração; 2) a instalação de uma instância responsável pelo programa; 3) a contínua análise de riscos; e 4) o monitoramento contínuo.

Irene Nohara detalha cada um desses pilares, lecionando da seguinte forma:

Comprometimento da alta direção da pessoa jurídica, evidenciado pelo apoio visível e inequívoco ao programa;(...)análise periódica de riscos para realização de adaptações necessárias ao programa de integridade; registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;(...) independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento. 13

1.1. A LGPD no Setor Público

Dentro do contexto da implementação de um programa de integridade em órgãos da Administração Pública, o Poder Público deve, igualmente, se esforçar para manter um cultura ética também no ambiente digital, fazendo prevalecer os direitos fundamentais de cidadãos e terceiros na questão do ambiente ético nos meio digital, adotando, por exemplo, as boas práticas previstas no artigo 5014 da Lei Geral de Proteção de Dados Pessoais, com intuito de proteger os dados pessoais desses indivíduos de eventuais incidentes que possam prejudicá-los.

A Administração Pública deve sempre prezar pelo princípio da transparência pública na realização de suas atividades.

Conforme preleciona Irene Patrícia Nohara,

a publicidade é princípio básico da Administração Pública que garante credibilidade das ações públicas por meio da transparência. É pela publicidade que os cidadãos têm conhecimento das ações dos administradores no trato da coisa pública. 15

O artigo 5º, inciso XXXIII16, da Carta Magna brasileira, determina que todos os cidadãos brasileiros têm direito a receber do Poder Público informações de seu interesse particular ou de interesse coletivo, prestadas no prazo previsto na Lei de Acesso à Informação, a Lei Federal nº 12.527, de 2011. Nos dizeres de Weida Zancaner17, essa é a lei que

veio dar concreção ao princípio da publicidade e regular de forma bastante clara sua aplicação a fim de impedir que os chefetes ou tiranetes que pululam na Administração Pública brasileira amesquinhem o princípio da publicidade, emprestando-lhe contornos tão exíguos que o descaracterizem a ponto de impossibilitar sua aplicação.

A Lei Geral de Proteção de Dados Pessoais, igualmente, deve ser observada pelos órgãos públicos, na medida em que deve se analisar os dados de cidadãos e terceiros a serem protegidos, adotando as medidas previstas no artigo 50 da lei, conjugando-as com os dispositivos da LAI.18 Assim, Modesto Carvalhosa e Fernando Kuyven19 ensinam que:

Uma área de atenção será a conjugação do direito de acesso à informação contido na LAI com o direito de acesso do titular de dados previsto na LGPD no artigo 18, inciso II. Para tanto, a comunicação física e virtual das estatais terá que destacar claramente ao interessado se a sua solicitação é feita com base na LAI ou na LGPD.

Aliás, importante destacar a recente aprovação da proteção de dados pessoais como direito fundamental pelo Senado Federal, em outubro de 2021, a ser incluído na Magna Carta de 198820.

Assim, cumpre destacar os dispositivos previstos na LGPD aplicáveis expressamente ao Poder Público.

Fernando Tasso considera três os principais princípios previstos no artigo 6º da Lei para a aplicação no âmbito público: 1) princípio da finalidade; 2) princípio da adequação; e 3) princípio da necessidade.

1. O princípio da finalidade relaciona-se ao dispositivo da lei que prescreve “que o tratamento e uso compartilhado de dados devem ser os necessários à execução de políticas públicas”, de forma que

a realização do tratamento deve ser direcionada para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. 21

2. O princípio da adequação, por sua vez, determina que as operações de tratamento devem ser compatíveis com as finalidades primárias informadas pelo controlador aos titulares dos dados pessoais, conforme o contexto da atividade do tratamento. Fernando Tasso lembra que tal princípio guarda forte relação com o princípio anterior, de forma que “diz respeito à justa expectativa que o titular dos dados tem quanto ao tratamento que a eles é dado.”22

3. O outro princípio apontado pelo autor, por fim, se refere ao princípio da necessidade, segundo o qual os dados utilizados nas atividades de tratamento devem ser os mínimos necessários à execução da política pública decorrente da previsão legal, que é a própria finalidade da coleta.

Ainda na abordagem dos princípios aplicados ao tratamento de dados pela Administração Pública, Stela Chaves Rocha Sales e Camila Akemi Tsuzuki, por fim, ensinam que

Em coerência com o princípio da finalidade e da necessidade, a Administração deve garantir aos titulares a exatidão, clareza, relevância e atualização dos dados (princípio da qualidade dos dados), além do direito do cidadãos de conhecer a integralidade dos dados pessoais que estão em seu poder, inclusive quanto à forma e duração de seu tratamento (princípio do livre acesso), garantindo informações claras, precisas e acessíveis sobre a realização do tratamento e respectivos agentes de tratamento (princípio da transparência) 23

A LGPD prevê expressamente determinados dispositivos de seu texto que são aplicáveis ao tratamento de dados pessoais pela Administração Pública. Alguns deles destinam-se, inclusive, ao tratamento de dados realizado pelas empresas privadas que prestam serviços públicos e cujos dados pessoais de cidadãos que tratam são compartilhados para elas pelo Poder Estatal.

Na realidade de transformação do Governo, num contexto de contratação de Tecnologia da Informação para prestação de serviços públicos, existe a necessidade de se compartilhar dados para as empresas fornecedoras de tecnologias mais avançadas e inteligentes, inclusive dados sensíveis. É o que ocorreu em diversas cidades do mundo, durante a pandemia do Coronavírus, em 2020 e 2021, em que se contrataram empresas de tecnologia e de software com o fim de rastrear os casos de Covid-19 em diversas localidades desses municípios e combater a disseminação desse vírus.

A Lei Geral de Proteção de Dados, no Brasil, prevê os seguintes dispositivos a serem aplicados ao tratamento de dados pelo Poder Público e ao compartilhamento de dados entre entes públicos e empresas da inciativa privada.

O artigo 2324, caput, da Lei estabelece que a Administração Pública pode tratar dados pessoais dos cidadãos com o dever de atender a uma determinada finalidade pública, na busca pelo interesse público, com o objetivo de executar as competências ou cumprir as atribuições dos serviços públicos prestados previstas em lei. Dessa forma, se conclui que o objetivo principal da utilização dos dados pessoais dos cidadãos pelo Poder Público se consubstancia no “bem comum concretizado pelo interesse público -, relacionado de forma direta com o exercício das competências constitucionais e com as atribuições dos serviços públicos.”25

Quanto ao contexto do compartilhamento de dados pessoais no sentido de se alcançar uma finalidade pública, Patricia Moreira lembra que a Lei determina que o ente público mantenha os dados pessoais sob a forma interoperada e estruturada, de forma que o compartilhamento de dados, a comunicação e a integração com outros sistemas sejam facilitados.26

Fernando Tasso esclarece que a manutenção dos dados sob a forma interoperada e estruturada ”faz em prestígio ao princípio constitucional da eficiência”, de forma que as inciativas e investimentos na formulação de bases de dados sob a forma de interoperabilidade têm sido cada vez mais frequentes.27

Quanto aos casos de transferências de dados pessoais pelo ente público a uma entidade da incitativa privada, Fernando Tasso lembra que a regra é sua vedação, desde que observadas as exceções previstas no artigo 26, §1º, da LGPD.

As hipóteses de transferências de dados pelos entes públicos à iniciativa privada, de forma breve, são as seguintes28:

1. A prevista no §1º, do artigo 26 da lei, em que as transferências são imprescindíveis para a específica e determinada finalidade de execução descentralizada da atividade pública;

2. Os casos em que os dados já são acessíveis publicamente, nos termos do inciso III do mesmo artigo, desde que, em caso de mudança de finalidade para o tratamento dos mesmos dados, deve existir o respeito a uma nova base legal de tratamento, dentre os previstos no artigo 7º da Lei, tendo em vista que o §3º do artigo 7º determina a observância da finalidade, da boa-fé e do interesse público na disponibilização aos dados publicamente acessíveis;

3. Outra hipótese está prevista no inciso IV do artigo 26, que prevê, “em essência, um requisito de validade que é onipresente quanto em um dos polos da relação jurídica está um ente público”, que é a previsão por lei, de forma que a Administração Pública age conforme o disposto em lei, de forma que a leitura do inciso permite entender que bastaria que o órgão público se resguardasse em documento legal, contrato, convênio ou instrumento congênere para a transferência de dados; e

4. Por fim, o inciso V prevê a situação em que a transferência de dados pessoais objetiva, de maneira exclusiva, a prevenção de fraudes e irregularidade, ou que venha a proteger e resguardar a segurança e a integridade do titular dos dados, porém com a vedação do tratamento dos dados para finalidades diversas.

Fernando Tasso, mais uma vez, adverte que, nesse contexto, a base legal do consentimento é aquela que tem “o condão de legitimar a comunicação, difusão, interconexão e o tratamento de dados pessoais existentes em bases públicas por entes privados, sendo porém, dispensado nas hipóteses dos incisos I a III do artigo.”29

O inciso II, do mesmo artigo, por sua vez, prevê a publicidade no compartilhamento de dados, sem que tal requisito represente uma hipótese de dispensa de consentimento, mas sim uma “reafirmação de preceito de transparência que deve permear toda atividade de tratamento de dados pessoais”, de forma indistinta.30

A LGPD, portanto, elaborada de forma a se observar os princípios e fundamentos aplicáveis à prestação de serviços públicos, a fim de se atingir o interesse público e adequar as atividades estatais às finalidades públicas previstas em suas leis e regulamentações, prevê algumas regras voltadas a essas atividades em prol dos cidadãos. Entre essas regras, encontram-se as regras de compartilhamento de dados entre esses entes públicos e empresas da iniciativa privada, que devem observar tais dispositivos, de modo que preservados e respeitados os princípios previstos na Lei, os princípios constitucionais, como o da eficiência e o da transparência, e a supremacia do interesse público.

1.2. Pilares de um programa de privacidade

Num cenário em que os órgãos públicos e entes da iniciativa privada devem se adequar às normas de privacidade e proteção de dados, na execução de políticas públicas e na prestação de serviços públicos que se valem das novas tecnologias com o objetivo de se adequarem às novas demandas dos cidadãos, visando uma maior eficiência, especialistas em planos de conformidade às novas leis sugerem um Programa de Privacidade a serem adotados pela alta direção desses órgãos públicos e privados, no contexto do Compliance sob a perspectiva digital.

Marcelo Crespo31 aplica ao Programa de Privacidade implementado nas empresas os sete passos constantes do Federal Sentencing Guidelines for Organizations para um programa de compliance anticorrupção, de forma que, por exemplo:

1. O suporte da alta administração representa que a alta direção da empresa ou órgão público compreende as diretrizes de boas práticas e políticas voltadas para a conformidade nos meios digitais da empresa, como nos casos de permissões ou proibições de acessos, por exemplo;

2. A realização de avaliação dos riscos digitais, demandando da empresa a exigência da realização de um relatório de impactos, “compreendendo que antes de implantar uma nova tecnologia deve-se estudar os mecanismos de defesa e mitigação aos quais esta deve estar ligada”, conhecendo os limites em prol ou contra a proteção dos dados pessoais tratados;

3. A elaboração de Códigos de Condutas e Políticas, de forma que elas devem estabelecer, de forma clara e transparente, as permissões e proibições de acesso a aplicativos nas redes sociais, bem como as condições para o uso de equipamentos eletrônicos, objetivando a manutenção da segurança das informações e das reputações, sem que haja a possibilidade de existirem “privilégios injustificados”;

4. A realização de treinamentos e comunicações constantes, de forma que “é fundamental reafirmar sua (das normas voltadas à ética digital) existência e conteúdo mediante treinamentos periódicos.32

Esses são alguns dos pilares citados por Marcelo Crespo para a implementação de um programa de compliance sob a perspectiva digital, no intuito de se atingir um ambiente profissional que valorize a ética no uso de redes sociais e equipamentos eletrônicos, priorizando a proteção dos dados pessoais dos titulares e demais titulares previstos na legislação brasileira.

Outrossim, Davi Valdetaro Gomes Cavalieri se baseia nos cinco pilares de um programa de integridade sugeridos pela Controladoria-Geral da União (CGU) para sua indicação dos componentes de um programa de integridade na esfera digital no âmbito da Administração Pública, tais como:

1. O comprometimento da alta direção do órgão público para o fomento a uma cultura ética e cidadã, que respeite a LGPD e demais normas, bem como a política de Governança de Dados adotada pelo órgão, para que efetivamente seja implementado um programa de integridade nessa esfera;

2. A criação de uma instância responsável pela implementação e manutenção do programa de privacidade, com a designação de um servidor como Compliance Officer na área digital, sendo que este deve apresentar conhecimento e qualidade profissionais técnicos que o adequem ao cargo, além de ter autonomia e proatividade, tendo em vista suas atribuições no cargo;

3. A análise de perfil e gestão dos riscos, de modo a se realizar, lembrando Marcelo Crespo, um relatório de impacto para que sejam identificados os riscos de eventuais violações de segurança da informação e relativas à proteção de dados pessoais, para a implementação de medidas mitigadoras para manter o órgão protegido;

Ademais, a LGPD, em seu artigo 50, estabelece alguns passos para que as empresas e órgãos públicos adotem uma postura verdadeiramente ética no contexto de adoção de um ambiente ético digitalmente.

O artigo 50 estabelece, por exemplo, que um programa de privacidade deve, no mínimo, demonstrar o comprometimento da alta direção da companhia na implementação do programa; seja aplicável a todos os dados pessoais tratados pela empresa; seja adaptado à estrutura e ao setor em que se encontra ao empresa e ao volume de suas operações, sem se esquecer da classificação de sensíveis de alguns dados; e estabeleça políticas a serem seguidas pelo servidores, no caso de órgão público, elaboradas com base nas avalições dos riscos por eventuais falhas e violações e do mapeamento dos dados pessoais tratados.

O parágrafo 1º33 do mesmo artigo determina, entretanto, que na aplicação de um programa de integridade sob a perspectiva digital e das boas práticas pelas empresas e órgãos públicos, o controlador e o operador levarão em consideração, quanto ao tratamento e aos dados pessoais em si, a finalidade, a natureza, o escopo, a probabilidade e a gravidade dos danos para os titulares desses dados.

O Governo Federal, inclusive, de forma a disseminar uma cultura ética e conformidade à LGPD às empresas públicas, elaborou um material para órgãos públicos de todas as esferas (Municipal, Estadual, Federal e do Distrito Federal), apresentando as definições, princípios, fundamentos e as regras da LGPD aplicáveis ao Poder Público, além de sugerir boas práticas voltadas à Administração Pública.

Especificamente para o que interesse à discussão do tema do presente trabalho, o Guia de Boas Práticas em Segurança da Informação elaborado pelo Governo Federal apresenta como bons comportamentos pela Administração Pública e por entidades privadas que mantêm contratos com o Poder Público no tratamento de dados pessoais de cidadãos os seguintes34:

1. A privacidade desde a concepção e por padrão, referente aos conhecidos institutos do “Privacy by Design” e “Privacy by Default”, de forma que as medidas de segurança, técnicas e administrativas para proteção de dados devem ser observadas desde a fase de concepção de uma nova tecnologia adotado pelo Poder Público para a prestação do serviço ou para entrega de produto; ou a implementação de medidas adequadas para a garantia do processamento apenas dos dados pessoais necessários para cumprimento das finalidades específicas definidas pelo órgão que exerce o papel de controlador dos dados pessoais, respectivamente.

Conforme o Guia, tais medidas devem sempre observar suas características, fundamentos e princípios.

O instituto da privacidade desde a concepção deve ser sempre pensado por apresentar medidas preventivas e não reativas nem corretivas, além de ser inserida no projeto do uso da nova tecnologia pelo ente público, observada a segurança e proteção dos dados pessoais durante todo seu ciclo de vida;

A Privacidade por padrão, a seu turno, deve ser obtida por meio da especificação da finalidade do tratamento informada, da limitação da coleta e minimização dos dados, respeitando o princípio da necessidade e a limitação do uso, retenção e divulgação dos mesmos.

1.3. Uso de tecnologias para o monitoramento do Coronavírus no Brasil

No contexto da pandemia do Coronavírus, os governos de todos os países do globo se valeram de novas tecnologias para o combate à disseminação do vírus, de forma a medirem a presença do vírus em seus territórios e os locais de sua ocorrência, no intuito de adotarem as medidas de restrição de circulação e de obterem instrumentos médicos necessários para cada região e estado de seus países.

Uma dessas tecnologias bastante usada pelos países, e um pouco menos pelo Brasil, foi o chamado “contact tracing”, que representa uma tecnologia de monitoramento de pessoas infectadas e de rastreamento de suas interações sociais, de modo a controlar a propagação do vírus nos territórios nacionais.

Alguns exemplos de adoção dessa tecnologia são os casos de Cingapura e Coreia do Sul. Cingapura lançou o aplicativo Trace Together, que, por meio de login individual coleta o número do telefone celular e um ID anonimizado, sem a coleta de dados de geolocalização. O aplicativo apenas coleta sinais de bluetooth de proximidade dos aparelhos, sendo que, quando do diagnóstico de uma pessoa portadora do vírus, o Ministérios da Saúde pode acessar os dados até então criptografados pelos usuários e notificar os mesmos sobre a proximidade que tiveram com o infectado. Tal aplicativo foi alvo de críticas sobre o risco à privacidade dos usuários no país.35

No caso da Coreia do Sul, a seu turno, dois aplicativos foram criados para o monitoramento da propagação do Coronavírus no país: o Corona[100]m, que alerta aos usuários se chegam a um raio de até 100m de uma pessoa antes diagnosticada com o vírus; e o Coronamap, que traça as localidades de quem foi diagnosticado para outros evitarem a região.

No Brasil, uma tecnologia muito utilizada nesses tempos de isolamento social e home office é a prática da Telemedicina, que permite a eficiência do atendimento médico, além de reduzir a possibilidade da própria propagação do Coronavírus. Os pacientes fazem as consultas aos médicos sem a necessidade de se locomoverem para suas clínicas, utilizando a conexão com a Internet, de forma que “os sintomas podem ser acompanhados por meio de gadgets especialmente desenvolvidos para esse fim”.36

Como se pode concluir, muitas das tecnologias adotadas pelos países em âmbito mundial realizam o tratamento de dados pessoais no sentido atribuído pela lei brasileira LGPD, mas também se valem do tratamento de dados sensíveis, sobretudo aqueles relacionados à questão sanitária dos usuários de aplicativos e cidadãos, para o monitoramento da disseminação do vírus.

Dessa forma, portanto, importante e necessário abordar, brevemente, as peculiaridades e regras a serem observadas em relação ao tratamento de dados sensíveis pelos entes públicos e privados, inclusive para determinar as obrigações de cada parte dos contratos administrativos em relação ao tratamento desses dados e suas responsabilidades em caso de eventuais violações no processamento dos mesmos.

Os dados sensíveis, nos termos da LGPD, se referem aos dados relacionados à origem racial ou étnica do titular, a dados referentes à sua saúde ou vida sexual, à sua convicção religiosa, à opinião política, filiação à sindicato ou organização de caráter religioso e a dado genético ou biométrico, conforme disposto no inciso II, do artigo 5º da Lei.

Primeiramente, é preciso colocar que, ao contrário do que ocorre com os dados considerados pessoais na acepção da lei brasileira, o compartilhamento de dados sensíveis sem consentimento (sempre feito de forma específica e destacada, para finalidade específica), em regra, é vedado pela Lei.

Ocorre que, na alínea b, inciso II, do artigo 11 da Lei, o compartilhamento de dados sensíveis sem o consentimento do titular dos dados pode ocorrer nos casos em que tais informações pessoais sejam necessárias à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.

Conforme lembra Caio César Carvalho Lima37, os dados sensíveis poderão ser tratados pela administração pública quando estes forem indispensáveis para a execução de políticas públicas. É o fundamento jurídico com que se valem muitos governantes para a utilização de tecnologias contact tracing no país.

Ademais, Carvalho Lima38 lembra que, nesses casos, não serão suficientes as políticas públicas previstas em contratos, convênios ou instrumentos congêneres para a legitimação do tratamento dos dados sensíveis, aplicável tal hipótese somente nos casos de compartilhamento de dados pessoais.

Fernando Tasso39 adverte que, nestes casos de compartilhamento de dados sensíveis, sobressai “a incidência do princípio da necessidade com especial atenção à faceta de pertinência, ou imprescindibilidade, para o cumprimento de sua finalidade”, consubstanciada na execução de políticas públicas baseadas em leis ou regulamentos.

Por fim, importante também destacar, no contexto de compartilhamento de dados sensíveis pelo Poder Público a entes públicos e privados, o apontamento de Jerusa Bohrer40, no sentido de que a ausência de consentimento expresso, destacado e explícito não possibilita aos agentes de tratamento a utilização dos dados pessoais e sensíveis para fins diversos daqueles relacionados à finalidade informada pelos mesmos, não havendo possibilidade de exorbitação de sua finalidade, atendendo este e o princípio da adequação.

