LGPD em Câmaras Municipais e Assembleias Legislativas: guia completo de adequação para o Poder Legislativo

Quando se fala em adequação do setor público à LGPD, a atenção recai quase automaticamente sobre prefeituras, secretarias e autarquias do Poder Executivo. As casas legislativas — câmaras municipais, assembleias legislativas e a própria Câmara dos Deputados e Senado Federal — ficam em segundo plano, como se a Lei Geral de Proteção de Dados não se aplicasse a elas. Essa percepção está errada.

Câmaras e assembleias são controladores de dados pessoais na acepção do art. 5º, inciso VI, da LGPD (Lei nº 13.709/2018). Tratam dados de servidores, fornecedores, cidadãos que protocolam petições, munícipes que participam de tribuna livre, denunciantes na ouvidoria, e qualquer pessoa cujo nome ou imagem apareça em sessões transmitidas ao vivo. A obrigação de adequação é integral, sem exceções para o Poder Legislativo.

Este guia cobre tudo o que uma casa legislativa precisa saber para sair da inércia: fundamento legal, categorias de dados tratados, equilíbrio entre transparência e privacidade, modelo de resolução e um checklist operacional com 15 itens.

A LGPD se aplica ao Poder Legislativo?

Sim, sem ressalvas. O art. 1º da LGPD estabelece que a lei dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado. O art. 23 complementa: o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei de Acesso à Informação (Lei nº 12.527/2011) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

O parágrafo único do art. 1º da LAI inclui explicitamente os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo — incluindo as Cortes de Contas — e Judiciário, além do Ministério Público. Não há margem para interpretação: câmaras municipais e assembleias legislativas estão dentro do escopo.

A particularidade do Legislativo, como destaca a doutrina especializada, é que ele possui natureza política, colegiada e não hierárquica, com prerrogativas constitucionais como a imunidade material parlamentar (art. 53, CF). Isso não o exime da LGPD — apenas exige adaptações na forma de implementar a governança de dados, respeitando a autonomia dos gabinetes parlamentares e a liberdade no exercício do mandato.

Para um panorama completo sobre LGPD no setor público, consulte nosso guia sobre LGPD na administração pública.

Quais dados pessoais uma câmara municipal trata?

A resposta costuma surpreender gestores legislativos pelo volume e pela sensibilidade das informações envolvidas. Veja as principais categorias:

Dados de servidores e comissionados

Câmaras mantêm folha de pagamento, registros funcionais, dados de saúde (atestados médicos, licenças), avaliações de desempenho, dados bancários e informações previdenciárias de seus servidores efetivos e comissionados. Muitos desses são dados sensíveis na definição do art. 5º, inciso II, da LGPD — especialmente dados de saúde.

Dados de fornecedores e licitantes

Processos licitatórios exigem CPF, CNPJ, certidões, dados bancários e documentos pessoais de representantes legais. O portal de compras da câmara, por determinação da LAI, publica parte dessas informações — mas nem tudo pode ser exposto sem critério.

Dados de cidadãos — petições, ouvidoria e tribuna livre

Aqui reside uma das maiores especificidades do Legislativo. Cidadãos que protocolam petições, requerimentos ou denúncias na ouvidoria fornecem dados pessoais que podem incluir informações sensíveis — especialmente em denúncias de violação de direitos, abuso de autoridade ou questões de saúde pública. A tribuna livre, presente em regimentos internos de milhares de câmaras brasileiras, permite que cidadãos falem diretamente aos vereadores em sessão plenária — sessão que frequentemente é gravada e transmitida.

Dados de visitantes e participantes de audiências públicas

Registros de entrada, listas de presença em audiências públicas, dados de credenciamento de jornalistas e assessores — tudo isso constitui tratamento de dados pessoais.

Se sua câmara também é responsável por dados de munícipes em contexto mais amplo, vale conferir o guia de adequação LGPD para prefeituras e gestores municipais, que aborda cenários complementares.

Transmissão ao vivo de sessões: como lidar com dados pessoais mencionados publicamente?

A TV Câmara, os canais no YouTube e as redes sociais das casas legislativas transmitem sessões plenárias, audiências públicas e reuniões de comissões. Durante essas transmissões, é comum que vereadores ou deputados mencionem nomes de cidadãos, situações pessoais de munícipes, dados de saúde em requerimentos e até informações sobre processos judiciais.

O problema jurídico

A imunidade material parlamentar (art. 29, inciso VIII, da CF para vereadores, nos limites do Município, e art. 53 para deputados e senadores) protege o parlamentar por suas opiniões, palavras e votos. Porém, essa imunidade não elimina a responsabilidade da casa legislativa como controladora dos dados pessoais que ela mesma grava, armazena e distribui por meio de suas plataformas de comunicação.

Quando a câmara publica no YouTube uma sessão em que um vereador lê o nome completo, CPF e endereço de um cidadão durante um requerimento, o controlador desse tratamento é a câmara — não o vereador individualmente.

Medidas práticas

Política de transmissão e gravação: estabelecer norma interna que oriente parlamentares a evitar a leitura de dados pessoais desnecessários em plenário, especialmente CPF, endereço completo e dados de saúde.
Edição antes da publicação: quando a sessão é disponibilizada em plataformas on-demand (YouTube, site da câmara), aplicar tarjas ou silenciamento em trechos que contenham dados pessoais sensíveis indevidamente mencionados.
Aviso de gravação: informar, no início de cada sessão transmitida, que a sessão está sendo gravada e transmitida, e que dados pessoais mencionados poderão ser objeto de tratamento nos termos da LGPD.
Retenção limitada: definir prazo de manutenção das gravações integrais (ex.: 5 anos), com possibilidade de edição ou remoção de dados pessoais mediante solicitação fundamentada do titular.

Portal de transparência vs. proteção de dados: como compatibilizar LAI e LGPD?

Este é o dilema central para qualquer órgão público, mas ganha contornos específicos no Legislativo. O art. 23, inciso I, da LGPD exige que o órgão público informe as hipóteses em que realiza tratamento de dados pessoais, em veículos de fácil acesso — preferencialmente em seus sítios eletrônicos. Ao mesmo tempo, a LAI (Lei nº 12.527/2011) impõe a transparência ativa de informações de interesse coletivo.

Regra fundamental

A transparência é a regra; o sigilo é a exceção. Conforme posição consolidada da Câmara dos Deputados e de especialistas, a LGPD não criou novas hipóteses de sigilo — ela protege dados pessoais, mas não autoriza que órgãos públicos usem a "proteção de dados" como pretexto para negar acesso a informações de interesse público.

Na prática, o que publicar e o que proteger?

Informação	Publicar (LAI)	Proteger (LGPD)
Remuneração de servidores e vereadores	Sim (nome + cargo + remuneração)	Ocultar CPF, endereço residencial, dados bancários
Licitações e contratos	Sim (razão social, CNPJ, objeto, valor)	Ocultar CPF de representantes legais PF, dados pessoais desnecessários
Atas de sessões	Sim (conteúdo deliberativo)	Tarjar dados pessoais de cidadãos mencionados sem necessidade
Petições e requerimentos	Sim (assunto, encaminhamento)	Ocultar dados do peticionário quando houver risco (denúncias, saúde)
Frequência de vereadores	Sim (presença em sessões é informação pública)	Não ocultar — é dado funcional, não pessoal sensível

A Câmara de Cascavel (PR) é um exemplo prático: aprovou em 2023 a Resolução nº 6/2023, regulamentando a LGPD, e a Resolução nº 7/2023, instituindo o Serviço de Informação ao Cidadão (SIC). Ambas foram publicadas em conjunto justamente para harmonizar transparência e proteção de dados na mesma casa legislativa.

Para aprofundar a compatibilização entre LAI e LGPD, consulte nosso artigo sobre como compatibilizar a Lei de Acesso à Informação com a LGPD.

Sistemas de protocolo e petições eletrônicas: quais cuidados tomar?

Muitas câmaras modernizaram seus sistemas de protocolo, permitindo que cidadãos registrem petições, denúncias e solicitações por meio de formulários eletrônicos. Esses sistemas coletam nome completo, CPF, endereço, e-mail, telefone e, no campo livre, frequentemente recebem dados sensíveis (informações de saúde, origem racial, convicção religiosa) sem que o cidadão perceba que está fornecendo dados dessa natureza.

Obrigações específicas

Base legal: o tratamento de dados coletados em petições eletrônicas pode ser fundamentado no art. 7º, inciso III (obrigação legal — direito de petição, art. 5º, XXXIV, da CF) ou no art. 23 (execução de políticas públicas). A câmara deve definir expressamente qual base legal utiliza.

Minimização (art. 6º, inciso III): coletar apenas os dados estritamente necessários para o atendimento da petição. Formulários que pedem estado civil, profissão, RG e CPF simultaneamente para uma simples reclamação sobre iluminação pública violam o princípio da necessidade.

Informação ao titular (art. 9º): no próprio formulário de protocolo, incluir aviso de privacidade claro informando: finalidade da coleta, prazo de armazenamento, compartilhamento com outros órgãos (se houver) e canal para exercício de direitos.

Segurança (art. 46): sistemas de protocolo eletrônico devem adotar controle de acesso por perfil (nem todo servidor precisa visualizar todas as petições), criptografia em trânsito (HTTPS obrigatório), logs de acesso e backup regular.

TV Câmara, redes sociais e YouTube: uso de imagem e dados pessoais

Além das transmissões ao vivo já discutidas, a presença digital das casas legislativas envolve:

Fotos institucionais de eventos, audiências e visitas publicadas em sites e redes sociais
Matérias jornalísticas produzidas pela assessoria de comunicação com entrevistas de cidadãos
Vídeos de campanhas institucionais com participação de servidores ou munícipes

Base legal para uso de imagem

O uso de imagem de pessoa natural é dado pessoal (art. 5º, inciso I, da LGPD). Para uso em atividade jornalística ou comunicação institucional de interesse público, a base legal mais adequada é o legítimo interesse (art. 7º, inciso IX) — embora esse fundamento exija a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD) quando solicitado pela ANPD (art. 10, § 3º). Para órgãos públicos, o art. 23 (finalidade pública) também é aplicável.

Recomendações práticas

Obter termo de autorização de uso de imagem para cidadãos que participam voluntariamente de vídeos e campanhas institucionais
Não publicar fotos de crianças e adolescentes sem autorização dos responsáveis legais (art. 14 da LGPD + ECA)
Manter registro de todas as publicações que contenham dados pessoais em redes sociais, para atender a eventuais pedidos de remoção
Estabelecer política de retenção para conteúdo publicado em YouTube e redes sociais — definir se será mantido indefinidamente ou por período determinado

Quem deve ser o DPO em uma casa legislativa?

O art. 23, inciso III, da LGPD determina que órgãos públicos indiquem um encarregado (DPO — Data Protection Officer) quando realizarem operações de tratamento de dados pessoais. A ANPD, por meio da Resolução CD/ANPD nº 18/2024, flexibilizou a exigência para agentes de tratamento de pequeno porte — mas casas legislativas de médio e grande porte não se enquadram nessa exceção.

Quem nomear?

Na prática das câmaras municipais brasileiras, o DPO tem sido nomeado entre:

Servidor do setor jurídico: opção mais comum, pela familiaridade com legislação. Risco: acúmulo de funções e potencial conflito de interesse (o jurídico que assessora a câmara pode ter dificuldade em fiscalizá-la).
Servidor de TI com capacitação em privacidade: adequado para casas que possuem equipe de TI robusta. Risco: viés excessivamente técnico, sem visão jurídico-regulatória.
Servidor dedicado ou comissionado específico: solução ideal para assembleias legislativas e câmaras de capitais, com volume de dados que justifica dedicação exclusiva.
DPO externo (terceirizado): permitido pela LGPD e pela ANPD. Câmaras menores podem contratar serviço especializado, desde que formalizem a indicação por ato normativo.

Independentemente da escolha, a nomeação deve ser formalizada por ato da Mesa Diretora (portaria ou resolução), com publicação no Diário Oficial e comunicação à ANPD. Para um modelo prático de ato de nomeação, veja nosso guia sobre nomeação de DPO em órgãos públicos.

Como criar um comitê de privacidade no Legislativo?

A experiência das câmaras que já iniciaram a adequação mostra que o modelo mais eficaz é a criação de um Comitê Gestor de Proteção de Dados, instituído por resolução da Mesa Diretora. A Câmara de Maceió, por exemplo, criou em 2026 uma comissão específica para estruturar diretrizes, orientar servidores e revisar procedimentos administrativos relacionados à proteção de dados.

Composição recomendada

Membro	Papel
Diretor-Geral ou Secretário-Geral	Coordenação executiva
Encarregado de Dados (DPO)	Coordenação técnica e canal com ANPD
Representante do setor jurídico	Orientação legal e pareceres
Representante de TI	Segurança da informação e sistemas
Representante da ouvidoria	Interface com cidadãos e titulares
Representante da comunicação	TV Câmara, redes sociais, publicações
Representante da área de RH	Dados de servidores e comissionados

Atribuições principais

Elaborar e revisar a Política de Privacidade e Proteção de Dados da casa legislativa
Supervisionar o inventário de dados pessoais (ROPA — Record of Processing Activities)
Avaliar e aprovar Relatórios de Impacto à Proteção de Dados (RIPD)
Promover treinamentos periódicos para servidores e assessores parlamentares
Responder a incidentes de segurança e notificar a ANPD quando necessário (art. 48 da LGPD)
Atender solicitações de titulares de dados (art. 18 da LGPD)

Modelo de resolução de adequação à LGPD para câmaras municipais

Abaixo, um modelo-base que pode ser adaptado à realidade de qualquer câmara municipal ou assembleia legislativa. Ele segue a estrutura adotada por câmaras como São José/SC (Resolução nº 641/2021), Cascavel/PR (Resolução nº 6/2023), Jardim Alegre/PR (Resolução nº 12/2024) e Nova Santa Rosa/PR (Resolução nº 07/2024).

RESOLUÇÃO Nº /20, DE __ DE ________ DE 20_

Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), no âmbito da Câmara Municipal de [Nome do Município].

A MESA DIRETORA DA CÂMARA MUNICIPAL DE [MUNICÍPIO], no uso de suas atribuições regimentais,

CONSIDERANDO que a Lei Federal nº 13.709/2018 se aplica a todo tratamento de dados pessoais realizado por pessoa jurídica de direito público;

CONSIDERANDO o disposto nos arts. 23 a 30 da LGPD, que estabelecem regras específicas para o tratamento de dados pelo Poder Público;

CONSIDERANDO a necessidade de harmonizar as disposições da LGPD com a Lei nº 12.527/2011 (Lei de Acesso à Informação);

RESOLVE:

Art. 1º Esta Resolução regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito da Câmara Municipal de [Município], abrangendo todos os setores, gabinetes parlamentares e órgãos internos.

Art. 2º Fica instituído o Comitê Gestor de Proteção de Dados Pessoais, composto por representantes indicados pela Mesa Diretora, com as atribuições de: I — elaborar e revisar a Política de Privacidade; II — supervisionar o inventário de dados pessoais; III — avaliar Relatórios de Impacto; IV — promover capacitação; V — responder a incidentes de segurança.

Art. 3º Fica designado como Encarregado pelo Tratamento de Dados Pessoais (DPO) o servidor [Nome/Cargo], nos termos do art. 41 da LGPD, com as atribuições previstas no § 2º do referido artigo.

