Parecer n° 065/2020

Parecer SCL nº 065/2020

Assunto: Consulta sobre os impactos da Lei Geral de Proteção de Dados (LGPD) sobre os contratos administrativos da CMSP.

 

 

Sr. Procurador Legislativo Supervisor,

 

 

Trata-se de consulta formulada sobre os impactos da Lei Geral de Proteção de Dados (LGPD) sobre os contratos administrativos que tramitam perante esta CMSP.

 

Muito embora a vigência da LGPD, que estava programada para agosto de 2020, encontrar-se adiada (MP 959/2020 postergou a data de vigência para 03/05/2021), considero salutar a análise, ainda que preliminar, de seus impactos sobre os nossos contratos administrativos (presentes e futuros).

 

Desta feita, venho apresentar minhas considerações, incluindo-se nelas as observações apontadas pela equipe do Setor de Contratos e Licitações realizadas em ambiente virtual (Grupo de WhatsApp), tendo em vista a determinação desta Casa para a realização das atividades mediante teletrabalho.

 

Muitos foram os questionamentos acerca de tais impactos da novel legislação no dia a dia das licitações e contratos administrativos que tramitam perante esta CMSP.

 

Para tanto, foi proposto, dada a complexidade dos casos, que se faz necessária a implementação de mapeamento por equipe multidisciplinar com relação aos tipos de dados (pessoais ou pessoais sensíveis) presentes nos contratos administrativos (atuais e futuros).

 

Após, seria conveniente que o Setor de Contratos e Licitações se encarregasse de definir alterações nas cláusulas dos contratos e editais de forma a assegurar os direitos dos contratados e da própria contratante no tocante à proteção dos dados.

 

Como sugestões de alterações, a princípio, foram propostas uma cláusula geral a ser inserida nos editais e contratos administrativos prevendo a aplicação dos normativos da LGPD, de forma que a Administração conceda ciência prévia de eventual manipulação de dados pessoais das empresas, com a seguinte redação:

 

“Cláusula X – Das obrigações das partes

XX1- Com exceção do que dispõe o art. 4º da Lei Federal nº 13709/18, que trata da proteção dos dados pessoais, a CONTRANTE se obriga a dar ciência prévia à CONTRATADA quando fizer uso dos dados privados, sempre zelando pelos princípios da minimização da coleta, necessidade de exposição específica da finalidade, sem prejuízo da mera correção dos dados.”

 

Tendo em visa a peculiaridade de alguns contratos da Casa como plano de saúde e laboratórios, os quais são passíveis de conter dados pessoais e dados pessoais sensíveis dos servidores, foi definido que a cláusula geral então proposta deverá ser especificada com a imposição de penalidade em caso de descumprimento.

 

Neste sentido, há de se considerar que LGPD veda a possibilidade de tratamento dos dados pessoais sensíveis por parte das operadoras de planos de saúde e congêneres a Lei quando a finalidade for meramente econômica. Porém, admite exceções quando se tratar de portabilidade de dados solicitada pelo titular ou transações financeiras ou administrativas (vide art. 11, § 4º).

 

Dessa forma, sugerimos a inclusão de uma cláusula de proteção de dados pessoais sensíveis e de penalidade referentes à pessoa natural titular desses dados (nestes casos NÃO permitiremos o acesso do contratante aos dados sensíveis do titular), nos seguintes termos:

 

“Cláusula X – Das obrigações das partes

XX1 – Fica vedado o tratamento de dados pessoais sensíveis por parte da CONTRANTE com objetivo de obter vantagem econômica de qualquer espécie, com exceção daquelas hipóteses previstas no parágrafo 4º do art. 11 da Lei Federal nº 13709/18;”

 

“Cláusula XX – Das penalidades

XX2 – Multa de 20% (vinte por cento) sobre o valor total do CONTRATO, na hipótese de tratamento de dados pessoais sensíveis com o objetivo de obter vantagem econômica, ou outra irregularidade havida no cumprimento do CONTRATO, por culpa da CONTRATADA.

 

Ademais, tratando-se de outros objetos, caso seja admitida o tratamento dos dados pessoais pela contratada haverá a necessidade de assinatura de termo de compromisso, com anuência expressa por parte da pessoa natural titular dos dados.

 

Neste contexto, sugerimos a inserção de uma cláusula de proteção de dados pessoais e de penalidade referentes à pessoa natural titular desses dados (nestes casos permitirem o acesso do contratante aos dados pessoais do titular), nestes termos:

 

“Cláusula X – Das obrigações das partes

XX1 – A CONTRATANTE se compromete a zelar pelo tratamento dos dados pessoais dos titulares pessoas naturais vinculados à CONTRATANTE, sem prejuízo de qualquer responsabilidade, admitindo-se o tratamento nas hipóteses de consentimento específico e destacado por termo de compromisso e ou nas hipóteses previstas nos inciso II a X do art. 7º da Lei Federal nº 13709/18;”

 

“Cláusula XX – Das penalidades

XX2 – Multa de 10% (dez por cento) sobre o valor total do CONTRATO, na hipótese de descumprimento da obrigação de zelo no tratamento dos dados pessoais da pessoa natural vinculada à CONTRATANTE, ou em caso de tratamento de dados sem o consentimento específico e destacado por termo de compromisso, ou outra irregularidade havida no cumprimento do CONTRATO, por culpa da CONTRATADA.

