Cláusulas LGPD em Licitações: Modelos Prontos para a Lei 14.133/2021

Um edital de licitação publicado em 2025 para contratação de sistema de gestão de saúde municipal incluía uma única linha sobre proteção de dados: "A contratada deverá cumprir a LGPD." Nada mais. Nenhuma definição de papéis, nenhuma obrigação de notificação de incidentes, nenhuma restrição ao uso dos dados dos cidadãos, nenhum direito de auditoria.

Quando um incidente de segurança expôs dados de pacientes meses depois, o município não tinha base contratual para responsabilizar o fornecedor, exigir correções ou aplicar penalidades proporcionais. O contrato simplesmente não previa nada disso.

Este cenário se repete diariamente em licitações públicas brasileiras. A Lei 14.133/2021 (Nova Lei de Licitações e Contratos Administrativos) trouxe exigências mais robustas para a formalização de contratos — mas não detalhou cláusulas específicas de proteção de dados. O resultado é que cabe ao gestor público integrar as exigências da LGPD (Lei 13.709/2018) ao arcabouço da nova lei de licitações.

Este artigo apresenta cinco modelos de cláusulas LGPD prontos para serem incorporados em editais e contratos públicos, com fundamentação legal e orientações práticas para implementação.

---

Por que a Lei 14.133/2021 exige cláusulas de proteção de dados?

A Nova Lei de Licitações e Contratos Administrativos (Lei 14.133/2021) não menciona expressamente a sigla "LGPD" em seu texto. Mas estabelece, no Art. 92, um rol de cláusulas necessárias em todo contrato firmado pela administração pública — e diversas dessas exigências criam a obrigação indireta de tratar proteção de dados.

O Art. 92, inciso II, por exemplo, exige que o contrato defina o "regime de execução ou a forma de fornecimento" — o que, em contratos de TI e serviços que envolvem dados pessoais, inclui necessariamente as condições de tratamento desses dados. O inciso IV determina a inclusão de cláusulas sobre "os direitos e as responsabilidades das partes" — o que abrange as responsabilidades como controlador e operador de dados. O inciso X prevê "condições de importação, a data e a taxa de câmbio para conversão, quando for o caso" — e em contratos com plataformas internacionais, essa cláusula dialoga diretamente com as regras de transferência internacional de dados da LGPD.

Além da Lei 14.133/2021, o arcabouço regulatório que fundamenta cláusulas de proteção de dados em licitações inclui:

• LGPD, Art. 7º, inciso III: autoriza o tratamento de dados pela administração pública para execução de políticas públicas previstas em leis e regulamentos.
• LGPD, Art. 23: determina que o tratamento de dados pelo poder público deve atender à finalidade pública e perseguir o interesse público.
• LGPD, Art. 26: estabelece regras específicas para compartilhamento de dados pessoais pelo poder público com entidades de direito privado.
• LGPD, Arts. 46 e 47: obrigam todos os agentes de tratamento (incluindo operadores contratados via licitação) a adotar medidas de segurança técnicas e administrativas para proteção dos dados.
• Parecer nº 00009/2022/DECOR/CGU/AGU: confirmou que a LGPD se aplica integralmente às licitações e contratos administrativos, inclusive aos processos em andamento e contratos já firmados.

O Parecer da AGU foi categórico: dados pessoais tratados pela Administração Pública em processos licitatórios e contratos administrativos devem observar a LGPD desde sua vigência. Não se trata de recomendação — é obrigação legal.

---

Qual a diferença entre uma cláusula de proteção de dados e um DPA completo?

Antes de apresentar os modelos, é importante distinguir os dois instrumentos:

Cláusula de proteção de dados no contrato: Seção inserida diretamente no corpo do contrato administrativo (ou no edital/termo de referência), que estabelece obrigações mínimas de conformidade com a LGPD. Adequada para contratos mais simples, com tratamento de dados de menor volume ou criticidade.

