A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, é um marco legal no Brasil que regulamenta o uso e a proteção de dados pessoais, buscando garantir a privacidade dos indivíduos e a transparência no tratamento de suas informações. No setor público, a LGPD é de importância crucial, pois envolve diretamente a privacidade dos cidadãos e a transparência das ações governamentais. Essa legislação define como os dados devem ser coletados, armazenados e compartilhados, conferindo aos cidadãos maior controle sobre suas informações pessoais. O descumprimento pode levar a sanções severas e, mais importante, à desconfiança da população nas instituições.

A aplicação da LGPD no Brasil foi sancionada em 2018, com implementação efetiva a partir de setembro de 2020, inspirada em legislações internacionais, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia. A lei se aplica tanto ao setor privado quanto ao público, abrangendo a União, Estados, Distrito Federal e Municípios. O tratamento de dados pessoais por pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Conceitos e Princípios Fundamentais

Para aplicar a LGPD de forma eficaz, é essencial compreender a diferença entre dados pessoais e dados sensíveis. Dados pessoais são informações que podem identificar uma pessoa, como nome, CPF e e-mail. Já os dados sensíveis, que exigem ainda mais proteção, incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde ou vida sexual, e dados genéticos ou biométricos, quando vinculados a uma pessoa natural. Um vazamento de dados sensíveis pode causar impactos severos na vida do indivíduo.

A LGPD é guiada por princípios como a finalidade, a adequação e a necessidade, que garantem que os dados sejam coletados apenas para o que é estritamente necessário e para finalidades específicas e legítimas. O princípio da transparência exige que os cidadãos sejam informados sobre quais dados são coletados e como serão utilizados, fortalecendo a confiança entre as instituições e a população. A segurança é outro princípio crucial, demandando que as instituições adotem medidas eficazes para proteger os dados contra acessos não autorizados, perdas, destruição, alterações ou vazamento. Além disso, a lei preconiza a autodeterminação informativa, que é o poder do indivíduo de saber, com precisão, como e com quais finalidades seus dados estão sendo utilizados, podendo decidir sobre fornecê-los, interromper seu fornecimento ou solicitar a exclusão.

Desafios na Implementação no Setor Público

A implantação da LGPD no setor público enfrenta diversos desafios, sendo um dos principais a mudança cultural. É necessário que os agentes públicos, que detêm um dos maiores bancos de dados pessoais do país, assimilem a necessidade de proteger os dados de forma proativa. Essa mudança não pode ser apenas uma "estratégia de marketing" ou adesões formais, mas sim uma realidade diária, educando por exemplos e com o envolvimento da alta liderança.

Outros desafios importantes incluem:

• O Encarregado de Dados (DPO): A LGPD exige a indicação de um DPO, que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar funcionários e adotar providências. No setor público, a escolha e estruturação dessa função são complexas, podendo ser uma pessoa singular ou um colegiado, e deve ter autonomia e acesso direto à alta administração para evitar conflitos de interesse.
• Política de Mesa Limpa/Tela Limpa: Constitui a adoção de boas práticas de segurança para proteger informações pessoais que transitam fisicamente (em mesas) ou digitalmente (em telas), minimizando riscos de vazamentos.
• Gestão de Bases Legadas: A LGPD incide sobre bancos de dados existentes antes de sua vigência, o que representa um enorme desafio para o poder público, que detém informações de cidadãos há décadas ou até séculos, exigindo a readequação desses arquivos antigos.
• Implantação em Pequenos Municípios: Esses municípios geralmente possuem orçamentos menores e escassez de profissionais qualificados em tecnologia da informação, o que dificulta a busca pela conformidade com a LGPD.
• O Estado como Contratante e Prestador de Serviços: O Estado precisa readequar contratos em licitações e editais, além de redobrar a atenção ao manusear dados sensíveis, como informações de saúde, educação e benefícios sociais.

LGPD versus Lei de Acesso à Informação (LAI)

Um dos maiores desafios é a compatibilização entre as restrições impostas pela LGPD e o dever de transparência e publicidade no setor público, estabelecido pela Lei de Acesso à Informação (LAI - Lei nº 12.527/2011). Embora haja um aparente conflito, as normas são compatíveis e complementares. A LAI visa assegurar o direito fundamental de acesso à informação e a publicidade como preceito geral, enquanto a LGPD busca proteger a privacidade e a inviolabilidade da intimidade.

A publicidade deve ser a regra, limitada apenas quando o fornecimento de dados pessoais não for indispensável para a transparência. Não significa uma restrição total à publicidade de dados pessoais, mas sim uma adequação da "quantidade" de informação fornecida, por exemplo, não divulgando nomes de servidores atrelados a vencimentos, mas sim apenas os valores. No caso de dados sensíveis, como os de saúde, o sigilo dos prontuários é mantido, mas informações para fins estatísticos ou controle social podem ser requeridas, desde que não identifiquem a pessoa.

