Auditoria do TCU sobre LGPD em Órgãos Públicos: Guia Prático de Adequação
Sete anos após a entrada em vigor da LGPD, o Tribunal de Contas da União publicou o diagnóstico mais abrangente já feito sobre proteção de dados pessoais na administração pública federal. O resultado é alarmante: apenas 42% dos órgãos e entidades federais atingem um nível adequado de conformidade com a lei.
O Acórdão nº 1.372/2025 — Plenário (TC 009.980/2024-5), de relatoria do Ministro Walton Alencar Rodrigues, consolidou uma auditoria que avaliou 387 organizações federais por meio de questionário estruturado em nove dimensões de maturidade. Os resultados revelam um cenário de negligência sistêmica: 17,8% dos órgãos estão em nível inexpressivo de adequação, 58,9% em nível inicial, 20,4% em nível intermediário e apenas 2,9% em nível aprimorado.
Este guia analisa os achados do TCU, traduz os critérios da auditoria em ações concretas e oferece um roteiro de 90 dias para gestores públicos que precisam acelerar a adequação — seja por determinação do próprio Tribunal, seja pela crescente atuação fiscalizatória da ANPD.
O que o TCU avaliou — e como
Escopo e metodologia
A auditoria foi autorizada pelo Acórdão nº 889/2024 e conduzida pela unidade de Auditoria de Tecnologia da Informação do TCU. O instrumento utilizado foi um questionário de autoavaliação com 60 questões, distribuídas em nove dimensões de maturidade, aplicado a todas as 387 organizações federais auditadas.
Os resultados foram classificados em quatro níveis de adequação à LGPD:
| Nível | Faixa do indicador | % dos órgãos |
|---|---|---|
| Inexpressivo | ≤ 0,15 | 17,8% |
| Inicial | > 0,15 e ≤ 0,50 | 58,9% |
| Intermediário | > 0,50 e ≤ 0,80 | 20,4% |
| Aprimorado | > 0,80 | 2,9% |
A metodologia merece atenção por dois motivos. Primeiro, trata-se de autoavaliação — o que significa que os índices reais podem ser ainda piores, já que órgãos tendem a superestimar sua própria maturidade. Segundo, o TCU aplicou o mesmo instrumento a órgãos de naturezas muito distintas (autarquias, fundações, empresas públicas, ministérios), permitindo comparações diretas entre organizações de mesmo perfil.
Cada uma das 387 organizações recebeu um relatório de feedback individualizado, contendo análise comparativa com órgãos similares — o que transforma o acórdão em um instrumento de gestão, não apenas de fiscalização.
As nove dimensões avaliadas
O questionário do TCU estruturou a avaliação em nove dimensões que cobrem todo o ciclo de adequação à LGPD. Os índices médios encontrados revelam onde a administração pública federal mais falha:
| Dimensão | Índice médio | O que avalia |
|---|---|---|
| Liderança | 68% | Comprometimento da alta direção, políticas internas, nomeação do DPO |
| Direitos do Titular | 62% | Mecanismos de resposta a solicitações dos cidadãos |
| Contexto Organizacional | 59% | Mapeamento de operações de tratamento, identificação de controladores conjuntos |
| Preparação | 44% | Organização institucional para implementar políticas de proteção de dados |
| Capacitação | 40% | Treinamentos e conscientização dos servidores |
| Incidentes | 38% | Gestão de incidentes de segurança envolvendo dados pessoais |
| Conformidade do Tratamento | 37% | Procedimentos documentados, bases legais definidas, mapeamento completo |
| Medidas de Proteção | 34% | Controles técnicos e administrativos de segurança da informação |
| Compartilhamento de Dados | 22% | Controle sobre com quem e como os dados são compartilhados |
A leitura desses índices é inequívoca: mesmo nas dimensões com melhor desempenho (Liderança, com 68%), quase um terço dos órgãos apresenta deficiências graves. Nas dimensões operacionais — onde a conformidade se materializa de fato — os índices são críticos.
