Setor Público14 min de leitura

Compartilhamento de Dados entre Órgãos Públicos e a LGPD

Equipe Confidata·
Compartilhar

Um município precisa consultar dados do CadÚnico para conceder isenção de tarifa de transporte. Uma secretaria estadual de saúde quer cruzar dados de vacinação com o cadastro escolar para identificar crianças com esquema vacinal incompleto. O Tribunal de Contas solicita acesso ao SIAPE para auditar a folha de pagamento de um órgão federal. Cenários como esses ocorrem diariamente na administração pública brasileira — e todos envolvem compartilhamento de dados pessoais entre órgãos.

A LGPD dedica os artigos 25 a 27 ao tratamento de dados pelo poder público, com regras específicas sobre quando o compartilhamento é obrigatório, quando é permitido mediante fundamentação e quando é expressamente vedado. A essas disposições somam-se o Decreto 10.046/2019, a decisão do STF na ADI 6.649 e a regulamentação em andamento pela ANPD — um cenário normativo que exige atenção redobrada de gestores, DPOs e jurídicos do setor público.

Este guia aborda cada uma dessas camadas, com exemplos práticos e um modelo de termo de compartilhamento para uso imediato.

O que diz o Art. 26 da LGPD sobre compartilhamento de dados entre órgãos?

O Art. 26 da LGPD é a norma central sobre o tema. Ele estabelece que o uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e entidades públicas, respeitando os princípios de proteção de dados previstos no Art. 6° da Lei.

Em termos práticos, isso significa três requisitos cumulativos:

  1. Finalidade específica — o compartilhamento precisa servir a uma política pública concreta e identificável, não a um interesse genérico de "eficiência administrativa".
  2. Atribuição legal — o órgão que recebe os dados deve ter competência legal para tratá-los naquela finalidade.
  3. Respeito aos princípios do Art. 6° — especialmente finalidade, adequação, necessidade e segurança.

O § 1° do Art. 26 traz as vedações e exceções. A regra geral é clara: é vedado ao poder público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso. As exceções são taxativas:

  • Inciso I — execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico.
  • Inciso II — dados acessíveis publicamente, observadas as disposições da LGPD.
  • Inciso III — quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres.
  • Inciso IV — exclusivamente para prevenção de fraudes e irregularidades, ou para proteção do titular.

O § 2° acrescenta que contratos e convênios que envolvam uso compartilhado de dados deverão ser comunicados à ANPD.

Para o gestor público, isso significa que a prática anterior à LGPD — de compartilhar bases inteiras entre órgãos por meio de ofícios genéricos — não é mais compatível com a legislação vigente.

Quando o compartilhamento entre órgãos públicos é obrigatório por lei?

Existem hipóteses em que o compartilhamento não é apenas permitido — é obrigatório. Nesses casos, a base legal é o cumprimento de obrigação legal ou regulatória (Art. 7°, II, da LGPD), e a recusa em compartilhar pode configurar descumprimento de dever funcional.

Exemplos concretos:

  • CadÚnico (Decreto 6.135/2007) — estados e municípios são obrigados a alimentar e consultar o Cadastro Único para Programas Sociais do Governo Federal. A base legal é expressa: o decreto determina o uso compartilhado para identificação de famílias de baixa renda e concessão de benefícios sociais.

  • SIAFI (Lei 10.180/2001) — o Sistema Integrado de Administração Financeira do Governo Federal impõe aos órgãos da administração federal direta a obrigação de registrar todos os atos e fatos de gestão orçamentária, financeira e patrimonial. Órgãos de controle como TCU e CGU têm acesso legal ao sistema.

  • SIAPE — o Sistema Integrado de Administração de Recursos Humanos concentra dados funcionais de servidores federais. O compartilhamento com órgãos de controle e com o próprio servidor é previsto em legislação específica.

  • e-SUS AB (Portaria GM/MS 1.412/2013) — dados de atenção básica em saúde são obrigatoriamente compartilhados entre municípios, estados e o Ministério da Saúde.

