Transparência Pública vs. Proteção de Dados: Como Equilibrar LAI e LGPD
A Lei de Acesso à Informação (Lei 12.527/2011) exige que órgãos públicos publiquem informações de forma proativa e atendam pedidos de acesso. A LGPD (Lei 13.709/2018) exige que dados pessoais sejam protegidos e tratados apenas com base legal e finalidade legítima. Quando um cidadão pede acesso a informações que contêm dados pessoais de terceiros, qual lei prevalece?
A resposta curta: nenhuma "prevalece" de forma absoluta. As duas leis são complementares e compatíveis — posição da Controladoria-Geral da União (CGU) e da ANPD. Mas a aplicação prática exige análise caso a caso, com critérios objetivos para decidir quando publicar e quando proteger.
Este guia oferece o framework decisório que gestores públicos, ouvidores e DPOs precisam para resolver esses conflitos no dia a dia.
O conflito aparente: por que LAI e LGPD parecem colidir
A LAI estabelece que a publicidade é a regra e o sigilo é a exceção (Art. 3º, I). A LGPD estabelece que dados pessoais só podem ser tratados com base legal e finalidade específica. Quando informações públicas contêm dados pessoais, os dois princípios entram em tensão.
Exemplos concretos de tensão
- Remuneração de servidores: a LAI exige publicação. Mas o nome e CPF do servidor são dados pessoais
- Contratos com fornecedores: o portal de transparência publica valores e nomes. CPF/CNPJ de pessoa física é dado pessoal
- Beneficiários de programas sociais: a transparência exige que se saiba quem recebe benefícios. Mas publicar nomes pode gerar estigma
- Processos disciplinares: transparência exige acesso. Mas detalhes contêm dados pessoais do servidor investigado
- Pedidos de acesso: um cidadão solicita dados que contêm informações pessoais de terceiros
Posição da CGU: as leis são compatíveis
A Controladoria-Geral da União tem sido clara: LAI e LGPD são sistematicamente compatíveis entre si e harmonizam os direitos fundamentais de acesso à informação, privacidade e proteção de dados pessoais, não havendo conflito entre suas disposições.
Na prática, isso significa:
- A LGPD não revogou a obrigação de transparência ativa da LAI
- A LAI não autoriza a exposição indiscriminada de dados pessoais
- A publicação de dados pessoais em portais de transparência tem base legal na LGPD quando necessária para o cumprimento de obrigação legal ou para a execução de políticas públicas
- A proporcionalidade é o critério-chave: publicar o necessário, proteger o excedente
Posição da ANPD: análise caso a caso
A ANPD abordou a relação entre transparência e proteção de dados em nota técnica sobre a divulgação de dados pessoais de beneficiários de programas assistenciais. A conclusão da autoridade é que não é possível estabelecer, em termos abstratos e determinantes, qual direito ou princípio prevalecerá — se o direito à proteção de dados pessoais ou o princípio da publicidade na administração pública.
A orientação da ANPD inclui:
- A divulgação ou não de dados pessoais por órgãos públicos depende da análise do caso concreto
- O Art. 32 da LGPD prevê a elaboração de Relatórios de Impacto quando o tratamento envolve interesse público e proteção de dados
- As técnicas de anonimização (Art. 12) e pseudonimização (Art. 13) devem ser adotadas sempre que possível para viabilizar a transparência sem exposição indevida
O caso emblemático: remuneração de servidores (ARE 652.777/SP)
O Supremo Tribunal Federal, no julgamento do Agravo em Recurso Extraordinário (ARE) 652.777/SP, decidiu por unanimidade que é legítima a divulgação, inclusive em sítios eletrônicos mantidos pela administração pública, dos nomes de servidores e dos valores de seus respectivos vencimentos e vantagens pecuniárias.
O que o STF decidiu
- A divulgação nominal da remuneração de servidores é de interesse geral e não viola o direito à privacidade (Art. 5º, X da CF)
- Quem ingressa no serviço público adere ao regime jurídico da administração, que prevê a publicidade das informações de interesse coletivo
- A decisão tem repercussão geral — vincula todos os órgãos públicos do país
O que isso significa na prática
- Pode publicar: nome do servidor, cargo, remuneração bruta e líquida, vantagens pecuniárias, órgão de lotação
- Deve proteger: CPF completo (publicar apenas parcialmente, ex: *.123.456-), endereço residencial, dados bancários, dados de saúde do servidor
O STF não decidiu que "tudo sobre o servidor é público" — decidiu que a remuneração é. Outros dados pessoais do servidor permanecem protegidos pela LGPD.