DPA (Data Processing Agreement): Documento autônomo e detalhado que funciona como anexo ao contrato principal, descrevendo com precisão quais dados são tratados, para quais finalidades, por quanto tempo, quais medidas de segurança são exigidas e como incidentes devem ser gerenciados. Recomendado para contratos de alta criticidade — sistemas de saúde, plataformas de gestão de pessoal, ferramentas que processam dados sensíveis.

Para um guia completo sobre como elaborar um DPA, consulte nosso artigo sobre como elaborar um DPA (Data Processing Agreement).

Para licitações públicas, a recomendação é:

Tipo de contratação	Instrumento recomendado
Serviços de TI com dados pessoais de cidadãos	DPA completo como anexo ao contrato
SaaS com dados sensíveis (saúde, biometria)	DPA completo + cláusulas no edital
Serviços gerais com dados de servidores	Cláusulas integradas ao contrato
Fornecimento de bens sem dados pessoais	Cláusula genérica de conformidade

Independentemente do instrumento escolhido, as cinco cláusulas a seguir devem estar presentes — seja no corpo do contrato, no DPA ou no termo de referência.

---

5 modelos de cláusulas LGPD para editais e contratos públicos

Modelo 1: Cláusula de conformidade geral com a LGPD

Quando usar: Em todos os contratos que envolvam qualquer tipo de tratamento de dados pessoais — desde a contratação de um sistema de RH até serviços de limpeza que exijam cadastro de funcionários.

Fundamentação: LGPD, Arts. 6º, 7º (III), 23, 46 e 47; Lei 14.133/2021, Art. 92, incisos II e IV.

CLÁUSULA [Nº] — DA PROTEÇÃO DE DADOS PESSOAIS

[Nº].1. A CONTRATADA se obriga a tratar os dados pessoais a que tiver
acesso em razão da execução deste Contrato em conformidade com a
Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD),
seus regulamentos e as orientações da Autoridade Nacional de Proteção
de Dados (ANPD), comprometendo-se a:

  a) Tratar os dados pessoais exclusivamente para as finalidades
     necessárias à execução do objeto contratual, vedado o uso para
     qualquer outra finalidade, incluindo atividades de interesse
     exclusivo da CONTRATADA;

  b) Observar os princípios de finalidade, adequação, necessidade,
     livre acesso, qualidade dos dados, transparência, segurança,
     prevenção, não discriminação e responsabilização, conforme
     Art. 6º da LGPD;

  c) Designar encarregado pelo tratamento de dados pessoais (DPO),
     informando à CONTRATANTE os dados de contato do responsável;

  d) Adotar medidas técnicas e administrativas de segurança aptas
     a proteger os dados pessoais de acessos não autorizados e de
     situações acidentais ou ilícitas de destruição, perda, alteração,
     comunicação ou tratamento inadequado, nos termos do Art. 46
     da LGPD;

  e) Manter registro das operações de tratamento de dados pessoais
     realizadas em razão deste Contrato, nos termos do Art. 37
     da LGPD.

[Nº].2. Para fins deste Contrato, a CONTRATANTE atua como
CONTROLADORA dos dados pessoais, e a CONTRATADA atua como
OPERADORA, realizando o tratamento exclusivamente em nome e
conforme as instruções da CONTRATANTE.

[Nº].3. A CONTRATADA responderá administrativa e judicialmente por
quaisquer danos causados a titulares de dados pessoais em razão de
descumprimento das obrigações previstas nesta cláusula e na LGPD,
nos termos dos Arts. 42 a 45 da Lei nº 13.709/2018.

Ponto de atenção para pregoeiros: A definição explícita de papéis (controlador e operador) no item [Nº].2 é essencial. Sem ela, em caso de incidente, a responsabilidade fica indefinida — e a administração pode ser responsabilizada solidariamente por falhas do fornecedor.

---

Modelo 2: Cláusula de tratamento de dados pessoais (escopo e limitação)

Quando usar: Em contratos de TI, SaaS e prestação de serviços que envolvam acesso direto a dados pessoais de cidadãos ou servidores — sistemas de saúde, educação, assistência social, gestão de pessoal.

