Por Giovanni Carlo
Desde a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD), lei federal n° 13.709/2018, muitas pessoas interessadas em trabalhar na área de privacidade e proteção de dados procuraram fazer cursos e tirar certificação de instituições internacionais que já tem expertise no assunto.
Instituições como a Inernational Assossiation of Privacy Professionals (IAPP) e a Examination Institute for Information Science (EXIN) são conhecidas por certificar profissionais em proteção de dados e como Data Protection Officers (DPO), que na LGPD receberam o nome de Encarregados. Essas certificações ocorrem através de exames de conhecimento da pessoa sobre a área desejada e são pagos em Dólares dos Estados Unidos. Tais certificações são bem aceitas no mercado privado, já que demonstram que aquele profissional teve todo um percurso de estudo para ser aprovado no teste, e, por isso, conclui-se que ele tenha bom repertório de conhecimento técnico.
Os exames são elaborados a partir de documentos e boas práticas internacionalmente conhecidas, e, nesse sentido, são exigidos dos candidatos a empregos em diversas organizações de importância global. As orientações de estudo para a certificação de um DPO são baseadas principalmente no General Data Protection Regulation (GDPR), o Regulamento n° 679/2016 da União Europeia, que é a norma que rege a proteção de dados e a privacidade daquele bloco. A certificação do EXIN, por exemplo, para DPO, não exige conhecimentos na LGPD.
A Agência Nacional de Proteção de Dados (ANPD), entidade reguladora do tema de proteção de dados no Brasil, ainda não publicou as normas complementares sobre a função do Encarregado de dados, conforme descreve o art. 41, §3° da LGPD, dessa forma ainda fica nebuloso como o tema será tratado por este órgão e quais os requisitos que ele pode, eventualmente, impor a quem for exercer essa função de DPO, principalmente no quesito do direcionamento dos estudos técnicos. Nessa ótica, é possível cogitar a possibilidade que o investimento em Dólar, em certificações internacionais, pode não ser suficiente quando a norma regulamentadora for publicada.
Não quero deixar aqui a impressão de que tais certificações são inúteis. Muito pelo contrário, acumular conhecimento das boas práticas internacionais é sempre bem-vindo, já que enriquece o arcabouço técnico dos profissionais. Contudo, a exigência de certificações internacionais em procedimento licitatório, como requisito técnico mínimo para a habilitação de um profissional na adequação das entidades públicas à LGPD, seria lícito ou ilícito?
Os tribunais de contas ainda não se pronunciaram no tema, já que é algo bem novo e não foram suscitadas discussões no caso concreto. A questão da exigência da certificação para os profissionais licitantes, se feita de forma abusiva, pode caracterizar uma perda de competitividade entre os interessados ou, eventualmente, direcionamento da licitação.
A licitação é um procedimento pré-contratual de escolha da proposta mais vantajosa de contratação pela Administração Pública. Ela tem como princípio a isonomia, ou seja, a igualdade de condições e julgamento para os participantes, possibilitando uma competitividade mais justa. Contudo, quando a Administração Pública cria muitos requisitos para os interessados na contratação, pode ficar estabelecido direcionamento licitatório.
O direcionamento da licitação é um ato de improbidade administrativa e fica caracterizado quando os agentes públicos responsáveis pela licitação criam um edital com muitos requisitos técnicos desnecessários, fazendo com que apenas um licitante cumpra com todos os requisitos e tenha a capacidade de concorrer. A Constituição da República, em seu art. 37, XXI, determina que o processo de licitação pública “somente permitirá as exigências de qualificação técnica e econômica indispensáveis à garantia do cumprimento das obrigações”. Nesse diapasão, a lei n°8.666/93 em seu art. 3°, §1°,I veda a prática do direcionamento de licitação, sendo proibido aos agentes públicos “admitir, prever, incluir ou tolerar, nos atos de convocação, cláusulas ou condições que comprometam, restrinjam ou frustrem o seu caráter competitivo, inclusive nos casos de sociedades cooperativas, e estabeleçam preferências ou distinções em razão da naturalidade, da sede ou domicílio dos licitantes ou de qualquer outra circunstância impertinente ou irrelevante para o específico objeto do contrato”. Dessa forma, se forem feitas exigências excessivas, o procedimento licitatório pode ser ilegal.
Nesse sentido, o tema de certificações de entidades privadas já foi objeto de discussão nas cortes de contas, sendo as certificações ISO exigidas em edital consideradas ilegais. O Tribunal de Contas da União (TCU) se pronunciou no Acórdão n°1.085/2011 nos seguintes termos:
“15. O entendimento desta Corte de Contas no sentido de que é inadmissível que a certificação ISO e outras semelhantes sejam empregadas como exigência para habilitação ou como critério de desclassificação de propostas, podendo ser usado apenas como critério de pontuação, foi manifestado em diversas decisões, tais como: Decisão nº 20/1998-Plenário, Acórdão 584/2004-TCU-Plenário, Decisão nº 152/2000-Plenário, Decisão nº 1.526/2002-Plenário, Decisão nº 351/2002-Plenário, Acórdão 479/2004-TCU-Plenário, Acórdão 1094/2004-TCU-Plenário, Acórdão 865/2005-TCU-Plenário, Acórdão 2614/2008-TCU-Segunda Câmara, entre outros; 16. Analisando o contexto em que as mencionadas decisões foram proferidas, observa-se que, de fato, tratavam de processos licitatórios para a contratação de bens ou serviços na área de Tecnologia da Informação (TI). Tais deliberações, por tratarem de situações semelhantes, utilizaram como referencial o raciocínio desenvolvido na referida Decisão nº 20/1998-Plenário, em que o TCU, ao entender que a exigência da certificação ISO para habilitação em processo licitatório era inadmissível, por restringir o caráter competitivo do certame. Fundamentou-se, basicamente, no fato de existir uma pequena quantidade de empresas brasileiras certificadas, o que implicaria restrição ao caráter competitivo do certame. Naquela ocasião, o MP/TCU acrescentou que estava sendo dada importância exagerada ao certificado, uma vez que a certificação da série ISO 9000 pressupõe a avaliação dos processos de fabricação e da organização do controle da qualidade e dos tipos e instalações de inspeção e ensaios em relação a determinada tecnologia de produção, não se confundindo, contudo, com a certificação do produto.”
Diante do exposto, e considerando a falta de regulamentação sobre as funções do Encarregado de Dados pela ANPD, e o entendimento do TCU sobre certificações, considero que não deva haver, até o momento, a exigência de certificação de entidades internacionais para os participantes de certames licitatórios para a adequação de entidades públicas à LGPD. Portanto, caso algum edital exija a certificação internacional dos profissionais técnicos participantes, tal exigência pode ficar caracterizada como licitação direcionada, ilícita e passível de ser anulada.
Giovanni Carlo Batista Ferrari é Advogado especialista em Direito Digital e Sócio da EZprivacy. Aluno do DTIBR.