A Lei Geral de Proteção de Dados Pessoais (LGPD) tem provocado uma verdadeira revolução na forma como empresas e órgãos públicos lidam com informações sensíveis. No contexto das licitações públicas, sua aplicação vai muito além do simples cuidado com dados: ela impõe obrigações legais, ajustes contratuais e novas práticas de compliance.

Da fase preparatória ao cumprimento do contrato, é essencial proteger as informações pessoais. O descumprimento pode gerar penalidades severas. No entanto, quando bem implementada nas licitações, a LGPD transforma-se em um diferencial competitivo, evidenciando a maturidade organizacional da empresa, seu compromisso com a ética e o respeito aos direitos dos cidadãos.

A LGPD e seus fundamentos

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) regula o tratamento de dados pessoais no Brasil, tanto no setor privado quanto no público. Seus princípios básicos incluem:

• Finalidade: tratamento deve ter objetivo legítimo
• Adequação: compatibilidade com a finalidade informada
• Necessidade: uso mínimo necessário de dados
• Segurança: proteção contra acessos não autorizados
• Transparência: clareza ao titular sobre o uso dos dados

Na esfera pública, esses princípios são ainda mais relevantes, já que envolvem dados pessoais de milhares de cidadãos.

O impacto da LGPD na administração pública

Na maioria dos casos, os órgãos públicos são controladores de dados. Isso significa que eles definem “por que” e “como” os dados serão usados. Empresas contratadas tornam-se operadoras de dados e devem seguir as mesmas regras, assumindo compromissos técnicos e jurídicos.

Participar de licitações públicas hoje exige comprovar maturidade organizacional na proteção de dados.

Influências da LGPD nas licitações

Imagine uma empresa que participa de uma licitação para prestar serviço de tecnologia a uma prefeitura. Ela terá acesso a sistemas com dados pessoais de milhares de cidadãos. Esses dados ficam vulneráveis a vazamentos e ao uso indevido. Com a LGPD, o cenário muda: essa empresa agora precisa provar que adota políticas de proteção de dados.

Portanto, a LGPD impacta diretamente:

• O conteúdo dos editais
• As condições de habilitação
• A execução contratual
• A fiscalização pelo órgão contratante

Cláusulas obrigatórias da LGPD nos contratos públicos

Para evitar riscos, alguns elementos devem estar obrigatoriamente presentes nos contratos:

• Confidencialidade: obrigação de sigilo sobre os dados acessados
• Segurança da informação: medidas técnicas mínimas exigidas
• Responsabilidade: definição clara de quem responde por incidentes
• Notificação: prazos e formas de comunicação de vazamentos

Essas cláusulas devem ser objetivas, personalizadas e de fácil compreensão.

Além das cláusulas obrigatórias, os editais de licitação podem (e devem) conter dispositivos recomendados que aumentem a segurança jurídica e evitem futuras controvérsias. Algumas sugestões incluem:

• Declaração de conformidade com a LGPD: exigida na fase de habilitação
• Plano de gestão de dados: demonstrando como a empresa gerenciará os dados tratados
• Exigência de Encarregado de dados (DPO) nomeado: especialmente em contratos com tratamentos de alto risco
• Apresentação de política de privacidade corporativa
• Certificações de segurança da informação (ex: ISO/IEC 27001)

Essas exigências ajudam a selecionar fornecedores mais preparados e comprometidos com a legislação vigente.

Riscos jurídicos para empresas contratadas

Negligenciar a adequação à LGPD pode custar caro, literalmente. Empresas que tratam dados indevidamente durante a execução de contratos públicos estão sujeitas à atuação e sanções por parte da ANPD, além de:

• Suspensão da participação em licitações
• Indenizações por danos morais e materiais
• Prejuízos à imagem institucional

Além disso, o risco de responsabilidade solidária é concreto, sobretudo quando a contratada ocasiona incidentes de segurança que atinjam cidadãos ou servidores públicos, situação que pode inclusive culminar em processos judiciais.

Responsabilidade solidária e subsidiária

De acordo com a LGPD, controladores e operadores de dados podem ser solidariamente responsáveis por danos causados no tratamento de informações pessoais. Em outras palavras, se um incidente ocorrer por falha da empresa contratada, a Administração também poderá ser responsabilizada, e vice-versa.

Por isso, é fundamental que os contratos estabeleçam com clareza:

• As obrigações de cada parte
• As responsabilidades em caso de falha
• Os procedimentos de resposta a incidentes

Esse cuidado evita surpresas e reduz litígios.

Ciclos de vida dos dados nos contratos públicos

A gestão de dados em contratos públicos deve seguir etapas claras:

1. Coleta (ex: dados de usuários em sistemas).
2. Armazenamento seguro.
3. Uso autorizado e compatível com a finalidade.
4. Compartilhamento controlado.
5. Descarte seguro ao fim do contrato.

Cada etapa exige controles específicos e deve ser documentada pela empresa contratada. Assim, garante-se a rastreabilidade e a conformidade legal em auditorias.

Fases das licitações impactadas pela LGPD

A LGPD influencia todas as etapas da licitação:

• Planejamento: definição do escopo e cláusulas que envolvam tratamento de dados pessoais
• Edital: regras claras sobre exigências de proteção de dados pessoais
• Propostas: avaliação da maturidade da empresa licitante quanto à LGPD
• Contratação: verificação documental e obrigações contratuais específicas
• Execução: controle, monitoramento e auditoria do uso de dados
• Encerramento: descarte e eliminação dos dados pessoais tratados

Esse impacto é transversal e exige uma abordagem integrada entre Encarregado pelo tratamento de dados pessoais, jurídico, TI e compliance.

Papéis do encarregado pelo tratamento de dados pessoais (DPO)

O Encarregado de dados (DPO) é peça-chave em contratos públicos. Ele atua como canal de comunicação entre empresa, Administração e ANPD.

Embora não seja obrigatório para todas as empresas, órgãos públicos podem exigir sua indicação nos editais, contratos e documentos de habilitação.

Atenção: embora a LGPD não obrigue todas as empresas a nomearem um encarregado, órgãos públicos costumam exigir essa figura nos contratos.

Recomenda-se que a indicação conste:

• No edital de licitação
• No contrato administrativo
• Nos documentos de habilitação

Isso confere transparência e facilita a governança dos dados.

Compartilhamentos de dados e subcontratações (terceiros)

Se a contratada usar fornecedores de software ou subcontratados, deve garantir que também cumpram a LGPD. Isso exige:

• cláusulas específicas em contratos de subcontratação,
• auditorias periódicas,
• relatórios de segurança,
• acordos de confidencialidade.

A cadeia de tratamento deve estar blindada, pois qualquer elo frágil pode gerar responsabilização conjunta.

Aplicações em contratações diretas e emergenciais

Muitas empresas acreditam que a LGPD só se aplica a licitações tradicionais, mas isso é um engano. Contratos diretos, por dispensa ou inexigibilidade, também estão sujeitos à conformidade com a LGPD.

Mesmo em casos de dispensa ou inexigibilidade, como em compras emergenciais, a LGPD se aplica. É necessário avaliar riscos, exigir compromissos formais e incluir cláusulas de privacidade.

• Avaliar o risco de exposição de dados pessoais
• Exigir compromissos formais do contratado
• Inserir cláusulas específicas sobre privacidade

A conformidade com a LGPD é universal e independe da modalidade da contratação.

Boas práticas de conformidade e governança

A aplicação da LGPD não termina na assinatura do contrato. É durante a execução contratual que a conformidade deve ser colocada em prática. Algumas boas práticas essenciais incluem:

• Monitoramento contínuo do tratamento de dados, com relatórios periódicos de conformidade
• Auditorias internas e externas, preferencialmente por terceiros especializados
• Atualização de contratos e políticas à medida que as exigências legais evoluem
• Gerenciamento de incidentes, com canais específicos e fluxos de resposta bem definidos
• Revisão dos contratos em caso de alteração da finalidade do uso de dados

Essas práticas demonstram proatividade e comprometimento com a segurança da informação e ajudam a evitar sanções legais.

