REGISTRO DOI: 10.69849/revistaft/dt10202505272130
Felipe Thadeu Pilói
Resumo
A segurança da informação no setor público é fundamental para a proteção de dados pessoais e governamentais, garantindo a confidencialidade, integridade e disponibilidade das informações. A crescente incidência de ameaças cibernéticas, como ataques de ransomware e vazamentos de dados, exige uma resposta institucional robusta, especialmente diante do uso de sistemas legados, dispositivos pessoais e falhas humanas. A Lei Geral de Proteção de Dados (LGPD) aplica-se integralmente à administração pública, impondo obrigações relativas à finalidade, necessidade, transparência e segurança no tratamento de dados. A nomeação do Encarregado de Dados (DPO) é obrigatória e centraliza a governança da privacidade institucional. A LGPD convive com a Lei de Acesso à Informação (LAI), estabelecendo um equilíbrio entre transparência e proteção da privacidade. A adequação à LGPD é dever de todos os servidores públicos, cuja conduta deve pautar-se por sigilo e ética. O descumprimento da norma acarreta sanções administrativas, civis e disciplinares. A jurisprudência recente confirma sua aplicabilidade ao setor público, observando o princípio da proporcionalidade. Como diretrizes de conformidade, recomendam-se o engajamento da alta gestão, o mapeamento de dados e riscos, a revisão de políticas internas, a capacitação contínua dos servidores e a implementação de medidas técnicas de segurança. Conclui-se que a conformidade com a LGPD é indispensável para a mitigação de riscos, o cumprimento normativo e o fortalecimento da confiança da sociedade nas instituições públicas.
Palavras-chave: segurança da informação; setor público; LGPD; proteção de dados; conformidade; DPO; governança digital.
1. Conceito de Segurança da Informação no Setor Público
Segurança da informação refere-se ao conjunto de medidas e processos destinados a proteger informações importantes contra acesso, uso, divulgação, modificação ou destruição não autorizados1. No contexto do setor público, esse conceito abrange a preservação de dados governamentais e dados pessoais de cidadãos sob custódia do Estado, garantindo sua confidencialidade, integridade e disponibilidade. Em termos práticos, isso significa assegurar que informações sensíveis estejam acessíveis apenas a pessoas autorizadas (confidencialidade), permaneçam íntegras e corretas (integridade) e possam ser obtidas quando necessário (disponibilidade). Adicionalmente, no setor público é fundamental manter a autenticidade (fidedignidade da informação) e a traçabilidade (registro de acesso e uso da informação), dado o dever de prestação de contas e transparência governamental.
A segurança da informação no âmbito governamental também tem o papel de proteger o sigilo de informações de Estado e a privacidade do cidadão, mantendo a credibilidade dos órgãos públicos perante a sociedade2. Sistemas governamentais frequentemente armazenam dados pessoais sigilosos (por exemplo, informações de saúde, situação socioeconômica, dados fiscais) e informações estratégicas do Estado. A perda, manipulação ou exposição indevida desses dados pode comprometer direitos individuais, a confiança da população e até a segurança nacional. Portanto, uma gestão eficaz de segurança da informação é imprescindível para que a Administração Pública mantenha a continuidade dos serviços e cumpra sua missão institucional de forma confiável.
2. Principais Riscos e Vulnerabilidades em Órgãos Públicos
Órgãos públicos enfrentam diversos riscos e vulnerabilidades no que tange à segurança da informação. Ameaças cibernéticas estão em ascensão e o setor público é alvo recorrente devido à criticidade de seus dados e serviços. Ataques de hackers, como ransomware e invasões, já atingiram instituições brasileiras – em 2017, por exemplo, um ataque global afetou o INSS no Rio de Janeiro, interrompendo atendimentos ao cidadão.
Também houve incidentes no Poder Judiciário, como a invasão de computadores do Tribunal de Justiça de São Paulo, forçando o desligamento preventivo dos sistemas. Nenhum sistema está imune: ataques notórios aos sistemas do Tribunal Superior Eleitoral, do Superior Tribunal de Justiça e de diversos tribunais regionais comprovam essa vulnerabilidade3. Tais incidentes podem paralisar serviços essenciais, comprometer processos judiciais e expor grande volume de dados pessoais.
Do ponto de vista de vulnerabilidades, há tanto fatores tecnológicos quanto humanos e processuais. Muitos órgãos operam com sistemas legados e infraestrutura desatualizada, suscetíveis a falhas de segurança. A expansão do uso de dispositivos móveis, computação em nuvem e trabalho remoto amplia a superfície de ataque: servidores e funcionários acessam sistemas de fora do escritório, usando smartphones, tablets e redes domésticas, o que dificulta o controle e aumenta a vulnerabilidade da rede pública. A falta de controles efetivos (como políticas de senhas fortes, atualização de software e segmentação de rede) somada a falhas humanas – por exemplo, servidores não treinados que caem em golpes de phishing ou manipulam dados de forma inadequada – constitui outro ponto sensível. Além disso, ameaças internas (o acesso indevido ou vazamento deliberado de informações por integrantes da própria organização) representam risco significativo, exigindo mecanismos de controle de acesso e registro de atividades.
Outro aspecto é a proteção física e ambiental dos dados: documentos em papel ou mídias de backup mal armazenados podem ser furtados ou danificados acidentalmente, e a indisponibilidade de sistemas críticos por desastres (incêndios, quedas de energia) também figura entre os riscos. Por fim, vazamentos de dados em larga escala constituem um perigo real – internacionalmente, um caso emblemático ocorreu no Equador, onde informações pessoais de praticamente toda a população (cerca de 17 milhões de cidadãos) foram expostas em 2019, incluindo nomes, histórico educacional, empregos, contas bancárias e outros dados sensíveis. Esse exemplo extremo ilustra as consequências devastadoras de fragilidades na segurança: os dados roubados podem ser usados para fraude, roubo de identidade e outras práticas ilícitas. Em resumo, os órgãos públicos precisam mitigar uma variedade de vulnerabilidades técnicas e administrativas para prevenir tanto interrupções nos serviços à sociedade quanto a violação de direitos dos cidadãos.
3. Obrigações Legais da Administração Pública segundo a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018) se aplica integralmente à Administração Pública, estabelecendo obrigações legais específicas para órgãos e entidades governamentais no tratamento de dados pessoais. A LGPD tem como objetivo principal proteger os direitos fundamentais de liberdade e privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural4. Desde a entrada em vigor da lei (setembro de 2020), os órgãos públicos devem adequar seus processos internos para observar os mesmos princípios e deveres exigidos do setor privado, com algumas disposições particulares. Importante mencionar que a proteção de dados pessoais ganhou status constitucional em 2022: a Emenda Constitucional 115 incluiu a proteção de dados entre os direitos fundamentais (Constituição Federal, art. 5º, LXXIX), reforçando o imperativo legal de que o Poder Público resguarde a privacidade dos cidadãos5. Esse direito, contudo, deve ser harmonizado com outros princípios constitucionais aplicáveis à Administração, como o princípio da publicidade dos atos públicos (CF, art. 37, caput). Em outras palavras, a privacidade e a proteção de dados são valores garantidos, mas não absolutos, devendo conviver com a transparência e o interesse público, conforme os termos da lei.
