LGPD e Lei de Acesso à Informação: como compatibilizar transparência e privacidade
Em 2022, o INEP removeu microdados do ENEM e do Censo Escolar do seu portal, invocando a LGPD como justificativa. A ação gerou imediata controvérsia: pesquisadores, jornalistas e a própria CGU questionaram se a LGPD poderia ser usada para restringir o acesso a dados que, historicamente, eram públicos.
A ANPD emitiu Nota Técnica sobre o caso (Nota Técnica Nº 46/2022). A conclusão foi reveladora: a LGPD não autoriza o bloqueio total dos dados — ela exige que o INEP adote medidas técnicas de proteção (versões diferenciadas, termos de responsabilidade) e elabore um RIPD. A transparência prevaleceu, com proteção.
Esse caso ilustra a questão central desta análise: LGPD e Lei de Acesso à Informação (LAI) não são opostas — são complementares. Mas entender como compatibilizá-las exige conhecer os limites de cada uma.
Os dois regimes: o que cada lei protege
Lei de Acesso à Informação — Lei Nº 12.527/2011
A LAI consagra o princípio de que a publicidade é a regra e o sigilo é a exceção. Seu Art. 3º estabelece que o acesso à informação é direito fundamental, e que qualquer cidadão pode solicitar informações a órgãos públicos sem necessidade de justificativa.
O que a LAI protege especificamente sobre dados pessoais:
O Art. 31 da LAI estabelece que o tratamento das informações pessoais deve ser feito com transparência e com respeito à intimidade, vida privada, honra e imagem das pessoas. Seus principais comandos:
- §1º, I: Informações pessoais relativas à intimidade, vida privada, honra e imagem têm acesso restrito por até 100 anos — independentemente de classificação de sigilo
- §1º, II: O acesso por terceiros pode ser autorizado por previsão legal ou consentimento expresso da pessoa
- §4º: A restrição de acesso não pode ser invocada para prejudicar apuração de irregularidades em que o titular estiver envolvido
O Decreto Nº 7.724/2012, que regulamenta a LAI no âmbito federal, acrescenta:
- Art. 57: O consentimento para acesso a dados pessoais é dispensado em situações específicas (prevenção médica em incapacidade, estatísticas científicas sem identificação, decisão judicial, defesa de direitos humanos, proteção do interesse público preponderante)
- Art. 58: A restrição não pode ser invocada quando a proteção é possível por anonimização ou pseudonimização — o órgão deve tentar publicar com proteção antes de negar o acesso
LGPD — Lei Nº 13.709/2018
A LGPD se aplica também ao poder público. Para os órgãos públicos, os artigos centrais são:
Art. 23 — Tratamento pelo poder público:
Os órgãos públicos podem tratar dados pessoais para o atendimento de suas finalidades públicas, na persecução do interesse público e no cumprimento de competências legais. Para isso, devem:
- Informar as hipóteses em que realizam tratamento de dados, com previsão legal, finalidades e procedimentos, em local de fácil acesso no site (Art. 23, I) — a chamada "transparência ativa sobre o tratamento"
- Designar Encarregado de Dados quando realizarem operações de tratamento (Art. 23, III)
O Art. 23, §3º é particularmente relevante: estabelece que os prazos e procedimentos para o exercício dos direitos do titular perante o poder público observarão a legislação específica — o que inclui os prazos da LAI (20 dias para resposta, prorrogável por mais 10 dias) para pedidos de acesso à informação.
Art. 26 — Compartilhamento de dados pelo poder público:
Veda ao poder público transferir dados pessoais a entidades privadas, exceto em situações específicas:
- Execução descentralizada de atividade pública, para esse fim exclusivo
- Dados já acessíveis publicamente
- Previsão legal ou contrato/convênio
- Prevenção de fraudes e irregularidades
Bases legais relevantes para o poder público:
- Art. 7º, II: Cumprimento de obrigação legal ou regulatória
- Art. 7º, III: Para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios (a principal base legal do setor público)
Os pontos de tensão na prática
Tensão 1 — Salários de servidores públicos
A questão: Salários de servidores são informações pessoais (relacionadas a pessoas identificáveis) mas estão sujeitos à obrigação de transparência da LAI.
O que o STF decidiu (Tema 483 — ARE 652777, julgado em 23.04.2015):
"É legítima a publicação, inclusive em sítio eletrônico mantido pela Administração Pública, dos nomes de seus servidores e do valor dos correspondentes vencimentos e vantagens pecuniárias."
No mesmo julgamento, o STF ressalvou: CPF, RG e endereço residencial não podem ser publicados — pertencem à esfera privada.