Os principais achados — onde os órgãos mais falham
Compartilhamento de dados: a zona cega (22%)
O dado mais alarmante da auditoria é que 78% dos órgãos federais não possuem controle efetivo sobre o compartilhamento de dados pessoais. Isso significa que dados de cidadãos são repassados entre órgãos, para empresas terceirizadas e para outros entes federativos sem formalização adequada, sem análise de finalidade e sem garantias contratuais de proteção.
No contexto do setor público, o compartilhamento de dados é não apenas frequente, mas estrutural — o Estado precisa compartilhar dados para executar políticas públicas transversais. O Art. 26 da LGPD autoriza esse compartilhamento, mas impõe condições claras: finalidade específica, cumprimento de obrigações legais e publicidade. A auditoria demonstra que a maioria dos órgãos ignora essas condições.
Medidas de proteção e conformidade do tratamento (34% e 37%)
Mais de 60% dos órgãos não implementaram controles técnicos e administrativos mínimos para proteger os dados pessoais que processam. Na prática, isso se traduz em: ausência de criptografia, falta de controles de acesso granulares, inexistência de logs de auditoria sobre operações com dados pessoais e ausência de políticas de retenção e descarte.
Na dimensão de conformidade do tratamento, 64% dos órgãos declararam que não verificaram se há tratamento conjunto com outros controladores, e 59% admitiram que não avaliaram riscos associados às operações de tratamento.
Incidentes de segurança (38%)
A gestão de incidentes registrou índice médio de 38%, revelando que a maioria dos órgãos não possui plano de resposta estruturado, não realiza simulações e não tem canais padronizados de comunicação com a ANPD. Considerando o volume de dados pessoais que a administração pública processa — incluindo dados sensíveis de saúde, biométricos e financeiros — essa deficiência representa risco concreto para milhões de cidadãos.
Capacitação e preparação (40% e 44%)
Quatro em cada dez servidores que lidam com dados pessoais não receberam qualquer treinamento sobre proteção de dados. A dimensão de preparação, que mede a organização institucional para implementar a LGPD, também está abaixo de 50% — indicando que a maioria dos órgãos não estruturou equipes, não alocou orçamento e não definiu cronogramas formais de adequação.
Os 40 órgãos em situação crítica
A auditoria identificou que 40 organizações federais (10% do total) não adotaram nenhuma ação mínima de identificação de riscos, processos e contratos relacionados ao tratamento de dados pessoais desde 2020. Sete anos após a LGPD, essas instituições permanecem em estado de inércia total.
Determinações e recomendações do TCU
O Acórdão 1.372/2025 não se limitou ao diagnóstico. O Ministro Relator converteu recomendações em determinações formais — com prazos e responsáveis definidos — o que confere força cogente às medidas.
Determinações com prazo de 180 dias
O TCU determinou que cinco órgãos centrais de governança produzam orientações integradas sobre LGPD para as organizações sob sua supervisão administrativa:
- Controladoria-Geral da União (CGU) — orientações para o Poder Executivo federal
- Conselho Nacional de Justiça (CNJ) — orientações para o Poder Judiciário
- Conselho Nacional do Ministério Público (CNMP) — orientações para o Ministério Público
- Secretaria de Governo Digital (SGD/MGI) — orientações técnicas sobre implementação
- Secretaria de Gestão e Inovação (Sest/MGI) — orientações sobre gestão de pessoas e capacitação
Uma determinação específica merece destaque: a CGU deve produzir orientações que tratem, de forma integrada, a transparência ativa (Lei de Acesso à Informação) e a proteção de dados pessoais (LGPD) — reconhecendo que a tensão entre essas duas normas é um dos maiores desafios operacionais do setor público. Para entender melhor esse equilíbrio, veja nosso artigo sobre como compatibilizar a LGPD com a Lei de Acesso à Informação.
Painel Nacional de Implementação da LGPD
O TCU determinou a criação e divulgação pública de um Painel Nacional de Implementação da LGPD, que tornará público o grau de maturidade de cada órgão auditado. Essa medida tem dois efeitos práticos:
- Pressão institucional — órgãos com índices baixos ficarão expostos publicamente, criando incentivo reputacional para a adequação.
- Benchmarking — gestores poderão comparar seu órgão com organizações similares e identificar práticas de referência.
Notificação formal dos órgãos sem PSI e sem DPO
O Tribunal determinou a notificação formal de todos os órgãos que (a) não possuem Política de Segurança da Informação e (b) não nomearam o encarregado pelo tratamento de dados pessoais. Esses dois itens são tratados pelo TCU como requisitos mínimos absolutos — sua ausência configura descumprimento direto da legislação.
Adequação formal vs. adequação material
Um dos aspectos mais relevantes do Acórdão 1.372/2025 é a distinção implícita entre ter documentos e efetivamente proteger dados. A dimensão de Liderança — que mede políticas publicadas e nomeação do DPO — registrou 68%, enquanto as dimensões operacionais (Medidas de Proteção, Conformidade do Tratamento) ficaram abaixo de 37%.
Essa discrepância revela um padrão comum no setor público: adequação documental sem implementação operacional. Órgãos publicam portarias, nomeiam encarregados e criam comitês — mas não implementam controles técnicos, não capacitam servidores e não mapeiam efetivamente os fluxos de dados.
Três sinais de adequação apenas formal
- DPO nomeado, mas sem equipe ou orçamento. O encarregado existe no organograma, mas não tem autonomia, recursos ou acesso à alta administração.
- Política de privacidade publicada, mas desatualizada. A política no site foi criada em 2020 e nunca revisada — não reflete as operações reais de tratamento.
- Inventário de dados existente, mas incompleto. O mapeamento cobre apenas um departamento ou um sistema, ignorando processos de negócio que tratam dados pessoais em planilhas, e-mails e sistemas legados.
A auditoria do TCU demonstra que a ANPD e os órgãos de controle estão olhando além dos documentos — avaliam a efetividade operacional da proteção de dados. Gestores públicos que investiram apenas em adequação documental precisam evoluir para implementação real.
O papel do DPO em órgão público
A nomeação do encarregado pelo tratamento de dados pessoais é obrigatória para todos os órgãos públicos, sem exceção de porte (Art. 23, III, da LGPD). Diferente do setor privado, onde microempresas e empresas de pequeno porte podem ser dispensadas (Resolução CD/ANPD nº 2/2022), a administração pública não tem essa flexibilidade.
A auditoria do TCU revelou que diversos órgãos ainda não cumprem essa exigência básica. Para os que já nomearam, o desafio é garantir que a atuação do DPO vá além do registro formal. Para um guia completo sobre a implementação da LGPD na administração pública, incluindo o papel do encarregado, consulte nosso artigo sobre como implementar a LGPD em órgãos públicos.
Atribuições específicas do DPO público
No contexto da administração pública, o DPO tem responsabilidades adicionais que não se aplicam ao setor privado:
- Interface com a LAI — coordenar a publicação de informações de interesse público sem expor dados pessoais protegidos
- Compartilhamento intergovernamental — avaliar e formalizar os fluxos de dados entre órgãos federais, estaduais e municipais
- Convênios e contratos — garantir cláusulas de proteção de dados em todos os instrumentos jurídicos que envolvam transferência de dados pessoais
- Capacitação de servidores — promover treinamentos obrigatórios para as equipes que operam com dados pessoais
- Resposta a determinações de controle — atender recomendações do TCU, CGU e da própria ANPD, com prazos e evidências documentadas
Modelo de atuação recomendado
O DPO em órgão público precisa de estrutura mínima para ser efetivo:
- Acesso direto à alta administração — reuniões periódicas com o dirigente máximo
- Equipe dedicada ou compartilhada — pelo menos dois servidores de apoio (um jurídico, um de TI)
- Orçamento próprio — para ferramentas, treinamentos e consultorias especializadas
- Autonomia técnica — capacidade de vetar operações de tratamento que violem a LGPD
Para um aprofundamento sobre como estruturar a função do encarregado, veja nosso guia sobre o DPO na prática: como nomear e estruturar o encarregado.
Como usar o Acórdão como roteiro de adequação
O Acórdão 1.372/2025 é, paradoxalmente, o melhor guia de adequação disponível para o setor público. As nove dimensões do TCU funcionam como um framework de maturidade que pode ser aplicado por qualquer órgão para avaliar e priorizar suas ações.
Priorização baseada nos índices do TCU
A lógica é simples: as dimensões com pior desempenho são as que devem receber atenção prioritária. Com base nos dados do acórdão:
Prioridade 1 — Crítica (índices abaixo de 30%)
- Compartilhamento de dados (22%) — formalizar acordos, mapear fluxos, criar registro de compartilhamentos
Prioridade 2 — Alta (índices entre 30% e 40%)
- Medidas de proteção (34%) — implementar controles técnicos e administrativos
- Conformidade do tratamento (37%) — documentar bases legais, finalidades e procedimentos
- Incidentes (38%) — criar plano de resposta, definir canais de comunicação com ANPD
Prioridade 3 — Média (índices entre 40% e 50%)
- Capacitação (40%) — treinar servidores que operam com dados pessoais
- Preparação (44%) — estruturar equipe, alocar orçamento, definir cronograma
Prioridade 4 — Manutenção (índices acima de 50%)
- Contexto organizacional (59%) — completar mapeamento de operações e controladores conjuntos
- Direitos do titular (62%) — aprimorar canais e reduzir tempo de resposta
- Liderança (68%) — manter engajamento da alta administração e atualizar políticas
Template: plano de ação de 90 dias
Este plano foi estruturado com base nas dimensões e critérios do Acórdão 1.372/2025. Adapte os prazos à realidade do seu órgão.
Dias 1 a 30 — Diagnóstico e fundações
| Ação | Responsável | Dimensão TCU | Entregável |
|---|---|---|---|
| Nomear ou formalizar o DPO com portaria publicada | Dirigente máximo | Liderança | Portaria publicada no DOU |
| Criar comitê de proteção de dados (ou reativar se existe apenas no papel) | DPO + Gabinete | Liderança | Portaria do comitê, calendário de reuniões |
| Aplicar o questionário do TCU internamente (autoavaliação) | DPO | Preparação | Relatório de diagnóstico interno |
| Mapear todos os sistemas que processam dados pessoais | DPO + TI | Contexto Organizacional | Lista de sistemas com classificação de dados |
| Verificar existência e atualidade da Política de Segurança da Informação (PSI) | TI + DPO | Medidas de Proteção | PSI atualizada ou plano de criação |
| Levantar todos os compartilhamentos de dados vigentes | DPO + Jurídico | Compartilhamento | Lista de compartilhamentos com base legal |
Dias 31 a 60 — Implementação dos controles prioritários
| Ação | Responsável | Dimensão TCU | Entregável |
|---|---|---|---|
| Iniciar inventário completo de dados pessoais (atividades de tratamento) | DPO + áreas de negócio | Conformidade do Tratamento | Inventário parcial (áreas críticas) |
| Documentar bases legais para cada operação de tratamento mapeada | DPO + Jurídico | Conformidade do Tratamento | Registro de bases legais |
| Elaborar ou atualizar a Política de Proteção de Dados Pessoais | DPO + Jurídico | Liderança | Minuta da política para aprovação |
| Formalizar acordos de compartilhamento de dados pendentes | DPO + Jurídico | Compartilhamento | Minutas de acordos/aditivos |
| Implementar canal de atendimento ao titular (se inexistente) | DPO + Ouvidoria | Direitos do Titular | Canal funcional com fluxo documentado |
| Criar plano de resposta a incidentes de segurança | DPO + TI | Incidentes | Plano aprovado pela alta administração |
| Realizar primeiro treinamento obrigatório sobre LGPD | DPO + RH | Capacitação | Lista de presença, material disponibilizado |
Dias 61 a 90 — Consolidação e evidências
| Ação | Responsável | Dimensão TCU | Entregável |
|---|---|---|---|
| Concluir inventário de dados pessoais (todas as áreas) | DPO + áreas de negócio | Conformidade do Tratamento | Inventário completo |
| Elaborar RIPD para os tratamentos de alto risco identificados | DPO + TI + Jurídico | Conformidade do Tratamento | RIPD(s) aprovado(s) |
| Implementar controles de acesso baseados em perfil nos sistemas críticos | TI | Medidas de Proteção | Relatório de controles implementados |
| Publicar informações de privacidade no site institucional (Art. 23, I) | DPO + Comunicação | Direitos do Titular | Página de privacidade atualizada |
| Realizar simulação de incidente de segurança (tabletop exercise) | DPO + TI | Incidentes | Relatório da simulação com lições aprendidas |
| Compilar evidências de adequação para eventual fiscalização | DPO | Todas | Dossiê de evidências organizado |
| Apresentar relatório de progresso à alta administração | DPO | Liderança | Relatório com índices antes/depois |
Para saber como preparar seu órgão para uma eventual fiscalização da ANPD, consulte nosso guia sobre como preparar sua organização para uma auditoria da ANPD.
Checklist de adequação baseado nos critérios do TCU
Use esta lista como referência para verificar a situação do seu órgão em cada dimensão avaliada pelo Tribunal. Os itens estão ordenados por prioridade, seguindo a mesma lógica dos índices da auditoria.
Liderança e Governança
- Encarregado pelo tratamento de dados pessoais (DPO) nomeado formalmente por portaria
- Comitê de proteção de dados instituído e com reuniões periódicas documentadas
- Política de Proteção de Dados Pessoais aprovada pela alta administração
- Política de Segurança da Informação (PSI) vigente e atualizada
- Plano de adequação à LGPD com cronograma, metas e responsáveis definidos
Contexto Organizacional e Mapeamento
- Inventário completo de atividades de tratamento de dados pessoais (ROPA)
- Fluxos de dados pessoais mapeados em todos os processos de negócio
- Bases legais documentadas para cada operação de tratamento
- Identificação de tratamentos conjuntos com outros controladores (Art. 26, §1º)
- Avaliação de riscos associados às operações de tratamento (RIPD elaborado para tratamentos de alto risco)
Compartilhamento e Transferência
- Registro formal de todos os compartilhamentos de dados com outros órgãos
- Acordos ou convênios formalizados com cláusulas de proteção de dados
- Contratos com operadores (terceirizados, fornecedores de TI) contendo cláusulas LGPD
- Publicidade dos compartilhamentos conforme Art. 26, §2º da LGPD
Direitos do Titular e Transparência
- Canal de atendimento ao titular operacional e acessível (FalaBR, Ouvidoria ou canal próprio)
- Procedimento documentado para resposta a solicitações de titulares nos prazos legais
- Informações sobre tratamento de dados publicadas no site institucional (Art. 23, I)
- Aviso de privacidade atualizado e acessível em todos os pontos de coleta de dados
Segurança e Incidentes
- Controles de acesso baseados em perfil implementados nos sistemas que processam dados pessoais
- Plano de resposta a incidentes de segurança aprovado e testado
- Processo de comunicação de incidentes à ANPD e aos titulares definido
- Logs de acesso e operações com dados pessoais habilitados nos sistemas críticos
Capacitação
- Programa de treinamento sobre LGPD para servidores que lidam com dados pessoais
- Campanhas de conscientização sobre proteção de dados realizadas periodicamente
- Registro de treinamentos realizados (lista de presença, certificados)
Implicações para estados e municípios
Embora o Acórdão 1.372/2025 tenha avaliado exclusivamente a administração pública federal, suas conclusões e critérios são diretamente aplicáveis a estados e municípios. A LGPD não faz distinção entre esferas de governo — o Art. 1º aplica-se a todas as "pessoas de direito público".
Na prática, se 58% dos órgãos federais — que dispõem de mais recursos, pessoal qualificado e estrutura de governança — não estão adequados, a situação em prefeituras de pequeno e médio porte tende a ser significativamente mais grave. Para gestores municipais, temos um guia específico sobre LGPD em prefeituras: guia para gestores municipais.
Os Tribunais de Contas Estaduais já estão replicando a metodologia do TCU. O TCE/SC, por exemplo, publicou seu próprio relatório de adequação, e outros tribunais estaduais anunciaram auditorias similares para 2026. Gestores estaduais e municipais que se anteciparem terão vantagem competitiva e institucional.
O cenário que se desenha: convergência TCU + ANPD
O Acórdão 1.372/2025 marca um ponto de inflexão na fiscalização da LGPD no setor público. Até então, a atuação da ANPD concentrava-se principalmente no setor privado, e os órgãos de controle interno (CGU, TCU) não tinham instrumentos padronizados para avaliar conformidade com proteção de dados.
Agora, três forças convergem:
- TCU — auditoria operacional com determinações formais e painel público de maturidade
- ANPD — fiscalização temática com foco em setor público programada para 2025-2026 (veja a agenda regulatória da ANPD)
- CGU — orientações integradas sobre transparência e proteção de dados
Essa convergência significa que órgãos públicos enfrentarão fiscalização simultânea e complementar de múltiplos atores. O tempo da inércia acabou.
Documentações essenciais para estar preparado
Com base nos critérios do TCU, todo órgão público deve manter um conjunto mínimo de documentações atualizadas. Para uma lista completa, consulte nosso guia sobre as 18 documentações obrigatórias da LGPD. Os itens mais críticos à luz do acórdão são:
- Inventário de atividades de tratamento (ROPA) — base para todas as demais obrigações
- Relatório de Impacto à Proteção de Dados (RIPD) — obrigatório para tratamentos de alto risco
- Política de Proteção de Dados Pessoais — documento de governança central
- Política de Segurança da Informação (PSI) — requisito mínimo absoluto segundo o TCU
- Registro de compartilhamentos — com base legal, finalidade e destinatários
- Plano de Resposta a Incidentes — incluindo fluxo de comunicação à ANPD
Conclusão
O Acórdão TCU 1.372/2025 transformou a adequação à LGPD no setor público de uma obrigação legal abstrata em uma determinação concreta de órgão de controle, com prazos definidos e publicidade dos resultados. A criação do Painel Nacional de Implementação da LGPD tornará visível — para a sociedade, para a imprensa e para os próprios servidores — o grau de comprometimento de cada órgão com a proteção dos dados pessoais dos cidadãos.
Para gestores públicos, a mensagem é clara: o custo da inércia agora é mensurável e público. Os 40 órgãos que não tomaram nenhuma providência em sete anos serão nomeados. Os 68,7% que permanecem nos níveis inexpressivo e inicial terão seus índices comparados com órgãos similares.
O roteiro de adequação existe — está nas próprias dimensões que o TCU avaliou. O plano de 90 dias apresentado neste artigo não exige orçamentos extraordinários nem reestruturações organizacionais profundas. Exige decisão, priorização e execução disciplinada.
A questão para cada gestor público não é mais se deve se adequar, mas com que velocidade conseguirá fazê-lo antes que a próxima auditoria — do TCU, da CGU ou da ANPD — bata à porta.
O Confidata é uma plataforma especializada em gestão de conformidade com a LGPD. Com módulos para inventário de dados, gestão de riscos, RIPD, canal do titular e auditoria contínua, o Confidata ajuda órgãos públicos a evoluírem da adequação formal para a proteção efetiva dos dados pessoais dos cidadãos. Conheça nossas soluções para o setor público.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.