a) Princípios e bases legais: A LGPD elenca princípios norteadores que a Administração deve observar no tratamento de dados, tais como: finalidade específica e informada, adequação à finalidade divulgada, necessidade (limitação dos dados ao mínimo necessário), transparência ativa e passiva com os titulares, segurança dos dados, prevenção de danos, não discriminação e responsabilização e prestação de contas, entre outros. Esses princípios estão positivados no art. 6º da LGPD e vinculam juridicamente os órgãos públicos. Ademais, o tratamento de dados pessoais pelo Poder Público deve basear-se em uma base legal adequada, conforme o art. 7º da LGPD. No caso da Administração Pública, a base legal mais comum não é o consentimento do titular, mas sim o cumprimento de obrigação legal ou execução de políticas públicas, nos termos do art. 7º, incisos II e III. O art. 23 da LGPD reforça que órgãos públicos só devem tratar dados pessoais para atender a sua finalidade pública, perseguindo o interesse público e executando competências ou obrigações legais do serviço público. Ou seja, todo uso de dados por órgãos governamentais precisa estar ligado a suas atribuições legais e ser justificável pelo interesse público legítimo.
b) Transparência e dever de informar: Apesar de o consentimento não ser normalmente exigido na esfera pública, a LGPD impõe deveres de transparência. Os órgãos públicos devem informar claramente quais dados pessoais tratam e para quais finalidades, indicando a base legal que autoriza cada operação. De acordo com o art. 23, inciso I, da LGPD, a Administração deve disponibilizar em meio de fácil acesso (preferencialmente em seus sites oficiais) informações atualizadas sobre suas atividades de tratamento de dados pessoais, incluindo a previsão legal que as embasa, a finalidade, os procedimentos e as práticas de segurança adotadas. Essa medida visa permitir o controle social e garantir que os cidadãos saibam como seus dados são utilizados pelo Poder Público, reforçando o princípio da transparência previsto na própria LGPD.
c) Encarregado de Dados (DPO) e governança: Outro requisito legal é a nomeação de um Encarregado pelo Tratamento de Dados Pessoais, comumente chamado de DPO (Data Protection Officer). Conforme a LGPD, art. 23, II, e art. 41, os órgãos públicos devem indicar um encarregado sempre que realizarem operações de tratamento de dados pessoais. O Encarregado é a pessoa (física ou jurídica) designada para atuar como canal de comunicação entre o órgão (controlador), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas atribuições incluem: receber reclamações e comunicações dos titulares, prestar esclarecimentos e tomar providências; receber comunicações da ANPD e adotar medidas; orientar os funcionários da instituição a respeito das práticas a serem tomadas em relação à proteção de dados; e executar demais determinações da ANPD (art. 41, §2º, da LGPD).
No contexto público, o Encarregado geralmente fica responsável por coordenar os esforços de adequação à LGPD, responder dúvidas de cidadãos sobre seus dados e promover a cultura de proteção de dados dentro do órgão. Cabe destacar que a designação do DPO não exime as entidades públicas das obrigações de transparência previstas na Lei de Acesso à Informação – elas devem manter Serviço de Informações ao Cidadão (SIC) e autoridades de monitoramento da LAI, conforme o §2º do art. 23 da LGPD, ou seja, ambas as funções (transparência ativa/passiva e proteção de dados) devem coexistir na estrutura administrativa.
d) Segurança e prevenção: A Administração Pública tem o dever legal de implementar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais sob sua guarda. O art. 46 da LGPD determina essa obrigação de segurança, visando prevenir acessos não autorizados e incidentes (destruição, perda, vazamento, alteração ou difusão ilícita de dados). Assim, órgãos públicos precisam adotar controles como criptografia, controle de acessos, políticas de senhas, registros de log de acesso a sistemas, backup de informações, entre outras práticas de segurança da informação. A observância do princípio da prevenção implica atuar proativamente para evitar danos em virtude do tratamento de dados pessoais. Adicionalmente, em caso de incidente de segurança que possa acarretar risco ou dano aos titulares, o órgão público, na qualidade de controlador, deve notificar a ANPD e os próprios titulares afetados (conforme art. 48 da LGPD). Isso inclui incidentes ocorridos em bases de dados governamentais, como vazamentos significativos. O não cumprimento desse dever de comunicação pode acarretar sanções e responsabilidades adicionais.
e) Demais obrigações: A LGPD também assegura aos titulares uma série de direitos (art. 18) – como o direito de confirmar a existência de tratamento, acesso aos seus dados, correção, eliminação (nos casos aplicáveis), oposição, revisão de decisões automatizadas, etc. Os órgãos públicos devem estar preparados para atender a essas solicitações dentro dos prazos legais. Contudo, a própria LGPD reconhece que o exercício de alguns direitos dos titulares perante o Poder Público obedecerá a legislação específica, como a Lei do Habeas Data (Lei 9.507/1997) e a Lei de Processo Administrativo (Lei 9.784/1999), conforme o §3º do art. 23. Na prática, isso significa que se um cidadão quiser, por exemplo, acessar ou retificar dados mantidos por um órgão público, poderá fazê-lo pelos canais instituídos (ouvidorias, SIC da LAI, pedidos de habeas data na via judicial, etc.), observando procedimentos próprios já estabelecidos em lei.
É importante frisar que o arcabouço legal de proteção de dados no setor público não se resume à LGPD. O Tribunal de Contas da União (TCU) ressaltou em relatório que a Constituição Federal, a Lei de Acesso à Informação, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, entre outras normas, também integram o sistema legal de privacidade e proteção de informações pessoais na esfera pública. Por exemplo, a Constituição, além de garantir a privacidade (art. 5º, X) e a proteção de dados (art. 5º, LXXIX), impõe princípios como o da publicidade (art. 37, caput) e prevê o direito de qualquer pessoa receber dos órgãos públicos informações de seu interesse coletivo ou geral (art. 5º, XXXIII). Já a Lei de Acesso à Informação estabelece diretrizes de transparência ativa e passiva, inclusive no tratamento de informações pessoais. Portanto, a Administração deve atuar em conformidade com um conjunto de normas inter-relacionadas, equilibrando transparência e sigilo, proteção de dados pessoais e acesso à informação pública, de forma integrada.
4. LGPD vs. Lei de Acesso à Informação: Diferenças e Complementaridade
A Lei de Acesso à Informação (LAI, Lei nº 12.527/2011) e a LGPD tem objetivos distintos, mas complementares, no âmbito do setor público. A LAI consagrou o direito do cidadão de obter informações sob posse do Estado, reforçando o princípio da publicidade e a transparência governamental. Já a LGPD veio para resguardar os direitos à privacidade e proteção dos dados pessoais, regulando como quaisquer agências (públicas ou privadas) devem tratar informações de pessoas naturais. Em resumo, enquanto a LAI disciplina o acesso à informação pública (com foco no controle social e na transparência das ações estatais), a LGPD disciplina a proteção de dados pessoais (com foco na privacidade individual e boas práticas de tratamento de dados). Uma diferença fundamental está no sujeito do direito e no alcance de cada lei: pela LAI, qualquer pessoa pode solicitar informações a órgãos públicos, inclusive dados que estejam em documentos, bancos de dados ou relatórios governamentais (salvo exceções legais). Já pela LGPD, o titular dos dados pessoais (a própria pessoa a quem os dados se referem) tem direitos de controlar e ser informado sobre o tratamento de seus dados, inclusive quando tratados por órgãos públicos – por exemplo, pode requerer confirmação de tratamento, correção ou eliminação de seus dados pessoais mantidos pelo governo. A LAI é voltada à transparência ativa e passiva de informações governamentais em geral (incluindo dados institucionais, gastos públicos, documentos oficiais etc.), ao passo que a LGPD foca nas informações personalíssimas (dados relativos a indivíduos identificados ou identificáveis) e impõe requisitos para seu uso lícito.