Fundamentação: LGPD, Arts. 7º (III), 9º, 11 e 23; Lei 14.133/2021, Art. 92, inciso II.

CLÁUSULA [Nº] — DO ESCOPO E LIMITAÇÃO DO TRATAMENTO DE DADOS

[Nº].1. O tratamento de dados pessoais pela CONTRATADA está limitado
às seguintes condições:

  a) CATEGORIAS DE DADOS: [especificar: nome, CPF, endereço, dados
     de saúde, dados biométricos, dados financeiros, etc.];

  b) CATEGORIAS DE TITULARES: [especificar: cidadãos usuários do
     serviço, servidores públicos, beneficiários de programas sociais,
     pacientes, alunos, etc.];

  c) FINALIDADES AUTORIZADAS: [especificar: prestação do serviço
     descrito no objeto contratual, emissão de relatórios gerenciais,
     suporte técnico, etc.];

  d) DURAÇÃO DO TRATAMENTO: durante a vigência contratual e pelo
     prazo adicional necessário para cumprimento de obrigações legais
     ou regulatórias;

  e) BASE LEGAL: execução de políticas públicas previstas em leis
     e regulamentos (Art. 7º, III da LGPD) e/ou cumprimento de
     obrigação legal ou regulatória (Art. 7º, II da LGPD).

[Nº].2. É expressamente vedado à CONTRATADA:

  a) Tratar os dados pessoais para finalidades distintas das previstas
     neste Contrato;

  b) Compartilhar, transferir ou comunicar dados pessoais a terceiros
     sem autorização prévia e expressa da CONTRATANTE;

  c) Utilizar os dados pessoais para treinamento de modelos de
     inteligência artificial, mineração de dados, analytics,
     benchmarking ou qualquer outra atividade de interesse da
     CONTRATADA;

  d) Realizar transferência internacional de dados pessoais sem
     autorização prévia da CONTRATANTE e observância do Capítulo V
     da LGPD (Arts. 33 a 36).

[Nº].3. Ao término do Contrato, a CONTRATADA deverá, conforme
instrução da CONTRATANTE:

  a) Devolver todos os dados pessoais em formato estruturado,
     interoperável e de uso corrente; e

  b) Eliminar de forma segura e definitiva todas as cópias dos dados
     pessoais armazenados em seus sistemas, emitindo declaração
     formal de eliminação no prazo de [30] dias corridos após o
     encerramento contratual.

Ponto de atenção para gestores: A especificação de categorias de dados e titulares (itens a e b) não é mera formalidade — ela delimita o escopo de atuação do operador e facilita a fiscalização contratual. O Guia Orientativo da ANPD sobre tratamento de dados pelo Poder Público reforça que a finalidade pública deve ser explícita e verificável.

---

Modelo 3: Cláusula de notificação e gestão de incidentes de segurança

Quando usar: Em todos os contratos que envolvam dados pessoais. A obrigação de notificação de incidentes decorre diretamente do Art. 48 da LGPD e é indispensável para que a administração pública possa cumprir seus prazos legais de comunicação à ANPD e aos titulares.

Fundamentação: LGPD, Arts. 46, 47, 48 e 49.

CLÁUSULA [Nº] — DA NOTIFICAÇÃO E GESTÃO DE INCIDENTES DE SEGURANÇA

[Nº].1. A CONTRATADA deverá comunicar à CONTRATANTE, no prazo máximo
de [48] horas após a ciência do fato, qualquer incidente de segurança
que possa acarretar risco ou dano relevante aos titulares dos dados
pessoais tratados em razão deste Contrato, incluindo, mas não se
limitando a:

  a) Acessos não autorizados a sistemas ou bases de dados;
  b) Vazamento, perda ou exposição de dados pessoais;
  c) Ataques cibernéticos (ransomware, phishing direcionado, etc.);
  d) Falhas de segurança que comprometam a integridade ou
     disponibilidade dos dados;
  e) Qualquer tratamento de dados pessoais realizado em desacordo
     com as instruções da CONTRATANTE.

