Setor Público15 min de leitura

LGPD no Setor Público: Guia para Administração Pública

Equipe Confidata·
Compartilhar

O setor público ocupa uma posição única no ecossistema de proteção de dados: nenhum controlador no Brasil trata dados de tantos cidadãos, de formas tão variadas e com tanto impacto sobre suas vidas. Do CPF ao prontuário do SUS, da declaração de IR ao cadastro de beneficiários do Bolsa Família, o Estado acumula dados pessoais de praticamente todos os brasileiros.

Com esse poder imenso vem responsabilidade proporcional. A LGPD reconhece essa peculiaridade ao dedicar um capítulo inteiro ao tratamento de dados pelo poder público — o Capítulo IV (Arts. 23 a 32). Mas o setor público enfrenta desafios que o diferenciam do setor privado: sistemas legados, múltiplos órgãos independentes, tensão com a transparência pública, volume massivo de dados e, muitas vezes, menor capacidade técnica para implementar controles modernos de privacidade.

Este guia apresenta as principais obrigações da LGPD para a administração pública, as peculiaridades do regime jurídico e um roteiro para implementação.

O Capítulo IV da LGPD: regras específicas para o poder público

O legislador reconheceu que o Estado tem motivações e estruturas distintas do setor privado. O Capítulo IV estabelece um regime adaptado, mas não menos exigente.

Art. 23: finalidade pública como requisito

"Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1° da Lei n° 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público..."

O tratamento de dados pelo poder público deve estar sempre vinculado a uma finalidade pública explícita — derivada de lei, regulamento ou atribuição institucional. Não é possível para um órgão público tratar dados pessoais de cidadãos por simples conveniência ou interesse institucional vago.

Art. 24: uso restrito à finalidade pública

Uma vez coletados para determinada finalidade pública, os dados não podem ser reutilizados para fins distintos sem nova base legal. Um cadastro de beneficiários de programa social não pode ser usado para fins de persecução criminal, por exemplo, sem autorização legal específica.

Art. 25: interoperabilidade e formatos abertos

Dados tratados pelo poder público devem ser mantidos em formatos estruturados e interoperáveis, sempre que possível, para facilitar o controle social e a implementação de políticas públicas. Isso dialoga com o princípio de dados abertos, mas sem comprometer a privacidade dos titulares.

Art. 26: compartilhamento entre órgãos

O compartilhamento de dados entre órgãos e entidades do poder público — um dos mecanismos mais importantes para eficiência na prestação de serviços — é regulado pelo Art. 26:

  • O uso compartilhado deve ter finalidade específica de execução de políticas públicas
  • As informações ao titular devem ser prestadas (quando possível e sem prejudicar a finalidade)
  • Os órgãos compartilhantes têm responsabilidade solidária pelo tratamento
  • É vedado o compartilhamento com pessoas jurídicas privadas, salvo em hipóteses específicas previstas em lei ou quando os dados forem publicamente acessíveis

Art. 27: entidades privadas com finalidade pública

Entidades privadas que recebem dados de órgãos públicos para executar políticas públicas (ONGs, entidades do Sistema S, concessionárias) devem dar publicidade a esses tratamentos e observar as mesmas obrigações dos órgãos públicos.

Art. 30: transparência no uso de dados

Órgãos e entidades do poder público devem publicar, em seus sítios eletrônicos, as informações sobre o tratamento que realizam — em linguagem simples e de fácil acesso. Isso vai além da transparência já exigida pela LAI: é transparência sobre como os dados pessoais são tratados.

Bases legais para o poder público

No setor privado, o controlador pode escolher entre múltiplas bases legais da LGPD (consentimento, legítimo interesse, execução de contrato, etc.). Para o poder público, a lógica é diferente.

O princípio da legalidade da administração pública — a Administração só pode fazer o que a lei autoriza — complementa a LGPD: o tratamento de dados pelo poder público precisa de uma atribuição legal ou regulatória que o fundamente.

As bases legais mais relevantes para o setor público são:

Art. 7°, II — Cumprimento de obrigação legal ou regulatória: Quando a lei expressamente impõe ao órgão a coleta ou tratamento de determinado dado (ex: obrigação de manter cadastro de contribuintes, de registrar nascimentos, de notificar doenças).

Art. 7°, III — Execução de políticas públicas: Quando o tratamento é necessário para implementar políticas públicas previstas em leis ou regulamentos (ex: CadÚnico para programas sociais, sistemas de saúde pública).