Apesar dessas diferenças de enfoque, LGPD e LAI não são antagônicas – ao contrário, elas se complementam e se reforçam mutuamente. Ambas buscam aperfeiçoar a governança da informação pública, cada qual de um ângulo específico: a LAI promove a transparência e o controle social, enquanto a LGPD promove a responsabilização no tratamento de dados e a proteção da intimidade. Em uma decisão judicial marcante, reconheceu-se que LGPD e LAI expressam princípios e propósitos similares, de modo que devem ser aplicadas de forma harmônica, equilibrando o princípio da transparência com a tutela das informações pessoais. De fato, a própria LGPD traz dispositivos que dialogam com a LAI. Por exemplo, o caput do art. 23 da LGPD menciona explicitamente as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da LAI, deixando claro que os tratamentos de dados nessas entidades devem atender à finalidade pública e ao interesse público. E o §2º do art. 23, como visto, exige que os órgãos mantenham as estruturas de transparência da LAI (autoridades de monitoramento etc.), ou seja, compliance em proteção de dados não pode significar retrocesso em transparência pública.
Um ponto central de complementação é a questão das informações pessoais sob custódia do Estado. A LAI estabelece, no seu art. 31, que informações pessoais relativas à intimidade, vida privada, honra e imagem das pessoas terão acesso restrito por até 100 anos, independentemente de classificação de sigilo, acessíveis apenas a agentes públicos autorizados e ao próprio titular. Ou seja, dados pessoais considerados sensíveis ou referentes à esfera privada não são livremente divulgados pela Administração, em respeito à privacidade (princípio consagrado também no art. 5º, X, da Constituição). No entanto, o mesmo art. 31 da LAI prevê hipóteses em que informações pessoais podem ser disponibilizadas a terceiros sem consentimento do titular, se presentes certas condições de interesse público. Entre essas hipóteses estão: pesquisa científica (desde que anonimizada quando possível), cumprimento de ordem judicial, defesa de direitos humanos, proteção do interesse público geral e preponderante, ou recuperação de fatos históricos de maior relevância. Além disso, o §1º do art. 31 permite a divulgação de informações pessoais mediante previsão legal ou consentimento expresso do titular, e o §3º dispensa o consentimento do titular quando as informações forem necessárias para fins específicos como proteção da vida, saúde pública, tutela da segurança, entre outros (abrangendo, por exemplo, emergências médicas) – situações análogas a algumas bases legais de tratamento previstas também na LGPD.
Em suma, a regra geral é que dados pessoais em poder do poder público são protegidos e de acesso restrito, salvo quando haja um interesse público claro e normativamente previsto que justifique sua divulgação. A Constituição Federal dá suporte a esse equilíbrio no art. 5º, XXXIII, que assegura a todos o direito de receber dos órgãos públicos informações de interesse coletivo ou geral (princípio da publicidade), ressalvadas apenas duas hipóteses de sigilo: (i) quando o sigilo for imprescindível para a segurança da sociedade e do Estado, e (ii) para resguardar a intimidade, vida privada, honra e imagem das pessoas. Ou seja, a transparência é a regra, e o sigilo (inclusive para proteção de dados pessoais) é a exceção, aplicada somente nos casos expressamente previstos. Assim, a LGPD não veio abolir ou conflitar com a LAI, mas sim estabelecer parâmetros para que, ao divulgar informações ou manejar dados, o Poder Público o faça respeitando os direitos dos titulares e a finalidade legítima. Por exemplo, muitas bases de dados governamentais são publicamente acessíveis (como portais de transparência, Diário Oficial, etc.), mas isso não significa que a Administração possa tratar esses dados de forma indiscriminada – a LGPD lembra que mesmo dados pessoais de acesso público devem ser tratados considerando a finalidade que justificou sua disponibilização e o interesse público que legitima sua publicidade.
Na prática, os gestores públicos devem tomar cuidado para não usar a LGPD como justificativa genérica para negar acesso a informações públicas que deveriam ser divulgadas pela LAI. Depois da LGPD, alguns órgãos passaram a indeferir pedidos de informação alegando proteção de dados pessoais de forma ampla, o que contraria o espírito das leis. O TCU já constatou que a invocação indevida da LGPD pode comprometer a transparência e dificultar o controle social, recomendando que haja critérios claros nessa análise. De fato, casos concretos chegaram ao Judiciário: por exemplo, um deputado estadual em Santa Catarina solicitou, via LAI, acesso aos diários de bordo de uma aeronave pública (Arcanjo-06, usada em resgates aeromédicos), para averiguar possível uso político indevido da aeronave. A informação foi negada pelo órgão sob argumento de conter dados pessoais (nomes de tripulantes e passageiros) e esbarrar na LGPD, já que não haveria consentimento dos envolvidos. Ao julgar o caso, o Tribunal de Justiça de Santa Catarina ressaltou que a LGPD não pode ser usada como obstáculo absoluto ao acesso de dados e informações de interesse público legítimo (Mandado de Segurança n. 5051817-37.2022.8.24.0023/SC). A decisão reconheceu que LGPD e LAI devem ser aplicadas conjuntamente: sendo o requerimento fundamentado em finalidade pública e exercício do controle externo (fiscalização parlamentar, no caso), não seria legítimo esconder as informações sob pretexto de dados pessoais, cabendo, quando muito, alguma medida para mitigar exposição excessiva da privacidade. Em síntese, a proteção de dados pessoais não anula o dever de transparência, devendo o gestor público analisar caso a caso a predominância do interesse público ou privado envolvido. Muitas vezes, é possível atender a ambos os diplomas: por exemplo, fornecendo a informação solicitada pela LAI com a anonimização ou supressão de identificadores diretos (nome, CPF) para proteger a identidade individual, quando a identificação não for necessária ao interesse público. O importante é ter em mente que LAI e LGPD se complementam: a primeira garante governo aberto e acessível, e a segunda garante um governo responsável no trato dos dados pessoais – juntos, fortalecem a confiança da população na Administração.
5. Responsabilidades dos Servidores Públicos e do Encarregado de Dados (DPO)
A adequação à LGPD no setor público não é tarefa apenas de um departamento isolado – ela requer o engajamento de todos os servidores e colaboradores, cada um no âmbito de suas funções. Servidores públicos, ao lidar com dados pessoais de cidadãos ou colegas, têm o dever de observar os princípios da proteção de dados e as normas internas de segurança da informação. Isso significa, por exemplo, coletar apenas os dados estritamente necessários para a atividade pública em questão (princípio da necessidade), utilizar os dados somente para as finalidades legais ou administrativas determinadas (princípio da finalidade e adequação) e garantir a confidencialidade dessas informações, evitando divulgações não autorizadas. Todo órgão público deve ter políticas ou normas de conduta a respeito do sigilo de informações: em geral, os servidores assinam termos de confidencialidade e estão sujeitos a regimes disciplinares (como a Lei 8.112/1990, no caso federal) que punem a divulgação indevida de dados sigilosos. Portanto, cada servidor é um guardião dos dados sob sua responsabilidade – falhas humanas continuam sendo uma das principais causas de incidentes de segurança, seja por descuido (por exemplo, envio de informações sensíveis para email errado, perda de dispositivo contendo dados) ou por má-fé (uso dos dados para fins pessoais ou políticos).
