LGPD Comentada #15: O poder público como agente de tratamento de dados
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
O Capítulo IV da LGPD é dedicado ao tratamento de dados pessoais pelo poder público — um universo com desafios distintos do setor privado. O governo trata volumes massivos de dados de toda a população, frequentemente sem consentimento e sem que o titular possa escolher outra opção (não há concorrente para o INSS, a Receita Federal ou o SUS). Os Arts. 23, 24 e 25 definem as regras fundacionais desse regime: como o poder público deve tratar dados, qual regime se aplica a empresas estatais e como os dados devem ser estruturados para uso compartilhado entre órgãos.
Este post analisa esses três artigos, examina a tensão entre transparência pública e proteção de dados e apresenta os resultados das auditorias do TCU sobre o nível de conformidade dos órgãos federais.
Art. 23 — Regras específicas de tratamento pelo poder público
O texto legal
"Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:"
"I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;"
"II – (VETADO);"
"III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei."
Análise do caput: a tríade finalidade-interesse-competência
O caput do Art. 23 condiciona todo tratamento de dados pelo poder público a três requisitos cumulativos:
- Finalidade pública — o tratamento deve servir a uma finalidade de interesse coletivo, não a interesses particulares de agentes ou do próprio órgão
- Interesse público — a persecução de objetivos que beneficiem a coletividade
- Competência legal — o órgão deve estar atuando dentro de suas competências legais ou atribuições do serviço público
Essa tríade é fundamental porque o poder público, ao contrário do setor privado, não pode escolher livremente suas bases legais — ele é obrigado pela lei a tratar certos dados. A Receita Federal precisa dos dados fiscais; o INSS precisa dos dados previdenciários; o SUS precisa dos dados de saúde. A questão não é "se" esses dados serão tratados, mas "como" e "com quais garantias".
Inciso I: transparência ativa
O inciso I exige que o poder público informe, em veículos de fácil acesso e preferencialmente em seus sítios eletrônicos, as hipóteses de tratamento, a previsão legal, a finalidade e os procedimentos utilizados. Na prática, isso significa publicar avisos de privacidade e políticas de tratamento de dados em cada sistema e serviço digital.
Muitos órgãos federais ainda não cumprem adequadamente essa obrigação. A publicação de avisos de privacidade em sites governamentais melhorou desde a entrada em vigor da LGPD, mas muitos são genéricos e não especificam as bases legais ou finalidades de cada tratamento realizado pelo órgão.
Inciso III: indicação de encarregado
A indicação de encarregado (DPO) é obrigatória para órgãos públicos que realizam operações de tratamento de dados pessoais. Esse requisito é especialmente relevante porque, como veremos, a auditoria do TCU revelou que a ausência de encarregado nomeado é uma das falhas mais recorrentes na administração pública federal.
Parágrafos complementares
O Art. 23 contém parágrafos que ampliam e conectam o dispositivo:
- §1º: A ANPD pode dispor sobre as formas de publicidade das operações de tratamento.
- §3º: Confirma que a Lei de Acesso à Informação (LAI — Lei 12.527/2011) permanece aplicável, ou seja, a LGPD não revoga nem substitui a LAI — ambas coexistem.
- §4º: Os prazos e procedimentos para exercício dos direitos do titular perante o poder público seguem legislação específica (Lei do Habeas Data, Lei Geral do Processo Administrativo Federal — Lei 9.784/1999).
- §5º: Serviços notariais e de registro exercidos em caráter privado, por delegação do poder público, recebem tratamento equivalente ao de órgãos públicos.
A tensão LGPD × LAI
A coexistência entre LGPD e LAI gera uma das tensões mais debatidas no setor público brasileiro. A LAI promove a transparência ativa e o acesso público à informação governamental. A LGPD protege dados pessoais contra tratamento indevido. Em tese, são complementares: a LAI é a regra para informações públicas, e a LGPD protege os dados pessoais contidos nessas informações.
Na prática, porém, a LGPD tem sido usada por alguns órgãos como pretexto para negar pedidos de acesso à informação que antes seriam concedidos — alegando proteção de dados pessoais. A Câmara dos Deputados realizou audiências sobre o tema, e especialistas alertaram que o acesso à informação pública não pode ser prejudicado por interpretações equivocadas da LGPD.
O §3º do Art. 23 é claro: a LAI permanece aplicável. A LGPD protege dados pessoais de cidadãos comuns, mas não pode ser usada para ocultar informações sobre agentes públicos no exercício de suas funções, salvo quando houver risco concreto à segurança do agente.
Art. 24 — Empresas públicas e sociedades de economia mista
O texto legal
"Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei."
"Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo."