Nesses casos, a LGPD não elimina o compartilhamento — ela exige que ele ocorra com transparência (o titular deve saber que seus dados são compartilhados), segurança (medidas técnicas adequadas) e minimização (apenas os dados estritamente necessários). Para um panorama completo, veja nosso guia sobre LGPD no setor público e administração pública.

O que o Art. 27 proíbe sobre transferência de dados do setor público para o privado?

O Art. 27 da LGPD trata de uma situação distinta e mais restritiva: a comunicação ou uso compartilhado de dados pessoais de pessoa jurídica de direito público para pessoa jurídica de direito privado.

A regra do Art. 27 estabelece que esse tipo de compartilhamento:

  1. Deve ser informado à ANPD — independentemente da base legal utilizada.
  2. Depende do consentimento do titular — como regra geral.

As exceções ao consentimento são:

  • Hipóteses de dispensa de consentimento previstas na própria LGPD (Art. 7°, incisos II a X).
  • Casos de uso compartilhado em que seja dada publicidade nos termos do Art. 23, I (informação clara sobre finalidade, procedimentos e práticas).
  • Exceções previstas no § 1° do Art. 26 (execução descentralizada, dados públicos, previsão legal/contratual, prevenção de fraudes).

Na prática, o Art. 27 impõe um ônus adicional significativo: mesmo quando o compartilhamento público-privado é legalmente autorizado, o órgão deve notificar a ANPD. O descumprimento dessa obrigação pode gerar sanções administrativas.

Exemplo prático: um órgão público que contrata empresa privada para operar um sistema de gestão de benefícios sociais precisa: (a) fundamentar o compartilhamento no § 1° do Art. 26 (execução descentralizada de atividade pública); (b) informar a ANPD; (c) incluir cláusulas de proteção de dados no contrato; e (d) garantir que a empresa privada trate os dados exclusivamente para a finalidade contratual.

Para gestores que lidam com contratos envolvendo dados pessoais, recomendamos consultar nosso guia sobre cláusulas contratuais LGPD em contratos com terceiros.

O que foi o Decreto 10.046/2019 e qual a situação atual após o STF?

O Decreto 10.046/2019 foi editado com o objetivo de ampliar a governança no compartilhamento de dados no âmbito da administração pública federal. Ele instituiu dois mecanismos centrais:

  1. Cadastro Base do Cidadão (CBC) — uma base de dados composta por informações biográficas de referência dos cidadãos brasileiros, que seria alimentada por diversos órgãos federais e serviria como base canônica para interoperabilidade.

  2. Comitê Central de Governança de Dados (CCGD) — órgão responsável por estabelecer diretrizes e resolver questões sobre compartilhamento de dados entre órgãos federais.

O decreto classificava os dados em três categorias: dados cadastrais, atributos biográficos (saúde, educação, trabalho) e atributos biométricos (impressões digitais, reconhecimento facial). A amplitude do compartilhamento previsto gerou preocupação na comunidade jurídica e na sociedade civil.

A decisão do STF: ADI 6.649 e ADPF 695

O Conselho Federal da OAB ajuizou a Ação Direta de Inconstitucionalidade (ADI) 6.649, e o Partido Socialista Brasileiro ingressou com a ADPF 695, ambas questionando a constitucionalidade do decreto. Em setembro de 2022, o STF julgou conjuntamente as duas ações e proferiu decisão que se tornou referência para todo o compartilhamento de dados no setor público.

O Tribunal, por maioria, não declarou o decreto integralmente inconstitucional, mas impôs requisitos rigorosos. Os principais pontos da decisão, relatada pelo Ministro Gilmar Mendes:

  • O compartilhamento entre órgãos é constitucional, desde que observe os princípios da LGPD.
  • Requisitos obrigatórios: propósitos legítimos, específicos e explícitos; compatibilidade com as finalidades informadas; limitação ao mínimo necessário.
  • Devem existir mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão.
  • É obrigatória a publicidade do compartilhamento e o fornecimento de informações claras ao titular.
  • Servidores que abusarem do acesso poderão responder por improbidade administrativa.
  • O Art. 22 do decreto foi declarado inconstitucional com efeito pro futuro, determinando que o CCGD ganhasse perfil independente e plural.