Como o DPO do órgão público deve aplicar isso:
| Dado | Pode publicar? | Base |
|---|---|---|
| Nome do servidor | Sim | LAI + STF |
| Cargo e lotação | Sim | LAI + STF |
| Remuneração, subsídio, vantagens | Sim | LAI + STF |
| CPF do servidor | Não | LGPD |
| Endereço residencial | Não | LGPD |
| Dados de saúde (atestados, licenças médicas) | Não — sigilo médico | LGPD + Art. 31 LAI |
Tensão 2 — CPF de pessoas físicas em contratos e licitações
A questão: Editais, contratos e atas de licitação devem ser publicados (LAI + Lei de Licitações Nº 14.133/2021). Mas contratos com pessoas físicas (prestadores de serviço, MEI, Empresa Individual) incluem CPF.
A posição institucional (Parecer CGU):
O CPF de pessoa física não deve ser exposto em contratos públicos publicados, exceto quando o CPF é o próprio registro empresarial — como no caso do MEI e da Empresa Individual, onde o CPF identifica a empresa, não apenas a pessoa natural.
Solução técnica: Antes de publicar contratos com dados de pessoas físicas, substituir o CPF por asteriscos ou abreviação, mantendo os demais dados que identificam o contratado para fins de controle social.
Tensão 3 — Microdados de pesquisas e programas públicos
O precedente do INEP/ENEM (Nota Técnica ANPD Nº 46/2022):
O INEP argumentou que a LGPD impedia a divulgação de microdados do ENEM e do Censo Escolar porque esses dados continham informações de identificação pessoal (nome, data de nascimento, dados socioeconômicos).
A ANPD discordou do bloqueio total. A decisão foi de que o INEP deveria:
- Elaborar um RIPD para a atividade de divulgação de microdados
- Criar versões diferenciadas dos dados (com diferentes graus de anonimização para diferentes perfis de acesso)
- Exigir Termo de Responsabilidade de quem acessa dados mais granulares
A conclusão desse precedente: A LGPD não é um escudo para bloquear informações de interesse público. Ela exige que as informações sejam tratadas com proteção adequada — e que o órgão faça o trabalho técnico de proteger o que precisa ser protegido antes de decidir pelo bloqueio.
Tensão 4 — Portal da transparência e dados identificáveis
A questão: Portais de transparência (como transparencia.gov.br) publicam informações sobre gastos, contratos, beneficiários de programas sociais e servidores. Algumas dessas informações podem combinar dados individuais de forma que permita re-identificação.
Princípio aplicado: O Decreto 7.724/2012, Art. 58, estabelece que a restrição de acesso não pode ser invocada quando é possível resolver pelo caminho da anonimização ou pseudonimização. O órgão deve sempre tentar a solução técnica antes de negar o acesso.
Soluções técnicas práticas:
- Agregação: Em vez de publicar valores individuais de benefícios, publicar totais por município ou por faixa
- Anonimização: Para microdados de pesquisa, remover identificadores diretos (nome, CPF) e tornar inviável a re-identificação
- Pseudonimização: Substituir identificadores por códigos, permitindo controle interno mas impedindo identificação externa
- Termos de uso diferenciados: Para acesso a dados mais granulares, exigir cadastro e compromisso formal de uso adequado
O que a CGU e a ANPD estabeleceram
Acordo de Cooperação Técnica CGU-ANPD (2023)
Em 2023, a CGU e a ANPD formalizaram um Acordo de Cooperação Técnica para emissão de manifestações conjuntas e interpretações uniformes sobre os pontos de intersecção entre LAI e LGPD. O resultado prático: as duas autoridades deixaram de falar em sentidos diferentes sobre o mesmo tema.
CGU — Enunciado Nº 4/2022
A CGU estabeleceu que:
- A LAI é a "norma de regência processual" para pedidos de acesso à informação que envolvam dados pessoais
- LGPD e LAI são sistemicamente compatíveis — não há conflito insuperável entre elas
- A análise de pedidos de acesso deve considerar ambas as normas, aplicando LAI para o acesso e LGPD para a proteção dos dados pessoais nessas informações
Posição consolidada das duas autoridades
A regra prática resultante da cooperação CGU-ANPD é:
- Informação sobre atos de gestão pública (gastos, contratos, licitações, remuneração de servidores como agentes públicos): LAI prevalece — é interesse público que justifica a divulgação
- Dados pessoais da vida privada (CPF, endereço residencial, dados de saúde, dados de filhos): LGPD prevalece — a restrição é justificada pelo direito à privacidade
- Zona cinzenta (microdados de pesquisa, dados de beneficiários de programas sociais): Aplicar técnicas de proteção (anonimização, pseudonimização, versões diferenciadas) e só negar o acesso quando a proteção técnica for impossível
O papel do DPO no setor público
DPO obrigatório para órgãos públicos
O Art. 23, III da LGPD é claro: todos os órgãos e entidades públicas que realizam operações de tratamento de dados pessoais devem designar Encarregado. Não há equivalente da Resolução Nº 2/2022 para o setor público — a obrigação é integral.
