Proteção de dados pessoais em contratos de terceirização de TI na saúde pública: lacunas contratuais, responsabilização entre controlador e operador à luz da LGPD: lições do caso Zello

Abstract

Este trabalho analisa a conformidade dos contratos de terceirização de tecnologia da informação (TI) firmados pelo Ministério da Saúde com a Lei Geral de Proteção de Dados Pessoais (LGPD). Partindo da premissa de que a crescente externalização de serviços digitais, exemplificada pelo sistema e-SUS Notifica e a empresa Zello, amplia a circulação de dados em infraestruturas privadas, a pesquisa investiga como essa prática potencializa riscos de segurança, evidenciados pelos episódios de vazamento de dados de milhões de brasileiros em 2020. O objetivo principal é verificar se os instrumentos contratuais distribuem de forma clara as obrigações entre o ente público (controlador) e as empresas contratadas (operadoras). A problemática central reside na existência de lacunas contratuais, onde cláusulas de sigilo genéricas substituem previsões específicas de proteção de dados, gestão de incidentes e registros de operações de tratamento. Utilizando pesquisa bibliográfica e documental, com foco em editais, termos aditivos e normas como a IN SGD/ME nº 94/2022 e a Lei nº 14.133/2021, o estudo testa a hipótese de que a definição contratual de obrigações específicas para o operador é essencial para o fortalecimento da segurança. A análise indica que a imprecisão contratual dificulta a atribuição de responsabilidades e fragiliza o controle estatal. Conclui-se que o uso rigoroso de Estudos Técnicos Preliminares e modelos estruturados de governança é indispensável para identificar riscos precocemente e assegurar a efetividade da proteção de dados na Administração Pública federal.