LGPD para Defensoria Pública e Ministério Público: Dados de Populações Vulneráveis

A Defensoria Pública e o Ministério Público ocupam posição singular no sistema de proteção de dados brasileiro. Ambas as instituições tratam, por dever de ofício, dados pessoais de populações vulneráveis — vítimas de violência, crianças e adolescentes em situação de risco, pessoas em situação de rua, presos, imigrantes, comunidades tradicionais. São dados que exigem proteção máxima, em contextos onde a exposição pode causar danos irreversíveis.

A LGPD se aplica integralmente a essas instituições. A Resolução CNMP nº 281, de 12 de dezembro de 2023, instituiu a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público. A Defensoria Pública, por sua vez, avança na adequação com iniciativas estaduais e federais. Este guia aborda as particularidades de cada instituição sob a LGPD.

---

Por que Defensoria e MP tratam os dados mais sensíveis do país

Defensoria Pública: tutela dos vulneráveis

A Defensoria Pública é a instituição constitucionalmente incumbida da defesa dos direitos das pessoas hipossuficientes e vulneráveis. No exercício dessa função, trata:

• Dados pessoais comuns: nome, CPF, endereço, contatos, renda, composição familiar
• Dados de saúde: laudos médicos (em demandas de saúde pública, internação compulsória, interdição)
• Dados de crianças e adolescentes: em processos de guarda, adoção, medidas protetivas, socioeducativas
• Dados de vítimas de violência: doméstica, sexual, tráfico de pessoas — inclui relatos detalhados
• Dados de origem racial e étnica: em demandas de comunidades quilombolas, indígenas, refugiados
• Dados de saúde mental: em casos de internação involuntária e interdição
• Dados de pessoas privadas de liberdade: processos de execução penal, habeas corpus

Esses dados revelam os aspectos mais íntimos e vulneráveis da vida dos assistidos. Para a Defensoria, a LGPD tem peso ainda maior — porque a exposição indevida desses dados pode agravar a vulnerabilidade de pessoas que já estão em situação de risco.

Ministério Público: investigação e proteção

O MP investiga, fiscaliza e atua na proteção de direitos individuais e coletivos. Os dados que trata incluem:

• Dados de investigações criminais: inquéritos, depoimentos, provas, laudos periciais
• Dados de vítimas e testemunhas: em processos criminais, incluindo programas de proteção
• Dados de menores: em processos de infância e juventude (Art. 14 da LGPD)
• Dados de consumidores: em ações civis públicas de direito do consumidor
• Dados de servidores públicos: em processos de improbidade administrativa
• Dados de saúde: em inspeções de hospitais, manicômios, instituições de acolhimento
• Dados ambientais e patrimoniais: em inquéritos civis com identificação de proprietários

---

Defensoria e MP como controladores independentes

Para fins de LGPD, tanto a Defensoria Pública quanto o Ministério Público são controladores independentes dos dados que tratam — cada unidade define as finalidades e os meios de tratamento.

Independência funcional e autonomia

A independência funcional de defensores e promotores tem impacto direto na proteção de dados:

• Cada membro (defensor ou promotor) toma decisões autônomas sobre o tratamento de dados no âmbito de suas atribuições
• A instituição define políticas gerais, mas não pode interferir na atuação funcional do membro
• Isso cria um desafio: como garantir conformidade institucional quando cada membro é, em certa medida, um "micro-controlador"?

A solução é combinar políticas institucionais vinculantes (o que fazer com dados) com orientações práticas (como fazer no dia a dia), respeitando a independência funcional sem abdicar da governança.

---

Bases legais para tratamento de dados na Defensoria e no MP

Cumprimento de obrigação legal (Art. 7º, II e Art. 11, II, a)

A base legal mais frequente. A Defensoria e o MP existem por determinação constitucional e exercem funções previstas em lei. Exemplos:

• Defensor que acessa dados de saúde do assistido para ingressar com ação judicial: obrigação legal de prestar assistência jurídica
• Promotor que requisita informações financeiras em investigação de improbidade: obrigação legal de fiscalizar

Exercício regular de direitos em processo (Art. 7º, VI e Art. 11, II, d)

Base legal relevante para a atuação processual — quando dados pessoais são necessários para instrução de processos judiciais ou administrativos.

Proteção da vida ou da incolumidade física (Art. 7º, VII e Art. 11, II, e)

Aplicável em situações de urgência:

• Localização de pessoa desaparecida
• Internação involuntária de pessoa em surto
• Medida protetiva de urgência em caso de violência doméstica

Execução de políticas públicas (Art. 7º, III e Art. 11, II, b)

Quando a Defensoria ou o MP atuam na implementação de políticas públicas — ex: programas de proteção a testemunhas, núcleos de atendimento a mulheres vítimas de violência.