Fiscalizações da LGPD nos contratos públicos

A conformidade não é apenas voluntária, é fiscalizada ativamente por diversos órgãos, como:

• CGU (Controladoria-Geral da União)
• TCU (Tribunal de Contas da União)
• Ministérios Públicos
• Tribunais de Contas Estaduais e Municipais
• ANPD (Autoridade Nacional de Proteção de Dados)

Esses órgãos podem instaurar auditorias, fiscalizações e penalidades, inclusive com base em denúncias de cidadãos ou concorrentes.

Empresas que atuam com responsabilidade e documentação adequada não apenas evitam problemas, como ganham prestígio no setor público.

Perspectivas futuras

A LGPD ainda está em processo de consolidação, mas algumas tendências importantes já se delineiam:

• Editais com requisitos mais rigorosos em proteção de dados
• Certificações obrigatórias para contratos de TI
• Parcerias entre ANPD e tribunais de contas
• Maior integração entre LGPD, LAI (Lei de Acesso à Informação) e Nova Lei de Licitações
• Uso de IA (Inteligência Artificial) na fiscalização de contratos

Empresas que se atualizam continuamente sairão na frente.

LGPD nas licitações públicas: diferenciais competitivos

A LGPD nas licitações públicas vai muito além de um requisito legal: representa uma oportunidade estratégica de demonstrar responsabilidade, ética e compromisso com os cidadãos. Empresas que se antecipam, implementam políticas sólidas e capacitam suas equipes não apenas reduzem riscos de penalidades, mas também ampliam sua competitividade no mercado público.

A aplicação da LGPD nas licitações já é uma realidade que exige preparo, atenção e responsabilidade. As organizações que desejam contratar com a Administração Pública precisam compreender que tratar dados pessoais é tratar pessoas, o que demanda zelo, ética e conformidade.

Ao adotar cláusulas robustas, atualizar políticas internas, investir em treinamentos e incorporar tecnologia, as empresas não apenas asseguram conformidade, mas também se posicionam como referência em boas práticas no setor público.

A proteção de dados pessoais é um valor essencial — e, em licitações públicas, quem protege, conquista.

Perguntas frequentes

Empresas pequenas também precisam cumprir a LGPD em licitações?
Sim. Não há exceção legal para micro e pequenas empresas. Todas devem se adequar, mesmo que proporcionalmente ao risco do tratamento de dados.

A Administração pode exigir nomeação de encarregado (DPO) no edital?
Pode sim. Embora a LGPD não obrigue todas as empresas a nomearem um encarregado, a Administração tem autonomia para exigir isso em seus editais como critério de habilitação técnica.

É necessário apresentar política de privacidade junto à proposta?
Não obrigatoriamente, mas é altamente recomendado. Isso demonstra maturidade da empresa e pode facilitar a aprovação em licitações com requisitos técnicos mais rígidos.

A ausência de cláusulas LGPD em um contrato o torna nulo?
Não, mas pode gerar insegurança jurídica e responsabilizações futuras. Recomenda-se sempre revisar os contratos sob a ótica da LGPD.

A ANPD fiscaliza contratos públicos?
Sim. A ANPD pode agir de forma direta ou em conjunto com órgãos de controle como o TCU e a CGU, especialmente em casos de vazamentos de dados ou denúncias.

Como comprovar a conformidade com a LGPD durante a licitação?
Por meio de documentos como políticas de privacidade, certificados de segurança, indicação de encarregado de dados, plano de tratamento de dados pessoais, entre outras evidências formais de conformidade.

Se ocorrer um incidente de segurança, quem é responsabilizado?
A LGPD prevê responsabilidade solidária entre controlador e operador. Isso significa que tanto a Administração quanto a empresa contratada podem ser responsabilizadas por falhas no tratamento de dados.

A LGPD se aplica também a contratos emergenciais ou por dispensa de licitação?
Sim. Mesmo em contratações diretas ou emergenciais, é necessário avaliar riscos, exigir compromissos formais e inserir cláusulas específicas de proteção de dados.

Para saber mais sobre licitações públicas com base na nova Lei 14.133/21 acesse:
> nossos artigos clicando aqui;
> a LEI Nº 14.133, DE 1º DE ABRIL DE 2021, Lei de Licitações e Contratos Administrativos.

Ao clicar no link da Lei do site gov.br abrirá uma nova janela em seu navegador.