[Nº].2. A comunicação de que trata o item anterior deverá conter,
no mínimo:

  a) Descrição da natureza do incidente;
  b) Categorias e número aproximado de titulares afetados;
  c) Categorias e número aproximado de registros de dados afetados;
  d) Descrição das consequências prováveis do incidente;
  e) Medidas técnicas e de segurança já adotadas para conter o
     incidente e mitigar seus efeitos;
  f) Identificação do responsável pelo gerenciamento do incidente
     e respectivos dados de contato.

[Nº].3. A CONTRATADA deverá cooperar integralmente com a
CONTRATANTE na investigação, contenção e remediação do incidente,
disponibilizando logs, registros de acesso, evidências técnicas
e demais informações solicitadas.

[Nº].4. A CONTRATADA deverá manter plano de resposta a incidentes
de segurança documentado e atualizado, compatível com a natureza
e o volume dos dados tratados, apresentando-o à CONTRATANTE quando
solicitado.

[Nº].5. A comunicação do incidente não exime a CONTRATADA da
responsabilidade por danos causados aos titulares ou à CONTRATANTE
em razão do incidente.

Por que 48 horas? A LGPD não define prazo exato para comunicação de incidentes pelo operador ao controlador. Mas a ANPD recomenda que a comunicação à autoridade ocorra em "prazo razoável" (Art. 48, § 1º). O prazo de 48 horas para comunicação interna (do operador ao controlador) garante tempo hábil para que a administração pública avalie o incidente e cumpra suas obrigações perante a ANPD e os titulares. Para entender melhor o fluxo completo de comunicação de incidentes, consulte nosso artigo sobre como comunicar vazamento de dados aos titulares.

---

Modelo 4: Cláusula sobre suboperadores (subcontratação)

Quando usar: Em contratos onde o fornecedor principal pode subcontratar parte dos serviços — provedores de cloud que usam infraestrutura de terceiros, empresas de TI que subcontratam suporte, integradores de sistemas.

Fundamentação: LGPD, Arts. 39 e 46; Lei 14.133/2021, Art. 122 (subcontratação).

CLÁUSULA [Nº] — DOS SUBOPERADORES

[Nº].1. A CONTRATADA não poderá subcontratar total ou parcialmente
o tratamento de dados pessoais objeto deste Contrato sem autorização
prévia e expressa da CONTRATANTE.

[Nº].2. A autorização de que trata o item anterior poderá ser:

  a) ESPECÍFICA: para um suboperador determinado, identificado por
     razão social, CNPJ e descrição dos serviços a serem prestados; ou

  b) GENÉRICA: com autorização para categoria de suboperadores,
     desde que a CONTRATADA comunique à CONTRATANTE, com antecedência
     mínima de [30] dias, a inclusão de novo suboperador, informando
     razão social, CNPJ, localização, serviço a ser prestado e
     medidas de segurança adotadas.

[Nº].3. A CONTRATANTE poderá, no prazo de [15] dias após a
comunicação prevista na alínea "b" do item anterior, apresentar
objeção fundamentada à inclusão do suboperador, caso identifique
risco à segurança ou à conformidade com a LGPD.

[Nº].4. A CONTRATADA deverá exigir de seus suboperadores as mesmas
obrigações de proteção de dados previstas neste Contrato, por meio
de instrumento contratual que vincule o suboperador às mesmas
condições e responsabilidades.

[Nº].5. A CONTRATADA permanece integralmente responsável perante
a CONTRATANTE pelo tratamento de dados pessoais realizado por
seus suboperadores, respondendo por quaisquer danos ou
descumprimentos decorrentes da atuação de terceiros subcontratados.

[Nº].6. A CONTRATADA deverá manter e apresentar à CONTRATANTE,
quando solicitado, lista atualizada de todos os suboperadores que
realizam tratamento de dados pessoais em razão deste Contrato.

