Compartilhamento de Dados pelo Poder Público: Arts. 26 a 28
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
O compartilhamento de dados pessoais pelo poder público é um dos temas mais sensíveis da LGPD. Quando órgãos governamentais trocam dados entre si ou os transferem a empresas privadas, o titular não tem escolha — ele não pode "cancelar a assinatura" do governo. É por isso que os Arts. 26 e 27 estabelecem regras rigorosas sobre quando, como e com quem o poder público pode compartilhar dados pessoais, criando vedações expressas e exigindo comunicação à ANPD.
Este post analisa esses dispositivos, explica por que o Art. 28 foi vetado, examina casos concretos de compartilhamento pelo governo brasileiro e mapeia os riscos que organizações públicas e privadas enfrentam nessa área.
Art. 26 — Uso compartilhado de dados pelo poder público
O texto legal
"Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei."
O caput estabelece a regra geral: o compartilhamento de dados entre entes públicos é permitido, desde que atenda a finalidades específicas de execução de políticas públicas ou atribuições legais. Não basta que ambos os órgãos sejam públicos — é necessário que exista uma razão concreta, vinculada a uma política pública ou a uma competência legal definida.
Isso significa que um órgão não pode simplesmente "pedir dados" a outro por conveniência administrativa ou curiosidade institucional. Cada compartilhamento deve ter finalidade documentada.
§1º — Vedação de transferência a entes privados (com exceções)
"§1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:"
"I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);"
"II – (VETADO);"
"III – nos casos em que os dados forem acessíveis publicamente, observado o disposto nesta Lei;"
"IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;"
"V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades."
O §1º é o dispositivo-chave: ele proíbe como regra a transferência de dados do poder público para entidades privadas e lista cinco exceções taxativas (uma delas vetada).
Exceção I — Execução descentralizada: Quando o governo terceiriza a execução de uma atividade pública, os dados podem ser transferidos exclusivamente para esse fim. É o caso de empresas contratadas para operacionalizar programas sociais, processar folha de pagamento de servidores em bancos privados ou executar serviços de TI para órgãos públicos.
Exceção II — Vetada: O inciso II foi vetado na sanção original. O conteúdo exato do texto vetado não foi reincorporado à lei.
Exceção III — Dados acessíveis publicamente: Dados que já são públicos (por força da LAI, por exemplo) podem ser compartilhados, desde que respeitados os princípios da LGPD. Isso não significa que dados "públicos" podem ser usados para qualquer finalidade — o princípio da finalidade continua aplicável.
Exceção IV — Previsão legal ou contratual: A transferência é permitida quando houver lei autorizadora ou quando for respaldada por contratos, convênios ou instrumentos congêneres. Na prática, essa é a exceção mais utilizada: convênios entre órgãos federais e bancos para pagamento de benefícios, contratos com empresas de tecnologia para processamento de dados do governo, entre outros.
Exceção V — Prevenção de fraudes: Dados podem ser transferidos exclusivamente para prevenir fraudes ou proteger o titular, com vedação expressa de uso para outras finalidades. Essa exceção justifica, por exemplo, o compartilhamento de dados biométricos com bancos para autenticação de identidade em programas sociais.
§2º — Comunicação à ANPD
"§2º Os contratos e convênios de que trata o §1º deverão ser comunicados à autoridade nacional."
Todo compartilhamento de dados entre poder público e entidades privadas baseado em contratos ou convênios deve ser comunicado à ANPD. Esse mecanismo permite à autoridade monitorar o fluxo de dados governamentais para o setor privado e intervir quando necessário.
Na prática: os desafios do §1º
A vedação do §1º e suas exceções criam um campo de tensão permanente. Alguns cenários frequentes:
Folha de pagamento em banco privado: Um órgão federal processa a folha de pagamento de seus servidores em instituição financeira privada. Os dados transferidos incluem nome, CPF, matrícula, remuneração e dados bancários. A base é a exceção IV (contrato/convênio) — mas o banco não pode usar esses dados para fins comerciais próprios (oferta de crédito, seguros, investimentos) sem consentimento específico do servidor.
Plataformas de tecnologia: Um órgão contrata uma empresa privada de cloud computing para hospedar seus sistemas. Os dados pessoais dos cidadãos são processados nos servidores dessa empresa. A base é a exceção I (execução descentralizada) — mas o contrato deve limitar estritamente a finalidade e proibir qualquer uso dos dados pela empresa para fins próprios.
Birôs de crédito e órgãos públicos: A Receita Federal mantém dados fiscais de todos os brasileiros. A transferência desses dados para birôs de crédito privados exige previsão legal específica — não basta um convênio, é necessário que uma lei autorize expressamente essa transferência.
Art. 27 — Comunicação de dados a entes privados com fins econômicos
O texto legal
"Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:"
"I – nas hipóteses de dispensa de consentimento previstas nesta Lei;"
"II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou"
"III – nas exceções constantes do §1º do art. 26 desta Lei."
"Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação."