Os servidores também devem cooperar com a implementação das medidas de segurança e privacidade definidas pelo órgão. Isso inclui cumprir protocolos de segurança (uso de senhas fortes, duplo fator de autenticação, atualização de softwares), participar de treinamentos e capacitações em proteção de dados, relatar incidentes ou vulnerabilidades que presenciarem e incorporar as melhores práticas no dia a dia. Por exemplo, um funcionário de RH que lida com dados de servidores deve garantir que planilhas contendo informações pessoais fiquem armazenadas em local seguro, acessível apenas a quem de direito, e nunca compartilhar esses dados por meios informais. Já um atendente em uma unidade de saúde pública deve certificar-se de não expor dados de pacientes em ambientes de espera, não comentar casos em redes sociais, etc. A consciência e a responsabilidade individual de cada servidor são peças chave para a conformidade: a cultura de proteção de dados deve permear a organização pública em todos os níveis.
Em paralelo, a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO) desempenha um papel central na governança da privacidade dentro do órgão. Conforme definido anteriormente, o Encarregado é o elo de comunicação entre a instituição, os titulares dos dados e a ANPD. Na prática, no setor público, o DPO tipicamente acumula as funções de orientar e conscientizar todos os servidores sobre as diretrizes da LGPD, estabelecer procedimentos para atender aos direitos dos titulares e monitorar a conformidade do órgão com a legislação. Por exemplo, se um cidadão enviar uma reclamação ou pergunta sobre o uso de seus dados por determinada secretaria, caberá ao Encarregado recebê-la e providenciar uma resposta adequada, eventualmente solicitando às áreas internas as informações necessárias. Se a ANPD encaminhar uma fiscalização, questionamento ou determinação ao órgão, será o Encarregado quem formalmente responderá e coordenará as ações para cumprimento. As atribuições do DPO incluem também a elaboração de documentos de compliance (como políticas de privacidade, avisos de privacidade nos sites governamentais, relatórios de impacto à proteção de dados quando exigidos) e a implementação de mecanismos de controle. Ele deve promover avaliações periódicas dos processos que tratam dados pessoais, verificando aderência à LGPD, e recomendar melhorias. Muitas organizações públicas criaram Comitês de Privacidade ou grupos de trabalho multidisciplinares, dos quais o DPO faz parte ou que ele mesmo lidera, englobando áreas como TI, jurídico, ouvidoria, RH, entre outras – isso porque a proteção de dados afeta aspectos diversos (tecnologia, jurídico-regulatório, relacionamento com o público, segurança física). Vale salientar que, embora o DPO seja um importante ponto focal, a responsabilidade pela proteção de dados é compartilhada: gestores de cada departamento precisam incorporar os requisitos de privacidade em seus projetos e rotinas, sob orientação do DPO. Além disso, os dirigentes máximos do órgão (secretários, diretores, reitores etc.) têm o dever de dar apoio institucional ao DPO, assegurando recursos e autonomia para que ele exerça suas funções. Essa estrutura de governança demonstra comprometimento da administração com a conformidade legal – elemento alinhado ao princípio da prestação de contas (accountability) da LGPD, pelo qual o órgão deve não só cumprir a lei, mas comprovar que o faz, por meio de registros, relatórios e designações formais de responsáveis.
Em suma, aos servidores públicos em geral cabe agir com ética, sigilo e zelo no tratamento de dados pessoais, cumprindo as normas da LGPD e as políticas internas correlatas. E ao Encarregado (DPO) cabe orquestrar a conformidade, servindo de referência técnica e canal institucional para questões de proteção de dados. No caso de descumprimento ou irregularidades, tanto a instituição quanto eventualmente servidores específicos podem ser responsabilizados, como veremos a seguir – daí a importância de cada um compreender bem suas responsabilidades individuais.
6. Consequências Jurídicas do Descumprimento da LGPD
O descumprimento da LGPD por parte de órgãos públicos pode acarretar diversas consequências jurídicas, de natureza administrativa, civil e até mesmo disciplinar.
Administrativamente, a Autoridade Nacional de Proteção de Dados (ANPD) possui competência para aplicar sanções aos chamados agentes de tratamento (controladores e operadores) pela violação à LGPD. As sanções administrativas estão elencadas no art. 52 da lei e incluem: advertência (com obrigação de medidas corretivas), publicização da infração (tornar público que o órgão violou a lei, afetando sua reputação), bloqueio dos dados pessoais envolvidos na infração, eliminação dos dados pessoais referentes à infração, suspensão parcial ou total das atividades de tratamento por determinado período, entre outras. Importa destacar que a LGPD, ao tratar de sanções pecuniárias (multas), estabeleceu parâmetros voltados a pessoas jurídicas de direito privado – por exemplo, multa de até 2% do faturamento da empresa, limitada a R$50 milhões por infração. Órgãos públicos não possuem “faturamento”, de modo que a sanção de multa não se aplica nos mesmos termos. O próprio art. 52, §3º, explicita que as sanções de advertência, publicização, bloqueio, eliminação e suspensões podem ser aplicadas a entidades e órgãos públicos, sem prejuízo das sanções previstas em outras leis, como o regime disciplinar dos servidores (Lei 8.112/1990, no âmbito federal) e a Lei de Improbidade Administrativa (Lei 8.429/1992). Em outras palavras, a ANPD ao constatar uma infração em um órgão público poderia, por exemplo, emitir uma advertência e exigir um plano de adequação, ou tornar pública a ocorrência (o que impacta na imagem do órgão), mas se houver necessidade de punir individualmente um servidor responsável pela infração, isso se dará via processos administrativos internos ou ações de improbidade, e não via multa da ANPD.
Além das sanções aplicadas pela ANPD, o Poder Judiciário pode ser acionado nos casos de violação da LGPD. A própria lei prevê, no art. 42, a responsabilização civil do controlador (inclusive entidades públicas) que, em razão do tratamento de dados, cause dano patrimonial, moral, individual ou coletivo. Assim, titulares de dados podem ingressar com ações judiciais pleiteando indenização por danos morais ou materiais decorrentes, por exemplo, de um vazamento de seus dados pessoais ou do uso indevido de suas informações por um órgão público. Já há precedentes na justiça brasileira reconhecendo dano moral presumido pela disponibilização indevida de dados pessoais, ainda que não sensíveis, em bancos de dados de acesso a terceiros6. Transpondo ao contexto público, caso um cidadão tenha seus dados expostos injustificadamente por falha de um órgão, ele pode processar o Estado e obter reparação financeira. Como regra geral de responsabilidade civil do Estado (CF, art. 37, §6º), a administração pública responde objetivamente pelos danos causados por seus agentes a terceiros, inclusive em matéria de dados – cabendo depois ação regressiva contra o agente que cometeu o ato ilícito. Dessa forma, um incidente de segurança grave, como o vazamento de uma base de dados governamental contendo informações pessoais, pode resultar não só em desgaste político, mas também em condenações judiciais ao pagamento de indenizações às vítimas do vazamento, caso fique demonstrado que faltaram as medidas de segurança adequadas (o art. 46 da LGPD impõe o dever de segurança, e seu descumprimento é forte evidência de negligência).
No campo disciplinar e da improbidade administrativa, o desrespeito à LGPD pode configurar violação de dever funcional e até ato ímprobo. Servidores públicos que violarem sigilo de informações pessoais deliberadamente, ou utilizarem dados de forma incompatível com a finalidade pública (por exemplo, acessar dados de contribuintes sem necessidade de serviço, ou repassar dados a terceiros de forma ilegal), podem ser submetidos a processo administrativo disciplinar, com penas que vão desde advertência até suspensão ou demissão, dependendo da gravidade e da legislação de cada ente federativo. Além disso, a Lei de Improbidade (atualizada pela Lei 14.230/2021) prevê como ato ímprobo a violação de princípios da administração ou o comprometimento indevido de patrimônios públicos e de terceiros. Se uma autoridade ou gestor público deixa de implementar deliberadamente os controles de proteção de dados ou ignora riscos conhecidos, e disso resulta um dano ou uma violação de direitos dos cidadãos, é possível argumentar que houve ofensa aos princípios da legalidade, publicidade (na vertente do dever de transparência responsável) e eficiência, podendo configurar improbidade (a ser avaliada caso a caso). O §3º do art. 52 da LGPD, ao citar a Lei de Improbidade junto com a LAI e o estatuto dos servidores, reforça que infrações de dados pessoais no setor público podem ensejar também essas vias de responsabilização.
Outra consequência importante é a intervenção de órgãos de controle. Tribunais de Contas, Ministério Público e corregedorias internas têm intensificado a fiscalização do cumprimento da LGPD nos órgãos públicos. Em 2022, o TCU realizou ampla auditoria em 382 organizações públicas federais e constatou um panorama preocupante de baixa conformidade: por exemplo, 25% dos órgãos não possuíam nem política básica de segurança da informação, e 75% não haviam elaborado política de privacidade, revelando falta de transparência sobre o tratamento de dados pessoais. Apenas 14% das organizações tinham procedimentos plenamente implementados para atender todos os direitos dos titulares previstos no art. 18 da LGPD. Esses achados levaram o TCU a expedir recomendações e alertas, e o acompanhamento contínuo dessas entidades está previsto, de modo que falhas persistentes podem resultar em determinações corretivas. Em complemento, caso um órgão não forneça resposta adequada a um titular sobre seus dados pessoais, este titular pode recorrer às Ouvidorias ou ao Judiciário via Habeas Data, para fazer valer seus direitos. O Habeas Data, previsto na Constituição (art. 5º, LXXII) e regulamentado pela Lei 9.507/1997, é o remédio específico para o cidadão acessar dados pessoais sobre si mantidos por instituições públicas ou corrigi-los, quando não conseguir pela via administrativa – o que reforça a possibilidade de controle judicial sobre bancos de dados públicos.
Por fim, deve-se considerar as consequências institucionais e reputacionais. Em tempos de ampla conscientização sobre privacidade, um incidente de dados ou a pecha de “órgão que não cumpre a LGPD” pode abalar a confiança do público na instituição. A publicidade de uma infração (seja pela ANPD, pela imprensa ou por redes sociais) tende a gerar repercussão negativa, cobrança de autoridades superiores e pressão por mudanças na gestão. Diferente do setor privado, onde a sanção financeira doi no capital da empresa, no setor público a sanção mais temida é a exposição negativa e a perda de credibilidade, o que pode inclusive afetar gestores politicamente (um escândalo de vazamento de dados ou descaso com LGPD pode gerar convocações para explicações em legislativos, procedimentos do Ministério Público, etc.). Portanto, o descumprimento da LGPD acarreta riscos múltiplos: legais (sanções e processos), funcionais (punições a servidores), e estratégicos (erosão da legitimidade perante os cidadãos).
7. Jurisprudência Relevante sobre LGPD no Setor Público
Nesses primeiros anos de vigência da LGPD, o Poder Judiciário brasileiro já produziu julgados importantes esclarecendo a aplicação da lei de dados no setor público e sua relação com outros direitos. A seguir, destacamos alguns casos e entendimentos relevantes:
a) Caso TJSC – LAI vs. LGPD e Interesse Público: O Tribunal de Justiça de Santa Catarina enfrentou em 2023 o conflito entre transparência e privacidade no contexto dos diários de bordo da aeronave Arcanjo-06 (caso mencionado anteriormente). Na Apelação/Remessa Necessária nº 5051817-37.2022.8.24.0023, julgada em 30/11/2023, a Corte catarinense decidiu manter a ordem parcial que havia permitido o acesso a informações públicas de interesse coletivo, mesmo contendo dados pessoais, por entender que havia claro interesse público prevalente. Os desembargadores afirmaram que a LGPD não representa um obstáculo ao acesso legítimo a dados quando configurado o interesse público na informação. Também frisaram que a LGPD e a LAI devem ser interpretadas de forma complementar, ambas promovendo tanto a transparência quanto à proteção da pessoa. No caso concreto, a divulgação foi autorizada de forma mitigada, preservando-se parte das informações pessoais (como nomes) para atender à finalidade de fiscalização sem expor excessivamente os indivíduos. Os recursos de ambas as partes foram desprovidos, consolidando o entendimento de que não se pode invocar genericamente a LGPD para blindar dados cujo conhecimento seja necessário ao controle social. Esse julgado serve de importante referência: ele estabelece que a Administração Pública deve demonstrar, de forma fundamentada, porque eventual dado pessoal não poderia ser revelado mesmo diante de interesse público – e que a solução pode estar em medidas intermediárias, como anonimização, em vez da negativa completa de acesso.
b) Caso STJ – Publicidade x Privacidade de Agentes Públicos: O Superior Tribunal de Justiça (STJ) já proferiu decisões indicando como equilibrar o direito à proteção de dados com princípios da Administração Pública. Um exemplo notável é o RMS 55.819/MG, julgado pela Primeira Turma em 20227. Nesse caso, discutiu-se a legalidade de um decreto estadual que exigia de servidores públicos a entrega anual das declarações de bens e valores (patrimônio pessoal) para controle – medida voltada ao combate à corrupção e prevista na Lei de Improbidade (art. 13 da Lei 8.429/1992).
Servidores questionaram a exigência, alegando violação de privacidade e, inclusive, invocando o recém-incorporado direito fundamental à proteção de dados (CF, art. 5º, LXXIX). O STJ, porém, negou provimento ao recurso dos servidores, entendendo que a transparência patrimonial de agentes públicos é constitucional e não afronta a LGPD. O relator, Ministro Gurgel de Faria, salientou que a inclusão do direito à proteção de dados na Constituição não torna esses direitos absolutos – agentes públicos têm uma expectativa reduzida de privacidade em relação a atos ligados à sua função. Citando precedente do STF, pontuou que não é legítimo um agente público pretender não revelar informações sobre a evolução de seu patrimônio, pois tal exigência decorre de princípios da Administração, como moralidade e publicidades. Além disso, observou que a própria Constituição condiciona a proteção de dados “nos termos da lei” (art. 5º, LXXIX), e no caso a lei impõe a publicidade controlada desses dados (no caso, a declaração de bens, conforme Lei de Improbidade). O STJ destacou, contudo, que dar os dados patrimoniais à Administração não significa torná-los públicos irrestritamente: cabe ao órgão manter a guarda sigilosa desses dados e usá-los apenas para a finalidade de controle, respeitando a LGPD e a privacidade dos servidores perante o público. Em suma, esse julgado do STJ demonstra a compatibilização prática entre LGPD e outras normas: a coleta de dados pessoais de servidores pode ser obrigatória por lei e legítima (não violando a LGPD), desde que haja fundamento legal e finalidade pública clara, e desde que a Administração proteja tais dados contra exposições indevidas, garantindo uso restrito conforme a finalidade. Esse equilíbrio reflete o que a LGPD preconiza – possibilidade de tratamento de dados pelo poder público para cumprimento de obrigação legal ou política pública (art. 7º, II e III), aliada ao dever de segurança e prevenção de usos indevidos.