Ponto de atenção: A Lei 14.133/2021, no Art. 122, permite a subcontratação de parte do objeto desde que prevista no edital e no contrato. É fundamental que essa previsão editalícia inclua as obrigações de proteção de dados dos suboperadores. Para aprofundar-se no tema de gestão de fornecedores e operadores sob a LGPD, consulte nosso guia completo.

---

Modelo 5: Cláusula de auditoria e verificação de conformidade

Quando usar: Em todos os contratos de média e alta criticidade. Sem direito de auditoria, o controlador (administração pública) não tem como verificar se o operador está de fato cumprindo as obrigações de proteção de dados — e pode ser responsabilizado solidariamente por falhas que não identificou.

Fundamentação: LGPD, Arts. 6º (X — responsabilização e prestação de contas), 46 e 50; Lei 14.133/2021, Arts. 92 (IV) e 117.

CLÁUSULA [Nº] — DA AUDITORIA E VERIFICAÇÃO DE CONFORMIDADE

[Nº].1. A CONTRATANTE, diretamente ou por meio de terceiros por
ela indicados, poderá realizar auditorias e inspeções nos sistemas,
processos e instalações da CONTRATADA relacionados ao tratamento
de dados pessoais objeto deste Contrato, com o objetivo de verificar
o cumprimento das obrigações de proteção de dados aqui previstas
e na LGPD.

[Nº].2. As auditorias poderão ser realizadas:

  a) De forma programada, mediante notificação com antecedência
     mínima de [15] dias úteis;

  b) De forma não programada, em caso de suspeita fundamentada de
     incidente de segurança ou descumprimento contratual, mediante
     notificação com antecedência mínima de [48] horas.

[Nº].3. A CONTRATADA deverá cooperar integralmente com as
auditorias, disponibilizando:

  a) Acesso a sistemas, logs e registros de tratamento de dados;
  b) Documentação de políticas e procedimentos de segurança da
     informação;
  c) Relatórios de impacto à proteção de dados pessoais (RIPD),
     quando aplicável;
  d) Evidências de treinamento de colaboradores sobre proteção
     de dados;
  e) Certificações de segurança vigentes (ISO 27001, SOC 2, etc.),
     quando existentes;
  f) Quaisquer outras informações necessárias à avaliação de
     conformidade.

[Nº].4. A CONTRATADA deverá, quando solicitada, apresentar à
CONTRATANTE relatório de conformidade com a LGPD, descrevendo as
medidas técnicas e administrativas adotadas para proteção dos dados
pessoais tratados em razão deste Contrato, no prazo de [20] dias
úteis após a solicitação.

[Nº].5. As constatações de não conformidade identificadas em
auditoria serão comunicadas formalmente à CONTRATADA, que terá
prazo de [30] dias corridos para apresentar plano de ação corretiva
e [90] dias corridos para implementar as correções, salvo nos casos
de risco grave e iminente, que deverão ser tratados imediatamente.

[Nº].6. O exercício do direito de auditoria pela CONTRATANTE não
exime a CONTRATADA de sua responsabilidade pelo cumprimento das
obrigações de proteção de dados previstas neste Contrato e na LGPD.

Ponto de atenção para fiscais de contrato: O Art. 117 da Lei 14.133/2021 determina que a execução do contrato será fiscalizada e acompanhada por representantes da administração. A fiscalização de cláusulas de proteção de dados deve ser incorporada ao plano de fiscalização contratual, com indicadores e evidências verificáveis — não apenas declarações do fornecedor.

---

Como avaliar a conformidade LGPD de licitantes na fase de habilitação?

A Lei 14.133/2021 prevê, nos Arts. 62 a 70, os requisitos de habilitação dos licitantes. A inclusão de exigências de conformidade com a LGPD na habilitação técnica é juridicamente possível, desde que proporcionais e pertinentes ao objeto.