Essa decisão é hoje a baliza mais importante para o compartilhamento de dados no setor público federal.

Quando o compartilhamento é permitido mas precisa de fundamentação?

Além dos casos de obrigação legal, existe uma ampla zona de compartilhamento que é permitido, mas que exige fundamentação explícita. São situações em que não há lei determinando o compartilhamento, mas ele atende a uma finalidade pública legítima.

Exemplos:

  • Secretaria de Educação que quer cruzar dados com a Secretaria de Saúde para identificar crianças em situação de vulnerabilidade — não há lei específica determinando esse cruzamento, mas a finalidade (proteção integral da criança) tem amparo constitucional.

  • Órgão ambiental que solicita dados de propriedades rurais ao INCRA para fiscalização de desmatamento — a competência do órgão é clara, mas o compartilhamento específico precisa ser formalizado.

  • Município que solicita dados do Detran estadual para planejamento de mobilidade urbana — a finalidade é legítima, mas os dados devem ser anonimizados ou agregados sempre que a identificação individual não for necessária.

Nesses casos, o gestor deve: (1) documentar a finalidade específica — não basta invocar "interesse público" genericamente; (2) verificar a base legal aplicável — Art. 7°, III é a mais comum; (3) aplicar o princípio da necessidade — solicitar apenas dados estritamente necessários; (4) formalizar em instrumento adequado; e (5) informar os titulares por meio de avisos de privacidade atualizados.

Quando o compartilhamento de dados entre órgãos é proibido?

O compartilhamento é vedado quando:

  • A finalidade é incompatível com a coleta original — dados coletados para um programa social não podem ser compartilhados para persecução penal sem previsão legal específica.

  • Há desvio de finalidade — um órgão que recebe dados para fiscalização tributária não pode utilizá-los para montar perfis comportamentais de cidadãos.

  • Os dados são sensíveis sem base legal reforçada — dados de saúde, biometria ou convicções religiosas exigem base legal qualificada (Art. 11 da LGPD), mesmo entre entes públicos.

  • Há transferência ao setor privado sem as salvaguardas do Art. 27 — transferência público-privado sem informação à ANPD e sem base legal é vedada.

  • Os dados estão sob sigilo legal específico — sigilo bancário (LC 105/2001), sigilo fiscal (Art. 198 do CTN) e sigilo de comunicações (Art. 5°, XII, CF) impõem restrições adicionais que a LGPD não afasta.

Como a ANPD está regulamentando o compartilhamento de dados pelo poder público?

A ANPD publicou em 2023 o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, que já trazia diretrizes sobre compartilhamento. Porém, o passo mais relevante veio em outubro de 2025, quando a Autoridade abriu consulta pública sobre a minuta de Resolução que regulamenta especificamente o uso compartilhado de dados pessoais pelo poder público.

A consulta ficou disponível na plataforma Participa Mais Brasil até 12 de dezembro de 2025, e uma audiência pública foi realizada em 25 de novembro de 2025, por meio do canal da ANPD no YouTube.

O tema constava do Item 3 da Agenda Regulatória da ANPD para o biênio 2025/2026, e foi incluído no Mapa de Temas Prioritários para 2026-2027, sinalizando que a regulamentação definitiva está próxima.

Principais pontos da minuta de regulamento

A minuta da Resolução da ANPD estabelece, entre outros pontos:

  • Obrigatoriedade de instrumento formal — o compartilhamento deverá ser respaldado por contrato, convênio ou instrumento congênere entre o agente cedente e o agente recebedor.
  • Cláusulas obrigatórias — os instrumentos deverão conter cláusulas que atendam às exigências do regulamento, incluindo finalidade, base legal, medidas de segurança e direitos dos titulares.
  • Aproveitamento de instrumentos existentes — convênios e contratos já firmados poderão ser utilizados, desde que contenham (ou sejam aditados para conter) as cláusulas exigidas.
  • Transparência ativa — os órgãos deverão dar publicidade às operações de compartilhamento.

Até a publicação da resolução definitiva, gestores públicos devem se guiar pelo Art. 26 da LGPD, pela decisão do STF na ADI 6.649 e pelo Guia Orientativo da ANPD. Para um roteiro prático de implementação, consulte nosso guia sobre como implementar a LGPD em órgãos públicos.

Como a LAI e a LGPD se articulam no compartilhamento de dados públicos?

Uma dúvida frequente envolve a relação entre transparência pública (LAI — Lei 12.527/2011) e proteção de dados pessoais. O Art. 26, § 1°, II, da LGPD permite o compartilhamento de dados "acessíveis publicamente", mas com a ressalva de que devem ser observadas as disposições da LGPD. A publicidade de um dado isolado (como nome e remuneração de servidor) não autoriza o cruzamento massivo com outras bases.

Dados publicados em transparência ativa não perdem proteção ao serem agregados. A conciliação exige avaliação caso a caso. Para um aprofundamento, veja nosso guia sobre como compatibilizar LGPD e Lei de Acesso à Informação.

Quem deve acessar o quê nos sistemas compartilhados?

A decisão do STF na ADI 6.649 foi enfática ao exigir mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão e, por extensão, a qualquer sistema compartilhado de dados pessoais entre órgãos.

O controle de acesso deve observar:

  • Princípio do menor privilégio — cada servidor acessa apenas os dados necessários para sua função. Um analista de benefícios sociais não precisa acessar dados tributários, mesmo que ambos estejam no mesmo sistema.

  • Registro de acesso (logs) — todo acesso deve ser registrado com identificação do servidor, data, hora e finalidade declarada.

  • Revisão periódica — servidores que mudam de função ou são exonerados devem ter acessos revogados imediatamente. Revisões semestrais são recomendadas.

  • Segregação de ambientes — dados sensíveis (saúde, biometria) devem ter controles de acesso adicionais.

  • Responsabilização individual — conforme a decisão do STF, servidores que abusarem do acesso podem responder por improbidade administrativa (Lei 8.429/1992), além das sanções da LGPD.

Modelo de termo de compartilhamento de dados entre órgãos públicos

A formalização do compartilhamento é exigência tanto da LGPD quanto da decisão do STF. Abaixo, apresentamos a estrutura essencial de um termo que pode ser adaptado conforme a necessidade de cada órgão.

TERMO DE COMPARTILHAMENTO DE DADOS PESSOAIS ENTRE ÓRGÃOS PÚBLICOS

ÓRGÃO CEDENTE: [Nome, CNPJ] | ÓRGÃO RECEBEDOR: [Nome, CNPJ]

CLÁUSULA 1 — FINALIDADE E BASE LEGAL Compartilhamento dos dados listados no Anexo I, exclusivamente para [finalidade específica], com fundamento no Art. 26 da LGPD e na base legal aplicável: Art. 7°, III (execução de políticas públicas) ou Art. 7°, II (obrigação legal). O compartilhamento atende à política pública de [identificar], conforme [lei/decreto].

CLÁUSULA 2 — DADOS COMPARTILHADOS Apenas os dados listados no Anexo I, limitados ao estritamente necessário. Dados sensíveis (Art. 5°, II) somente com base legal reforçada (Art. 11).

CLÁUSULA 3 — OBRIGAÇÕES DO ÓRGÃO RECEBEDOR (a) Usar os dados exclusivamente para a finalidade prevista; (b) implementar medidas de segurança conforme Art. 46; (c) manter registro das operações de tratamento (Art. 37); (d) não compartilhar com terceiros sem autorização e base legal; (e) comunicar incidentes ao cedente em 48 horas; (f) restringir acesso a servidores autorizados, com logs de auditoria.

CLÁUSULA 4 — OBRIGAÇÕES DO ÓRGÃO CEDENTE Disponibilizar dados em formato estruturado (Art. 25), garantir qualidade e informar restrições.

CLÁUSULA 5 — TRANSPARÊNCIA Ambos os órgãos atualizarão avisos de privacidade. Solicitações de titulares serão atendidas pelo cedente, com cooperação do recebedor.

CLÁUSULA 6 — VIGÊNCIA E ELIMINAÇÃO Vigência de [período], renovável. Ao término, o recebedor eliminará os dados, salvo obrigação legal de conservação.

CLÁUSULA 7 — COMUNICAÇÃO À ANPD Este termo será comunicado à ANPD conforme Art. 26, § 2°, da LGPD.

ANEXO I — RELAÇÃO DE DADOS COMPARTILHADOS

Dado pessoalCategoriaFinalidade específicaBase legal
[Ex: Nome completo]Cadastral[Ex: Identificação do beneficiário]Art. 7°, III
[Ex: CPF]Cadastral[Ex: Validação de elegibilidade]Art. 7°, III

Este modelo pode ser adaptado para convênios, acordos administrativos ou aditivos contratuais. O essencial é que todas as cláusulas estejam presentes e a finalidade seja específica o suficiente para permitir fiscalização.

Checklist: compartilhamento de dados entre órgãos públicos em conformidade com a LGPD

Use esta lista de verificação antes de iniciar qualquer compartilhamento de dados pessoais com outro órgão:

  • Finalidade específica documentada — o compartilhamento atende a uma política pública concreta e identificável?
  • Base legal identificada — há lei, decreto ou regulamento que fundamenta o compartilhamento? Qual artigo da LGPD se aplica (Art. 7°, II ou III)?
  • Princípio da necessidade — estão sendo compartilhados apenas os dados estritamente necessários, ou a base inteira?
  • Instrumento formal — existe convênio, acordo de cooperação ou termo de compartilhamento assinado?
  • Cláusulas de proteção de dados — o instrumento contém cláusulas sobre finalidade, segurança, direitos dos titulares e eliminação?
  • Controle de acesso — está definido quem terá acesso aos dados, com registro em logs de auditoria?
  • Transparência — os avisos de privacidade dos dois órgãos foram atualizados para informar o compartilhamento?
  • Comunicação à ANPD — o compartilhamento foi informado à Autoridade Nacional, conforme Art. 26, § 2°?
  • Dados sensíveis — se houver dados sensíveis envolvidos, a base legal é reforçada (Art. 11)?
  • Requisitos do STF — o compartilhamento atende aos critérios fixados na ADI 6.649 (propósito legítimo, específico, explícito; limitação ao mínimo necessário; mecanismos de controle)?
  • Revisão periódica — há cronograma para revisar a necessidade e adequação do compartilhamento?
  • Plano de resposta a incidentes — está definido o procedimento caso haja vazamento dos dados compartilhados?

O compartilhamento de dados entre órgãos públicos é uma necessidade operacional legítima, mas que exige governança rigorosa para respeitar os direitos dos cidadãos. Se o seu órgão precisa estruturar convênios de compartilhamento, revisar bases legais ou implementar controles de acesso compatíveis com a LGPD e a decisão do STF, o Confidata oferece uma plataforma completa de governança em proteção de dados — com inventário de atividades de tratamento, gestão de bases legais, avaliações de risco e geração automatizada de documentos como termos de compartilhamento e relatórios de impacto. Fale com nossa equipe e veja como podemos ajudar seu órgão a compartilhar dados com segurança jurídica.

Compartilhar
#compartilhamento dados governo#Art 26 LGPD#interoperabilidade dados públicos#Cadastro Base Cidadão#transferência dados órgãos

Artigos relacionados

LGPD no Setor Público: Guia para Administração PúblicaSetor Público · 15 minLGPD para Defensoria Pública e Ministério Público: Dados de Populações VulneráveisSetor Público · 13 minCláusulas LGPD em Licitações: Modelos Prontos para a Lei 14.133/2021Setor Público · 13 minLGPD em cartórios: como adequar serventias extrajudiciais à proteção de dadosSetor Público · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista