Todos os artigos
Leis e Regulamentação

LGPD para fornecedores do governo: o que muda no contrato e na proposta

Entenda como a LGPD afeta contratos administrativos e propostas públicas: papel do fornecedor como operador, cláusulas obrigatórias e compatibilidade com transparência pública.

A Lei nº 13.709/2018 (LGPD) estabelece regras para tratamento de dados pessoais por pessoas físicas ou jurídicas, inclusive pela Administração Pública. Quando uma empresa contrata com o governo, ela assume o papel de operadora de dados, devendo seguir as instruções do órgão controlador e garantir conformidade com a lei. O descumprimento pode gerar sanções contratuais, civis e administrativas.

Qual o papel do fornecedor do governo na LGPD?

Na relação com o poder público, o fornecedor é classificado como operador de dados pessoais, enquanto o órgão contratante é o controlador. O operador realiza o tratamento de dados em nome do controlador, estritamente de acordo com suas instruções. A Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, que detalha essas responsabilidades.

O fornecedor deve manter registro das operações de tratamento e adotar medidas de segurança adequadas. Em caso de incidente, a notificação ao controlador é obrigatória. Exemplo prático: uma empresa de software que gerencia o cadastro de servidores públicos deve:

  1. Mapear todos os dados pessoais tratados (nome, CPF, cargo, lotação);
  2. Verificar se cada dado é estritamente necessário à execução do contrato;
  3. Implementar criptografia, controle de acesso e backup;
  4. Registrar as operações realizadas (log de acesso, alterações);
  5. Treinar funcionários sobre uso indevido e procedimentos de notificação.

A violação pode acarretar multas de até 2% do faturamento, além de sanções como advertência e proibição de contratar com o poder público.

Como adequar propostas e documentos de habilitação à LGPD?

A Administração Pública deve solicitar apenas os dados pessoais estritamente necessários para a habilitação. O fornecedor, por sua vez, precisa evitar incluir informações excessivas nas propostas, como dados sensíveis de sócios ou funcionários sem necessidade. A Orientação Técnica nº 001/2025 da Prefeitura de Alegre (ES) recomenda que o tarjamento de documentos balanceie a transparência da Lei de Acesso à Informação (LAI) com a privacidade exigida pela LGPD.

Passo a passo para tarjar documentos de habilitação:

  1. Identifique no edital quais documentos são exigidos (contrato social, balanço, certidões).
  2. Antes de enviar, oculte dados pessoais não essenciais (CPF, RG, endereço residencial de sócios).
  3. Utilize tarja preta ou edição digital no PDF (não remova o conteúdo original, apenas oculte).
  4. Mantenha visível apenas o necessário à comprovação da condição (ex.: nome do sócio e sua qualificação).
  5. Verifique se a proposta comercial não contém dados pessoais de contato além do exigido.
DocumentoO que tarjarFundamento
Contrato socialDados pessoais de sócios (CPF, endereço) que não sejam essenciais à habilitaçãoArt. 6º, II, LGPD (necessidade)
Balanço patrimonialNomes e assinaturas de contadoresArt. 5º, XIV, CF (sigilo fiscal)
Certidões negativasNúmeros de documentos pessoais (RG, CPF)Art. 31, LAI (proteção de dados pessoais)

Na prática, o fornecedor deve entregar os documentos exigidos no edital sem acrescentar informações que não sejam solicitadas. Em caso de dúvida, consultar o órgão licitante antes de enviar a proposta evita desclassificações por desrespeito à privacidade.

Quais cláusulas de proteção de dados devem constar no contrato?

A Lei nº 14.133/2021 (Nova Lei de Licitações) exige que contratos administrativos contenham cláusulas específicas de proteção de dados. O art. 92, VIII, prevê a obrigatoriedade de observância da LGPD e a definição de responsabilidades entre as partes. O Parecer n.º 00009/2022/DECOR/CGU/AGU reforça que o contrato deve prever:

  • Confidencialidade: compromisso do fornecedor de não divulgar dados pessoais a terceiros.
  • Notificação de incidentes: prazo e canal para comunicar violações de dados ao controlador.
  • Medidas de segurança: uso de criptografia, controle de acesso e backup.
  • Ciclo de vida dos dados: definição de prazo para exclusão ou devolução dos dados após o fim do contrato.
  • Responsabilidade solidária: cláusula que estabelece corresponsabilidade em caso de dano a terceiros.

O fornecedor deve implementar um programa de integridade alinhado a essas exigências. Um exemplo concreto: uma empresa de limpeza contratada por um hospital deve ter política de descarte de prontuários e treinamento de funcionários sobre uso indevido de informações de pacientes. A falta dessas medidas pode levar à rescisão contratual e a multas.

Como conciliar transparência pública com proteção de dados?

Existe entendimento consolidado de que a LGPD e a transparência pública são compatíveis. O Tribunal de Contas da União (TCU) já se manifestou no sentido de que a proteção de dados não pode ser usada como justificativa para negar acesso a informações públicas, desde que o tratamento seja realizado de forma controlada. A CGU e a AGU validam que a conformidade com a LGPD deve ser avaliada em todo o ciclo de vida do contrato.

Na execução contratual, a fiscalização, conforme previsto no art. 117 da Lei 14.133/2021, deve verificar o cumprimento das cláusulas de proteção de dados. Por exemplo, se um fornecedor de tecnologia da informação coleta dados de cidadãos durante a prestação de serviço, deve comprovar que as bases foram anonimizadas ou eliminadas após o uso. O órgão público, como controlador, é corresponsável e deve auditar o cumprimento das cláusulas contratuais.

Perguntas frequentes

O fornecedor pode ser multado pela ANPD por descumprir a LGPD em contrato público?

Sim. A ANPD pode aplicar sanções administrativas diretamente ao operador, independentemente da relação contratual com o órgão público. As multas podem chegar a 2% do faturamento do fornecedor, limitadas a R$ 50 milhões por infração.

Quais dados pessoais o fornecedor pode tratar sem violar a LGPD?

Apenas os dados estritamente necessários para a execução do contrato. Dados sensíveis (saúde, biometria, crença religiosa) exigem consentimento específico ou base legal na LGPD. O fornecedor deve solicitar ao controlador a lista de dados autorizados antes de iniciar o tratamento.

A LGPD se aplica a contratos com microempresas?

Sim. A LGPD não faz distinção por porte. Microempresas e EPPs contratadas pelo governo também precisam cumprir as obrigações de operador, incluindo medidas de segurança e registro de operações.

Como denunciar violação de dados por fornecedor do governo?

A denúncia pode ser feita à ANPD por meio de seu canal de ouvidoria ou diretamente ao órgão público contratante, que deve investigar o incidente e adotar medidas corretivas.

O que fazer se o contrato não tiver cláusulas de proteção de dados?

O fornecedor deve notificar o órgão contratante para incluir as cláusulas por aditivo. Caso contrário, pode se recusar a tratar dados pessoais sem essas garantias, sob risco de responsabilização solidária.