---

A Resolução CNMP 281/2023: o marco normativo do MP

A Resolução CNMP nº 281, de 12 de dezembro de 2023, é o normativo central de proteção de dados no Ministério Público brasileiro. Com mais de uma centena de dispositivos, é uma verdadeira codificação — a mais abrangente do setor público sobre o tema.

Principais determinações

Política Nacional de Proteção de Dados Pessoais (Art. 1º): institui diretrizes para todas as unidades do MP — federal, estadual, militar, do trabalho.

Fundamentos (Art. 2º): respeito à privacidade, intimidade, honra e imagem, autodeterminação informativa, e respeito aos princípios constitucionais da atividade administrativa.

Princípios (Art. 3º): adota os princípios da LGPD (finalidade, adequação, necessidade, transparência) como vetores para a atuação do MP.

Comitê Estratégico de Proteção de Dados Pessoais — CEPDAP (Art. 49): cada ramo e unidade do MP deve instituir, no prazo de 90 dias, um CEPDAP — órgão colegiado permanente subordinado à chefia da instituição.

Unidade Especial de Proteção de Dados — UEPDAP: o CNMP criou esta unidade para coordenar, promover e supervisionar a aplicação da LGPD no âmbito de todo o Ministério Público, funcionando como autoridade interna de proteção de dados.

Implicações práticas

A Resolução 281/2023 cria uma estrutura de governança de dados inédita no setor público brasileiro:

• Encarregado de dados: cada unidade do MP deve designar encarregado
• Registro de atividades de tratamento: obrigatório para todas as unidades
• RIPD: obrigatório quando o tratamento envolve dados sensíveis em larga escala
• Treinamento: membros e servidores devem ser capacitados em proteção de dados
• Resposta a incidentes: procedimento padronizado para todo o MP

---

Sigilo de investigações vs. LGPD

O sigilo do inquérito

O sigilo do inquérito civil e do inquérito policial (quando conduzido pelo MP) é regra. A LGPD reforça esse sigilo ao classificar dados de investigação como informação que exige proteção especial. O acesso deve ser restrito a:

• Membros do MP responsáveis pelo caso
• Servidores designados para auxiliar
• Advogados das partes (no que couber, conforme Súmula Vinculante 14 do STF)

Vazamento de dados de investigação

O vazamento de dados de investigações do MP — nomes de investigados, depoimentos, provas — é um incidente de segurança nos termos da LGPD. Deve ser tratado com:

• Notificação à ANPD se houver risco relevante aos titulares
• Apuração interna de responsabilidade
• Medidas para conter o dano (remoção de conteúdo, se possível)

O dano causado pelo vazamento de dados de investigação é especialmente grave: pode comprometer a investigação, violar a presunção de inocência e causar danos irreparáveis à reputação dos envolvidos.

---

Banco de dados de vítimas e testemunhas: segurança máxima

Programa de proteção a testemunhas

O Programa Federal de Assistência a Vítimas e Testemunhas Ameaçadas (PROVITA), previsto na Lei 9.807/1999, exige o mais alto nível de segurança da informação. Dados de testemunhas protegidas incluem:

• Nova identidade
• Endereço de realocação
• Membros da família incluídos no programa

O vazamento desses dados pode colocar vidas em risco. Medidas mínimas:

• Criptografia de ponta a ponta
• Controle de acesso biométrico
• Segregação física e lógica dos sistemas
• Logs de auditoria imutáveis
• Acesso restrito ao menor número possível de pessoas

Dados de vítimas de violência doméstica

A Defensoria Pública é, frequentemente, o primeiro contato institucional da vítima de violência doméstica. Os dados coletados (relato da agressão, dados de saúde, endereço do abrigo) exigem:

• Proibição absoluta de compartilhamento com o agressor
• Armazenamento separado dos dados processuais gerais
• Controle de acesso restrito à equipe de atendimento

---

Compartilhamento de dados: com quem e com qual base legal

Defensoria e MP compartilham dados com diversas instituições no exercício de suas funções:

Compartilhamento legítimo

Destinatário	Base legal	Exemplo
Poder Judiciário	Exercício regular de direitos	Petições, inquéritos, laudos
Delegacias de Polícia	Obrigação legal	Representação criminal, requisição de inquérito
Conselhos Tutelares	Obrigação legal (ECA)	Comunicação de situação de risco de menor
Órgãos de saúde	Proteção da vida	Internação involuntária, atendimento de urgência
Outros ramos do MP	Obrigação legal	Compartilhamento entre MPF e MPE em casos conexos

Compartilhamento que exige cautela

• Com a imprensa: dados de investigação são sigilosos. Coletivas de imprensa devem omitir dados pessoais de vítimas e investigados não denunciados
• Com órgãos de outros poderes: compartilhamento deve ter base legal clara e ser proporcional
• Com entidades da sociedade civil: dados de assistidos da Defensoria não podem ser compartilhados com ONGs sem base legal específica

---

Defensorias digitais: atendimento remoto e coleta de dados

A pandemia acelerou a digitalização do atendimento — Defensorias de diversos estados implementaram atendimento remoto via aplicativos, portais e até WhatsApp. Isso gerou novos desafios:

Plataformas de atendimento remoto

• Plataformas próprias: a Defensoria é controladora; o fornecedor da plataforma é operador — DPA obrigatório
• WhatsApp: os dados de atendimento trafegam por servidores da Meta. Risco elevado para dados sensíveis de populações vulneráveis
• E-mail: comunicação não criptografada pode expor dados de assistidos

Boas práticas para atendimento digital

1. Usar plataformas com criptografia e servidores no Brasil (quando possível)
2. Não enviar dados sensíveis por WhatsApp ou e-mail sem criptografia
3. Obter ciência do assistido sobre os riscos do canal digital
4. Armazenar registros de atendimento digital nos sistemas institucionais — não em dispositivos pessoais de defensores
5. Definir política de retenção para mensagens e arquivos trocados

---

DPO em Defensoria e MP: como estruturar

Obrigatoriedade

O Art. 23, III da LGPD e, no caso do MP, a Resolução CNMP 281/2023 (Art. 49 e seguintes), exigem a designação de encarregado de dados.

Perfil recomendado

• Conhecimento jurídico sólido (direito constitucional, penal, civil)
• Formação em proteção de dados e segurança da informação
• Capacidade de dialogar com membros (defensores/promotores) sem subordinação funcional
• Independência para exercer a função sem conflito de interesse

Quem NÃO deve ser DPO

• Corregedor: atua em processos disciplinares contra membros — conflito direto
• Ouvidor: recebe reclamações de cidadãos — função distinta
• Diretor de TI: responsável pelos sistemas que tratam dados — não pode fiscalizar a si mesmo
• Membro em atividade finalística: promotor ou defensor com atribuições funcionais — sobrecarga e conflito

---

Checklist de conformidade para Defensoria Pública e Ministério Público

• Encarregado de dados designado e publicado, conforme Art. 23, III da LGPD
• CEPDAP instituído (para unidades do MP, conforme Art. 49 da Resolução CNMP 281/2023)
• Política de privacidade institucional publicada no site
• Mapeamento de atividades de tratamento (ROPA) — incluindo atendimento, investigações, processos
• Base legal documentada para cada atividade de tratamento
• Controle de acesso implementado para dados de investigação e dados de vítimas
• Dados de vítimas de violência e testemunhas protegidas com segurança reforçada
• DPAs formalizados com fornecedores de sistemas de atendimento e gestão
• Política de atendimento digital definida (plataformas aprovadas, proibições)
• Programa de capacitação em LGPD para membros e servidores
• Plano de resposta a incidentes implementado
• Procedimento para atendimento a direitos dos titulares (assistidos e investigados)
• RIPD elaborado para tratamentos de dados sensíveis em larga escala
• Política de retenção e eliminação de dados definida por tipo de procedimento

---

Conclusão

Defensoria Pública e Ministério Público tratam dados de quem mais precisa de proteção — vítimas, crianças, pessoas em situação de vulnerabilidade, testemunhas ameaçadas. O vazamento ou uso indevido desses dados não causa apenas dano patrimonial — pode colocar vidas em risco, agravar situações de violência e destruir a confiança em instituições que existem justamente para proteger.

A Resolução CNMP 281/2023 oferece ao Ministério Público um dos marcos normativos mais completos do setor público. A Defensoria avança em ritmo próprio, com iniciativas estaduais relevantes. O caminho para ambas as instituições é claro: governança de dados robusta, segurança reforçada para dados de populações vulneráveis e cultura de proteção que permeie desde a chefia até o atendimento na ponta.

A conformidade com a LGPD não é obstáculo à atuação institucional — é garantia de que as instituições protegem os mesmos direitos fundamentais que defendem nos tribunais e na administração pública.

---

A Confidata oferece funcionalidades específicas para instituições públicas que tratam dados sensíveis de populações vulneráveis: registro de atividades de tratamento com classificação de sensibilidade, controle de acesso granular, gestão de solicitações de titulares e geração de RIPD — ferramentas para documentar conformidade sem comprometer a atuação finalística.