---

2. O Compliance nas contratações públicas

De forma geral, a execução de políticas públicas e a realização dos atos administrativos têm se pautado por pilares e características de programas de integridade, com grande influência da Lei Federal nº 12.846/2013, a chamada Lei Anticorrupção, e com a publicação do Decreto nº 8.420/2015, pelo qual pessoas jurídicas de direito público e privado se baseiam para a criação de seus respectivos programas de integridade; bem como da Lei Federal nº 13.303/2016, a Lei das Estatais, que estabelece regras de governança e transparência a serem observada pelas empresas estatais federais, estaduais e municipais.

Conforme visto anteriormente, um programa de integridade pode se direcionar para fins além do combate à corrupção, como a finalidade de se atingir um maior grau de políticas voltadas à sustentabilidade como a criação de um programa de governança em privacidade e proteção de dados pessoais em observância às normas mais atuais no contexto da ética e inclusão digital, como a Lei do Governo Digital e o Marco Legal da Inteligência Artificial, ainda à espera de análise pelo Senado Federal41, que, entretanto, serão temas tratados oportunamente.

Nessa linha, a esfera das contratações também é alvo das inovações trazidas pelas novas leis que buscam uma maior integridade pelo Poder Público e pelas empresas privadas contratadas, no sentido de se fazer valer os direitos fundamentais e princípios garantidos pela Constituição Federal e a probidade no trato com os recursos públicos.

Mirela Miró Zilioto42 bem observa:

Um dos mecanismos resultantes do impulsionamento à criação de instrumentos de combate à corrupção no âmbito das contratações públicas são os programas de integridade e compliance. Esses mecanismos têm sido exigidos das empresas que contratam com o Poder Público para assegurar, dentre outros parâmetros, eficiência, vantajosidade e sustentabilidade às contratações públicas.

Irene Nohara e Aloísio Zimmer Júnior também lecionam:

Nesta perspectiva, o planejamento das modelagens das licitações e contratos se destina, enquanto política pública voltada ao alcance de objetivos maiores relacionados com o pleno emprego, ao bem-estar social, à preservação ambiental e à inovação, à consecução de objetivos maiores associados com a promoção do desenvolvimento (nacional sustentável), devendo ser, portanto, criteriosamente articulado para se harmonizar a este horizonte mais largo de escopos, sem que sejam desconsiderados, evidentemente, os objetivos contratuais. 43

Por fim, Bruna Magacho e Fabrício Motta44, ressaltando a importância dos programas de integridade pelas empresas privadas que prestam serviços públicos com a finalidade de que sejam efetivamente prestadas políticas públicas, advertem:

A exigência de programas de compliance no contexto de procedimentos de contratação pública caracteriza a utilização do módulo contratual como instrumento ou estratégia para a implementação de políticas públicas voltadas à prevenção e combate à corrupção.

Assim, a Nova Lei de Licitações e Administrativos, publicada em 01 de abril de 2021 sob o número 14.133/2021, reforça a preocupação da Administração Pública com o objetivo geral de combate à corrupção e do desenvolvimento nacional sustentável, num ambiente ético que valorize, inclusive, as boas práticas previstas no artigo 50 da LGPD.

2.1. Breves apontamentos sobre a Lei Federal nº 14.133/2021

Neste ponto, abordar-se-á os relevantes pontos previstos na Lei Federal nº 14.133/2021 que destacam o programa de integridade anticorrupção na esfera das contratações públicas.

Em primeiro lugar, o artigo 25, §4º, da Lei nº 14.133/2021, estabelece que, nas contratações de grande vulto, isto é, nas contratações cujo valor seja maior de duzentos milhões de reais, o edital deverá prever a implementação, pelo licitante vencedor, de um programa de integridade, no prazo de seis meses contados da assinatura do contrato, “conforme regulamento que disporá sobre medidas a serem adotadas, a forma de comprovação e as penalidades pelo seu descumprimento.”45

Além disso, a lei determina que referido programa de integridade pelas licitantes é tratado como critério de desempate entre duas ou mais empresas, observada a ordem discriminada no artigo 60 da Lei, tendo em vista que “o programa de integridade exigido deve refletir proporcionalmente o porte e as característica da empresa.”46

Por fim, o programa de integridade pelas empresas privadas interessadas em participação em certames é tratado na esfera das sanções, de forma que é considerado para mitigação de eventuais sanções por violação de cláusulas contratuais e é requisito obrigatório para reabilitação de interessado que sofreu sanções em virtude de apresentação de documentação falsa e de cometimento de ato contra a administração nos termos previstos no artigo 5º da Lei Anticorrupção.

2.2. O Compliance digital nas contratações públicas envolvendo tecnologia;

No contexto de se implementar um programa de privacidade nos órgãos públicos e no corpo das empresas privadas, necessário também aplicar as medidas e boas práticas de um programa de compliance na esfera digital no momento da contratação de empresas da inciativa privada que ofertarão serviços públicos utilizando tecnologias que se valem de dados pessoais e dados sensíveis dos usuários cidadãos para sua prestação, atendendo sua finalidade pública de execução de políticas públicas com maior eficiência, como nos casos em que se utilizam bilhetagem eletrônica ou o reconhecimento facial e biométrico.

Nesse sentido, os pilares de um programa de privacidade apontados por Crespo e Cavalieri, citados acima, funcionam como parâmetro para se garantir um efetivo comprometimento entre as partes envolvidas nos contratos administrativos, tendo como objetivo o atendimento aos princípios da finalidade pública, da supremacia do interesse público sobre o privado e da minimização dos dados pessoais.

Tais pilares, como o apoio da alta administração, a criação de um Código de Conduta e políticas sob a perspectiva digital e o monitoramento contínuo dos processos de tratamento de dados pessoais, são essenciais e funcionais para a conformidade com leis e regulamentos no tratamento de dados pessoais e sensíveis dos usuários cidadãos dos serviços públicos prestados por empresas privadas, fundamentados em contratos administrativos.

O apoio da alta administração influenciará os colaboradores da companhia a adotarem medidas exemplares no uso dos meios digitais e no tratamento de dados pessoais dos cidadãos, demonstrando de forma clara e transparente o esforço da empresa como um todo para a disseminação da cultura ética sob o contexto digital.

A criação do Código de Conduta e políticas voltados para o tratamento de dados pessoais dos cidadãos, conforme os dispositivos das leis e regulamentos brasileiros voltados à Administração Pública, sempre lembrando a observância ao princípio da supremacia do interesse público nos contratos administrativos.

E o monitoramento contínuo dos processos de tratamento de dados pessoais e sensíveis cujos titulares correspondem aos cidadãos, usuários dos serviços públicos, a fim de que a finalidade pública que legitima a prestação desses serviços seja sempre observada, assim como as peculiaridades previstas na LGPD nos casos de tratamento de dados pessoais pelo Poder Público.

Com o intuito de se firmarem obrigações e direitos e a previsão sobre a responsabilidade civil solidária nos contratos administrativos que preveem a prestação de serviços públicos, de forma clara e transparente, importante a determinação das responsabilidades dos entes públicos e privados nesses instrumentos no tratamento de dados pessoais e sensíveis, bem como as bases legais e limites previstos na LGPD para o tratamento de dados pessoais nessas condições.

Assim, importante se revelam as obrigações e direitos voltados à Administração Pública, na figura de controladora, e ao ente privado, como operador no tratamento de dados pessoais; e a obra de Fernanda Schramm, que trata justamente sobre essas responsabilidades fixadas em contratos administrativos que preveem o compartilhamento de dados pessoais entre órgãos públicos e entidades da iniciativa privada.

Fernanda Schramm, primeiramente, faz importantes observações sobre a aplicação da LGPD sobre os contratos administrativos firmados entre entidades da inciativa privada e órgãos públicos.

Conforme Schramm47, a atividade administrativa é pautada, de forma precípua, pelo princípio da legalidade, de forma que a discricionariedade do Estado na elaboração de editais de licitação e de minutas de contratos é limitada, por exemplo, com a definição das condições de participação do certame pelas empresas privadas e de execução do objeto licitado, “aí compreendidas as disposições legais concernentes à proteção de dados.”

Schramm48 acrescenta, porém, que, se estiver na margem de discricionariedade da Administração Pública, esta pode, na elaboração do instrumento convocatório, acrescentar exigência ou prever a repartição dos direitos e obrigações pelas partes a fim de que se priorize a persecução do interesse público.

Em relação às responsabilidades de cada parte dos contratos administrativos no respeito às normas da LGPD, Schramm ensina que

embora a lei não trate especificamente das contratações públicas, é altamente é altamente recomendável que os editais de licitação sejam acompanhados de matriz de risco dispondo sobre as obrigações vinculadas a cada uma das partes no que tange à segurança no tratamento e dados – inclusive para fins de posterior discussão acerca do equilíbrio econômico-financeiro do contrato.

Nesse sentido, Schramm apresenta possíveis direitos e obrigações a serem inseridas nesses contratos administrativos, pensando a Administração Pública como controladora e o ente privado terceiro como operador no tratamento de dados pessoais dos cidadãos na execução dos serviços públicos objetos desses instrumentos.

Segundo Schramm49, portanto, a Administração Pública, enquanto controladora cuja incumbência se resume nas decisões sobre o tratamento de dados pessoais, deve observar as seguintes obrigações, por exemplo:

1. Elaboração de prova documental sobre a análise de impacto de proteção de dados, contendo quais os dados coletados e base legal para sua coleta e tratamento, além da finalidade do mesmo, à luz dos princípios da minimização e da adequação;

2. Prova documental sobre o conteúdo e outras informações do banco de dados existente no sistema eletrônico do órgão;

3. Prova documental sobre o meio de obtenção dos dados pessoais;

4. Prova sobre o meio de obtenção de consentimento dos pais e responsáveis para tratamento de dados pessoais de crianças e adolescentes, nos ermos do Estatuto da Criança e do Adolescente;

5. Prova documental sobre como será realizada a anonimização dos dados pessoais, se necessário e cabível ao caso concreto;

6. O dever de instruir o particular operador sobre a observância ao formato interoperável e outras exigências referentes aos padrões de proteção de dados e segurança da informação pela Administração Pública;

7. O dever de fiscalização das atividades realizadas pelo contratado-operador, tendo em vista sua posição de controladora dos dados pessoais; e

8. A indicação de um encarregado de dados, que figurará como canal de comunicação entre o ente público, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados.

Schramm50, por fim, esclarece quais são as prerrogativas e deveres dos contratados-operadores nos contratos administrativos.

Como esses entes privados exercem função de operadores de tratamento de dados pessoais, sua responsabilidade é limitada pela Lei.

O operador, conforme os artigos 3751 e 3952 da Lei, deve “realizar o tratamento segundo as informações fornecidas pelo controlador – ente contratante – e assegurar o registro de todas as operações de tratamento de dados pessoais por si realizadas. ”53

Além disso, o operador deve54, igualmente ao controlador, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais tratados de acesso não autorizados e de situações de violação, sendo relevante, para isso, inclusive, o fortalecimento ou a criação do programa de compliance sob a esfera digital para o fomento de uma cultura ética digital entre seus colaboradores.

Para finalizar, o artigo 1255 da LGPD apresenta uma prerrogativa ao operador, neste caso representado pelos contratados, que se resume na não aplicação da Lei sobre os casos em que os dados são anonimizados, desde que tal processo não seja passível de ser revertido para a possível identificação dos titulares dos dados pessoais, os cidadãos.56

2.3. Breves apontamentos sobre o reequilíbrio econômico-financeiro e o Compliance digital

Ronny Charles Torres e Davidson de Brito57 advertem que a aplicação da LGPD nos contratos administrativos forçará as empresas contratadas a implementarem novos meios tecnológicos para a prestação dos serviços prestados, além de aperfeiçoarem seu capital humano, material e de infraestrutura para a observância das normas e pilares de boas práticas previstas na LGPD.

Augusto Neves Dal Pozzo e Renan Facchinatto58, nesse raciocínio, esclarecem:

Com efeito, novos custos e novos riscos geram a necessidade de restauração do equilíbrio econômico-financeiro do contrato em favor do contratado e, ao final das contas, em favor do próprio interesse público, pois o reequilíbrio do contrato permite, ao concessionário, suplantado de algum modo economicamente, continuar a prestar as atividades de interesse público que lhe foram delegados.

Por isso,

será necessária a adoção de importantes avaliações de impacto regulatório para dirimir as questões que alterarão sensivelmente a dinâmica de contratos de concessão em diversos setores pela plêiade de atores que já protagonizam a cena concessionária.59

Ronny Charles e Davidson de Brito, ainda, sugerem a via consensual para a necessária repactuação do equilíbrio, tendo em vista que seus instrumentos próprios proporcionam um ambiente harmônico entre os interesses das partes contratuais, bem como do interesse público primário, podendo, inclusive, fomentar a ampliação dos trabalhos pelas Câmaras de Prevenção e Resolução Administrativa de Conflitos e demais órgãos da esfera alternativa de resolução de conflitos, tão valorizadas pela Nova Lei de Licitações, nos termos, por exemplo, dos artigos 151 e seguintes.

Fernando Menegat60, por fim, lembra o impacto da necessidade de proteção de dados pessoais como receita acessória nos contratos administrativos, que, simultaneamente, auxiliam na observância ao princípio da modicidade das tarifas, desonerando os usuários dos serviços prestados quanto à essa obrigação adicional, bem como “facilitam a manutenção do equilíbrio econômico-financeiro da concessão.”

2.4. O compliance digital na prestação de serviços por entes privados na área da saúde como no combate à pandemia do Coronavírus em 2020-2022

Diante do exposto até aqui, importante abordar sobre o Compliance digital a ser estabelecido na prestação de serviços públicos por terceiros contratados que necessitam do tratamento de dados sensíveis dos titulares cidadãos como nos casos de combate à pandemia do Coronavírus.

Na mesma lógica pensada por Schramm na formulação de contratos administrativos que necessitam de uma matriz de risco sobre a proteção de dados pessoais dos cidadãos, é necessário fixar as obrigações e direitos voltados ao órgão público controlador e ao terceiro privado operador em relação ao tratamento de dados sensíveis, como no caso de aplicação da Telemedicina por hospitais ou demais profissionais da área da saúde que prestam serviços públicos.

Há a necessidade, portanto, de se fazer presentes nos contratos as bases legais, os princípios e fundamentos que permitem o tratamento de dados sensíveis pelas duas partes, bem como os direitos e obrigações de cada parte dependendo de sua função conforme a Lei, de modo que cabe às duas partes as mesmas obrigações e direitos previstos no casos dos contratos administrativos que preveem o tratamento de dados pessoais dos usuários cidadãos dos serviços públicos, com observância às regras previstas pela LGPD para os casos de tratamento de dados sensíveis, como aquela que prevê o compartilhamento de dados pelo setor público ao ente privado sem a necessidade do consentimento específico e destacado, voltado para finalidades específicas, desde que previsto em leis ou regulamentos para execução de políticas públicas.

Para isso, importante também os entes envolvidos criarem, cada um, um programa de privacidade rígido e transparente, que envolva todos os servidores e colaboradores num ambiente que os conscientize sobre a importância da proteção de dados pessoais e dados sensíveis dos cidadãos e com o intuito de fortalecer uma cultura ética sob o âmbito digital, desde o apoio da alta administração até o monitoramento contínuo sobre o processamento dos dados tradados nos sistemas eletrônicos dessas entidades, fazendo prevalecer a proteção dos sensíveis contra acesso não autorizados ou contra possíveis incidentes e violações que possam comprometer os direitos dos titulares previstos na LGPD ou, inclusive, os direitos fundamentais constantes da Constituição Federal; lembrando que os dados sensíveis são dados que, conforme Côrrea et al, são reconhecidos por seu tratamento acarretar “maior risco à personalidade, sobretudo em termos de práticas discriminatórias”, pois seu tratamento “apresentava maior propensão a favorecer práticas de exclusão, segregação e desigualdade, exigindo assim maiores cuidados.”61

A implementação de tais programas de governança em privacidade, inclusive, auxilia na análise, pela alta administração das contratadas e dos órgãos contratantes, do interesse pública e da finalidade do tratamento dos dados dos administrados, de modo a evitar o tratamento de dados pessoais para fins diversos que os informados quando da assinatura do contrato administrativo, como foi o que ocorrera no caso da Linha Amarela do Metrô de São Paulo, em que os dados pessoais dos usuários eram tratados para fins de oferecimento de propagandas direcionadas para cada perfil de usuário, de forma geral, sem o consentimento dos titulares.62

---

Conclusão

O contexto mundial, há alguns anos, vem apresentando de forma crescente e rotineiramente mudanças tecnológicas no ambiente de negócios e na prestação de serviços públicos pela Administração Pública, cada vez mais globalizados e influenciados pela inovação e novas tecnologia disruptivas.63

A disseminação do Coronavírus, causador da Covid-19, considerada pandemia pela Organização Mundial da Saúde (OMS) em 11 de março de 2020, influenciou na mudança radical do comportamento dos cidadãos, que adotaram o regime de trabalho de home-office e de estudos home-schooling, por conta da necessidade de se isolarem socialmente a fim de conter essa propagação.

No sentido de combater a disseminação, governos de todos os países, bem como o Governo Federal brasileiro e governantes dos diversos estados da Federação adotaram, a seu modo, diferentes meios e instrumentos que contribuíssem na luta contra a proliferação de vírus.

Entre esses meios, a adoção de compra de novas tecnologias e serviços que necessitam do tratamento de dados pessoais e sensíveis dos cidadãos, de forma a tornar os serviços mais eficientes e ágeis para o fim desejado.

Diante das normas que regulam o tratamento de dados pessoais no Brasil, como a Lei Geral de Proteção de Dados Pessoais, editada em agosto de 2018 e cuja vigência se iniciou em 18 de setembro de 2020, após diversas alterações legislativas em seu conteúdo e sobre sua vigência, os contratos administrativos feitos pela Administração Pública com vistas a se contratar serviços e tecnologias com entidades da inciativa privada com a finalidade de combater a disseminação do Coronavírus tiveram e dever observar as normas constantes nessa Lei.

Nesse sentido, importante se estabelecer nos órgãos públicos e nas empresas privadas contratadas um programa de integridade sob a esfera digital de forma fomentar em suas equipes de servidores ou colaboradores uma cultura ética no uso de meios tecnológicos e no tratamento de dados pessoais e sensíveis dos cidadãos, observadas as regras fixadas na Lei aplicáveis ao tratamento de dados realizado pela Administração Pública, bem como nas novas legislações que priorizam a integridade e o reequilíbrio econômico-financeiro provocado pelas novas mudanças contratuais no tratamento de dados pessoais pelas concessionárias.

Além disso, se revela necessário a inclusão das obrigações da Administração Pública enquanto controladora no tratamento de dados pessoais e sensíveis dos cidadãos, pois a ela é incumbida das decisões sobre esse tratamento; e das obrigações e direitos das empresas privadas como operadores no tratamento de dados, pois são esses quem processam os dados em nome da Administração Pública controladora, no contexto dos contratos administrativos que apresentam matriz de risco à proteção de dados pessoais de cidadãos.

Tais medidas se revelam necessárias e em conformidade às regras inseridas na LGPD, ainda mais diante de um contexto como o da pandemia do Coronavírus, que obrigou as empresas, órgãos públicos e aos cidadãos a adotarem medidas repentinas e rígidas em suas atividades, de forma que o uso de tecnologia aumentou inclusive no combate à disseminação do vírus pelos governos federais, municipais e estaduais, adotando meios como o da telemedicina e do uso de dados biométricos de pacientes e portadores do vírus, acarretando em riscos à sua privacidade e proteção de dados.

Nesse sentido, no momento em que se usa novas tecnologias com cada vez mais frequência, importante se faz a conformidade com as leis que regulam a privacidade e proteção de dados pessoais, como a criação de programas de privacidade em órgãos públicos e empresas privadas contratadas para a prestação de serviços públicos fruto dos contratos administrativos, além da fixação, nesses contratos, das obrigações e direitos previstos para as partes no tratamento de dados pessoais de cidadãos, sob as regras aplicáveis à Administração Pública, de forma a se fomentar uma cultura de compliance na privacidade e proteção de dados pessoais no âmbito do Setor Público numa realidade em que novas tecnologias são usadas para a prestação de serviços públicos, inclusive na área sanitária.

---

Referências

BOHRER, Jerusa. Compartilhamento de dados pessoais sensíveis no enfrentamento à pandemia da Covid-19. Disponível em: <https://www.oabrs.org.br/canelagramado/noticias/compartilhamento-dados-pessoais-sensiveis-no-enfrentamento-pandemia-covid19/44633 >. Acesso em: 25.02.2021.

BRASIL. Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Brasília, agosto/2020.

BRASIL. Lei Federal nº 13.709, de 14 de agosto de 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 26.02.2021.

CARVALHO LIMA, Caio César. Capítulo II. Do Tratamento de Dados Pessoais. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019.

CARVALHO, André Castro. A lei de acesso à informação (LAI) e a lei geral de proteção de dados (LGPD): adequando-as aos programas de governança em privacidade das empresas estatais. In: CARVALHOSA, Modesto. KUYVEN, Fernando (coords.). Compliance no direito empresarial. São Paulo: Revista dos Tribunais, 2020.