Casos práticos: o que publicar e o que proteger
1. Portal de transparência: contratos e licitações
Publicar:
- Nome ou razão social do contratado
- CNPJ (de pessoa jurídica)
- Objeto e valor do contrato
- Vigência e aditivos
Proteger:
- CPF de pessoa física contratada (mascarar: *.123.456-)
- Endereço residencial de pessoa física
- Dados bancários para pagamento
2. Beneficiários de programas sociais
Publicar:
- Valores agregados (total de beneficiários, valor total distribuído, por município)
- Critérios de elegibilidade
Proteger:
- Nome individual de beneficiários (pode gerar estigma social)
- CPF, endereço, composição familiar
- Dados de saúde ou deficiência que fundamentam o benefício
A ANPD analisou especificamente este caso e concluiu que a publicação de listas nominais de beneficiários de programas assistenciais exige análise de proporcionalidade — o interesse público na transparência pode ser atendido por dados agregados, sem exposição individual.
3. Dados de servidores: o que é público vs. protegido
| Dado | Publicação | Fundamento |
|---|---|---|
| Nome e cargo | Sim | LAI + STF ARE 652.777 |
| Remuneração | Sim | STF ARE 652.777 |
| Lotação/órgão | Sim | LAI (transparência ativa) |
| CPF completo | Não (mascarar) | LGPD — dado pessoal sem necessidade |
| Endereço residencial | Não | LGPD — dado pessoal |
| Dados de saúde | Não | LGPD — dado sensível (Art. 11) |
| Processo disciplinar em curso | Não | Sigilo do PAD |
| Penalidade aplicada (publicada) | Sim | LAI + legislação disciplinar |
| Dados de dependentes | Não | LGPD — dados de terceiros |
4. Pedidos de acesso à informação que envolvem dados de terceiros
Quando um cidadão solicita informações que contêm dados pessoais de outra pessoa, o órgão deve:
- Avaliar: os dados solicitados são necessários para o exercício do direito de acesso à informação?
- Separar: é possível fornecer a informação sem os dados pessoais de terceiros?
- Tarjar: se necessário, tarjar dados pessoais antes de entregar o documento
- Negar parcialmente: fornecer a informação pública e negar acesso aos dados pessoais de terceiros, com fundamentação na LGPD
A LAI já previa essa possibilidade no Art. 31: "o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas".
Anonimização e técnicas de mascaramento em dados públicos
A LGPD oferece ferramentas para viabilizar a transparência sem comprometer a proteção de dados:
Anonimização (Art. 12)
Eliminação irreversível da possibilidade de identificar o titular. Dados anonimizados não são dados pessoais — podem ser publicados livremente. Exemplo: publicar que "15 servidores do Ministério da Saúde recebem adicional de insalubridade" sem identificar quais.
Pseudonimização (Art. 13)
Substituição de dados identificadores por códigos ou referências que não permitam identificação direta. A pseudonimização é reversível (o órgão mantém a chave de correspondência), mas reduz o risco na publicação.
Mascaramento
Técnica operacional de ocultar parcialmente dados pessoais. Exemplos:
- CPF: *.123.456-
- Nome: J.S.M.
- Endereço: Rua ***, nº ***, Bairro Centro, São Paulo/SP
Dados agregados
Publicar informações em nível agregado em vez de individual. Em vez de listar cada beneficiário, publicar totais por município, faixa etária ou valor.
Decisões judiciais e administrativas sobre o tema
STF — ARE 652.777/SP (repercussão geral)
Remuneração nominal de servidores é pública. Não viola privacidade.
STF — Ação Originária 2.367/DF
Confirmou que a divulgação da remuneração de juízes federais é legítima, nos mesmos termos do ARE 652.777.
CGU — Orientações sobre LAI e LGPD
A CGU editou orientações reafirmando a compatibilidade entre as leis e oferecendo diretrizes práticas para servidores que atendem pedidos de acesso à informação.
ANPD — Nota técnica sobre beneficiários
Concluiu que a publicação de dados de beneficiários de programas sociais exige análise de proporcionalidade — dados agregados podem satisfazer o interesse público sem exposição individual.
Framework decisório: árvore de decisão para publicar ou proteger
Use este fluxo para decidir se deve publicar dados pessoais em portais de transparência ou em resposta a pedidos de acesso:
Etapa 1: Há obrigação legal explícita de publicar?
- Sim → Publicar, mas apenas os dados exigidos pela lei (ex: remuneração de servidores)
- Não → Ir para Etapa 2
Etapa 2: A informação contém dados pessoais?
