ANPD e a Fiscalização do Poder Público: Arts. 29 e 30
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
A LGPD não se limita a impor obrigações ao poder público — ela também confere à Autoridade Nacional de Proteção de Dados instrumentos concretos para fiscalizar o cumprimento dessas obrigações. Os Arts. 29 e 30 encerram o Capítulo IV (Do Tratamento de Dados Pessoais pelo Poder Público) com dois dispositivos que, embora curtos, têm implicações profundas: o poder de requisição de informações e a competência para editar normas complementares voltadas ao setor público.
Esses artigos respondem a uma pergunta inevitável: quem fiscaliza o governo? E, mais importante: com quais instrumentos?
Art. 29 — O poder de requisição da ANPD
"Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei."
O Art. 29 confere à ANPD três instrumentos distintos de atuação perante o poder público:
1. Solicitação de informações sobre operações de tratamento
A ANPD pode, a qualquer momento — sem necessidade de processo administrativo prévio ou denúncia formal —, solicitar que órgãos e entidades públicas informem quais tratamentos de dados pessoais realizam, qual a natureza dos dados envolvidos, quais as finalidades e bases legais utilizadas.
Na prática, isso significa que um órgão público deve estar permanentemente preparado para responder a essas solicitações. Não se trata de uma auditoria agendada: a ANPD pode solicitar informações a qualquer momento, e o órgão precisa ter documentação atualizada e acessível.
2. Requisição de RIPD
Embora o Art. 29 não mencione expressamente o Relatório de Impacto à Proteção de Dados Pessoais, a leitura combinada com o Art. 38 da LGPD (que autoriza a ANPD a solicitar a elaboração de RIPD ao controlador) confirma que essa requisição se aplica igualmente aos órgãos públicos.
A ANPD já demonstrou, na prática, que exige RIPD de órgãos públicos — e sanciona quem não o apresenta. No processo sancionatório contra a Secretaria de Estado de Educação do Distrito Federal (SEEDF), concluído em fevereiro de 2024, uma das infrações identificadas foi justamente a não elaboração do RIPD após solicitação da ANPD, configurando violação ao Art. 38 da LGPD.
3. Emissão de parecer técnico complementar
A ANPD pode emitir parecer técnico sobre o tratamento realizado pelo órgão público, indicando ajustes necessários, riscos identificados e medidas corretivas. Esse parecer não tem força de sanção, mas serve como orientação qualificada — e a recusa em adotá-lo pode configurar descumprimento em eventual processo sancionatório futuro.
Implicações para os órgãos públicos
O Art. 29 impõe aos órgãos públicos uma obrigação permanente de transparência e documentação. Não basta estar em conformidade — é preciso ser capaz de demonstrar essa conformidade quando solicitado. As consequências de não atender são concretas:
| Obrigação | Consequência do descumprimento |
|---|---|
| Informar operações de tratamento | Processo de fiscalização pela ANPD |
| Elaborar RIPD quando solicitado | Sanção por violação ao Art. 38 (como no caso SEEDF) |
| Responder no prazo | Agravante em eventual processo sancionatório |
Art. 30 — Normas complementares para o setor público
"Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais."
O Art. 30 delega à ANPD a competência para regulamentar, por norma infralegal, aspectos específicos do tratamento de dados pelo poder público — especialmente os que envolvem comunicação e uso compartilhado de dados pessoais entre órgãos.
O que são "normas complementares"
Normas complementares são regulamentos, resoluções, guias orientativos e outros atos normativos que a ANPD edita para detalhar, interpretar ou operacionalizar os dispositivos da LGPD. No contexto do Art. 30, essas normas podem tratar de:
- Prazos para atendimento a solicitações de titulares por órgãos públicos
- Procedimentos para comunicação de incidentes de segurança envolvendo dados tratados pelo poder público
- Regras para uso compartilhado de dados entre diferentes órgãos e entidades
- Padrões de interoperabilidade e segurança para transferência de dados entre sistemas governamentais
- Limites para compartilhamento de dados com entes privados (complementando o Art. 26)
O que a ANPD já publicou para o setor público
A ANPD tem exercido ativamente essa competência. Entre os documentos mais relevantes:
Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público — Publicado em 28 de janeiro de 2022, com 26 páginas, o guia delineia parâmetros para auxiliar entidades e órgãos públicos nas atividades de adaptação e implementação da LGPD. Não tem efeito normativo vinculante, mas funciona como referência de boas práticas e pode ser usado como parâmetro em processos de fiscalização.
Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal — Voltado especificamente aos órgãos e entidades da administração direta, autárquica e fundacional federal, com orientações sobre tratamento de dados pessoais conforme o Art. 50 da LGPD.
Modelo de registro simplificado para agentes de pequeno porte — Embora não voltado exclusivamente ao setor público, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, flexibiliza obrigações de registro para agentes de tratamento de pequeno porte, o que pode se aplicar a autarquias e entidades de menor estrutura.
A lacuna regulatória
Apesar dos guias publicados, ainda há lacunas significativas na regulamentação do tratamento de dados pelo poder público. A ANPD ainda não editou norma específica e vinculante sobre:
- Procedimentos detalhados para uso compartilhado entre órgãos (Art. 26)
- Prazos obrigatórios para resposta a solicitações de titulares por entes públicos
- Padrões mínimos de segurança para dados pessoais em sistemas governamentais
- Regulamentação do Art. 4, §1º — lei específica para tratamento de dados em segurança pública
Essas lacunas são relevantes porque, sem regulamentação específica, cada órgão interpreta a LGPD a seu modo — e o resultado, como demonstram as auditorias do TCU, é um cenário de baixa conformidade generalizada.
O desafio de fiscalizar o próprio governo
A dinâmica de fiscalização do poder público pela ANPD levanta uma questão estrutural: como garantir que uma autoridade vinculada ao governo federal fiscalize com independência os órgãos desse mesmo governo?
A evolução institucional da ANPD
A LGPD original (Lei 13.709/2018) não previa a ANPD com autonomia. A Lei 13.853/2019 criou a ANPD como órgão da Presidência da República, com previsão de transformação em autarquia. O Decreto 10.474, de 26 de agosto de 2020, aprovou sua estrutura regimental. Finalmente, a Lei 14.460, de 25 de outubro de 2022, formalizou a transformação da ANPD em autarquia de natureza especial, com autonomia técnica e decisória.
Essa autonomia é condição necessária — mas não suficiente — para uma fiscalização efetiva do setor público. A independência formal não elimina as limitações práticas: orçamento dependente do governo federal, número limitado de servidores e pressões políticas inerentes a qualquer órgão regulador que fiscaliza o poder que o financia.
A articulação com outros órgãos de controle
Na prática, a fiscalização do poder público em proteção de dados não depende apenas da ANPD. Outros órgãos de controle exercem papel complementar:
Tribunal de Contas da União (TCU) — Realiza auditorias operacionais sobre conformidade LGPD em órgãos federais. A auditoria mais abrangente (TC 009.980/2024-5), sob relatoria do Ministro Walton Alencar Rodrigues, avaliou 387 órgãos e entidades federais por meio de questionário estruturado em nove dimensões de maturidade. O resultado foi alarmante: apenas 42% dos órgãos demonstraram nível adequado de conformidade.
Os dados desagregados revelam fragilidades graves:
| Dimensão avaliada | Conformidade |
|---|---|
| Compartilhamento de dados | 22% |
| Política de classificação da informação | 30% (70% não possuem) |
| Política de Segurança da Informação | 80% (20% não possuem — obrigatória por lei) |
| Nomeação de encarregado | 88% (12% sequer nomearam) |
Controladoria-Geral da União (CGU) — Atua na revisão de controles internos de proteção de dados nos órgãos do Executivo federal.
Ministério Público — Pode atuar em defesa de direitos coletivos quando órgãos públicos violam a LGPD de forma sistemática.
Sanções da ANPD ao setor público: os primeiros casos
A ANPD já demonstrou disposição para sancionar órgãos públicos. Em fevereiro de 2024, aplicou sanções a dois órgãos federais simultaneamente — o INSS e a Secretaria de Estado de Educação do Distrito Federal (SEEDF).
Caso SEEDF
A SEEDF recebeu quatro advertências por:
- Não manter registro de operações de tratamento de dados pessoais — violação do Art. 37 da LGPD
- Não elaborar RIPD após solicitação da ANPD — violação do Art. 38 da LGPD
- Não comunicar aos titulares a ocorrência de incidente de segurança — violação do Art. 48 da LGPD
- Não utilizar sistemas que atendam aos requisitos de segurança e boas práticas da LGPD — violação do Regulamento de Fiscalização da ANPD
Caso INSS
O INSS foi sancionado com duas advertências por não comunicar aos titulares um incidente de segurança ocorrido em 2022, que envolveu o acesso indevido a dados de beneficiários por meio do Sistema Corporativo de Benefícios (SISBEN), configurando violação ao Art. 48 da LGPD. O incidente envolveu consultas sem justificativa operacional realizadas por meio de credenciais válidas em convênio com a Advocacia-Geral da União (AGU). O INSS foi obrigado a publicar comunicado em seu site por sessenta dias.