c) Outros precedentes e entendimentos: Ainda na seara do STJ, há decisões relevantes como a do REsp 2.135.783/SP (2024), na Terceira Turma, em que se reconheceu que decisões automatizadas no setor de transportes (plataformas de aplicativos) envolvem tratamento de dados pessoais e devem respeitar a LGPD – um indicativo de que mesmo atividades de regulação ou fiscalização pública de setores privados precisam incorporar as garantias da LGPD, como o direito do indivíduo de revisar decisões automatizadas que o afetem. No âmbito dos Tribunais Regionais Federais e Tribunais de Justiça, multiplicam-se casos envolvendo LGPD: por exemplo, ações de cidadãos requerendo retirada de seus nomes de divulgações públicas na internet (balanceando direito ao esquecimento vs. transparência dos atos oficiais); ações civis do Ministério Público exigindo adequação de bases de dados governamentais; e questões trabalhistas quanto ao compartilhamento de dados de candidatos em concursos públicos (PP 0004068-95.2015.2.00.0000/CNJ). Em linhas gerais, a jurisprudência emergente tem reafirmado que a LGPD se aplica, sim, ao Poder Público, mas deve conviver harmonicamente com os deveres de transparência e demais obrigações legais do Estado. Os julgados vêm enfatizando a análise de proporcionalidade em cada caso concreto – avaliando se determinado tratamento ou divulgação de dado pessoal por um órgão atende a uma finalidade pública legítima e se foram observadas as salvaguardas de segurança e minimização de dados.
Vale notar que a Autoridade Nacional de Proteção de Dados (ANPD) também exerce função “parajudicial” ao editar normas interpretativas e julgando processos administrativos que podem consolidar entendimentos. Em 2021 e 2022, a ANPD editou regulamentações específicas para órgãos públicos (por exemplo, normatizando a possibilidade de dispensa de indicação do DPO para micro e pequenas entidades, o que não atinge a maioria dos órgãos públicos de grande porte) e tem publicado guias orientativos. Até o momento (2025), a ANPD já aplicou sanções em alguns casos emblemáticos, embora principalmente contra empresas privadas – não obstante, deixou claro em suas resoluções que órgãos públicos, se violarem a LGPD, estarão sujeitos a medidas corretivas, à publicização das falhas e a comunicação aos órgãos de controle competentes para apuração de responsabilidade. Assim, o arcabouço de jurisprudência e decisões administrativas em desenvolvimento aponta para um cenário em que a proteção de dados se consolida como parte integrante do regime jurídico-administrativo brasileiro, influenciando a forma como o poder público coleta, utiliza e divulga informações.
8. Diretrizes para Implementação de um Programa de Conformidade (Boas Práticas)
Implementar a LGPD em uma entidade pública exige um programa de conformidade estruturado, envolvendo ações multidisciplinares e contínuas. A seguir, apresento diretrizes e boas práticas que gestores públicos podem adotar para assegurar a adequação à LGPD e fortalecer a segurança da informação, em consonância com as normas brasileiras e padrões internacionais:
a) Comprometimento da Alta Gestão e Governança: O primeiro passo é obter o engajamento da cúpula do órgão (secretários, diretores, reitoria etc.) com a proteção de dados. A direção deve instituir oficialmente o programa de adequação, designar responsáveis (como o Encarregado/DPO e um comitê de privacidade, se pertinente) e prover recursos necessários. Esse comprometimento se reflete em políticas públicas claras de apoio à privacidade e segurança. Recomenda-se a criação de uma política de privacidade e proteção de dados institucional, aprovada pela alta administração, delineando princípios, objetivos e diretrizes internas. Infelizmente, auditorias recentes indicaram que 75% das organizações federais não possuíam sequer uma política de privacidade formal até 2022. Assim, é fundamental começar estabelecendo essas bases normativas internas. A governança deve prever também papéis e responsabilidades: por exemplo, definir quem serão os pontos focais em cada departamento (membros do comitê de proteção de dados) e quais unidades deverão se coordenar com o DPO.
b) Mapeamento de Dados e Avaliação de Riscos: Com a equipe de governança definida, parte-se para um mapeamento completo do ciclo de vida dos dados pessoais dentro do órgão. Isso envolve levantar: que tipos de dados pessoais são coletados (por ex.: nome, endereço, CPF, dados de saúde, dados financeiros etc.), de quem (cidadãos, servidores, fornecedores), para que finalidades, onde esses dados estão armazenados (sistemas informatizados, arquivos físicos), quem tem acesso a eles e com quem são compartilhados (outros órgãos, empresas terceirizadas conveniadas). Essa atividade geralmente resulta na elaboração de um Inventário de Dados Pessoais e do registro das operações de tratamento (conhecido como RoPA – Record of Processing Activities). Durante o mapeamento, já se devem identificar riscos e gaps de conformidade: por exemplo, detectar bases de dados coletando informações excessivas sem base legal adequada, ou sistemas sem controles de segurança mínimos. Com base nisso, realiza-se uma Análise de Riscos e, se aplicável, estudos de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para atividades de alto risco (art. 38 da LGPD). Nessa fase, é recomendável envolver tanto a área de TI quanto a assessoria jurídica e as áreas de negócio, para obter um panorama acurado.
c) Elaboração/Revisão de Normas e Políticas Internas: De posse do diagnóstico, o órgão deve desenvolver ou atualizar seus instrumentos normativos internos relativos à proteção de dados e segurança da informação. Isso inclui: a já mencionada política de privacidade (voltada ao público, explicando como o órgão trata dados, e voltada internamente, orientando servidores), políticas específicas de segurança da informação (controle de acesso, classificação da informação, uso de dispositivos, resposta a incidentes etc.), políticas de retenção e descarte de dados (definindo prazos de guarda de documentos e registros, conforme leis arquivísticas e necessidades legais), bem como cláusulas contratuais para fornecedores que processem dados pessoais em nome do órgão (exigindo deles compromisso de confidencialidade e medidas de proteção). Esse arcabouço deve estar alinhado aos princípios da LGPD e às normas conexas – por exemplo, a política de segurança deve endereçar o cumprimento do art. 46 (medidas de segurança apropriadas) e art. 50 (mecanismos de boas práticas). O TCU sugere a adoção de referências internacionais robustas, como as normas ABNT NBR ISO/IEC 27001/27002 (gestão de segurança da informação) e ISO/IEC 27701:2019 (extensão focada em gestão da privacidade) como guias para estruturar essas políticas e controles. Seguir esses padrões ajuda a estabelecer um Sistema de Gestão de Privacidade da Informação integrado ao sistema de gestão de segurança já existente.
d) Implementação de Controles de Segurança Técnicos e Administrativos: Uma vez definidas as políticas, é crucial partir para a implantação dos controles de segurança exigidos. No plano técnico, isso abrange: reforçar a segurança de redes e sistemas (firewalls, antivírus, anti-malware atualizados), configurar controles de acesso com privilégios mínimos (cada usuário acessa somente o necessário à sua função), usar criptografia para dados sensíveis em repouso e em trânsito, aplicar rotinas de backup periódico e armazenamento seguro, manter sistemas e softwares sempre atualizados (patch management para correção de vulnerabilidades) e realizar testes periódicos (como pentests e varreduras de vulnerabilidade). No aspecto administrativo, os controles incluem: definir processos de autorização para acesso a dados (quem aprova quando um servidor pode acessar determinada base), firmar termos de responsabilidade com usuários, rotinas de classificação da informação (identificando documentos/dados como públicos, restritos ou sigilosos conforme LAI e sensibilidade), controles físicos (segurança em arquivos, armários, datacenters), além de planos de continuidade de negócios e contingência para manter serviços e proteger dados em caso de desastre ou ataque. Deve-se garantir, igualmente, que quaisquer operadores de dados (empresas terceirizadas que tratam dados para o órgão, como fornecedores de TI, nuvem, consultorias) também apliquem medidas de segurança compatíveis – isso pode ser assegurado via aditivos contratuais e auditorias. Todo o conjunto de controles implementados deve ser documentado e integrar a rotina operacional do órgão.
e) Treinamento e Conscientização Contínua: Uma medida de sucesso crucial em um programa de conformidade é investir em educação e mudança de cultura. Promova treinamentos periódicos para todos os servidores e colaboradores, desde a alta administração até os terceirizados que lidam com dados, esclarecendo os conceitos básicos da LGPD, as responsabilidades individuais e as consequências de violações. Campanhas de conscientização (por exemplo, compliance weeks, cartilhas ilustrativas, lembretes via e-mail) ajudam a manter o tema em evidência. Muitos incidentes ocorrem por falha humana, portanto, capacitar o servidor a identificar um e-mail de phishing, a não compartilhar sua senha, a seguir as políticas estabelecidas, faz enorme diferença. O programa de treinamento deve ser contínuo e atualizado – à medida que surgem novas ameaças (como golpes envolvendo engenharia social) ou novas orientações da ANPD, o conteúdo educacional precisa refletir esses pontos. Lideranças setoriais também devem receber treinamento específico para atuarem como multiplicadores. Uma força de trabalho consciente atua como uma “primeira linha de defesa” contra vazamentos e uso indevido de dados.
f) Processos para Atendimento dos Direitos dos Titulares: Estruturar procedimentos claros e eficientes para responder aos pedidos dos titulares de dados (cidadãos ou servidores cujos dados são tratados pelo órgão) é outra etapa fundamental. O órgão deve definir canais de comunicação específicos – geralmente a Ouvidoria ou o SIC (Serviço de Informações ao Cidadão) já existente pode incorporar também essa função relativa à LGPD. Deve-se ter um fluxo interno para, ao receber solicitações (de acesso aos dados, correção, eliminação, oposição, portabilidade, etc.), verificar a identidade do solicitante, encaminhar rapidamente à unidade responsável pelos dados solicitados, compilar as informações e responder dentro dos prazos legais (a LGPD indica prazo de até 15 dias para confirmar existência de dados ou fornecer acesso, contados do requerimento do titular, salvo outro prazo legal mais específico). Em alguns casos no setor público, pode haver legislação especial definindo prazos (por exemplo, a LAI prevê 20 dias prorrogáveis por mais 10 para resposta a pedidos de acesso, o que pode se aplicar a pedidos de dados pessoais também, conforme §3º do art. 23 da LGPD e integração com a Lei do Habeas Data). Independentemente do prazo, a eficiência e completude da resposta são importantes para demonstrar respeito ao cidadão e evitar litígios. Documente todas as solicitações e as providências tomadas, criando um registro para fins de auditoria e melhoria. Caso algum pedido seja negado (por exemplo, se um cidadão pedir a eliminação de um dado que o órgão não pode eliminar por obrigação legal de arquivamento), explique claramente a justificativa legal da negativa, de forma transparente.
g) Gestão de Incidentes e Planos de Resposta a Vazamentos: Estabeleça um Plano de Resposta a Incidentes de Segurança envolvendo dados pessoais. Esse plano deve definir o que fazer em caso de vazamento, acesso indevido, perda de mídia contendo dados ou qualquer violação. Os servidores precisam saber como reportar internamente um incidente (para o DPO ou equipe de segurança da informação) imediatamente após sua detecção. A partir daí, o órgão deve ter equipes designadas para: conter o incidente (por exemplo, retirar do ar um sistema comprometido, isolar a máquina afetada), investigar o ocorrido (identificar causa, extensão dos dados envolvidos, usuários afetados), e mitigar danos. Conforme obrigações do art. 48 da LGPD, a ANPD deve ser notificada do incidente de segurança que possa trazer risco ou dano aos titulares – então o plano deve incluir passos para notificar a ANPD em tempo hábil, contendo as informações exigidas (natureza dos dados afetados, número de titulares, medidas tomadas, etc.). Em muitos casos, os próprios titulares dos dados também precisarão ser comunicados, especialmente se a violação puder lhes acarretar danos relevantes ou se a ANPD assim instruir. Essa comunicação direta deve ser feita de maneira clara e orientativa (por exemplo, indicando aos cidadãos medidas que podem tomar para se proteger, como mudar senhas se credenciais vazaram). Realizar simulações periódicas (table-top exercises) de resposta a incidentes é recomendável, para que a equipe esteja preparada e o tempo de reação seja minimizado numa ocorrência real. Novamente, documente todas as etapas de resposta e as lições aprendidas após qualquer incidente, ajustando políticas se necessário para evitar reincidência.
h) Monitoramento Contínuo, Auditorias e Melhoria: A conformidade com a LGPD não é um estado estático, mas um processo contínuo. Tecnologias mudam, ameaças evoluem e as atividades do órgão podem se ampliar, trazendo novos dados pessoais a serem tratados. Por isso, implante um processo de monitoramento permanente e auditorias periódicas para avaliar a eficácia das medidas adotadas. O TCE-RO, em guia para gestores públicos, enfatiza a importância de auditorias internas regulares focadas na LGPD, como ferramenta essencial para verificar se políticas e controles estão sendo seguidos e identificar possíveis lacunas ou pontos de melhoria. Auditores (internos ou externos) devem checar cumprimento de requisitos legais, testar controles de segurança, entrevistar equipes e analisar evidências. Por exemplo, uma auditoria anual pode avaliar se todos os contratos novos incluem cláusulas de proteção de dados, ou se os logs de acesso a sistemas estão ativos e sendo revisados. A partir dessas avaliações, elabore planos de ação para sanar não-conformidades. Também acompanhe a legislação e regulamentações: a ANPD pode emitir novas diretrizes, e jurisprudência pode redefinir entendimentos – o programa de privacidade deve incorporar essas novidades rapidamente. A cultura de conformidade se consolida quando a organização percebe que privacidade e segurança não são projetos pontuais, mas sim parte integrante dos processos de gestão e governança. Um dado positivo é que seguir práticas de privacidade muitas vezes aprimora a qualidade geral dos dados e a eficiência administrativa (por exemplo, eliminando dados obsoletos, organizando fluxos de informação). Em síntese, melhoria contínua é a palavra de ordem: revise políticas, atualize treinamentos, invista em novas tecnologias de proteção conforme necessário e mantenha o tema na pauta estratégica do órgão.
i) Engajamento com a ANPD e Cooperação Institucional: Por fim, mantenha um relacionamento proativo com a Autoridade Nacional de Proteção de Dados e outros órgãos de controle. Atenda com diligência eventuais consultas ou requisições da ANPD. Caso surjam dúvidas interpretativas específicas do setor público (por exemplo, sobre aplicação da LGPD em determinado programa governamental), a autoridade frequentemente publica perguntas frequentes ou orientações – vale consultá-las. Considere a participação em fóruns, redes ou capacitações oferecidas pela própria ANPD ou por associações públicas (como a Rede de Governança de Dados). A troca de experiências com outros órgãos é muito valiosa: muitos desafios da adequação são comuns a diferentes entidades, e soluções adotadas por umas podem inspirar melhorias em outras. Além disso, a transparência ativa quanto às iniciativas de adequação – divulgar no portal do órgão as ações empreendidas, relatórios anual de conformidade – demonstra accountability e pode melhorar a percepção pública. Lembre-se: a LGPD exige, e a sociedade espera, que o Poder Público seja exemplar na proteção de dados, servindo de modelo também para a iniciativa privada. Assim, a implementação de um programa robusto de conformidade à LGPD, além de evitar sanções, eleva a confiança do cidadão no tratamento dado às suas informações e reforça os valores democráticos de respeito à privacidade e à dignidade da pessoa humana, sem prejuízo da contínua busca pela transparência e eficiência administrativa.
Conclusão
A segurança da informação no setor público brasileiro é uma exigência legal e uma responsabilidade ética diante da crescente digitalização dos serviços públicos. A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes claras para o tratamento de dados pessoais, aplicando-se integralmente aos órgãos públicos, independentemente de seu porte ou esfera de atuação.
Este estudo evidenciou que a adequação à LGPD no setor público envolve a implementação de medidas técnicas e administrativas que garantam a confidencialidade, integridade e disponibilidade dos dados pessoais. A nomeação de encarregados pelo tratamento de dados, a elaboração de políticas de privacidade e segurança da informação, bem como a capacitação contínua dos servidores, são passos fundamentais nesse processo.
Observou-se que, embora a Autoridade Nacional de Proteção de Dados (ANPD) tenha editado regulamentações específicas para agentes de tratamento de pequeno porte, tais flexibilizações não se aplicam à maioria dos órgãos públicos de grande porte. Portanto, é imperativo que essas instituições cumpram integralmente as disposições da LGPD, adotando uma postura proativa na proteção dos dados pessoais dos cidadãos.
Reconhece-se que a jornada de conformidade apresenta desafios, incluindo limitações orçamentárias, carência de pessoal especializado e a complexidade dos sistemas de informação existentes. No entanto, a não observância da LGPD pode acarretar sanções administrativas, danos à reputação institucional e, sobretudo, a violação dos direitos fundamentais dos titulares dos dados.
Dessa forma, conclui-se que a efetiva implementação da LGPD no setor público é essencial para fortalecer a confiança da sociedade nas instituições governamentais, promover a transparência e assegurar a proteção dos dados pessoais. Recomenda-se que futuras pesquisas explorem estratégias de governança de dados e compartilhem boas práticas de adequação à LGPD, contribuindo para o aprimoramento contínuo da gestão da informação no setor público brasileiro.
1IBM. O que é a segurança da informação? Disponível em: https://www.ibm.com/br pt/topics/information-security. Acesso em: 10 maio 2025.
2INSTITUTO TELLUS. A importância da segurança de dados no setor público. Disponível em: https://tellus.org.br/conteudos/artigos/seguranca-dados-setor-publico/. Acesso em: 10 maio 2025.
3FERREIRA, Ana Amelia Menna Barreto de Castro. TCU avalia a (des)adequação à LGPD pelos órgãos públicos. Migalhas de Peso, 6 jul. 2022. Disponível em: https://www.migalhas.com.br/depeso/369256/tcu-avalia-a-des-adequacao-a-lgpd-pelos-orgaos publicos. Acesso em: 16 maio 2025
4TRIBUNAL DE CONTAS DA UNIÃO. TCU e a Lei Geral de Proteção de Dados – LGPD. Disponível em: https://portal.tcu.gov.br/sobre-o-portal/lgpd. Acesso em: 16 maio 2025.
5SUPERIOR TRIBUNAL DE JUSTIÇA. Os precedentes do STJ nos primeiros quatro anos de vigência da Lei Geral de Proteção de Dados Pessoais. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2024/27102024-Os-precedentes do-STJ-nos-primeiros-quatro-anos-de-vigencia-da-Lei-Geral-de-Protecao-de-Dados-Pessoais.aspx. Acesso em: 16 maio 2025.
6SILVA, Munir Saleh; PRADO, Augusto Cézar Lukascheck. Disponibilização indevida de dados pessoais não sensíveis em banco de dados gera dano moral presumido. Consultor Jurídico, 3 mar. 2025. Disponível em: https://www.conjur.com.br/2025-mar-03/disponibilizacao-indevida-de-dados-pessoais-nao sensiveis-em-banco-de-dados-gera-dano-moral-presumido/. Acesso em: 16 maio 2025.
7Acessado no dia 16/07/2025 <https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2024/27102024-Os-precedentes do-STJ-nos-primeiros-quatro-anos-de-vigencia-da-Lei-Geral-de-Protecao-de-Dados-Pessoais.aspx>
Referências:
Referências Bibliográficas
• BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 20 maio 2025.
• BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal (Lei de Acesso à Informação – LAI). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2011/lei/l12527.htm. Acesso em: 20 maio 2025.
• BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Lei Geral de Proteção de Dados Pessoais – LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm. Acesso em: 20 maio 2025.
• BRASIL. Lei nº 8.112, de 11 de dezembro de 1990. Dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8112cons.htm. Acesso em: 20 maio 2025.
• BRASIL. Lei nº 8.429, de 2 de junho de 1992. Dispõe sobre as sanções aplicáveis aos agentes públicos nos casos de enriquecimento ilícito no exercício de mandato, cargo, emprego ou função na administração pública direta, indireta ou fundacional. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8429.htm. Acesso em: 20 maio 2025.
• BRASIL. Lei nº 9.507, de 12 de novembro de 1997. Regula o direito de acesso a informações e disciplina o rito processual do habeas data. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l9507.htm. Acesso em: 20 maio 2025.
• TRIBUNAL DE JUSTIÇA DO ESTADO DE SANTA CATARINA. Apelação / Remessa Necessária n. 5051817-37.2022.8.24.0023. Disponível em: https://www.tjsc.jus.br. Acesso em: 20 maio 2025.
• SUPERIOR TRIBUNAL DE JUSTIÇA. AgInt nos EDcl no RMS 55.819/MG. Rel. Min. Gurgel de Faria. Primeira Turma. Julgado em 08/08/2022. DJe 17/08/2022. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2024/27102 024-Os-precedentes-do-STJ-nos-primeiros-quatro-anos-de-vigencia-da-Lei Geral-de-Protecao-de-Dados-Pessoais.aspx. Acesso em: 20 maio 2025.
• TRIBUNAL DE CONTAS DA UNIÃO. Avaliação sobre a LGPD: adequação das organizações públicas federais à Lei Geral de Proteção de Dados e estruturação da Autoridade Nacional de Proteção de Dados. Disponível em: https://portal.tcu.gov.br/data/files/D3/83/58/A4/3536B8108DD885A8F18818A8/Assessment%20of%20the%20Brazilian%20Data%20Protection%20Law.pdf. Acesso em: 20 maio 2025.
iFelipe Thadeu Piló, Advogado, Consultor Jurídico, especialista em Direito Digital, Compliance, Constitucional, Tributário e Eleitoral, Graduando em Ciências da Computação e Ciências de Dados, Escritor do Livro Guia Prático sobre a Nova Lei de Licitações (2023) e Iniciando no Direito Administrativo – Conceitos e Aplicações (2024).