Art. 4º Os dados pessoais tratados pela Câmara Municipal serão processados exclusivamente para o atendimento da finalidade pública, na persecução do interesse público, observados os princípios do art. 6º da LGPD.

Art. 5º A Câmara Municipal publicará em seu sítio eletrônico: I — a Política de Privacidade e Proteção de Dados; II — a identidade e informações de contato do Encarregado; III — as hipóteses de tratamento de dados pessoais realizadas.

Art. 6º O Comitê Gestor deverá concluir o inventário de dados pessoais e o mapeamento de processos de tratamento no prazo de 180 (cento e oitenta) dias a partir da publicação desta Resolução.

Art. 7º Os gabinetes parlamentares são responsáveis pelo tratamento de dados pessoais realizados em suas atividades, devendo observar as diretrizes estabelecidas pelo Comitê Gestor.

Art. 8º Os contratos com fornecedores e prestadores de serviço que envolvam tratamento de dados pessoais deverão conter cláusulas específicas de proteção de dados, conforme modelo aprovado pelo Comitê Gestor.

Art. 9º Esta Resolução entra em vigor na data de sua publicação.

Checklist de adequação à LGPD para câmaras municipais e assembleias legislativas

Use esta lista como roteiro operacional. Os 15 itens estão organizados em ordem de prioridade:

Câmaras que já avançaram: exemplos reais

A adequação não é teoria. Diversas câmaras brasileiras já publicaram atos normativos e implementaram medidas concretas:

Câmara de São José/SC: Resolução nº 641/2021, uma das primeiras do país a regulamentar a LGPD no âmbito legislativo municipal
Câmara de Cascavel/PR: Resoluções nº 6/2023 (LGPD) e nº 7/2023 (SIC), publicadas em conjunto para harmonizar proteção de dados e acesso à informação
Câmara de Jardim Alegre/PR: Resolução nº 12/2024, instituindo Política de Privacidade aplicável a vereadores, servidores e prestadores de serviço
Câmara de Nova Santa Rosa/PR: Resolução nº 07/2024, regulamentando a LGPD internamente
Câmara de Três Rios/RJ: Resolução nº 779/2024, criando Comissão Gestora para implantação da LGPD
Câmara de Maceió/AL: criou em 2026 comissão específica para estruturar diretrizes e revisar procedimentos administrativos de proteção de dados
Câmara de Cuiabá/MT: publicou Política de Privacidade detalhada em seu site institucional
Câmara de Manaus/AM: mantém seção específica de LGPD no portal com informações sobre tratamento de dados e canal do encarregado

Esses exemplos demonstram que a adequação é viável mesmo com equipes enxutas e orçamentos limitados. O primeiro passo — nomear o DPO e aprovar uma resolução — depende exclusivamente de vontade política da Mesa Diretora.

Próximos passos: por onde começar

Se sua câmara ou assembleia ainda não iniciou a adequação, a sequência recomendada é:

Semana 1-2: Nomear DPO e criar Comitê Gestor (itens 1 e 2 do checklist)
Mês 1: Aprovar resolução de adequação e publicar Política de Privacidade (itens 3 e 5)
Mês 2-3: Realizar inventário de dados e revisar sistemas de protocolo (itens 4 e 6)
Mês 4-6: Adequar portal de transparência, contratos, TV Câmara e implementar controles de segurança (itens 7 a 11)
Mês 6-12: Elaborar RIPD, capacitar equipe e instituir processo de revisão periódica (itens 12 a 15)

O cronograma é realista para câmaras de qualquer porte. Câmaras menores podem condensar as etapas; assembleias legislativas estaduais, com estrutura maior, podem paralelizar atividades.

A adequação do Poder Legislativo à LGPD não precisa ser um projeto complexo ou caro — mas precisa começar. O Confidata é uma plataforma especializada em conformidade LGPD para o setor público, com módulos de inventário de dados, gestão de riscos, RIPD e portal do titular prontos para uso. Se sua câmara ou assembleia precisa sair do zero com segurança e agilidade, conheça o Confidata e veja como podemos ajudar.