Como implementar a LGPD em órgãos públicos: guia específico
A LGPD (Lei 13.709/2018) se aplica a toda organização que trata dados pessoais no Brasil — incluindo órgãos e entidades públicas. O Art. 1° da lei é explícito: ela abrange "pessoas naturais e pessoas de direito público e privado."
Mas a implementação no setor público tem especificidades que a tornam substancialmente diferente do modelo privado. Bases legais distintas, sanções diferentes, coexistência com a Lei de Acesso à Informação (LAI), regras específicas para compartilhamento de dados entre órgãos — ignorar essas diferenças leva a programas de conformidade estruturalmente equivocados.
Este guia apresenta o que é específico para a administração pública e como construir um programa de conformidade adequado a essa realidade.
Por que o setor público tem regras próprias na LGPD
A LGPD dedica um capítulo inteiro ao poder público: o Capítulo IV (Arts. 23 a 32). Esse tratamento diferenciado existe porque o Estado, por natureza, trata dados pessoais de forma compulsória — o cidadão não pode se recusar a fornecer dados para o Imposto de Renda ou para emitir seu CPF. Nesse contexto, o consentimento como fundamento jurídico seria uma ficção.
As diferenças estruturais começam pelas bases legais e se estendem até o regime de sanções.
Bases legais exclusivas da administração pública
A base de políticas públicas (Art. 7, III)
O Art. 7, inciso III, autoriza o poder público a tratar dados pessoais sem consentimento para "a execução de políticas públicas previstas em leis, regulamentos ou contratos, convênios ou instrumentos congêneres." Essa é a base legal central para a maioria dos tratamentos realizados pelo Estado.
Exemplos práticos:
- CadÚnico (Cadastro Único para Programas Sociais): coleta de dados de renda, habitação, educação e composição familiar sem consentimento
- Sistema de matrículas escolares: dados de alunos e responsáveis para acesso a serviços educacionais
- Prontuários do SUS: dados de saúde para prestação de serviços médicos
- Cadastros previdenciários (INSS): dados financeiros e laborais para concessão de benefícios
Limitação crítica: A dispensa do consentimento não libera o ente público das demais obrigações da LGPD. Os princípios de finalidade, necessidade, transparência e segurança aplicam-se integralmente — o Estado não pode coletar mais dados do que necessita para a política pública específica, nem usá-los para finalidades incompatíveis.
O Art. 23 — As três condições obrigatórias
O Art. 23 estabelece as condições que os entes públicos devem cumprir ao tratar dados pessoais:
Condição 1 — Transparência (inciso I): O órgão deve publicar informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução do tratamento — preferencialmente em seu sítio eletrônico.
Condição 2 — Indicação do Encarregado (inciso III): A designação do encarregado de dados é obrigatória para o setor público — sem exceção de porte. Diferente do setor privado, onde microempresas podem dispensar a nomeação formal (Resolução CD/ANPD nº 2/2022), a administração pública não tem essa flexibilidade.
Condição 3 — Observância da legislação administrativa (§3°): No atendimento a titulares, o órgão deve observar simultaneamente a LGPD, a Lei de Habeas Data (Lei 9.507/1997), a Lei Geral do Processo Administrativo (Lei 9.784/1999) e a Lei de Acesso à Informação (Lei 12.527/2011).
Nota de precisão: O Art. 23 original tinha mais incisos, mas dois foram vetados pelo Presidente da República quando a lei foi sancionada. Por isso, o texto em vigor tem os incisos I e III — o que pode causar confusão em análises baseadas no projeto de lei original.
O que o setor público NÃO pode usar como base legal
Legítimo interesse: O uso do legítimo interesse (Art. 7, IX) pelo setor público é tema controverso na doutrina. O Guia Orientativo da ANPD sobre Legítimo Interesse (fevereiro de 2024) não vedou expressamente seu uso pela administração pública — diferentemente do GDPR, que exclui autoridades públicas do Art. 6(1)(f). Na prática, o legítimo interesse pode ser invocado pelo setor público em atividades compatíveis (como comunicação institucional ou uso de imagem em divulgação), desde que com LIA preenchido e as demais salvaguardas exigidas. Porém, para a maioria das atividades típicas da administração pública, as bases de políticas públicas (Art. 7, III) e obrigação legal (Art. 7, II) são mais adequadas e robustas.
Consentimento como regra: O consentimento é excepcional no contexto público — aplicável apenas a tratamentos que vão além das obrigações e competências legais do órgão e que o cidadão genuinamente pode recusar sem prejuízo dos serviços essenciais.
Empresas públicas e sociedades de economia mista
O Art. 24 estabelece um regime dual: quando atuam em regime de concorrência com empresas privadas (Art. 173 da Constituição Federal), seguem as regras do setor privado. Quando executam políticas públicas, seguem as regras do Capítulo IV.
A natureza jurídica da entidade não determina o regime — a natureza do tratamento é que importa. Uma empresa pública que presta serviços ao cidadão como executora de política pública segue as regras do Art. 23. A mesma empresa, quando trata dados de seus próprios empregados em relação trabalhista, segue as regras do setor privado.
O encarregado (DPO) no setor público
Quem pode ser o encarregado
A Resolução CD/ANPD nº 18/2024 (Regulamento do Encarregado) estabelece que o encarregado deve:
- Ter conhecimento em proteção de dados, gestão de riscos, acesso à informação no setor público e análise jurídica
- Não acumular funções com conflito de interesse — não pode ser lotado na unidade de TI do órgão nem ser gestor dos sistemas que tratam os dados
- Ter garantia de acesso direto à alta administração (Art. 41, §3°)
- Ter identidade e contato publicados em local de destaque e facilmente acessível no site
Encarregado compartilhado entre órgãos
A Resolução CD/ANPD nº 18/2024 permite que um único encarregado atue para mais de um agente de tratamento — o que é especialmente relevante para consórcios municipais, autarquias vinculadas e municípios de pequeno porte. A condição é que:
- Seja possível o pleno atendimento das atribuições em relação a cada órgão
- Não haja conflito de interesse entre os agentes representados
Na prática, municípios pequenos ou órgãos com volume reduzido de dados podem compartilhar um encarregado contratado como serviço, reduzindo o custo de conformidade.
Sanções: o que muda para o setor público
Esta é a diferença mais importante e menos conhecida: órgãos e entidades públicos não estão sujeitos às multas pecuniárias previstas no Art. 52 da LGPD.
As multas de até 2% do faturamento (limitadas a R$ 50 milhões por infração) são exclusivas do setor privado.
As sanções aplicáveis ao poder público são:
| Sanção | Aplicável ao setor público? |
|---|---|
| Advertência com prazo para medidas corretivas | ✅ Sim |
| Multa simples (até 2% do faturamento) | ❌ Não |
| Multa diária | ❌ Não |
| Publicização da infração | ✅ Sim |
| Bloqueio dos dados | ✅ Sim |
| Eliminação dos dados | ✅ Sim |
| Suspensão parcial do banco de dados | ✅ Sim |
| Suspensão do exercício de atividades de tratamento | ✅ Sim |
| Proibição parcial ou total do tratamento | ✅ Sim |
Além das sanções da ANPD, o servidor público individualmente pode responder pela Lei 8.112/1990 (Estatuto do Servidor) ou pela Lei 8.429/1992 (Lei de Improbidade Administrativa), se sua conduta configurar ato de improbidade por causar dano ao erário ou violar princípios da administração pública.
Casos reais de sanções a órgãos públicos
Em 2023, a ANPD aplicou sanções a dois órgãos:
- IAMSPE (SP): Advertência por sistemas de segurança inadequados e falha em comunicar incidente aos titulares afetados
- Secretaria de Saúde de SC: Advertência por quatro infrações, incluindo sistema de segurança inadequado e, especialmente, não submissão do RIPD quando solicitado pela ANPD — confirmando que a recusa em elaborar o relatório é uma infração autônoma
Em 2024, a ANPD sancionou cinco órgãos públicos: INSS, Secretaria de Educação do DF (SEEDF), Secretaria de Assistência Social de PE (SAS-PE) e o Ministério da Saúde (em dois casos distintos). Em todos, foram aplicadas advertências e obrigações de correção — sem multas financeiras, mas com impacto reputacional pela publicização.
LAI e LGPD: coexistência sem conflito
A Lei de Acesso à Informação (Lei 12.527/2011) e a LGPD atuam em esferas distintas e são complementares — não opostas.
LAI: Regula o acesso a informações públicas — atos administrativos, contratos, orçamentos, salários de servidores, decisões judiciais.
LGPD: Protege dados pessoais — informações vinculadas a pessoas naturais identificadas ou identificáveis.
A regra de coexistência:
| Tipo de informação | Regime aplicável |
|---|---|
| Ato administrativo sem dados pessoais | LAI: transparência ativa |
| Salário de servidor público | LAI: divulgável (interesse público), mas sem CPF, endereço e dados bancários (LGPD) |
| Dados sensíveis em processo público | LGPD: protegidos mesmo que o processo seja público |
| Beneficiário de programa social | Dados de renda e composição familiar: protegidos pela LGPD; dados do benefício: LAI |
A tentativa de usar a LGPD para negar pedidos de acesso à informação sobre atos administrativos — prática identificada em alguns órgãos — é interpretada pela CGU (Controladoria-Geral da União) e pela doutrina dominante como uso equivocado da lei de privacidade.