O que esses casos revelam
Dois padrões se destacam:
-
O poder público é o principal alvo da ANPD. Dos primeiros processos sancionatórios instaurados, a maioria envolvia órgãos públicos — não empresas privadas. Isso não significa que o setor privado esteja mais conforme; reflete a estratégia da ANPD de começar pelo setor público, onde não há multa pecuniária (Art. 54 restringe as sanções a advertência, publicização, bloqueio, eliminação e suspensão).
-
As infrações mais comuns são omissões básicas. Não são violações sofisticadas: são ausência de registro (Art. 37), não elaboração de RIPD (Art. 38) e não comunicação de incidentes (Art. 48). São obrigações estruturais que qualquer órgão deveria cumprir como patamar mínimo.
Na prática: como se preparar para a fiscalização da ANPD
Para órgãos públicos
1. Manter registro atualizado de operações de tratamento (Art. 37)
O registro de operações (ROPA) deve estar permanentemente atualizado e disponível para consulta. Não é um documento que se elabora uma vez e se arquiva — deve refletir a realidade atual do tratamento de dados pelo órgão.
2. Ter capacidade de elaborar RIPD sob demanda (Art. 38)
O órgão deve ter processo interno para elaborar RIPD quando solicitado pela ANPD. Isso exige: (a) conhecimento das atividades de tratamento de maior risco, (b) metodologia de análise de impacto definida e (c) profissionais capacitados para conduzir a análise.
3. Ter canal de comunicação com a ANPD (Art. 29)
A ANPD precisa saber a quem se dirigir no órgão. A publicação da identidade e dos dados de contato do encarregado (DPO) é obrigatória — e 12% dos órgãos federais sequer cumprem essa exigência elementar, segundo a auditoria do TCU.
4. Documentar todas as decisões sobre tratamento de dados
Cada decisão sobre compartilhamento, retenção, eliminação ou acesso a dados pessoais deve estar documentada. Em uma fiscalização, a ausência de documentação é interpretada como ausência de controle.
Para fornecedores do poder público
Empresas que operam como operadores de dados para o poder público (prestadores de serviço de TI, empresas de cloud, fornecedores de sistemas) devem estar preparadas para responder às mesmas solicitações. Se a ANPD requisita informações de um órgão público sobre um tratamento de dados, e esse tratamento é realizado por um operador privado, o operador será igualmente envolvido na prestação de informações.
Erros comuns na relação com a ANPD
| Erro | Consequência | Correção |
|---|---|---|
| Não nomear encarregado ou não publicar seus dados de contato | Impossibilidade de comunicação pela ANPD; agravante em processos | Nomear e publicar dados do encarregado no site institucional |
| Tratar a LGPD como "tema de TI" | Conformidade parcial, sem governança institucional | Envolver jurídico, compliance e alta gestão no programa de privacidade |
| Não manter ROPA atualizado | Incapacidade de responder ao Art. 29; sanção por violação ao Art. 37 | Atualização periódica (mínimo semestral) do inventário de dados |
| Ignorar solicitações da ANPD | Agravante em processo sancionatório; publicização da infração | Criar fluxo interno de resposta com prazos definidos |
| Não comunicar incidentes de segurança | Sanção por violação ao Art. 48 (como nos casos INSS e SEEDF) | Implementar plano de resposta a incidentes com previsão de comunicação |
Conclusão
Os Arts. 29 e 30 são, em essência, os artigos que dão dentes à LGPD no setor público. O Art. 29 confere à ANPD o poder de solicitar informações a qualquer momento — um instrumento de fiscalização permanente que exige dos órgãos públicos documentação atualizada e capacidade de resposta. O Art. 30 autoriza a ANPD a editar normas complementares que podem detalhar, restringir ou ampliar as obrigações dos entes públicos em matéria de proteção de dados.
A combinação desses instrumentos com os dados da auditoria do TCU — que revelou apenas 42% de conformidade entre 387 órgãos federais — e com as primeiras sanções aplicadas a órgãos como INSS e SEEDF deixa claro que a fiscalização não é teórica. Ela está acontecendo, e a tendência é de intensificação à medida que a ANPD consolida sua estrutura como autarquia de natureza especial.
Para DPOs e gestores de compliance no setor público, a mensagem é direta: conformidade com a LGPD não é um projeto com data de término. É uma obrigação contínua, sujeita a verificação a qualquer momento.
A Confidata oferece um módulo específico para o setor público, com inventário de atividades de tratamento, geração de RIPD, gestão de incidentes e rastreabilidade de compartilhamento entre órgãos — tudo em conformidade com os Arts. 29, 30 e demais obrigações da LGPD. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.