Privacy by Design e Privacy by Default

O conceito de Privacy by Design (PbD), ou Privacidade na Concepção, preconiza que a privacidade deve ser o ponto de partida na concepção de qualquer produto ou serviço, integrando a proteção de dados desde o design inicial. Associado a ele, o Privacy by Default defende que o maior nível de restrição na coleta de dados deve ser o padrão e automático em todos os projetos desenvolvidos. A Administração Pública precisa se reinventar, reformular sistemas e focar na privacidade ao produzir ou contratar novos softwares.

Sanções e Responsabilidades no Setor Público

A LGPD prevê sanções administrativas em caso de descumprimento de suas normas. As sanções incluem advertência, publicização da infração, bloqueio de dados pessoais, eliminação de dados pessoais, suspensão do tratamento ou do funcionamento do banco de dados, e proibição parcial ou total de atividades de tratamento de dados.

É importante notar que as multas simples e diárias previstas na LGPD não se aplicam diretamente ao poder público. No entanto, o setor público pode sofrer prejuízos significativos com outras sanções, como bloqueio, suspensão e proibição do tratamento de dados, além da publicização da infração, que pode causar graves consequências políticas e de confiabilidade. A Autoridade Nacional de Proteção de Dados (ANPD) é a responsável por orientar, regular, fiscalizar e sancionar a aplicação da LGPD. A ANPD atua sem requisição ou em programas periódicos de fiscalização e coopera com outros órgãos públicos.

Além das sanções administrativas, a LGPD disciplina a responsabilidade civil dos agentes de tratamento. Os danos, sejam coletivos, individuais, morais ou patrimoniais, causados pelo controlador ou operador, devem ser reparados. No setor público, aplica-se a responsabilidade civil objetiva do Estado, o que significa que o Estado é obrigado a reparar o dano causado por suas atividades, independentemente de culpa, salvo se comprovado que o dano foi causado exclusivamente pelo titular dos dados, por terceiros ou por caso fortuito/força maior. A responsabilização administrativa e pessoal do servidor público que infringir a LGPD também é possível, inclusive com sanções disciplinares.

Casos internacionais de aplicação da GDPR mostram que prefeituras e órgãos públicos foram multados por excesso de informações divulgadas ou uso inadequado de dados, reforçando o princípio da necessidade. Isso serve de alerta para o Brasil, onde é comum a publicação massiva de dados pessoais sem anonimização em Diários Oficiais e Portais da Transparência.

Medidas e Benefícios

Para se adequar à LGPD, as prefeituras e órgãos devem:

• Identificar e mapear todas as informações pessoais tratadas, criando um inventário de dados e classificando-os (pessoais ou sensíveis).
• Atualizar políticas internas de dados regularmente, acompanhando as mudanças na legislação e tecnologia, e comunicando as novas diretrizes aos colaboradores.
• Investir em capacitação e treinamento dos servidores, promovendo a conscientização e o cumprimento das normas, especialmente para profissionais de TI e saúde.
• Elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), um instrumento essencial para identificar, avaliar e mitigar riscos associados ao tratamento de dados, especialmente para operações de alto risco. O RIPD deve conter a descrição dos tipos de dados, metodologia de tratamento, análise das medidas de mitigação de riscos, entre outros elementos.

A LGPD não é apenas uma obrigação legal, mas uma oportunidade para o aprimoramento da gestão pública, gerando benefícios jurídicos, administrativos e estratégicos, como a proteção contra sanções, a melhoria da eficiência e o fortalecimento da confiança dos cidadãos.

---

REFERÊNCIAS

BRASIL. Autoridade Nacional de Proteção de Dados. Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Brasília, DF: ANPD, 6 abr. 2023.

BRASIL. Ministério da Saúde. LGPD: privacidade e segurança da informação. [20--?].

CONACI; IDCT. Conaci e IDCT lançam curso sobre LGPD aplicada à Administração Pública. 9 jun. 2025. Disponível em: https://idct.eadplataforma.app/curso/implementando-a-lgpd-na-administracao-publica. Acesso em: [Data atual].

COTAS, Márcio. Como incentivar um comportamento em prol da proteção de dados?. Serpro, 14 ago. 2020.

FERRAREZI, Thiago. LGPD e prefeituras: desafios e impactos na gestão de dados pessoais no setor público municipal. Migalhas, 20 abr. 2023.

LGPD E A ADMINISTRAÇÃO PÚBLICA: ALGUNS DESAFIOS. [S.l.: s.n.], [20--?]. [Documento eletrônico].

RIBEYRO, Deco. Lei Geral de Proteção de Dados: Guia Completo Para Setor Público. Educamundo, 8 abr. 2025.

SANTOS, Fábio; ZILIOTTO, Mirela Miró. Entre e LAI e a LGPD: os deverses de transparência e de proteção de dados pessoais pela Administração Pública brasileira. International Journal of Digital Law, Belo Horizonte, v. 4, n. 2, p. 75–95, 2024. DOI: 10.47975/digital.law.vol.4.n.2.ziliotto. Disponível em: https://journal.nuped.com.br/index.php/revista/article/view/1257. Acesso em: [Data atual].

XAVIER, Fabio Correa. O encarregado de dados no setor público. Migalhas, 29 jan. 2021.