 

Como sugestão de termo de compromisso, foi proposta a seguinte minuta do termo, cujo modelo decorre de uma compilação de outros oriundos de diversos sites da internet, sem prejuízo de eventual adequação que se fizer necessária ao atendimento dos padrões da CMSP:

 

TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS

Este documento visa registrar a manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para finalidade específica, em conformidade com a Lei nº 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD). TITULAR Pessoa a quem se referem os dados pessoais que são objeto de tratamento. Nome: RG: CPF: Ao assinar o presente termo, o Titular consente e concorda que a empresa (clique aqui e insira a razão social ou nome da empresa), CNPJ nº (clique aqui e insira o CNPJ), com sede na (clique aqui e insira o endereço completo com cidade e estado), telefone (clique aqui e insira o telefone), e-mail (clique aqui e insira o e-mail de contato da empresa), doravante denominada Controlador, tome decisões referentes ao tratamento de seus dados pessoais, bem como realize o tratamento de seus dados pessoais, envolvendo operações como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos Dados Pessoais.

O Controlador fica autorizado a tomar decisões referentes ao tratamento e a realizar o tratamento dos seguintes dados pessoais do Titular:

  • Nome completo.
  • Data de nascimento.
  • Número e imagem da Carteira de Identidade (RG).
  • Número e imagem do Cadastro de Pessoas Físicas (CPF).
  • Número e imagem da Carteira Nacional de Habilitação (CNH).
  • Fotografia 3×4.
  • Estado civil.
  • Nível de instrução ou escolaridade.
  • Endereço completo.
  • Números de telefone, WhatsApp e endereços de e-mail.
  • Banco, agência e número de contas bancárias. · Bandeira, número, validade e código de cartões de crédito.
  • Nome de usuário e senha específicos para uso dos serviços do Controlador.
  • Comunicação, verbal e escrita, mantida entre o Titular e o Controlador.

Finalidades do Tratamento dos Dados O tratamento dos dados pessoais listados neste termo tem as seguintes finalidades:

  • Possibilitar que o Controlador identifique e entre em contato com o Titular para fins de relacionamento comercial.
  • Possibilitar que o Controlador elabore contratos comerciais e emita cobranças contra o Titular.
  • Possibilitar que o Controlador envie ou forneça ao Titular seus produtos e serviços, de forma remunerada ou gratuita.
  • Possibilitar que o Controlador estruture, teste, promova e faça propaganda de produtos e serviços, personalizados ou não ao perfil do Titular.

Compartilhamento de Dados

O Controlador fica autorizado a compartilhar os dados pessoais do Titular com outros agentes de tratamento de dados, caso seja necessário para as finalidades listadas neste termo, observados os princípios e as garantias estabelecidas pela Lei nº 13.709.

Segurança dos Dados

O Controlador responsabiliza-se pela manutenção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Em conformidade ao art. 48 da Lei nº 13.709, o Controlador comunicará ao Titular e à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao Titular.

Término do Tratamento dos Dados

O Controlador poderá manter e tratar os dados pessoais do Titular durante todo o período em que os mesmos forem pertinentes ao alcance das finalidades listadas neste termo. Dados pessoais anonimizados, sem possibilidade de associação ao indivíduo, poderão ser mantidos por período indefinido. O Titular poderá solicitar via e-mail ou correspondência ao Controlador, a qualquer momento, que sejam eliminados os dados pessoais não anonimizados do Titular. O Titular fica ciente de que poderá ser inviável ao Controlador continuar o fornecimento de produtos ou serviços ao Titular a partir da eliminação dos dados pessoais.

Direitos do Titular

O Titular tem direito a obter do Controlador, em relação aos dados por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei nº 13.709;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º da Lei nº 13.709. Direito de Revogação do Consentimento

Este consentimento poderá ser revogado pelo Titular, a qualquer momento, mediante solicitação via e-mail ou correspondência ao Controlador.

Local e Data: ______________________, _____ de _______________ de ________

Assinatura do Titular

 

Demais disso, considero que esta sejam as considerações preliminares quanto a aplicação da LGPD sobre os contratos administrativos que tramitam perante esta CMSP, sem prejuízo de novos estudos quando a lei entrar em vigor ou na sua iminência.

 

É o parecer que submeto à criteriosa apreciação de V. Sa.

 

São Paulo, 30 de abril de 2020.

 

 

DANIELLE PIACENTINI STIVANIN

Procuradora Legislativa

OAB/SP n° 289.456