CORRÊA, Ivo; DE PAULA, Felipe; BELLINTANI, Beatriz. Covid-19: A necessidade de disciplina adequada à proteção de dados sensíveis no Brasil. In: SARLET, Ingo Wolfgang (Dir.). Direitos Fundamentais & Justiça. Belo Horizonte: PUC RS, ano 14 – número especial, nov. 2020. Pg. 183.

CRESPO, Marcelo. Compliance Digital. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019.

DAL POZZO, Augusto Neves; FACCHINATTO, Renan Marcondes. A Lei Geral de Proteção de Dados e suas repercussões nos Contratos de Concessão. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020.

DI PIETRO, Maria Sylvia Zanella. Parcerias na Administração Pública , 11. ed, Rio de Janeiro: Forense. 2017. Disponível em: <https://summitsaude.estadao.com.br/tecnologia/5-ferramentas-tecnologicas-no-combate-ao-coronavirus/ >. Acesso em 24.02.2021.

MAGACHO, Bruna Toledo Piza; MOTTA, Fabrício. Avaliação dos programas de integridade nas contratações públicas: em busca de eficácia e segurança jurídica. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (Coord.). Compliance no Direito Administrativo. São Paulo: Revista dos Tribunais, 2020.

MENEGAT, Fernando. “Compliance de dados”: uma nova frente de governança para os programas de integridade no direito (administrativo) brasileiro. In: Compliance no Direito Administrativo. São Paulo: Revista dos Tribunais, 2020.

MOREIRA, Patricia Prieto. Tratamento e uso compartilhado de dados pessoais pela administração pública na execução de políticas públicas. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020.

NOHARA, Irene Patrícia. Administração pública: capítulo VII da Constituição Federal de 1988. 2ª edição. São Paulo: Revista dos Tribunais, 2019.

NOHARA, Irene Patrícia. Lei Anticorrupção Empresarial e Compliance: Programa efetivo e cultura de integridade. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019.

PINHEIRO, Patrícia Peck. As novas regras dos tempos digitais. In: PINHEIRO, Patrícia Peck (Coord.). Direito Digital Aplicado 3.0. São Paulo: Revista dos Tribunais, 2018.

PRADO FILHO, Francisco Octavio de. Cidades inteligentes e o direito à privacidade, uma discussão necessária. In: RAIS, Diogo; PRADO FILHO, Francisco Octavio de. (Coords.). Direito Público Digital. São Paulo: Revista dos Tribunais, 2020.

ROCHA SALES, Stela Chaves; TSUZUKI, Camila Akemi. Cidadania em xeque: entre o interesse público e a proteção de dados pessoais. In: RAIS, Diogo; PRADO FILHO, Francisco Octavio de Almeida. (Coords.). Direito Público Digital: O Estado e as novas tecnologias: desafios e soluções. São Paulo: Revista dos Tribunais, 2020.

SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020.

TASSO, Fernando Antonio. Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019.

TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP.

TORRES, Ronny Charles Lopes de; BRITO, Davidson Lopes Sousa de. A Lei Geral de Proteção de Dados como fator gerador de desequilíbrio econômico-financeiro. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados no Setor Público. Belo Horizonte: Fórum, 2021. P. 427-438.

ZANCANER, Weida. Lineamentos sobre a lei de acesso à informação. In: VALIM, Rafael; MALHEIROS, Antonio Carlos; BACARIÇA, Josephina (in memoriam). (Coords.). Acesso à informação pública. Belo Horizonte: Fórum, 2015.

ZENKNER, Marcelo; AGUIRRE DE CASTRO, Rodrigo Pironti (Coord.). Compliance no Setor Público. Belo Horizonte: Fórum, 2020.

ZILIOTO, Mirela Miró. A arte de exigir programas de integridade nas contratações públicas: ato de coragem ou loucura? In: ZENKNER, Marcelo; CASTRO, Rodrigo Pironti Aguirre de (Coord.) Compliance no setor público. Belo Horizonte: Fórum, 2020, p. 251-273.

---

Notas

1. Artigo originalmente publicado na Revista Fórum de Contratação e Gestão Pública – FGCP, ano 20, número 234, jun. 2021, p. 81-103.

2. PRADO FILHO, Francisco Octavio de. Cidades inteligentes e o direito à privacidade, uma discussão necessária.In: RAIS, Diogo; PRADO FILHO, Francisco Octavio de. (coords.). Direito Público Digital. São Paulo: Revista dos Tribunais, 2020. Pg. 49.

3. DI PIETRO, Maria Sylvia Zanella. Parcerias na Administração Pública , 11. ed, Rio de Janeiro: Forense. 2017. pg. 63.

4. Disponível em: <https://www.serpro.gov.br/lgpd/noticias/2020/lgpd-entra-em-vigor>. Acesso em 26.02.2021.

5. Edital de Licitação nº 107/2020, sob o formato de Pregão Eletrônico, pela prefeitura Municipal de Canoas/RS.

6. Pregão Eletrônico nº 39/2020, pela Companhia de Tecnologia da Informação e Comunicação do Paraná – CELEPAR.

7. Disponível em: <https://pncp.gov.br/editais/03024705000137/2021/5>. Acesso em 01.12.2021.

8. Disponível em: <https://diariodotransporte.com.br/2020/12/07/paulinia-realiza-nova-audiencia-publica-para-discutir-concessao-do-servico-de-transporte-coletivo/>. Acesso em 26.02.2021.

9. O presente trabalho foi finalizado em 01 dezembro de 2021.

10. Disponível em: <https://www.google.com/search?q=n%C3%BAmeros+covid+2021&rlz=1C1GCEU_pt-BRBR[887]BR[887]&oq=n%C3%BAmeros+covid+2021&aqs=chrome..69i57j0i22i30l9.5319j0j7&sourceid=chrome&ie=UTF-8>. Acesso em 01.12.2021.

11. NOHARA, Irene Patrícia. Lei Anticorrupção Empresarial e Compliance: Programa efetivo e cultura de integridade. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019, pg. 23.

12. ZENKNER, Marcelo; AGUIRRE DE CASTRO, Rodrigo Pironti. Compliance no Setor Público. Belo Horizonte: Fórum, 2020. Pg. 17.

13. NOHARA, Irene Patrícia. Lei Anticorrupção Empresarial e Compliance: Programa efetivo e cultura de integridade. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019, pg. 26.

14. Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

    § 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

    § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

    I - implementar programa de governança em privacidade que, no mínimo:

    a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

    b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

    c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

    d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

    e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

    f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

    g) conte com planos de resposta a incidentes e remediação; e

    h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

    II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

    § 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

15. NOHARA, Irene Patrícia. Administração pública: capítulo VII da Constituição Federal de 1988. 2ª edição. São Paulo: Revista dos Tribunais, 2019. Pg. 49.

16. Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

    XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado; (Regulamento) (Vide Lei nº 12.527, de 2011)

17. ZANCANER, Weida. Lineamentos sobre a lei de acesso à informação. In: VALIM, Rafael; MALHEIROS, Antonio Carlos; BACARIÇA, Josephina (in memoriam). (Coords.). Acesso à informação pública. Belo Horizonte: Fórum, 2015. Pg. 27.

18. CARVALHO, André Castro. A lei de acesso à informação (LAI) e a lei geral de proteção de dados (LGPD): adequando-as aos programas de governança em privacidade das empresas estatais. In: CARVALHOSA, Modesto. KUYVEN, Fernando (coords.). Compliance no direito empresarial. São Paulo: Revista dos Tribunais, 2020. Pg. 249.