A regra: consentimento + comunicação à ANPD
O Art. 27 impõe duas exigências cumulativas para transferência de dados do poder público para entes privados:
- Comunicação à ANPD — a transferência deve ser reportada à autoridade
- Consentimento do titular — salvo nas exceções listadas
As exceções são amplas: dispensa de consentimento prevista na LGPD (obrigação legal, execução de contrato, proteção da vida, tutela da saúde, etc.), casos de uso compartilhado com publicidade nos termos do Art. 23, e as exceções do §1º do Art. 26 (execução descentralizada, dados públicos, previsão legal/contratual, prevenção de fraudes).
Na prática, a maioria dos compartilhamentos governo→privado se enquadra em alguma exceção, o que torna o consentimento a exceção da exceção. Mas a obrigação de comunicar à ANPD permanece em todos os casos.
O caso Receita Federal/Serpro
Um dos casos mais emblemáticos de compartilhamento de dados pelo poder público envolveu o Serpro e a Receita Federal. Em 2022, a Portaria RFB nº 167/2022 autorizou o Serpro a disponibilizar a terceiros dados e informações mantidos pela Receita Federal, com a finalidade de "complementar políticas públicas voltadas ao fornecimento de informações à sociedade por meio de soluções tecnológicas complementares".
A ANPD instaurou processo de fiscalização para verificar se a operação estava em conformidade com a LGPD — especificamente, se o compartilhamento respeitava as vedações do Art. 26, §1º e as exigências do Art. 27. A Nota Técnica nº 68/2022/CGF/ANPD analisou o caso.
A ANPD esclareceu que não autorizou a Receita Federal ou o Serpro a vender dados pessoais de cidadãos. Também observou que os dados listados na Portaria já estavam disponíveis para consulta no site da Receita por força de diversas disposições legais.
Em 2025, o debate foi reacendido com o programa Conecta+, pelo qual a Receita autorizou o Serpro a compartilhar dados fiscais e de restituição com empresas privadas, mediante consentimento do cidadão. O caso ilustra a tensão permanente entre eficiência governamental e proteção de dados na transferência governo→privado.
Art. 28 — O artigo vetado
O texto original
O Art. 28 previa:
"A comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do art. 23 desta Lei."
O dispositivo exigia que todo compartilhamento de dados entre órgãos públicos fosse objeto de publicidade — ou seja, o governo seria obrigado a informar publicamente, nos seus sites e canais oficiais, sempre que trocasse dados pessoais entre órgãos.
As razões do veto
O Art. 28 foi vetado pela Presidência da República na sanção da lei em 14 de agosto de 2018 (Mensagem de Veto nº 451). A justificativa foi dupla:
-
Inviabilidade operacional: A publicidade irrestrita de todo compartilhamento de dados entre órgãos poderia tornar inviável o exercício regular de "ações públicas como as de fiscalização, controle e polícia administrativa". Em outras palavras, se o governo fosse obrigado a publicar que está cruzando dados fiscais com dados previdenciários para detectar fraudes, os fraudadores seriam alertados previamente.
-
Rigidez excessiva: O texto exigia publicidade para absolutamente todo compartilhamento, sem distinção entre operações rotineiras (processamento de folha de pagamento entre órgãos) e operações sensíveis (investigações, fiscalização).
Impacto do veto
Com o veto ao Art. 28, o compartilhamento de dados entre órgãos públicos ficou regulado apenas pelas regras gerais: Art. 26 (finalidades específicas de políticas públicas) e Art. 23 (transparência ativa). Na prática, o cidadão sabe que órgãos compartilham dados, mas não tem acesso a um registro público detalhado de quais dados são compartilhados entre quais órgãos.
A ausência dessa transparência é uma lacuna relevante. Enquanto o Art. 27 exige comunicação à ANPD para transferências governo→privado, o compartilhamento governo→governo ocorre sem mecanismo equivalente de supervisão centralizada — salvo nos casos em que a ANPD solicite informações específicas (Art. 29).
Exemplos práticos: compartilhamento de dados no governo brasileiro
Serpro e Dataprev como operadores
O Serpro (Serviço Federal de Processamento de Dados) e a Dataprev (Empresa de Tecnologia e Informações da Previdência Social) são as duas principais operadoras de dados do governo federal. Na maioria dos casos, atuam como operadores — processando dados pessoais conforme instruções dos órgãos que são os controladores (Receita Federal, INSS, Ministérios).
O Serpro é responsável por sistemas como o Gov.br, a Carteira Digital de Trânsito, programas de declaração de Imposto de Renda e a plataforma do e-CAC. A Dataprev processa dados previdenciários e sociais para o INSS, o Ministério do Trabalho e programas sociais.
Na avaliação do TCU de 2025 (Acórdão 1.372/2025), o Serpro obteve o nível "Avançado" de conformidade com a LGPD, classificado em 8º lugar entre 387 organizações federais avaliadas, com 91,47% de adequação.
Convênios federação-estados-municípios
O compartilhamento vertical (União→Estados→Municípios) é frequente em políticas descentralizadas:
- Saúde (SUS): Dados de pacientes transitam entre postos de saúde municipais, secretarias estaduais e o Ministério da Saúde. A base é a execução de política pública (Art. 7, III c/c Art. 26).