Exigências possíveis no edital:

1. Declaração de conformidade com a LGPD, assinada pelo representante legal, atestando que a empresa adota medidas técnicas e administrativas de segurança compatíveis com a natureza dos dados a serem tratados.

2. Indicação do encarregado de proteção de dados (DPO), com nome e dados de contato, conforme Art. 41 da LGPD.

3. Apresentação de política de segurança da informação documentada e vigente, compatível com os requisitos do contrato.

4. Certificações de segurança (ISO 27001, SOC 2, ISO 27701) como critério de pontuação técnica em licitações do tipo "técnica e preço" — nunca como critério eliminatório, para não restringir indevidamente a competitividade.

5. Atestado de capacidade técnica que comprove experiência prévia em projetos com tratamento de dados pessoais em volume e criticidade compatíveis com o objeto licitado.

Atenção: Exigências desproporcionais podem ser impugnadas. Exigir ISO 27001 como requisito obrigatório para uma empresa de limpeza que terá acesso apenas a dados de seus próprios funcionários seria desproporcional. A proporcionalidade deve considerar o volume, a natureza e a sensibilidade dos dados envolvidos.

O Guia Orientativo da ANPD sobre tratamento de dados pessoais pelo Poder Público reforça que órgãos públicos devem adotar medidas de segurança proporcionais ao risco — e essa proporcionalidade se estende às exigências feitas aos contratados.

---

Como funciona a fiscalização contratual de proteção de dados?

O Art. 117 da Lei 14.133/2021 estabelece que a execução do contrato deve ser fiscalizada por representantes da administração. Mas a fiscalização de cláusulas de proteção de dados exige competências específicas e um plano estruturado.

Elementos de um plano de fiscalização de proteção de dados:

Frequência: Verificações trimestrais para contratos de alta criticidade; semestrais para contratos de criticidade moderada.

Indicadores verificáveis:

• Número de incidentes de segurança reportados no período
• Tempo médio de resposta a incidentes (versus o contratual)
• Percentual de colaboradores treinados em proteção de dados
• Status das certificações de segurança
• Existência e atualização do registro de operações de tratamento (Art. 37 da LGPD)
• Existência de plano de resposta a incidentes documentado

Evidências a solicitar:

• Relatórios de testes de vulnerabilidade e penetração
• Logs de controle de acesso a dados pessoais
• Registros de treinamento de equipe
• Lista atualizada de suboperadores
• Relatório de conformidade LGPD (conforme Modelo 5)

Quem fiscaliza: Idealmente, o fiscal do contrato deve contar com apoio do encarregado de proteção de dados (DPO) do órgão e, quando necessário, de área técnica de segurança da informação. Para contratos mais complexos, a contratação de auditoria externa independente é recomendável.

Para entender como estruturar a gestão completa de fornecedores do ponto de vista de proteção de dados — incluindo classificação por criticidade, monitoramento contínuo e reavaliação periódica — consulte nosso artigo sobre gestão de fornecedores sob a LGPD.

---

Quais são os erros mais comuns em editais de licitação sobre LGPD?

A análise de dezenas de editais publicados no PNCP (Portal Nacional de Contratações Públicas) revela padrões recorrentes de cláusulas ineficazes:

Erro 1: Cláusula genérica sem efeito prático

"A contratada deverá cumprir a legislação vigente sobre proteção de dados pessoais."

Por que é ineficaz: Esta cláusula não acrescenta nada ao contrato — a LGPD já se aplica independentemente de previsão contratual. Sem especificar obrigações concretas (notificação de incidentes, escopo de tratamento, direito de auditoria), a cláusula não oferece nenhum instrumento para fiscalização ou responsabilização.

Solução: Substituir pela Cláusula de Conformidade Geral (Modelo 1) e complementar com os modelos específicos conforme a criticidade do contrato.

Erro 2: Ausência de definição de papéis (controlador/operador)

Muitos contratos não definem quem é o controlador e quem é o operador. Isso gera ambiguidade sobre responsabilidade, especialmente em contratos de SaaS onde o fornecedor pode argumentar que atua como controlador independente de parte dos dados.