19. CARVALHO, André Castro. A lei de acesso à informação (LAI) e a lei geral de proteção de dados (LGPD): adequando-as aos programas de governança em privacidade das empresas estatais. In: CARVALHOSA, Modesto. KUYVEN, Fernando (coords.). Compliance no direito empresarial. São Paulo: Revista dos Tribunais, 2020. Pg. 249.

20. Disponível em: <https://www12.senado.leg.br/noticias/materias/2021/10/20/senado-inclui-protecao-de-dados-pessoais-como-direito-fundamental-na-constituicao>. Acesso em 01.12.2021.

21. TASSO, Fernando Antonio. Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019. Pg. 255.

22. TASSO, Fernando Antonio. Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019, pg. 256.

23. ROCHA SALES, Stela Chaves; TSUZUKI, Camila Akemi. Cidadania em xeque: entre o interesse público e a proteção de dados pessoais. In: RAIS, Diogo; PRADO FILHO, Francisco Octavio de Almeida. (Coords.). Direito Público Digital: O Estado e as novas tecnologias: desafios e soluções. São Paulo: Revista dos Tribunais, 2020.

24. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

25. MOREIRA, Patricia Prieto. Tratamento e uso compartilhado de dados pessoais pela administração pública na execução de políticas públicas. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. Pg. 286.

26. MOREIRA, Patricia Prieto. Tratamento e uso compartilhado de dados pessoais pela administração pública na execução de políticas públicas. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 287.

27. TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP. Pg. 110.

28. TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP, pg. 113.

29. TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP, pg. 114.

30. TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP, pg. 114.

31. CRESPO, Marcelo. Compliance Digital. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019, pg. 197.

32. CRESPO, Marcelo. Compliance Digital. In: NOHARA, Irene Patrícia; BASTOS PEREIRA, Flávio de Leão (Coord.). Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019, pg. 197.

33. § 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

34. BRASIL. Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Brasília, agosto/2020. Pg. 50.

35. CORRÊA, Ivo; DE PAULA, Felipe; BELLINTANI, Beatriz. Covid-19: A necessidade de disciplina adequada à proteção de dados sensíveis no Brasil. In: SARLET, Ingo Wolfgang (Dir.). Direitos Fundamentais & Justiça. Belo Horizonte: PUC RS, ano 14 – número especial, nov. 2020. Pg. 183.

36. Disponível em: <https://summitsaude.estadao.com.br/tecnologia/5-ferramentas-tecnologicas-no-combate-ao-coronavirus/ >. Acesso em 24.02.2021.

37. CARVALHO LIMA, Caio César. Capítulo II. Do Tratamento de Dados Pessoais. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019. Pg. 199.

38. CARVALHO LIMA, Caio César. Capítulo II. Do Tratamento de Dados Pessoais. In: OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega (coords.). LGPD: Lei Geral de Proteção de Dados comentada – 2 ed. São Paulo: Thomson Reuters Brasil, 2019. Pg. 199.

39. TASSO, Fernando Antonio. Compartilhamento de dados entre o setor público e privado – possibilidades e limites. In: Lei Geral de Proteção de Dados Pessoais. Revista do Advogado – nº 144 – Nov.2019. AASP, pg. 114.

40. BOHRER, Jerusa. Compartilhamento de dados pessoais sensíveis no enfrentamento à pandemia da Covid-19. Disponível em <https://www.oabrs.org.br/canelagramado/noticias/compartilhamento-dados-pessoais-sensiveis-no-enfrentamento-pandemia-covid19/44633>. Acesso em: 25.02.2021.

41. Disponível em: <https://www.camara.leg.br/noticias/811702-camara-aprova-projeto-que-regulamenta-uso-da-inteligencia-artificial/ >. Acesso em: 01.12.2021.

42. ZILIOTO, Mirela Miró. A arte de exigir programas de integridade nas contratações públicas: ato de coragem ou loucura? In: ZENKNER, Marcelo; CASTRO, Rodrigo Pironti Aguirre de (Coord.) Compliance no setor público. Belo Horizonte: Fórum, 2020, p. 255.

43. ZIMMER JÚNIOR, Aloísio; NOHARA, Irene Patrícia Diom. Compliance anticorrupção e das contratações públicas. São Paulo: Revista dos Tribunais, 2021. p. 359.

44. MAGACHO, Bruna Toledo Piza; MOTTA, Fabrício. Avaliação dos programas de integridade nas contratações públicas: em busca de eficácia e segurança jurídica. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (Coord.). Compliance no Direito Administrativo. São Paulo: Revista dos Tribunais, 2020. P. 117.

45. ZIMMER JÚNIOR, Aloísio; NOHARA, Irene Patrícia Diom. Compliance anticorrupção e das contratações públicas. São Paulo: Revista dos Tribunais, 2021. p. 400.

46. ZIMMER JÚNIOR, Aloísio; NOHARA, Irene Patrícia Diom. Compliance anticorrupção e das contratações públicas. São Paulo: Revista dos Tribunais, 2021. P. 405.

47. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. Pg. 796.

48. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. Pg. 796.

49. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 798.

50. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 801.

51. Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

52. Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

53. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 801.

54. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 802.

55. Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

56. SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública. In: DAL POZZO, Augusto neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 802.

57. TORRES, Ronny Charles Lopes de; BRITO, Davidson Lopes Sousa de. A Lei Geral de Proteção de Dados como fator gerador de desequilíbrio econômico-financeiro. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados no Setor Público. Belo Horizonte: Fórum, 2021. P. 436.

58. DAL POZZO, Augusto Neves; FACCHINATTO, Renan Marcondes. A Lei Geral de Proteção de Dados e suas repercussões nos Contratos de Concessão. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 450.

59. DAL POZZO, Augusto Neves; FACCHINATTO, Renan Marcondes. A Lei Geral de Proteção de Dados e suas repercussões nos Contratos de Concessão. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (coords.). LGPD & Administração Pública: Uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020, pg. 453.

60. MENEGAT, Fernando. “Compliance de dados”: uma nova frente de governança para os programas de integridade no direito (administrativo) brasileiro. In: Compliance no Direito Administrativo. São Paulo: Revista dos Tribunais, 2020. P. 301.

61. CORRÊA, Ivo; DE PAULA, Felipe; BELLINTANI, Beatriz. Covid-19: A necessidade de disciplina adequada à proteção de dados sensíveis no Brasil. In: SARLET, Ingo Wolfgang (Dir.). Direitos Fundamentais & Justiça. Belo Horizonte: PUC RS, ano 14 – número especial, nov. 2020, pg. 189

62. MENEGAT, Fernando. “Compliance de dados”: uma nova frente de governança para os programas de integridade no direito (administrativo) brasileiro. In: Compliance no Direito Administrativo. São Paulo: Revista dos Tribunais, 2020. P. 301.

63. PINHEIRO, Patrícia Peck. As novas regras dos tempos digitais. In: PINHEIRO, Patrícia Peck (Coord.). Direito Digital Aplicado 3.0. São Paulo: Revista dos Tribunais, 2018. Pg. 228.