- Não → Publicar normalmente
- Sim → Ir para Etapa 3
Etapa 3: Os dados pessoais são de agentes públicos no exercício da função?
- Sim → Publicar nome, cargo, remuneração, lotação. Mascarar CPF, endereço, dados de saúde
- Não → Ir para Etapa 4
Etapa 4: É possível atender à transparência sem dados pessoais individuais?
- Sim → Anonimizar ou agregar os dados. Publicar versão sem identificação
- Não → Ir para Etapa 5
Etapa 5: O interesse público na divulgação supera o risco ao titular?
- Sim → Publicar com mascaramento de dados não essenciais. Documentar a análise de proporcionalidade
- Não → Negar acesso ao dado pessoal com fundamentação na LGPD (Art. 31 da LAI)
Em todos os casos: documentar
Registre a análise feita, os critérios aplicados e a decisão tomada. Essa documentação é essencial para auditorias da CGU e para responder a eventuais reclamações na ANPD.
Erros comuns e como evitar
Erro 1: Usar a LGPD para negar acesso legítimo
Órgãos têm usado a LGPD como pretexto para negar pedidos de acesso à informação. A CGU já se posicionou contra essa prática — a LGPD protege dados pessoais, não informações públicas de interesse coletivo.
Erro 2: Publicar dados pessoais desnecessários por inércia
Portais de transparência legados frequentemente publicam CPFs completos, endereços e até dados bancários de fornecedores — simplesmente porque "sempre publicaram". Revise os dados publicados e aplique mascaramento.
Erro 3: Tratar toda informação com dado pessoal como sigilosa
A presença de um dado pessoal em um documento não torna todo o documento sigiloso. O órgão deve separar a informação pública do dado pessoal — fornecer o documento com dados pessoais tarjados.
Erro 4: Não documentar a análise de proporcionalidade
Decidir entre publicar e proteger sem registrar os critérios aplicados expõe o órgão a questionamentos pela CGU, pela ANPD e pelo Judiciário. Documente sempre.
Papel do DPO e do ouvidor na mediação
O equilíbrio entre LAI e LGPD exige colaboração entre o encarregado de dados (DPO) e o ouvidor do órgão:
- Ouvidor: recebe pedidos de acesso à informação, conhece a LAI, avalia o interesse público
- DPO: avalia o impacto na proteção de dados, identifica dados sensíveis, orienta sobre mascaramento
- Juntos: decidem se a resposta deve conter dados pessoais, mascarados ou anonimizados, e documentam a análise
Nos órgãos onde o ouvidor acumula a função de DPO, é fundamental que haja capacitação específica em ambas as legislações para evitar decisões enviesadas — seja para publicar tudo (viés LAI) ou para negar tudo (viés LGPD).
Checklist de conformidade para equilibrar LAI e LGPD
- Portal de transparência revisado: CPFs mascarados, endereços residenciais removidos
- Política de publicação de dados pessoais definida e documentada
- Procedimento de resposta a pedidos de acesso que envolvam dados de terceiros
- Capacitação de servidores de ouvidoria e SIC sobre LGPD
- Capacitação do DPO sobre LAI e direito de acesso à informação
- Análise de proporcionalidade documentada para casos de dúvida
- Técnicas de anonimização e mascaramento aplicadas em publicações
- Framework decisório implementado (árvore de decisão)
- Reunião periódica entre DPO e ouvidor para alinhamento
- Revisão periódica de dados publicados em transparência ativa
- Canal do titular funcionando para solicitações de correção ou oposição
Conclusão
LAI e LGPD não são adversárias — são aliadas na construção de uma administração pública que é, ao mesmo tempo, transparente e responsável com os dados dos cidadãos. O equilíbrio exige análise caso a caso, documentação das decisões e uso inteligente de técnicas como anonimização e mascaramento.
O risco real não está em "qual lei prevalece" — está nos extremos: no órgão que publica tudo sem critério (expondo dados desnecessários) e no que nega tudo invocando a LGPD (obstruindo a transparência). O caminho do meio — publicar o necessário, proteger o excedente, documentar a análise — é o que a legislação exige e o cidadão merece.
A Confidata oferece funcionalidades que auxiliam órgãos públicos a documentar e evidenciar suas análises de proporcionalidade: registro de atividades de tratamento com bases legais específicas, gestão de solicitações de titulares e geração de RIPD — ferramentas para navegar o equilíbrio entre transparência e proteção de dados com segurança jurídica.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.