Gestor público analisando documentos de licitação eletrônica em tela de computador, com ícones de segurança e cadeado representando proteção de dados

Compliance e Segurança de Dados em Licitações Eletrônicas: O que a Lei Exige

Por Equipe Munion 7 min de leitura
15 de julho de 2026 Compartilhar

LGPD e Lei Geral de Licitações impõem obrigações claras a gestores municipais. Saiba quais são os requisitos legais e como plataformas integradas reduzem riscos.

Resumo rápido

A Lei nº 14.133/2021 exige autenticidade, integridade e rastreabilidade em licitações eletrônicas, enquanto a LGPD obriga o município a proteger dados de fornecedores e notificar incidentes. Plataformas integradas que centralizam edital, propostas, contratos e comunicação em um único ambiente com log imutável reduzem riscos jurídicos e operacionais para o gestor.

Gestores de compras municipais que operam processos licitatórios digitais respondem, ao mesmo tempo, por dois regimes legais distintos: a Lei nº 14.133/2021 (Lei Geral de Licitações e Contratos) e a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, LGPD). Cada uma exige controles específicos. Quando os processos ocorrem em ambiente eletrônico, as obrigações se somam e qualquer falha de segurança pode gerar desde nulidade de certame até responsabilização civil da administração pública.

Este guia organiza as exigências legais, os requisitos técnicos de segurança da informação e as boas práticas de plataformas integradas que reduzem a exposição do município.

O que a Lei Geral de Licitações exige em processos eletrônicos

A Lei nº 14.133/2021 estabelece que o processo eletrônico de licitação deve garantir autenticidade, integridade e rastreabilidade de todos os atos. O art. 12 determina que os documentos do processo sejam acessíveis a qualquer interessado, exceto os que estejam sob sigilo justificado, e que toda a tramitação seja registrada em log com identificação do agente, data e hora.

Os principais requisitos operacionais para plataformas eletrônicas incluem:

  • Identificação segura dos usuários (preferencialmente via certificado digital ICP-Brasil ou Gov.br).
  • Registro imutável de cada ação praticada no sistema (audit trail).
  • Publicação obrigatória no Portal Nacional de Contratações Públicas (PNCP), conforme o art. 174.
  • Prazo mínimo de 10 anos para guarda dos documentos do processo (art. 169).
  • Mecanismo de sigilo para propostas e documentos de habilitação até o momento definido em edital.

A ausência de qualquer desses controles pode configurar irregularidade formal e comprometer a validade do certame, além de expor o gestor a impugnações e recursos administrativos.

Quais obrigações da LGPD se aplicam a licitações públicas

A LGPD se aplica à administração pública direta e indireta, inclusive municípios, conforme o art. 1º combinado com o art. 23 da lei. Nos processos licitatórios, há tratamento de dados pessoais desde a fase de cadastramento de fornecedores: nome, CPF, endereço, dados bancários e documentos societários de representantes legais são coletados e armazenados.

As bases legais que autorizam esse tratamento são o cumprimento de obrigação legal (art. 7º, II) e o exercício regular de direitos em processo administrativo (art. 7º, VI). Isso não elimina, porém, as demais obrigações do controlador, que no caso é a própria prefeitura:

  1. Mapear os dados tratados e registrar as finalidades no Registro das Operações de Tratamento de Dados.
  2. Adotar medidas técnicas e administrativas capazes de proteger os dados contra acessos não autorizados, vazamentos e destruição acidental.
  3. Nomear um Encarregado de Dados (DPO), ainda que a ANPD admita modelos simplificados para entes de pequeno porte.
  4. Notificar a ANPD e os titulares em caso de incidente de segurança com risco relevante, no prazo de dois dias úteis após a ciência do fato, conforme a Resolução CD/ANPD nº 15/2024.
  5. Eliminar ou anonimizar dados desnecessários após o prazo legal de guarda.

Um ponto que merece atenção especial: quando a prefeitura contrata uma plataforma de licitações eletrônica de terceiro, essa empresa atua como operadora dos dados. O contrato deve incluir cláusulas de DPA (Data Processing Agreement) que definam responsabilidades, medidas de segurança exigidas e procedimentos em caso de incidente.