Funções específicas do DPO público na tensão LAI-LGPD
O DPO do órgão público precisa coordenar com a estrutura de acesso à informação (SIC — Serviço de Informação ao Cidadão ou ouvidoria) nas seguintes situações:
Triagem de pedidos LAI com dados pessoais de terceiros:
Quando um pedido LAI solicita documentos que contêm dados pessoais de terceiros (não do próprio solicitante), o DPO deve ser consultado para avaliar:
- Quais dados podem ser fornecidos integralmente
- Quais devem ser ocultados ou anonimizados antes de fornecer o documento
- Quais documentos devem ser negados completamente (quando não é possível proteger sem desconfigurar o documento)
Publicação de dados no Portal da Transparência:
Antes de publicar novos conjuntos de dados no portal de transparência, o DPO deve avaliar:
- Se há dados pessoais sensíveis que precisam de proteção especial
- Se é possível publicar versão anonimizada ou agregada
- Se é necessário elaborar RIPD para a atividade de publicação
Atendimento a direitos de titulares:
O Art. 23, §3º determina que os prazos e procedimentos para exercício de direitos do titular pelo poder público observarão a legislação específica. Na prática, isso significa que pedidos de acesso a dados próprios seguem os prazos da LAI (20 + 10 dias) — não os prazos da LGPD (imediato para formato simplificado, 15 dias para formato completo).
Critérios práticos para decisão
Quando um órgão público se deparar com um pedido de acesso ou uma decisão de publicar dados, a seguinte sequência de decisão aplica:
1. A informação é sobre ato de gestão ou responsabilidade pública?
→ SIM: LAI prevalece. Divulgar. Verificar se há dados pessoais de terceiros no documento.
→ NÃO: Continuar análise.
2. A informação é estritamente pessoal (CPF, endereço, dados de saúde, vida privada)?
→ SIM: LGPD prevalece. Restringir ou anonimizar antes de fornecer.
→ NÃO: Continuar análise.
3. É possível fornecer a informação de interesse público com proteção técnica
(anonimização, pseudonimização, agregação, supressão de identificadores)?
→ SIM: Aplicar a proteção e fornecer a versão protegida.
→ NÃO: Avaliar o interesse público preponderante.
4. O interesse público na divulgação é preponderante sobre a privacidade?
→ SIM: Fornecer com justificativa documentada.
→ NÃO: Negar com fundamento no Art. 31 da LAI e no Art. 23 da LGPD.
Checklist para DPOs do setor público
Estrutura:
- Encarregado designado formalmente e publicado no site?
- Coordenação estabelecida entre DPO e o SIC/Ouvidoria do órgão?
- Processo definido para triagem de pedidos LAI com dados pessoais de terceiros?
Publicação de dados:
- Mapeamento dos conjuntos de dados publicados no portal de transparência?
- RIPD elaborado para atividades de publicação de dados pessoais?
- Procedimento para publicar versões anonimizadas de microdados?
Atendimento a solicitações:
- Fluxo definido para pedidos LAI que envolvem dados pessoais de terceiros?
- Fluxo para exercício de direitos do titular (Art. 18 LGPD) por cidadãos?
- Entendimento sobre quais prazos aplicar (LAI vs. LGPD)?
Conclusão
LGPD e LAI não são inimigas. São dois regimes complementares que servem a propósitos diferentes: a LAI garante o controle social sobre o Estado; a LGPD protege os dados pessoais que circulam nessas informações de interesse público.
O desafio para DPOs do setor público é precisamente navegar essa complementaridade: garantir que a transparência obrigatória aconteça, sem expor dados pessoais que a LGPD protege. A solução quase sempre está na tecnologia — anonimização, pseudonimização, versões diferenciadas — e não na restrição total do acesso.
Bloquear o acesso invocando a LGPD quando a proteção técnica era possível é o erro que o caso INEP demonstrou e que a ANPD deixou claro que não será tolerado.
O Confidata inclui módulo de inventário de atividades de tratamento especialmente configurado para órgãos públicos, com suporte à compatibilização entre obrigações da LAI e da LGPD no mapeamento de dados pessoais em documentos públicos.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.