O regime dual das estatais
O Art. 24 cria um regime dual para empresas públicas e sociedades de economia mista, reconhecendo que essas entidades frequentemente atuam em dois papéis simultâneos:
Quando atuam em regime de concorrência (Art. 173 da CF): seguem as mesmas regras de qualquer empresa privada. Todos os capítulos da LGPD aplicáveis ao setor privado se aplicam integralmente.
Quando operacionalizam políticas públicas: seguem as regras do Capítulo IV (poder público), incluindo a finalidade pública, o interesse público e a transparência ativa.
Na prática: como o regime dual funciona
Considere três exemplos emblemáticos:
Banco do Brasil (sociedade de economia mista): quando oferece crédito pessoal ou seguros em competição com bancos privados, segue o regime de empresa privada — precisa de base legal do Art. 7, respeita o CDC e pode ser acionado como qualquer controlador privado. Quando operacionaliza o pagamento do Bolsa Família ou do Auxílio Emergencial, segue o regime do poder público — a base legal é a execução de política pública (Art. 7, III) e a transparência segue o Art. 23.
Caixa Econômica Federal (empresa pública): na atividade bancária comercial, regime privado. Na gestão do FGTS, do PIS ou de programas habitacionais, regime público.
Correios (empresa pública): na prestação do serviço postal universal (monopólio), atuam como agentes de política pública. Na venda de produtos e serviços comerciais em concorrência com empresas privadas de logística, seguem regime privado.
A dificuldade prática é que muitas dessas entidades tratam os mesmos dados pessoais para finalidades de ambos os regimes. Um CPF registrado na Caixa pode estar vinculado tanto a uma conta-corrente comercial quanto ao FGTS. O encarregado da estatal precisa mapear qual regime se aplica a cada atividade de tratamento.
Art. 25 — Interoperabilidade e dados estruturados
O texto legal
"Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral."
O comando de interoperabilidade
O Art. 25 impõe que os dados tratados pelo poder público sejam mantidos em formato interoperável e estruturado — ou seja, em padrões que permitam a troca de dados entre diferentes sistemas e órgãos. As finalidades são quatro:
- Execução de políticas públicas — cruzar dados entre órgãos para implementar programas sociais, fiscais ou de saúde
- Prestação de serviços públicos — integrar sistemas para que o cidadão não precise fornecer os mesmos dados repetidamente
- Descentralização — permitir que estados e municípios acessem dados federais (e vice-versa) para executar políticas descentralizadas
- Disseminação e acesso público — dados abertos para consulta pela sociedade
Gov.br e a centralização de dados
O portal Gov.br é a expressão mais visível do comando de interoperabilidade do Art. 25. A plataforma centraliza mais de 4.500 serviços públicos digitais, utilizando o CPF como identificador único e uma conta de acesso integrada para múltiplos órgãos.
Do ponto de vista da LGPD, essa centralização traz benefícios (redução de recoleta de dados, menor fragmentação, melhor experiência do cidadão) e riscos (concentração de dados em um único ponto de acesso, superfície de ataque ampliada, risco de cruzamento indevido de informações entre órgãos para finalidades não previstas).
O Decreto nº 10.046/2019 regulamentou a governança no compartilhamento de dados dentro da administração pública federal e instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados — instrumentos que buscam equilibrar interoperabilidade com proteção de dados.
Limites da interoperabilidade
A interoperabilidade não é um cheque em branco para compartilhamento irrestrito. O Art. 25 deve ser lido em conjunto com o Art. 26 (compartilhamento entre órgãos deve atender a finalidades específicas de políticas públicas) e com os princípios do Art. 6 — especialmente finalidade, necessidade e segurança.
Na prática, dois órgãos podem trocar dados entre si para executar uma política pública específica, mas não podem usar os dados recebidos para finalidades distintas daquela que justificou o compartilhamento.
A realidade: auditorias do TCU sobre conformidade LGPD
Acórdão 1.384/2022 — o diagnóstico inicial
Em 2022, o Tribunal de Contas da União (TCU) publicou o Acórdão 1.384/2022-TCU-Plenário, resultado de auditoria que avaliou a adequação de 382 organizações públicas federais à LGPD. Os resultados foram alarmantes:
- 76,7% das organizações estavam nos graus "inexpressivo" ou "inicial" de adequação à LGPD
- Falhas graves identificadas: ausência de Política de Segurança da Informação, falta de nomeação do encarregado de proteção de dados e inexistência de comunicação padronizada de incidentes à ANPD
- O TCU determinou a correção das falhas e orientou a CGU e outros órgãos de controle a promover ações de conformidade
A avaliação foi baseada na LGPD e na norma técnica ABNT NBR ISO/IEC 27701:2019, com quatro níveis de classificação: "Inexpressivo", "Inicial", "Intermediário" e "Aprimorado".