Art. 23 combinado com atribuição institucional: Para tratamentos diretamente vinculados à missão do órgão.

Consentimento (Art. 7°, I): Menos frequente no setor público, pois o Estado tem posição de poder em relação ao cidadão, tornando o consentimento potencialmente viciado pela dependência (ex: cidadão que "consente" porque teme perder benefício). Deve ser usado com cautela e apenas quando genuinamente voluntário.

Importante: O poder público não deve se valer do legítimo interesse (Art. 7°, IX) como base legal para o tratamento de dados pessoais. A interpretação consolidada da ANPD e da doutrina majoritária é que o setor público dispõe de bases específicas (Art. 7°, II e III, e Capítulo IV) que devem ser utilizadas em lugar do legítimo interesse — instrumento concebido para a ponderação de interesses privados, incompatível com o regime de legalidade estrita da administração pública.

O DPO (Encarregado) no setor público

O Art. 41 da LGPD exige que controladores indiquem um encarregado pelo tratamento de dados pessoais (DPO). Todos os órgãos públicos são controladores e, portanto, devem ter um DPO.

Instrução Normativa SGD/ME nº 117/2020 (âmbito federal)

No âmbito do Poder Executivo Federal, a Instrução Normativa SGD/ME nº 117, de 19 de novembro de 2020, dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais nos órgãos e nas entidades da administração pública federal direta, autárquica e fundacional. A norma determinou que cada órgão designasse seu encarregado e o comunicasse à ANPD.

Características da função no setor público:

  • Pode ser compartilhada: a mesma pessoa pode ser DPO de mais de um órgão (especialmente em casos de secretarias e autarquias menores)
  • Não exige formação específica por lei, mas a ANPD recomenda conhecimentos em direito, proteção de dados e gestão pública
  • Deve ter acesso direto à alta administração e independência para exercer suas funções
  • Principais atribuições: orientar o órgão sobre LGPD, receber demandas dos titulares, atuar como canal com a ANPD

Estados e municípios

A implementação do DPO em estados e municípios avança de forma desigual. Municípios menores, com menos capacidade técnica e financeira, enfrentam dificuldades. A solução para entes menores pode ser a contratação de DPO externo (terceirizado ou compartilhado entre municípios).

Transparência e privacidade: a convivência entre LAI e LGPD

A tensão mais característica do setor público em matéria de proteção de dados é a convivência entre dois marcos legais aparentemente opostos:

  • Lei de Acesso à Informação (LAI, Lei 12.527/2011): estabelece a publicidade como regra e o sigilo como exceção; qualquer cidadão pode solicitar informações públicas sem justificar o pedido
  • LGPD (Lei 13.709/2018): protege dados pessoais de indivíduos, impondo limitações ao acesso e ao compartilhamento

A LAI e a LGPD não são opostas — são complementares. O Art. 31 da LAI (Lei 12.527/2011) já protegia informações pessoais de acesso irrestrito, e a LGPD veio reforçar essa proteção com um regime jurídico mais abrangente. O Art. 23, §3° da LGPD expressamente reconhece que os prazos e procedimentos para exercício dos direitos dos titulares perante o poder público devem observar a LAI, o Habeas Data e a Lei Geral do Processo Administrativo — reconhecendo a convivência dos marcos legais.

Regra geral de harmonização:

  • Informações sobre atos do poder público (contratos, licitações, gastos, decisões administrativas): são públicas pela LAI
  • Dados pessoais de cidadãos presentes em documentos públicos: devem ser protegidos pela LGPD
  • Dados pessoais de servidores relacionados ao exercício da função (cargo, salário, atos funcionais): são públicos pela LAI
  • Dados pessoais de servidores de natureza privada (saúde, família, vida pessoal): protegidos pela LGPD

Exemplo prático: Uma lista de beneficiários de programa de habitação é pública? O fato de que uma família recebeu o benefício pode ser transparente (LAI), mas informações sobre a situação financeira, número de filhos, endereço detalhado ou estado civil dos beneficiários devem ser protegidas (LGPD). A saída é anonimizar ou agregar os dados para fins de transparência pública.

Atendimento a pedidos LAI com dados pessoais:

Quando um pedido LAI solicita documentos que contêm dados pessoais de terceiros, o órgão deve:

  1. Verificar se os dados pessoais são necessários para atender ao pedido
  2. Se possível, disponibilizar a informação com os dados pessoais suprimidos (anonimização/redação)
  3. Se os dados pessoais forem o próprio objeto do pedido, verificar se o solicitante é o próprio titular ou tem autorização
  4. Usar a exceção de sigilo de dados pessoais quando aplicável (Art. 31 da LAI, que protege informações pessoais de intimidade, vida privada, honra e imagem)

Compartilhamento de dados entre órgãos: eficiência e proteção

O compartilhamento de dados entre órgãos públicos é fundamental para a eficiência do Estado: evita a duplicidade de cadastros, permite políticas integradas e melhora serviços ao cidadão. Programas como o CadÚnico dependem de cruzamentos entre bases de dados de diferentes órgãos.

A Rede Nacional de Dados em Saúde (RNDS) e a Plataforma de Cidadania Digital são exemplos de iniciativas de compartilhamento estruturado de dados entre órgãos federais.

Requisitos para compartilhamento legítimo:

  1. Finalidade específica: o órgão receptor só pode usar os dados para a finalidade que justificou o compartilhamento
  2. Base legal: o compartilhamento deve ter previsão legal (lei, decreto ou regulamento)
  3. Comunicação ao titular: informar quando possível e sem prejudicar a finalidade
  4. Responsabilidade solidária: tanto o órgão cedente quanto o receptor são responsáveis pelo tratamento
  5. Segurança: o nível de segurança deve ser mantido pelo receptor

Compras públicas e LGPD

A interseção entre compras públicas e LGPD é uma área de atenção crescente, especialmente com a contratação de soluções de TI, sistemas de gestão e serviços de nuvem.

DPA em contratos públicos

Quando um órgão público contrata fornecedor privado que tratará dados pessoais de cidadãos ou servidores (sistema de prontuário eletrônico, plataforma de gestão de RH, serviço de cloud), o contrato deve incluir cláusulas de proteção de dados — o chamado Data Processing Agreement (DPA) ou Instrumento de Parceria.

O Art. 39 da LGPD é claro: o controlador (órgão público) responde pelos atos do operador (fornecedor privado). A ausência de DPA adequado é uma falha de conformidade que pode gerar responsabilidade do órgão.

LGPD nas licitações

Dados pessoais surgem em múltiplos pontos do processo licitatório:

  • Dados dos licitantes (pessoas físicas e representantes legais)
  • Documentos de habilitação (certidões, balanços, declarações)
  • Dados de testemunhas e subscritores em contratos
  • Dados de servidores envolvidos no processo

Para dispensa de licitação (Art. 75 da Lei 14.133/2021), os dados envolvidos são tipicamente menores, mas as mesmas obrigações se aplicam: minimização, finalidade, segurança e prazo adequado de retenção.

O prazo de guarda de processos licitatórios é regulado por normas específicas (Lei 14.133/2021 e regulamentos do TCU) — e os dados pessoais dentro desses processos devem ser mantidos pelo mesmo prazo, mas com acesso controlado.

ANPD e a fiscalização do setor público

A ANPD tem competência para fiscalizar e sancionar órgãos e entidades do poder público. O Art. 55-J lista as competências da ANPD, que incluem:

  • Fiscalizar e aplicar sanções em caso de descumprimento
  • Deliberar, na esfera administrativa, sobre reclamações de titulares
  • Realizar auditorias em controladores

Quanto às sanções, há uma peculiaridade: a multa de 2% do faturamento (até R$ 50 milhões por infração) aplica-se ao setor privado. Para órgãos públicos sem faturamento comercial, a interpretação prevalente é de que as sanções não pecuniárias são as mais aplicáveis: advertência, publicização da infração, bloqueio ou eliminação dos dados tratados irregularmente.

A publicização da infração pode ser especialmente impactante para órgãos públicos, dado o dano reputacional e político associado.

A ANPD tem aberto processos administrativos contra órgãos federais — o que demonstra que o setor público não está imune à fiscalização e que a adequação é urgente.

Desafios práticos do setor público

Sistemas legados

Muitos órgãos operam sistemas com décadas de existência, sem capacidade de exportar dados de forma estruturada, sem logs de acesso auditável e sem funcionalidades para atender pedidos de acesso ou correção de dados pelos titulares. A modernização desses sistemas é custosa e demorada.

A solução de curto prazo é estabelecer processos manuais para atender obrigações da LGPD enquanto os sistemas são modernizados — mesmo que ineficientes, são suficientes para demonstrar boa fé perante a ANPD.

Volume imenso de dados

O governo federal trata dados de todos os cidadãos brasileiros. A escala cria desafios únicos: mapear o inventário completo de dados, implementar controles de acesso granulares, processar pedidos de titulares em prazos adequados.

Múltiplos controladores independentes

Cada órgão é um controlador separado, com sua própria gestão e orçamento. A adequação à LGPD no setor público não pode ser centralizada — requer que cada órgão implemente seu próprio programa de privacidade, o que exige capacidade técnica e recursos distribuídos.

Open data e privacidade

O governo publica dados abertos em portais como dados.gov.br. Dados abertos devem ser anonimizados — se contiverem dados pessoais identificáveis, violam a LGPD. A anonimização adequada requer expertise técnica que nem sempre está disponível nos órgãos.

Como começar: roteiro para o setor público

1. Nomear o DPO

O primeiro passo obrigatório é indicar o encarregado e comunicá-lo à ANPD. A indicação pode ser de servidor interno ou de contrato externo. O DPO deve ter condições de exercer a função com independência.

2. Inventariar tratamentos de dados (ROPA)

Mapear os principais tratamentos realizados pelo órgão:

  • Quais dados são coletados?
  • De quem? (servidores, cidadãos, fornecedores)
  • Para qual finalidade?
  • Com quem são compartilhados?
  • Por quanto tempo são mantidos?
  • Qual é a base legal?

3. Revisar bases legais

Para cada tratamento identificado, verificar se há base legal adequada. Tratamentos sem base legal devem ser suspensos ou regularizados.

4. Revisar contratos com fornecedores de TI

Contratos com fornecedores que tratam dados pessoais (ERP, sistemas de gestão, cloud) devem ser revistos para incluir cláusulas de DPA.

5. Incluir LGPD em novos contratos e editais

Todos os novos contratos que envolvam tratamento de dados pessoais devem incluir cláusulas de proteção de dados desde a contratação. Editais de licitação para sistemas de TI devem incluir requisitos de privacidade como critério de habilitação ou julgamento.

6. Canal de atendimento ao titular (cidadão)

Criar canal claro para que cidadãos possam exercer seus direitos (acesso, correção, informação sobre compartilhamento). O canal pode ser integrado ao e-mail de ouvidoria ou sistema de atendimento existente.

7. Capacitação de servidores

Servidores que acessam dados pessoais de cidadãos devem ser treinados sobre suas obrigações sob a LGPD. O foco inicial deve ser nas áreas de maior risco: saúde, assistência social, segurança pública.

8. Publicar informações de privacidade

Publicar na página do órgão as informações exigidas pelo Art. 30 da LGPD: quais dados são tratados, para qual finalidade, com quem são compartilhados e como o cidadão pode exercer seus direitos.

Conclusão: o Estado como guardião dos dados dos cidadãos

O Estado existe para servir ao cidadão — e para isso precisa dos seus dados. Mas esse poder não vem sem obrigação. A LGPD estabelece que o Estado deve tratar esses dados com finalidade pública clara, respeitar os direitos dos titulares e implementar proteções proporcionais à sensibilidade dos dados que detém.

Para órgãos públicos, a adequação à LGPD é também uma questão de legitimidade democrática: o cidadão que confia seus dados ao Estado tem direito de saber como eles são usados e de exigir que sejam protegidos.

O caminho começa com passos concretos: nomear o DPO, mapear os tratamentos, revisar contratos. Cada passo aproxima o órgão de uma relação mais transparente e responsável com os dados dos cidadãos que serve.

Baixe gratuitamente o eBook "Dispensa de Licitação e LGPD" e entenda como adequar seus processos de contratação pública às exigências da lei de proteção de dados.

Compartilhar
#LGPD setor público#administração pública LGPD#DPO governo#LAI e LGPD#compartilhamento dados governo#poder público proteção dados

Artigos relacionados

Compartilhamento de Dados entre Órgãos Públicos e a LGPDSetor Público · 14 minLGPD para Defensoria Pública e Ministério Público: Dados de Populações VulneráveisSetor Público · 13 minCláusulas LGPD em Licitações: Modelos Prontos para a Lei 14.133/2021Setor Público · 13 minLGPD em cartórios: como adequar serventias extrajudiciais à proteção de dadosSetor Público · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista