27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

GOVERNO DO ESTADO DE MINAS GERAIS

ADVOCACIA GERAL DO ESTADO DE MINAS GERAIS

Processo nº 1500.01.0087115/2021-94

Procedência: SEPLAG – Grupo de Trabalho sobre Lei Geral de Proteção de Dados Pessoais
Interessado: SEPLAG – Grupo de Trabalho sobre Lei Geral de Proteção de Dados Pessoais
Número: 5.872
Data: 27 de agosto de 2021.
Classificação Temática: Direito Administrativo e Outras Matérias de Direito Público. Contratos
Administrativos.
Precedentes:
Ementa: DIREITO ADMINISTRATIVO. ANÁLISE CLÁUSULAS CONTRATUAIS PROPOSTAS PELO GRUPO DE
TRABALHO. LEI GERAL DE PROTEÇÃO DE DADOS. LEI FEDERAL Nº. 13.709/2018. DECRETO ESTADUAL Nº.
48.237/2021. APROVAÇÃO DA MINUTA ENCAMINHADA.
Referências normativas: Lei Federal nº. 13.709/2018. Decreto Estadual nº. 48.237/2021.

RELATÓRIO

1. O Grupo de Trabalho sobre a Lei Geral de Proteção de Dados Pessoais GT.LGPD, por intermédio da
SEPLAG- Secretaria de Planejamento e Gestão, por meio do documento Consulta Jurídica
SEPLAG/DCGSITIC (30865852) solicita análise e manifestação da Advocacia Geral do Estado acerca das
cláusulas de proteção de dados pessoais em contratos.

2. Justificam que o objetivo da consulta “é buscar um entendimento institucional quanto à definição de

cláusulas gerais de proteção de dados pessoais a serem adotadas nas minutas de contrato padrão do
Governo do Estado de Minas Gerais.” (30865852)

3. O Grupo de Trabalho instituído no âmbito da AGE e SEPLAG, pela Resolução Conjunta SEPLAG/AGE Nº.
9.931/2018, tem como objetivo promover estudos sobre a necessidade de ampliar a sistematização e
organização dos procedimentos relativos a licitação e contratos no âmbito da Administração Direta e
Indireta, Autárquica e Fundacional do Poder Executivo estadual.
https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 1/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

4. No expediente encaminhado para consulta, restou esclarecido que:

“O resultado do trabalho foi a produção de modelos de editais e minutas licitatórias

padronizadas, na categoria de pregão eletrônico e pregão eletrônico para registro de
preço. As minutas padronizadas foram disponibilizadas por meio do link
http://www.planejamento.mg.gov.br/pagina/logistica/central-de-compras/minutas-
padronizadas. Devido à alta volatilidade de informações referentes a compras, esses
documentos são atualizados constantemente, para que não se tornem defasados.”

5. A Resolução Conjunta SEPLAG/CGE/SEF/AGE/PRODEMGE nº. 10.064, de 29 de julho de 2019, instituiu

o Grupo de Trabalho sobre a Lei Geral de Proteção de Dados (Lei Federal nº. 13.709/2018) no âmbito
do Governo do Estado de Minas Gerais (GT de LGPD), e, considerando as competências estabelecidas,
o grupo realizou estudos para adequar os contratos administrativos celebrados pelo Poder Executivo
estadual.

6. Diante desse cenário, foi pontuado na consulta encaminhada que “o desafio que se coloca para a
Administração Pública Estadual é definir cláusulas gerais de proteção de dados pessoais, a serem
adotadas nas minutas de contrato padrão, visando trazer mais segurança às partes (contratante e
contratada), além de proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural, conforme preconiza a LGPD.”

7. Sob esse prisma e considerando que o “Estado de Minas Gerais trata dados pessoais em suas relações
com fornecedores externos, a adequação dos instrumentos contratuais administrativos se faz
necessária para propiciar que os contratos, convênios, ou similares, estejam em conformidade com as
exigências da Lei nº 13.709/2018.”

8. Diante disso, o Grupo de Trabalho, elaborou minuta de cláusula padrão consolidando sugestões
recebidas por outros órgãos do Estado.

9. É o breve relatório. Passa-se ao exame jurídico da matéria.

FUNDAMENTAÇÃO

10. A publicação da Lei 13.709/2018 trouxe uma sistematização específica para a proteção dos dados
pessoais, inclusive nos meios digitais, por pessoa natural e por pessoa jurídica de direito público ou
privado, tendo por objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 2/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

11. O Exmo. Sr. Advogado-Geral do Estado, no Manual de Interpretação da LGPD[1] destacou:

“A Administração Pública não pode se escusar de observar esse regime da forma mais
efetiva possível. Ao mesmo tempo em que o tratamento de dados pessoais revela-se
essencial para a eficiência de uma série de atividades do setor público, o respeito aos
princípios que norteiam esse campo e aos direitos do cidadão não pode ser
negligenciado. Dessa forma, revela-se necessária a implantação e evolução contínua
de uma cultura de integridade e proteção aos direitos dos titulares de dados pessoais
sob tutela da Administração, o que envolve um amadurecimento dos órgãos e
entidades da Administração Direta e Indireta em todos os níveis, desde as decisões
superiores e o planejamento estratégico de cada órgão, passando pelas soluções de
tecnologia utilizadas, até as operações mais rotineiras, a envolver o comportamento de
cada membro e servidor.”

12. No âmbito do Estado de Minas Gerais, foi editado o Decreto nº. 48.237 que dispõe sobre a aplicação
da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, no
âmbito da Administração Pública direta e indireta do Poder Executivo e em seu artigo 14 preconiza
que:

“Art. 14 – O tratamento de dados pessoais pelos órgãos e pelas entidades da

Administração Pública do Poder Executivo deverá ser realizado para o atendimento de
sua finalidade pública, na persecução do interesse público, com o objetivo de executar
as competências legais ou cumprir as atribuições legais do serviço público.”

13. A Lei Geral de Proteção de Dados Pessoais, apresenta conceitos relativos à atividade de tratamento de
dados, bem como estipula regras de observância aos entes públicos, estabelecendo, inclusive,
responsabilidade em caso de descumprimento dos comandos normativos.

14. Referida legislação inova ao trazer um capítulo específico sobre o tratamento de dados pessoais pelo
Poder Público. Essa previsão legal decorre em razão da natureza de suas atribuições e competências. E
a interpretação dos dispositivos deve ser realizada em consonância com a Constituição Federal e com a
Lei Federal nº. 12.527/2011, Lei de Acesso à Informação, de forma que seja garantida a proteção dos
dados pessoais, sem perder de vista os princípios da publicidade e os demais princípios norteadores da
Administração Pública.

15. Salienta-se ainda que em consonância com a Lei Federal 13.709/2018, o Decreto Estadual nº.
48.237/2021 elenca no artigo 3º que as atividades de tratamento de dados pessoais deverão observar
a boa-fé e os seguintes princípios:

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 3/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

I – finalidade: realização do tratamento para propósitos legítimos, específicos,

explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao
titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI – transparência: garantia aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude
do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas
de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

16. Com efeito, justificada a necessidade de padronização das cláusulas contratuais envolvendo a LGPD,
bem como definidos os seus parâmetros balizadores, passamos à análise da proposta apresentada
pelo Grupo de Trabalho.

17. Restou salientado na consulta encaminhada (30865852):

“O grupo analisou e consolidou as sugestões em uma nova minuta de cláusula padrão,

ponderando a aplicabilidade das propostas e sua pertinência técnica. A cláusula foi
dividida em 8 itens, para que seja incluída nos novos contratos administrativos e
naqueles vigentes, pelos órgãos e entidades da Administração Pública estadual.
Amparados pelos dispositivos da LGPD, os itens da cláusula proposta apresentam:
I- A necessidade da observância à Lei nº 13.709/2018, por ambas as partes do
contrato;
II- A atribuição dos papéis de controlador e operador, nos termos do artigo 5º, VI e VII,
da Lei nº 13.709/2018;

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 4/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

III- A necessidade de resguardar os dados pessoais e seus titulares, com o compromisso

de se manter sigilo, vedação de compartilhamento não autorizado, e vedação de
tratamento não compatível com as finalidades estabelecidas no instrumento
contratual;
IV- O dever de notificação sobre incidentes, de ambas as partes, com prazo
estabelecido;
V- O compromisso das partes em adotar medidas de segurança para resguardar os
dados pessoais;
VI- O direito da parte contratante ao acompanhamento, fiscalização e auditoria diante
da parte contratada, no que se refere às obrigações relativas à proteção de dados
pessoais;
VII- A obrigação das partes em manter e indicar encarregado ou preposto para
comunicação sobre assuntos pertinentes à Lei nº 13.709/2018;
VIII- O compromisso das partes em dar conhecimento a seus
empregados/colaboradores e servidores sobre as obrigações acordadas na cláusula em
questão."

18. Nesse sentido, o Grupo de Trabalho propôs a redação de cláusulas gerais padrão de proteção de dados
pessoais para as minutas contratuais entre os órgãos e entidades do Poder Executivo estadual e
fornecedores que ora passa-se a analisar pontualmente: (30865852)

CLÁUSULA DE PROTEÇÃO DE DADOS PESSOAIS

1. As PARTES, por si e por seus colaboradores, obrigam-se a atuar no presente contrato
em conformidade com a legislação vigente sobre Proteção de Dados Pessoais e as
determinações de órgão reguladores e/ou fiscalizadores sobre a matéria, em especial,
a Lei Federal nº 13.709/2018.

19. A primeira subcláusula dispõe sobre a observância à legislação vigente sobre a Proteção de Dados
Pessoais, em especial, sobre a já mencionada Lei Federal nº. 13.709/2018. Trata-se, pois, de uma
cláusula formal, que está em estrita observância ao princípio da Legalidade.

20. Em consonância com a cláusula proposta, dispõe o parágrafo único do artigo 1º da Lei Federal em
referência que “As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas
pela União, Estados, Distrito Federal e Municípios.”

21. Salientamos, por oportuno, que nos termos da Lei Federal mencionada:

Art. 24. As empresas públicas e as sociedades de economia mista que atuam em

regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 5/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares,

nos termos desta Lei.

Parágrafo único. As empresas públicas e as sociedades de economia mista, quando

estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o
mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos
deste Capítulo.

22. Ademais, o artigo 3º da Lei Federal nº. 13.709/2018 delimita que os dispositivos legais por ela
elencados se aplicam a qualquer operação de tratamento realizada por pessoa natural ou por pessoa
jurídica de direito público ou privado desde que: I- a operação de tratamento seja realizada no
território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens
ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III - os dados
pessoais objeto do tratamento tenham sido coletados no território nacional.

23. Com efeito, a mencionada legislação esclarece no artigo 4º as hipóteses em que os dispositivos legais
não se aplicam.

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não
econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de
comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou
objeto de transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção de dados
pessoais adequado ao previsto nesta Lei.

24. A segunda subcláusula traz as figuras do controlador e operador. O artigo 5º da mencionada legislação
traça as definições utilizadas. Sendo que:

Art. 5º Para os fins desta Lei, considera-se:

(...)

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 6/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;

25. Nesse contexto, prevê a proposta da segunda subcláusula apresentada pelo Grupo de Trabalho:

2. No presente contrato, a CONTRATANTE assume o papel de controlador, nos termos

do artigo 5º, VI da Lei nº 13.709/2018, e a CONTRATADA assume o papel de operador,
nos termos do artigo 5º, VII da Lei nº 13.709/2018.

26. Sendo certo que nos termos da mencionada legislação, o controlador e o operador são chamados de
agentes de tratamento[2], sujeitos a observância das obrigações previstas nos dispositivos legais, sob
pena da aplicação das sanções cominadas, nos termos do artigo 52 da Lei Federal nº. 13.709/2018
após o devido procedimento administrativo[3].
27. Salienta-se que os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito, nos termos do artigo 46 da mencionada Lei Federal.

28. Ademais, a legislação em comento estabelece atribuições a serem desempenhadas pelo controlador e
pelo operador:

Art. 37. O controlador e o operador devem manter registro das operações de

tratamento de dados pessoais que realizarem, especialmente quando baseado no
legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório
de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os
segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo
controlador, que verificará a observância das próprias instruções e das normas sobre a
matéria.
Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para
fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo
de guarda dos registros, tendo em vista especialmente a necessidade e a
transparência.

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 7/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

29. Nesse sentido, foi construída a proposta da terceira subcláusula apresentada pelo Grupo de Trabalho
sobre o tratamento dos dados pessoais. “Dados Pessoais”, foi conceituado pela legislação em comento
como informação relacionada a pessoa natural identificada ou identificável. (artigo 5º, inciso I da Lei
Federal nº. 13.709/2018):

3. A CONTRATADA deverá guardar sigilo sobre os dados pessoais compartilhados pela

CONTRATANTE e só poderá fazer uso dos dados exclusivamente para fins de
cumprimento do objeto deste contrato, sendo-lhe vedado, a qualquer tempo, o
compartilhamento desses dados sem a expressa autorização da CONTRATANTE, ou o
tratamento dos dados de forma incompatível com as finalidades e prazos acordados.

30. A premissa da LGPG é a proteção de dados, sendo certo que visa preservar de vazamento dados
mantidos em meios físicos ou digitais. O artigo 7º da Lei Federal nº. 13.709/2018 traça as bases legais
em que se permite o tratamento de dados pessoais.

31. Portanto, há permissão legal para o tratamento e o uso compartilhado pela Administração Pública de
dados pessoais, cabendo ao agente de tratamento enquadrar suas ações nas hipóteses legais.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral,
esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada
pela Lei nº 13.853, de 2019) Vigência
IX - quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
(...)
https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 8/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público
referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011
(Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam
o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a
previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução
dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios
eletrônicos;
II - (VETADO); e
III - seja indicado um encarregado quando realizarem operações de tratamento de
dados pessoais, nos termos do art. 39 desta Lei;

32. A quarta subcláusula delimita, em consonância com o artigo 46 e seguintes[4] da Lei Federal em
referência, o procedimento a ser adotado pelas partes na hipótese de ocorrência de algum incidente.
Salientamos que a comunicação feita em prazo razoável, deve conter a descrição da natureza dos
dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas
técnicas e de segurança utilizadas para a proteção dos dados os riscos relacionados ao incidente,
justificativa de eventual demora na comunicação e ainda as medidas que foram ou que serão adotadas
para reverter ou mitigar os efeitos do prejuízo.

4. As PARTES deverão notificar uma à outra, por meio eletrônico, em até 2 (dois) dias
úteis, sobre qualquer incidente detectado no âmbito de suas atividades, relativo a
operações de tratamento de dados pessoais.

33. Nos termos do artigo 49, “Os sistemas utilizados para o tratamento de dados pessoais devem ser
estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de
governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.” Em
consonância com a diretriz de garantia da segurança na proteção dos dados pessoais, a proposta da
quinta subcláusula apresentada pelo Grupo de Trabalho menciona:

5. As PARTES se comprometem a adotar as medidas de segurança administrativas,

tecnológicas, técnicas e operacionais necessárias a resguardar os dados pessoais que
lhe serão confiados, levando em conta as diretrizes de órgãos reguladores, padrões
técnicos e boas práticas existentes.

34. Nesse sentido, o artigo 50 da Lei Federal nº. 13.709/2018[5] estabelece importantes parâmetros a
serem observados pelos agentes de tratamento na busca de melhoria na organização, procedimentos,
segurança, padrões técnicos, obrigações específicas, ações educativas, mecanismos internos de
supervisão e de mitigação de riscos no tratamento das informações.

35. Considerando a boa fé e os princípios da segurança na utilização de medidas técnicas e administrativas

aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_sis… 9/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

destruição, perda, alteração, comunicação ou difusão, bem como o princípio da prevenção no intuito
de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais[6], está a sexta subcláusula proposta pelo Grupo de Trabalho:

6. A CONTRATANTE terá o direito de acompanhar, monitorar, auditar e fiscalizar a

conformidade da CONTRATADA, diante das obrigações de operador, para a proteção de
dados pessoais referentes à execução deste contrato.

36. A sétima subcláusula proposta traz a figura do “encarregado” que conforme conceitua a legislação em
referência, é aquela pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados
(ANPD). (artigo 5º, inciso VIII, da Lei Federal nº. 13.709/2018)

7. As PARTES ficam obrigadas a indicar encarregado pela proteção de dados pessoais,

ou preposto, para comunicação sobre os assuntos pertinentes à Lei nº 13.709/2018,
suas alterações e regulamentações posteriores.

37. Nesse mesmo sentido, o Decreto Estadual nº. 48.237/2021 estabelece no artigo 9º que “O órgão, a
autarquia ou a fundação, no papel de controlador ou operador, deverá indicar encarregado pelo
tratamento de dados pessoais.”

38. Salienta-se, que nos termos do artigo 41 da legislação federal em referência, a identidade e as
informações de contato do encarregado deverão ser publicadas de forma clara e objetiva e ainda, a ele
compete:

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.

39. A oitava subcláusula traça o dever das partes em dar conhecimento formal a seus empregados e
colaboradores sobre as obrigações e condições que envolvem o tratamento das informações atinentes
à proteção de dados pessoais, uma vez que nos termos do artigo 47 da Lei Federal 13.709/2018,
qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a
segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu
término.

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_si… 10/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

8. As PARTES darão conhecimento formal a seus empregados e colaboradores das

obrigações e condições acordadas nesta cláusula. As diretrizes aqui estipuladas
deverão ser aplicadas a toda e qualquer atividade que envolva a presente contratação.

40. Observa-se que a proposta de cláusula de proteção de dados trazida pelo Grupo de Trabalho está em
conformidade com a Lei Federal nº. 13.709/2018, bem como com o Decreto Estadual n⸰. 47.237/2021,
não tendo esta Consultoria nenhuma complementação a fazer na minuta apresentada.

41. Destacamos apenas que em razão da dinamicidade da temática abrangida pelas cláusulas
apresentadas, sugerimos que na hipótese de ser apresentada alguma nova diretriz pelo Comitê
Estadual de Proteção de Dados Pessoais - CEPD, órgão colegiado consultivo no âmbito da
Administração Pública Estadual a quem nos termos do artigo 4º do Decreto Estadual nº. 41.237/2021
compete zelar, propor diretrizes, orientar, articular tecnicamente com especialistas, promover difusão
do conhecimento, promover e elaborar estudos, estimular a adoção de padrões para o tratamento e
proteção de dados pessoais, seja a questão novamente submetida para análise da Advocacia Geral do
Estado.

CONCLUSÃO

42. Ante o exposto e, sem olvidar a existência de outras nuances aqui não tratadas, não se pretendendo
ter como esgotada a matéria, dada sua natureza abrangente e dinâmica, entende-se que as propostas
apresentadas pelo Grupo de Trabalho sobre a Lei Geral de Proteção de Dados Pessoais estão em
consonância a legislação aplicável à matéria, especialmente a Lei Federal nº 13.709, de 2018, e o
Decreto Estadual nº 48.237, de 2021, razão pela qual as aprova.

43. De se ressaltar, por oportuno, que a aprovação de uma minuta-padrão, no caso em apreço não exime o
órgão ou a entidade estadual de submeter, no caso concreto, as minutas do instrumento e de seus
aditamentos para análise do órgão jurídico setorial.

44. Por fim, ressaltamos que a presente manifestação se limita, exclusivamente, às questões jurídicas que
envolvem o expediente, sem adentrar em aspectos técnicos, que escapam à alçada deste órgão
consultivo, tampouco, nas questões adstritas ao exercício da competência e da discricionariedade
administrativa, a cargo das autoridades competentes, nos exatos termos do que informa o art. 8º da
Resolução da AGE nº 93, de 5 de março de 2021[7].

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_si… 11/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

À consideração superior.

Tatiana Sales Cúrcio Ferreira

Procuradora do Estado de Minas Gerais
OAB/MG 102.714 MASP 1.182.174-1

De acordo.

Wallace Alves dos Santos

Procurador do Estado
Procurador-Chefe da Consultoria Jurídica

[1] Disponível em: https://advocaciageral.mg.gov.br/wp-content/uploads/2021/08/CARTILHA-

LGPD_03_AGO_2021.pdf
[2] Art. 5º Para os fins desta Lei, considera-se:
(...)
IX - agentes de tratamento: o controlador e o operador;
[3] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta
Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - (VETADO); (Incluído pela Lei nº 13.853, de 2019) (Promulgação partes vetadas)
XI - (VETADO); (Incluído pela Lei nº 13.853, de 2019) (Promulgação partes vetadas)
https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_si… 12/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

XII - (VETADO). (Incluído pela Lei nº 13.853, de 2019) (Promulgação partes vetadas)
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo
de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo
controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo
período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela
Lei nº 13.853, de 2019)
[4] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no
caput deste artigo, considerados a natureza das informações tratadas, as características específicas do
tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como
os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do
produto ou do serviço até a sua execução.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá
mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os
segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda
dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas
medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites
técnicos de seus serviços, para terceiros não autorizados a acessá-los.
[5] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de
governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação
ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e
https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_si… 13/14
27/08/2021 SEI/GOVMG - 34363623 - Nota Jurídica nº

dos benefícios decorrentes de tratamento de dados do titular.

[6] Artigo 6º, incisos VII e VIII da Lei Federal nº. 13.709/2018.
[7] Art. 8º – A manifestação jurídica deve se restringir à análise jurídica da questão submetida à consulta,
sendo defeso ao Procurador do Estado e ao Advogado Autárquico adentrar a análise de aspectos técnicos,
econômicos e financeiros, bem como de questões adstritas ao exercício da competência e da
discricionariedade administrativa, a cargo das autoridades competentes.

Documento assinado eletronicamente por Tatiana Sales Curcio Ferreira, Procurador(a) do Estado, em
27/08/2021, às 10:06, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto
nº 47.222, de 26 de julho de 2017.

Documento assinado eletronicamente por Wallace Alves dos Santos, Procurador(a) do Estado, em
27/08/2021, às 12:50, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto
nº 47.222, de 26 de julho de 2017.

A autenticidade deste documento pode ser conferida no site

http://sei.mg.gov.br/sei/controlador_externo.php?
acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 34363623 e o
código CRC D16322DA.

Referência: Processo nº 1500.01.0087115/2021-94 SEI nº 34363623

https://www.sei.mg.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=39786025&infra_si… 14/14