Acórdão 1.372/2025 — a evolução (e a persistência do problema)
Em 2025, o TCU publicou nova auditoria (Acórdão 1.372/2025, autorizado pelo Acórdão 889/2024), ampliando o escopo para 387 órgãos e entidades federais, avaliados em nove dimensões: preparação, contexto organizacional, liderança, capacitação, conformidade do tratamento, direitos do titular, compartilhamento de dados pessoais, violação de dados pessoais e medidas de proteção.
O resultado: sete anos após a entrada em vigor da LGPD, apenas 42% dos órgãos públicos federais estão em conformidade com as exigências da norma. A maioria permanece em estágio inicial.
O TCU identificou que as organizações não se estruturaram adequadamente para conduzir iniciativas de adequação e que grande parte delas não implementou medidas e controles suficientes. Mesmo entre as organizações com melhor desempenho, o Serpro se destacou com o nível "Avançado" (91,47% de conformidade), classificado em 8º lugar entre as 387 organizações avaliadas.
O que as auditorias revelam
| Dimensão avaliada | Problema mais comum |
|---|---|
| Preparação | Ausência de plano formal de adequação à LGPD |
| Liderança | Falta de comprometimento da alta administração |
| Capacitação | Servidores sem treinamento em proteção de dados |
| Conformidade do tratamento | Sem inventário de atividades de tratamento |
| Direitos do titular | Canal de atendimento inexistente ou ineficaz |
| Violação de dados | Sem procedimento formal de comunicação à ANPD |
| Medidas de proteção | Controles de segurança insuficientes |
O Guia Orientativo da ANPD para o poder público
Em 28 de janeiro de 2022 — Dia Internacional da Proteção de Dados —, a ANPD publicou o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, documento de 26 páginas que busca estabelecer parâmetros objetivos para a adaptação de órgãos e entidades públicas à LGPD.
O guia aborda:
- Relação entre LGPD, poder público e competências da ANPD
- Compartilhamento de dados pessoais pelo poder público (Arts. 26 e 27)
- Publicidade e transparência de dados pessoais
- Orientações sobre bases legais aplicáveis ao setor público
Embora não tenha efeito normativo vinculante, o guia representa a posição institucional da ANPD sobre como os dispositivos do Capítulo IV devem ser interpretados e aplicados. É referência obrigatória para qualquer programa de adequação no setor público.
Erros comuns no tratamento de dados pelo poder público
| Erro | Risco | Correção |
|---|---|---|
| Tratar dados sem identificar a previsão legal específica | Violação do Art. 23, I | Mapear a legislação que fundamenta cada atividade de tratamento |
| Negar pedido de acesso à informação alegando LGPD | Uso indevido da LGPD como pretexto — viola a LAI | Avaliar caso a caso: a LAI prevalece para informações públicas |
| Empresa estatal aplicar regime público a atividades comerciais | Tratamento irregular — regime dual do Art. 24 não observado | Classificar cada atividade como "regime público" ou "regime privado" |
| Compartilhar dados entre órgãos sem finalidade específica | Violação do Art. 25 c/c Art. 26 | Documentar a finalidade pública que justifica cada compartilhamento |
| Não nomear encarregado | Violação do Art. 23, III | Nomeação e publicação obrigatórias |
| Manter dados em silos não interoperáveis | Descumprimento do Art. 25 | Adotar padrões de interoperabilidade (e-Ping, Gov.br) |
Conclusão
Os Arts. 23, 24 e 25 definem o marco regulatório do tratamento de dados pelo poder público na LGPD. O Art. 23 exige transparência ativa, vinculação à finalidade pública e indicação de encarregado. O Art. 24 cria um regime dual inteligente para empresas estatais, distinguindo entre atuação comercial e execução de políticas públicas. O Art. 25 impõe a interoperabilidade como princípio de eficiência governamental.
A realidade, porém, revela um gap significativo entre a norma e a prática. As auditorias do TCU mostram que a maioria dos órgãos federais ainda está em estágio inicial de conformidade, sete anos após a vigência da LGPD. A tensão entre LAI e LGPD persiste em muitos órgãos. E a interoperabilidade, embora avance com o Gov.br, traz riscos de concentração e cruzamento indevido de dados.
Para o setor público, a conformidade com a LGPD não é apenas uma obrigação legal — é um pilar de confiança institucional. Cidadãos que não confiam na forma como o governo trata seus dados têm menos propensão a utilizar serviços digitais, o que compromete a própria eficiência que a interoperabilidade busca alcançar.
A Confidata oferece módulo específico para adequação de órgãos públicos à LGPD, com inventário de atividades de tratamento alinhado às dimensões avaliadas pelo TCU, gestão de bases legais do setor público e relatórios prontos para auditoria. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.