Requisitos de segurança da informação para plataformas de licitação

Segurança da informação em licitações eletrônicas não é apenas uma exigência da LGPD: é também critério de conformidade técnica na contratação da própria plataforma. Ao elaborar o termo de referência para esse tipo de solução, o gestor deve exigir evidências documentadas dos seguintes controles:

Controle Por que importa
Criptografia em trânsito (TLS 1.2 ou superior) Impede interceptação de propostas e documentos sigilosos
Criptografia em repouso Protege dados armazenados contra acesso físico indevido
Autenticação multifator (MFA) Reduz risco de acesso com credenciais comprometidas
Backup com teste periódico de restauração Garante continuidade do processo em caso de falha
Logs de auditoria imutáveis e com retenção mínima de 10 anos Atende ao art. 169 da LGL e viabiliza investigação de irregularidades
Política de gestão de vulnerabilidades Assegura que falhas sejam corrigidas antes de exploradas
Conformidade com a ABNT NBR ISO/IEC 27001 (ou equivalente) Referência de mercado para gestão de segurança da informação

Além dos controles técnicos, a plataforma precisa oferecer rastreabilidade de ponta a ponta: cada download, cada alteração de status, cada acesso a documento sigiloso deve gerar registro com identificação do usuário. Essa rastreabilidade é o principal instrumento de defesa do gestor em caso de questionamento pelo TCU, TCE ou CGU.

Esse mesmo princípio de rastreabilidade e registro de comunicações vale em outros contextos municipais. Para saber mais sobre como garantir conformidade em canais digitais de comunicação com o cidadão, veja o post sobre comunicação oficial da prefeitura via WhatsApp: segurança, legislação e melhores práticas.

Como plataformas integradas reduzem riscos operacionais

A fragmentação de sistemas é um dos maiores vetores de risco em licitações eletrônicas. Quando cada etapa do processo ocorre em uma ferramenta diferente (planilha para controle interno, e-mail para notificações, sistema legado para contratos), aumentam as chances de inconsistência de dados, falhas de sigilo e ausência de log unificado.

Plataformas integradas resolvem esse problema ao centralizar:

  • Publicação e gestão do edital com versionamento e controle de alterações.
  • Recebimento e abertura de propostas com carimbo de tempo e criptografia.
  • Comunicação com fornecedores por canal rastreável (e-mail, WhatsApp Business API ou portal do fornecedor), com registro automático.
  • Assinatura eletrônica de contratos integrada ao sistema, sem necessidade de exportar documentos.
  • Gestão de atas e recursos com prazos monitorados e alertas automáticos.

A integração também simplifica a resposta a auditorias: em vez de reconstituir um processo a partir de diversas fontes, o auditor acessa um único ambiente com histórico completo. Isso reduz o tempo de resposta a diligências do TCE e diminui a carga sobre a equipe da secretaria.

Para municípios que já avançaram na digitalização de outros serviços, o caminho natural é conectar a plataforma de licitações ao ecossistema já implantado. O post sobre integração de sistemas na prefeitura: desafios e soluções para a gestão de TI municipal traz um panorama útil sobre como conduzir esse processo sem criar novos silos.

Responsabilidade do gestor e do agente de contratação

A Lei nº 14.133/2021 criou a figura do agente de contratação, que pode ser um servidor ou comissão, com atribuições e responsabilidades definidas. Esse agente responde pelos atos que praticar, inclusive pela escolha e configuração da plataforma eletrônica utilizada.

Quando um incidente de segurança compromete um certame (vazamento de proposta sigilosa, adulteração de documento, acesso indevido por terceiro), a investigação recai sobre quem aprovou os requisitos técnicos da contratação. Por isso, a due diligence sobre a plataforma precisa ser documentada no processo administrativo antes da assinatura do contrato.

Uma checklist mínima para essa etapa:

  1. Solicitar ao fornecedor evidências de conformidade com a LGPD (DPA assinado, política de privacidade, relatório de RIPD se aplicável).
  2. Verificar se a plataforma possui certificação ou relatório de auditoria de segurança atualizado.
  3. Exigir cláusula contratual de notificação de incidentes em até 48 horas.
  4. Registrar no processo a análise de riscos realizada pela equipe de TI ou consultoria especializada.
  5. Revisar periodicamente os acessos e permissões dos usuários cadastrados na plataforma.

Para gestores que estão iniciando o processo de contratação de ferramentas digitais para a prefeitura, o guia sobre licitação de software para prefeituras: como contratar soluções GovTech de comunicação oferece um roteiro prático do edital ao contrato.

