LGPD para fornecedores do governo: o que muda no contrato e na proposta
Entenda como a LGPD afeta contratos administrativos e propostas públicas: papel do fornecedor como operador, cláusulas obrigatórias e compatibilidade com transparência pública.
A Lei nº 13.709/2018 (LGPD) estabelece regras para tratamento de dados pessoais por pessoas físicas ou jurídicas, inclusive pela Administração Pública. Quando uma empresa contrata com o governo, ela assume o papel de operadora de dados, devendo seguir as instruções do órgão controlador e garantir conformidade com a lei. O descumprimento pode gerar sanções contratuais, civis e administrativas.
Qual o papel do fornecedor do governo na LGPD?
Na relação com o poder público, o fornecedor é classificado como operador de dados pessoais, enquanto o órgão contratante é o controlador. O operador realiza o tratamento de dados em nome do controlador, estritamente de acordo com suas instruções. A Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, que detalha essas responsabilidades.
O fornecedor deve manter registro das operações de tratamento e adotar medidas de segurança adequadas. Em caso de incidente, a notificação ao controlador é obrigatória. Exemplo prático: uma empresa de software que gerencia o cadastro de servidores públicos deve:
- Mapear todos os dados pessoais tratados (nome, CPF, cargo, lotação);
- Verificar se cada dado é estritamente necessário à execução do contrato;
- Implementar criptografia, controle de acesso e backup;
- Registrar as operações realizadas (log de acesso, alterações);
- Treinar funcionários sobre uso indevido e procedimentos de notificação.
A violação pode acarretar multas de até 2% do faturamento, além de sanções como advertência e proibição de contratar com o poder público.
Como adequar propostas e documentos de habilitação à LGPD?
A Administração Pública deve solicitar apenas os dados pessoais estritamente necessários para a habilitação. O fornecedor, por sua vez, precisa evitar incluir informações excessivas nas propostas, como dados sensíveis de sócios ou funcionários sem necessidade. A Orientação Técnica nº 001/2025 da Prefeitura de Alegre (ES) recomenda que o tarjamento de documentos balanceie a transparência da Lei de Acesso à Informação (LAI) com a privacidade exigida pela LGPD.
Passo a passo para tarjar documentos de habilitação:
- Identifique no edital quais documentos são exigidos (contrato social, balanço, certidões).
- Antes de enviar, oculte dados pessoais não essenciais (CPF, RG, endereço residencial de sócios).
- Utilize tarja preta ou edição digital no PDF (não remova o conteúdo original, apenas oculte).
- Mantenha visível apenas o necessário à comprovação da condição (ex.: nome do sócio e sua qualificação).
- Verifique se a proposta comercial não contém dados pessoais de contato além do exigido.
| Documento | O que tarjar | Fundamento |
|---|---|---|
| Contrato social | Dados pessoais de sócios (CPF, endereço) que não sejam essenciais à habilitação | Art. 6º, II, LGPD (necessidade) |
| Balanço patrimonial | Nomes e assinaturas de contadores | Art. 5º, XIV, CF (sigilo fiscal) |
| Certidões negativas | Números de documentos pessoais (RG, CPF) | Art. 31, LAI (proteção de dados pessoais) |
Na prática, o fornecedor deve entregar os documentos exigidos no edital sem acrescentar informações que não sejam solicitadas. Em caso de dúvida, consultar o órgão licitante antes de enviar a proposta evita desclassificações por desrespeito à privacidade.
Quais cláusulas de proteção de dados devem constar no contrato?
A Lei nº 14.133/2021 (Nova Lei de Licitações) exige que contratos administrativos contenham cláusulas específicas de proteção de dados. O art. 92, VIII, prevê a obrigatoriedade de observância da LGPD e a definição de responsabilidades entre as partes. O Parecer n.º 00009/2022/DECOR/CGU/AGU reforça que o contrato deve prever:
- Confidencialidade: compromisso do fornecedor de não divulgar dados pessoais a terceiros.
- Notificação de incidentes: prazo e canal para comunicar violações de dados ao controlador.
- Medidas de segurança: uso de criptografia, controle de acesso e backup.
- Ciclo de vida dos dados: definição de prazo para exclusão ou devolução dos dados após o fim do contrato.
- Responsabilidade solidária: cláusula que estabelece corresponsabilidade em caso de dano a terceiros.
O fornecedor deve implementar um programa de integridade alinhado a essas exigências. Um exemplo concreto: uma empresa de limpeza contratada por um hospital deve ter política de descarte de prontuários e treinamento de funcionários sobre uso indevido de informações de pacientes. A falta dessas medidas pode levar à rescisão contratual e a multas.
Como conciliar transparência pública com proteção de dados?
Existe entendimento consolidado de que a LGPD e a transparência pública são compatíveis. O Tribunal de Contas da União (TCU) já se manifestou no sentido de que a proteção de dados não pode ser usada como justificativa para negar acesso a informações públicas, desde que o tratamento seja realizado de forma controlada. A CGU e a AGU validam que a conformidade com a LGPD deve ser avaliada em todo o ciclo de vida do contrato.
Na execução contratual, a fiscalização, conforme previsto no art. 117 da Lei 14.133/2021, deve verificar o cumprimento das cláusulas de proteção de dados. Por exemplo, se um fornecedor de tecnologia da informação coleta dados de cidadãos durante a prestação de serviço, deve comprovar que as bases foram anonimizadas ou eliminadas após o uso. O órgão público, como controlador, é corresponsável e deve auditar o cumprimento das cláusulas contratuais.
Perguntas frequentes
O fornecedor pode ser multado pela ANPD por descumprir a LGPD em contrato público?
Sim. A ANPD pode aplicar sanções administrativas diretamente ao operador, independentemente da relação contratual com o órgão público. As multas podem chegar a 2% do faturamento do fornecedor, limitadas a R$ 50 milhões por infração.
Quais dados pessoais o fornecedor pode tratar sem violar a LGPD?
Apenas os dados estritamente necessários para a execução do contrato. Dados sensíveis (saúde, biometria, crença religiosa) exigem consentimento específico ou base legal na LGPD. O fornecedor deve solicitar ao controlador a lista de dados autorizados antes de iniciar o tratamento.
A LGPD se aplica a contratos com microempresas?
Sim. A LGPD não faz distinção por porte. Microempresas e EPPs contratadas pelo governo também precisam cumprir as obrigações de operador, incluindo medidas de segurança e registro de operações.
Como denunciar violação de dados por fornecedor do governo?
A denúncia pode ser feita à ANPD por meio de seu canal de ouvidoria ou diretamente ao órgão público contratante, que deve investigar o incidente e adotar medidas corretivas.
O que fazer se o contrato não tiver cláusulas de proteção de dados?
O fornecedor deve notificar o órgão contratante para incluir as cláusulas por aditivo. Caso contrário, pode se recusar a tratar dados pessoais sem essas garantias, sob risco de responsabilização solidária.