- Educação (Censo Escolar): Dados de alunos são coletados por escolas municipais e estaduais e consolidados pelo INEP (federal). A base é a obrigação legal (Art. 7, II) e a política pública (Art. 7, III).
- Assistência Social (CadÚnico): O Cadastro Único centraliza dados de famílias de baixa renda, coletados por CRAS municipais e utilizados por programas federais (Bolsa Família). A base é a execução de política pública (Art. 7, III).
Em todos esses casos, o compartilhamento deve respeitar o Art. 26 — finalidades específicas de políticas públicas — e cada ente deve documentar as bases legais e as finalidades do tratamento (Art. 23, I).
Riscos do compartilhamento entre órgãos
| Risco | Exemplo | Mitigação |
|---|---|---|
| Desvio de finalidade | Dados coletados para saúde usados para fiscalização tributária | Documentar finalidade de cada compartilhamento e limitar acesso |
| Acumulação excessiva | Órgão recebe mais dados do que precisa para sua atribuição | Aplicar princípio da necessidade — compartilhar apenas o mínimo |
| Segurança insuficiente | Dados transitam por canais sem criptografia entre órgãos | Exigir padrões mínimos de segurança em convênios |
| Ausência de registro | Compartilhamento ocorre sem documentação formal | Formalizar em convênio e comunicar à ANPD quando envolve setor privado |
| Falta de transparência | Cidadão desconhece quais órgãos têm seus dados | Publicar aviso de privacidade com lista de entidades que recebem dados |
Modelo de análise: checklist de compartilhamento
Para cada operação de compartilhamento de dados pelo poder público, o DPO deve verificar:
1. Governo → Governo
- A finalidade do compartilhamento está vinculada a uma política pública ou atribuição legal específica? (Art. 26, caput)
- Os dados compartilhados são estritamente necessários para a finalidade declarada? (Art. 6, III)
- O compartilhamento está documentado em ato formal (portaria, convênio, decreto)?
- O aviso de privacidade do órgão menciona o compartilhamento? (Art. 23, I)
- Existem controles de segurança na transmissão e no armazenamento pelo receptor?
2. Governo → Empresa privada
- A transferência se enquadra em alguma exceção do Art. 26, §1º? Se sim, qual?
- A ANPD foi comunicada? (Art. 26, §2º e Art. 27, caput)
- Se não há exceção, o titular consentiu? (Art. 27, caput)
- O contrato ou convênio com o ente privado limita a finalidade do uso dos dados? (Art. 26, §1º, I)
- O ente privado está proibido de usar os dados para fins próprios? (especialmente marketing, scoring, venda a terceiros)
- Existe cláusula de eliminação dos dados ao término do contrato?
Erros comuns no compartilhamento pelo poder público
| Erro | Risco | Correção |
|---|---|---|
| Compartilhar dados entre órgãos sem finalidade documentada | Violação do Art. 26 — compartilhamento sem finalidade específica | Formalizar a finalidade em portaria ou convênio |
| Transferir dados a empresa privada sem comunicar à ANPD | Violação do Art. 27 e Art. 26, §2º | Estabelecer procedimento de comunicação à ANPD para toda transferência |
| Permitir que banco use dados de folha de pagamento para fins comerciais | Desvio de finalidade — exceção I do Art. 26 limita ao fim específico | Cláusula contratual proibindo uso para fins comerciais próprios |
| Compartilhar dados sensíveis entre órgãos sem avaliação de risco | Exposição desnecessária de dados de alta criticidade | Realizar RIPD antes de compartilhar dados sensíveis |
| Não informar o cidadão sobre quais órgãos recebem seus dados | Descumprimento do Art. 23, I | Atualizar avisos de privacidade com lista de compartilhamentos |
Conclusão
Os Arts. 26, 27 e 28 (vetado) formam o regime de compartilhamento de dados pelo poder público na LGPD. O Art. 26 permite o compartilhamento entre órgãos públicos para finalidades específicas de políticas públicas, mas veda como regra a transferência a entes privados — com exceções taxativas que exigem documentação. O Art. 27 adiciona a exigência de comunicação à ANPD e, como regra, consentimento do titular para transferências governo→privado. O veto ao Art. 28 deixou uma lacuna de transparência no compartilhamento governo→governo que até hoje não foi completamente preenchida.
O caso Receita/Serpro ilustra como a fronteira entre "dado público" e "dado pessoal protegido" é tênue quando se trata de informações governamentais. O modelo dual do poder público como controlador e o Serpro/Dataprev como operadores adiciona uma camada de complexidade que exige contratos claros, finalidades documentadas e supervisão constante da ANPD.
Para os DPOs e gestores de conformidade do setor público, a mensagem é clara: o compartilhamento de dados é legítimo e necessário para a execução de políticas públicas, mas cada fluxo de dados deve ser documentado, justificado e limitado à finalidade declarada. A conveniência administrativa não é base legal.
A Confidata permite mapear fluxos de compartilhamento de dados entre órgãos e entidades, identificar quais transferências exigem comunicação à ANPD e gerar relatórios de conformidade alinhados com os Arts. 26 e 27 da LGPD. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.