Conclusão: conformidade como vantagem de gestão

Compliance em licitações eletrônicas não é custo administrativo: é proteção jurídica para o gestor, segurança para os fornecedores e credibilidade institucional para o município. A combinação de LGPD e Lei Geral de Licitações cria um arcabouço exigente, mas também muito claro sobre o que precisa ser feito.

A chave é escolher plataformas que nasçam conformes e que documentem isso de forma verificável, integrar os processos para eliminar lacunas de rastreabilidade e capacitar os agentes de contratação para que a conformidade seja uma prática cotidiana, não uma resposta emergencial a uma auditoria.

A Munion, plataforma SaaS de automação de notificações via WhatsApp para prefeituras, atua conectada a esses princípios de segurança e rastreabilidade em toda a comunicação municipal. Conheça as soluções disponíveis e veja como a tecnologia pode tornar a gestão pública mais eficiente e segura: munion.com.br.

Principais conclusões

  • A Lei nº 14.133/2021 exige registro imutável de todos os atos do processo licitatório e guarda mínima de 10 anos, conforme o art. 169.
  • A LGPD se aplica a municípios no tratamento de dados de fornecedores; a base legal principal é o cumprimento de obrigação legal (art. 7º, II).
  • Em caso de incidente de segurança, a prefeitura tem até dois dias úteis para notificar a ANPD, conforme a Resolução CD/ANPD nº 15/2024.
  • Ao contratar uma plataforma eletrônica de terceiro, o município deve exigir um DPA (Data Processing Agreement) com cláusulas de responsabilidade e procedimentos de resposta a incidentes.
  • Plataformas integradas eliminam a fragmentação de sistemas, reduzindo lacunas de rastreabilidade e facilitando a resposta a diligências de órgãos de controle.
  • O agente de contratação responde pelos atos que praticar, inclusive pela escolha e configuração da plataforma; a due diligence de segurança deve ser documentada no processo administrativo.

Perguntas frequentes

O município precisa de um DPO (Encarregado de Dados) para realizar licitações eletrônicas?

Sim. A LGPD obriga todos os controladores de dados, incluindo municípios, a nomear um Encarregado de Proteção de Dados. A ANPD admite modelos simplificados para entes de menor porte, como o compartilhamento do cargo entre secretarias ou consórcios municipais, mas a função não pode ser completamente suprimida.

Propostas sigilosas em licitação eletrônica precisam de criptografia específica?

A lei exige que as propostas permaneçam sigilosas até o momento da abertura definido em edital. Na prática, isso requer criptografia em repouso no servidor e controle de acesso rigoroso. A plataforma deve garantir que nem mesmo administradores do sistema consigam ler o conteúdo antes da abertura, registrando em log qualquer tentativa de acesso.

O que acontece se a plataforma de licitações sofrer um ataque e dados de fornecedores forem vazados?

O município, como controlador dos dados, é responsável pela notificação à ANPD em até dois dias úteis e aos titulares afetados. Também responde por eventuais danos causados, salvo se comprovar que adotou todas as medidas de segurança exigidas. Por isso, o contrato com a plataforma deve prever cláusula de notificação imediata ao município pelo operador.

Licitações publicadas no PNCP dispensam publicação no Diário Oficial?

A Lei nº 14.133/2021 estabelece o PNCP como plataforma obrigatória de publicidade, substituindo progressivamente o Diário Oficial para atos contratuais. O cronograma de implantação varia conforme o porte do município; pequenos municípios tiveram prazo estendido. É importante verificar a regulamentação atual do TCE estadual respectivo, pois alguns ainda exigem publicação dupla durante o período de transição.

Qual a diferença entre autenticidade e integridade de documentos em licitação eletrônica?

Autenticidade garante que o documento foi produzido por quem afirma tê-lo produzido, comprovada geralmente por assinatura digital com certificado ICP-Brasil ou Gov.br. Integridade garante que o conteúdo não foi alterado após a assinatura, verificada por meio de hash criptográfico. Ambas são exigidas pela Lei nº 14.133/2021 e devem ser suportadas pela plataforma utilizada.

Municípios pequenos com poucos servidores de TI conseguem atender todos esses requisitos?

Sim, por meio da contratação de plataformas SaaS especializadas que já incorporam os controles técnicos exigidos (criptografia, logs, MFA) e disponibilizam suporte técnico e jurídico. Consórcios intermunicipais também são uma alternativa para dividir custos de licenciamento e capacitação, mantendo a conformidade sem sobrecarregar equipes reduzidas.