Solução: Incluir definição explícita no item [Nº].2 do Modelo 1.

Erro 3: Sem previsão de devolução e eliminação de dados ao término do contrato

Quando o contrato encerra, os dados dos cidadãos frequentemente permanecem nos sistemas do fornecedor anterior — sem base legal para continuar tratando, mas sem obrigação contratual de eliminar.

Solução: Incluir o item [Nº].3 do Modelo 2, com prazo definido e exigência de declaração formal de eliminação.

Erro 4: Sem prazo para notificação de incidentes

Contratos que mencionam "dever de comunicar incidentes" sem definir prazo deixam o controlador (órgão público) refém da boa vontade do fornecedor. Quando o fornecedor comunica semanas depois, a administração pode já ter perdido o prazo de comunicação à ANPD.

Solução: Incluir prazo máximo de comunicação (Modelo 3, item [Nº].1).

Erro 5: Sem controle sobre suboperadores

Um fornecedor contratado por licitação pode subcontratar serviços de infraestrutura (cloud), suporte, armazenamento ou processamento — e os dados dos cidadãos passam a ser tratados por entidades que a administração desconhece.

Solução: Incluir cláusula de suboperadores (Modelo 4) com exigência de comunicação prévia e direito de objeção.

Erro 6: Sem direito de auditoria

Sem a previsão contratual de auditoria, a administração não tem base para verificar se as obrigações de proteção de dados estão sendo cumpridas na prática — e pode ser responsabilizada por falhas que nunca teve condições de identificar.

Solução: Incluir cláusula de auditoria (Modelo 5) com previsão de auditorias programadas e não programadas.

Erro 7: Confundir LGPD com segurança da informação genérica

Alguns editais incluem extensas cláusulas de segurança da informação (firewalls, antivírus, backup) mas ignoram as obrigações específicas da LGPD — registro de operações, relatório de impacto, direitos dos titulares, base legal, limitação de finalidade.

Solução: Segurança da informação é parte da conformidade com a LGPD, mas não a substitui. As cláusulas de segurança devem complementar, e não substituir, as cláusulas específicas de proteção de dados.

Para compreender melhor as obrigações específicas da administração pública sob a LGPD, incluindo o Capítulo IV e as peculiaridades do tratamento de dados pelo poder público, consulte nosso guia sobre LGPD no setor público.

---

Como incorporar as cláusulas ao edital e ao contrato?

A melhor prática para a Lei 14.133/2021 é inserir as exigências de proteção de dados em três pontos do processo licitatório:

1. No Termo de Referência (Art. 6º, XXIII): Descrever os requisitos de conformidade com a LGPD como parte da especificação do objeto. Isso permite que os licitantes dimensionem custos de conformidade em suas propostas.

2. Na Minuta do Contrato (Art. 92): Incluir as cláusulas de proteção de dados no corpo do contrato ou como anexo (DPA). As cinco cláusulas modelo deste artigo podem ser inseridas diretamente na minuta.

3. Nos Critérios de Habilitação (Arts. 62 a 70): Incluir exigências proporcionais de conformidade com a LGPD na habilitação técnica, conforme descrito na seção anterior.

Modelo de estrutura para o edital:

EDITAL DE PREGÃO ELETRÔNICO Nº [XX/ANO]

[...]

SEÇÃO XX — DA PROTEÇÃO DE DADOS PESSOAIS

XX.1. A execução do objeto envolve o tratamento de dados pessoais
de [especificar categorias de titulares], conforme detalhamento
no Termo de Referência (Anexo I).

XX.2. A empresa vencedora atuará como OPERADORA de dados pessoais,
nos termos da LGPD, devendo observar todas as obrigações previstas
na Cláusula [Nº] da Minuta do Contrato (Anexo [X]).

XX.3. Para fins de habilitação técnica, a licitante deverá
apresentar:
  a) Declaração de conformidade com a Lei nº 13.709/2018 (LGPD);
  b) Indicação do encarregado pelo tratamento de dados pessoais,
     com nome e dados de contato.

XX.4. A contratação incluirá Data Processing Agreement (DPA)
como Anexo [X] ao Contrato, conforme minuta anexa a este Edital.

---

Checklist: cláusulas LGPD em licitações e contratos públicos

Use esta lista de verificação antes de publicar um edital ou formalizar um contrato que envolva tratamento de dados pessoais:

Análise preliminar:

• Identificamos quais dados pessoais serão tratados pelo contratado?
• Classificamos a criticidade do tratamento (baixa, média, alta)?
• Definimos se utilizaremos cláusulas no contrato ou DPA como anexo?

Cláusulas obrigatórias:

• Conformidade geral com a LGPD (Modelo 1) — presente?
• Definição de papéis controlador/operador — presente?
• Escopo e limitação do tratamento de dados (Modelo 2) — presente?
• Categorias de dados e titulares — especificadas?
• Finalidades autorizadas — delimitadas?
• Vedação de uso para fins próprios do contratado — explícita?

Segurança e incidentes:

• Cláusula de notificação de incidentes (Modelo 3) — presente?
• Prazo máximo de comunicação — definido?
• Conteúdo mínimo da comunicação — especificado?
• Obrigação de cooperação na investigação — prevista?

Subcontratação:

• Cláusula de suboperadores (Modelo 4) — presente?
• Autorização prévia para subcontratação — exigida?
• Responsabilidade do contratado por suboperadores — definida?

Auditoria e fiscalização:

• Cláusula de auditoria (Modelo 5) — presente?
• Direito de auditoria programada e não programada — previsto?
• Obrigação de apresentar relatório de conformidade — incluída?

Término contratual:

• Obrigação de devolução de dados — prevista?
• Obrigação de eliminação segura — prevista?
• Prazo para eliminação — definido?
• Exigência de declaração de eliminação — incluída?

Habilitação:

• Declaração de conformidade LGPD — exigida?
• Indicação de DPO — exigida?
• Exigências proporcionais ao objeto — verificado?

Fiscalização contratual:

• Plano de fiscalização de proteção de dados — elaborado?
• Indicadores de verificação — definidos?
• Responsável pela fiscalização — designado?
• DPO do órgão envolvido na fiscalização — confirmado?

---

Conclusão

A convergência entre a Lei 14.133/2021 e a LGPD não é opcional — é obrigação legal. O Parecer nº 00009/2022/DECOR/CGU/AGU deixou claro que a proteção de dados pessoais deve ser observada em todas as fases da contratação pública, desde o planejamento até a fiscalização da execução contratual.

Cláusulas genéricas como "a contratada deverá cumprir a LGPD" não cumprem essa exigência. Os cinco modelos apresentados neste artigo — conformidade geral, escopo de tratamento, incidentes, suboperadores e auditoria — oferecem uma base concreta e fundamentada para que gestores públicos, pregoeiros e áreas jurídicas estruturem editais e contratos que protejam efetivamente os dados dos cidadãos.

A proteção de dados não é apenas uma questão de conformidade regulatória — é uma questão de confiança pública. Quando um cidadão fornece seus dados a um órgão público, espera que o Estado os proteja com o mesmo rigor que aplica à gestão dos recursos públicos.

Para aprofundar o tema de cláusulas contratuais para proteção de dados, consulte também nosso guia sobre cláusulas contratuais LGPD para contratos com terceiros.

---

O Confidata é a plataforma de conformidade LGPD desenvolvida para o setor público brasileiro. Com módulos de gestão de fornecedores, inventário de dados, avaliação de riscos e gestão de incidentes, o Confidata ajuda órgãos públicos a implementar, monitorar e evidenciar a conformidade com a LGPD — incluindo a gestão de cláusulas contratuais de proteção de dados com todos os seus fornecedores e operadores. Solicite uma demonstração e descubra como simplificar a conformidade.