Compartilhamento de dados entre órgãos públicos
O Art. 26 regula o compartilhamento interno à administração pública:
O que é permitido:
- Compartilhamento para execução de políticas públicas com finalidade específica e determinada
- Dados de acesso público
- Compartilhamento previsto em lei, decreto, regulamento ou instrumento similar
- Prevenção de fraudes e proteção do titular
O que é proibido:
- Compartilhamento para finalidade diferente da que originou a coleta (princípio da finalidade, Art. 6, I)
- Transferência a entidades privadas, exceto nas hipóteses do Art. 26, §1°
O que o Art. 27 determina para transferência ao setor privado: Deve ser informado à ANPD e depende de base legal adequada. Quando o privado atua como executor descentralizado de política pública, o repasse é lícito — mas com contrato que estabeleça obrigações de proteção de dados (o privado atuará como operador).
Implementação passo a passo para o setor público
Fase 1 — Formação da equipe e governança (0 a 60 dias)
- Designar o encarregado (DPO): Formalizar por portaria ou instrumento equivalente; publicar nome e contato no site do órgão
- Criar o Comitê de Privacidade (recomendado, não obrigatório): DPO + jurídico + TI + áreas finalísticas
- Mapear a legislação específica que fundamenta as atividades do órgão (base legal de políticas públicas requer previsão em lei, regulamento ou instrumento similar)
Fase 2 — Inventário e mapeamento (60 a 120 dias)
- Mapear todas as atividades de tratamento por área: quais dados, de quem, para quê, com base em qual lei, com quem compartilha
- Identificar sistemas legados com dados pessoais sem finalidade atual documentada
- Verificar contratos com fornecedores que tratam dados pessoais como operadores — incluir cláusulas de DPA em renovações
- Construir o ROPA (Registro das Atividades de Tratamento, Art. 37) com base no mapeamento
Fase 3 — Documentação e políticas (120 a 180 dias)
- Publicar o aviso de privacidade no site do órgão — transparência exigida pelo Art. 23, I
- Publicar o contato do encarregado em local de destaque (Art. 41, §1°)
- Criar o canal de atendimento ao titular para exercício dos direitos do Art. 18
- Elaborar a Política Interna de Proteção de Dados com procedimentos para servidores
- Elaborar o RIPD para tratamentos de alto risco (dados sensíveis em larga escala, sistemas de reconhecimento facial, decisões automatizadas)
Fase 4 — Treinamento e comunicação (permanente)
- Capacitar servidores sobre proteção de dados e sobre como identificar e reportar incidentes
- Treinar o setor de licitações e contratos para incluir cláusulas de DPA em novos contratos
- Estabelecer processo de comunicação de incidentes à ANPD (prazo: 3 dias úteis para notificação preliminar, conforme Resolução CD/ANPD nº 15/2024)
Fase 5 — Gestão contínua (permanente)
- Manter o ROPA atualizado a cada mudança em sistemas ou processos
- Revisar contratos com fornecedores que acessam dados pessoais
- Acompanhar a agenda regulatória da ANPD — em 2026, com a transformação da ANPD em Agência Nacional de Proteção de Dados (Lei 15.352/2026), o ritmo de publicação de normas tende a acelerar
O que o TCU identificou sobre a situação federal
Uma auditoria do Tribunal de Contas da União avaliou 387 organizações federais e identificou que quase um terço ainda não implementou medidas básicas de conformidade com a LGPD, incluindo:
- 80 organizações sem política de segurança da informação
- 48 organizações sem encarregado formalmente indicado
- 250 organizações sem processo padronizado de comunicação de incidentes à ANPD
Esses dados demonstram que a adequação no setor público ainda está em andamento — e que a ANPD, com sua transformação em agência reguladora em 2026, tem capital político e institucional para intensificar a fiscalização.
O Poder Judiciário e a LGPD
O Conselho Nacional de Justiça (CNJ) editou a Resolução CNJ nº 363/2021, determinando que todos os tribunais (exceto o STF, com autonomia regimental própria) criem comitê de gestão de proteção de dados, designem encarregado e realizem mapeamento das atividades de tratamento.
O Poder Judiciário enfrenta uma tensão específica: o princípio da publicidade processual (Arts. 93, IX e X da Constituição Federal) coexiste com a LGPD. A solução consolidada é o "sigilo parcial": um processo pode ser público, mas dados sensíveis das partes (saúde, vida sexual, orientação religiosa ou política) podem ser excluídos dos registros públicos, amparado na exceção constitucional de "intimidade e vida privada" já prevista no Art. 93, IX.
Conclusão
A implementação da LGPD no setor público segue a mesma lógica geral — inventário, bases legais, encarregado, direitos dos titulares — mas com especificidades que não podem ser ignoradas: a base de políticas públicas como fundamento central, a vedação ao legítimo interesse, as sanções não-pecuniárias, a coexistência com a LAI e as regras de compartilhamento entre órgãos.
O setor público que implementa a LGPD corretamente não está apenas cumprindo a lei — está construindo a confiança do cidadão no Estado como guardião dos seus dados pessoais.
O Confidata é utilizado por prefeituras, autarquias e secretarias estaduais para gestão da conformidade LGPD no setor público, com módulo específico para tratamento de dados com base em políticas públicas e geração automática do aviso de privacidade.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.