LGPD na administracao publica: como o setor publico deve tratar dados pessoais

A LGPD na administração pública é a aplicação da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) ao tratamento de dados realizado por órgãos e entidades públicas, com regras específicas reunidas no Capítulo IV (artigos 23 a 30). No setor público, a base legal predominante é a execução de políticas públicas e o cumprimento de obrigação legal, e não o consentimento do cidadão, mas o órgão continua obrigado a informar a finalidade, indicar encarregado, respeitar os princípios do artigo 6º e submeter-se à fiscalização da ANPD.

A LGPD na administração pública é a aplicação da Lei Geral de Proteção de Dados Pessoais, a Lei nº 13.709/2018, ao tratamento de dados pessoais realizado por órgãos e entidades públicas no exercício de suas funções. A própria lei reservou um capítulo específico para esse recorte, o Capítulo IV, intitulado "Do Tratamento de Dados Pessoais pelo Poder Público", que reúne as regras que diferenciam o setor público do setor privado. Este conteúdo serve a servidores públicos, gestores e profissionais que precisam adequar seus órgãos à lei e operar sistemas com dados de cidadãos sem incorrer em uso indevido.

Compreender esse regime não é detalhe burocrático. É uma competência técnica concreta que protege o cidadão, o servidor e o próprio órgão contra sanções. Ao longo deste artigo, você vai entender o que é a LGPD aplicada ao Poder Público, quais princípios e bases legais orientam o tratamento, o papel do encarregado, como funciona o compartilhamento de dados, quais sanções a Autoridade Nacional de Proteção de Dados pode aplicar e qual o passo a passo para adequar um órgão público.

O que é a LGPD na administração pública

A LGPD na administração pública designa o conjunto de obrigações, bases legais, limites e boas práticas que um ente público precisa observar quando coleta, armazena, usa, compartilha ou elimina informações que identificam ou tornam identificável uma pessoa natural, sempre vinculado a uma finalidade pública legítima. Não se trata de uma lei separada, mas da mesma Lei nº 13.709/2018 aplicada com regras próprias para o Poder Público.

O ponto central que define o tema é a tensão entre dois deveres que coexistem na administração pública. De um lado, o dever de transparência e o dever de prestar serviços e executar políticas públicas, que dependem do uso intensivo de dados de cidadãos. De outro, o dever de proteger esses mesmos dados e respeitar a autodeterminação informativa dos titulares. A LGPD aplicada ao setor público é exatamente o regime jurídico que harmoniza esses deveres, sem que o acesso à informação se transforme em vigilância indevida nem a proteção de dados se torne obstáculo a políticas públicas legítimas. 
​
​A Lei nº 13.709/2018 e o tratamento de dados pessoais

A Lei Geral de Proteção de Dados Pessoais disciplina o tratamento de dados pessoais por pessoas naturais e jurídicas de direito público e privado. Dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, e tratamento abrange toda operação realizada com esses dados: coleta, classificação, utilização, acesso, armazenamento, compartilhamento, transferência e eliminação, entre outras. No setor público, esse tratamento está presente em cadastros de servidores, registros de cidadãos atendidos, bancos de dados de programas, folha de pagamento, sistemas de protocolo e processos administrativos.

Capítulo IV da LGPD (artigos 23 a 30)

A LGPD dedica o Capítulo IV, artigos 23 a 30, ao tratamento de dados pessoais pelo Poder Público, com regras específicas para o setor público. No texto vigente, o artigo 28 foi vetado, de modo que o capítulo reúne um conjunto de dispositivos que tratam, entre outros pontos, da vinculação do tratamento à finalidade pública, do dever de indicar encarregado, do uso compartilhado de dados, da transferência a entidades privadas e da fiscalização pela Autoridade Nacional de Proteção de Dados.

O que é e o que não é responsabilidade do órgão público

É importante delimitar a quem o regime do Capítulo IV se aplica. Ele alcança os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo e Judiciário, as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. Há, porém, uma distinção relevante: empresas públicas e sociedades de economia mista que atuam em regime de concorrência recebem o mesmo tratamento dispensado às pessoas jurídicas de direito privado, salvo quando estiverem operacionalizando políticas públicas, hipótese em que voltam a se sujeitar às regras do Poder Público. Compreender em qual regime o órgão se enquadra é o primeiro passo de qualquer adequação bem conduzida.

A LGPD não autoriza o órgão a usar qualquer dado de qualquer forma. O tratamento continua vinculado à finalidade pública e aos princípios da lei. Também não se trata de uma questão apenas de tecnologia da informação: é tema jurídico, de governança e de cultura organizacional que atravessa todo o órgão.

Princípios da LGPD que orientam o setor público

Toda operação de tratamento realizada por um órgão público deve observar os princípios previstos no artigo 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas. Esses princípios funcionam como o alicerce de qualquer decisão sobre dados pessoais no setor público e devem ser aplicados de forma integral, sem exceção para o Poder Público.

Finalidade, adequação e necessidade na prática

O princípio da finalidade exige que o tratamento atenda a propósitos legítimos, específicos e explícitos, informados ao titular. A adequação impõe que o tratamento seja compatível com a finalidade declarada. Já a necessidade limita o tratamento ao mínimo indispensável para alcançar essa finalidade, exigindo que os dados sejam pertinentes, proporcionais e não excessivos.

Na prática, isso significa que um órgão não deve coletar mais dados do que precisa. Uma secretaria que registra um atendimento coleta apenas o necessário para aquele atendimento, e não todo dado possível sobre o cidadão. O servidor que opera o sistema, por sua vez, deve acessar somente os dados que sua função exige, evitando uso indevido que pode gerar responsabilização.

Transparência e dever de informar o titular

Mesmo quando dispensa o consentimento, a LGPD obriga o órgão público a informar de forma clara e inequívoca a base legal, a finalidade e os procedimentos do tratamento de dados. Esse dever de informação se materializa pela publicidade das operações de tratamento de dados pessoais, conforme o princípio da transparência. O cidadão precisa saber que seus dados estão sendo tratados, com qual fundamento e para qual objetivo, ainda que não precise autorizar individualmente cada uso.

Bases legais para o tratamento de dados no setor público

A base legal é o fundamento que torna legítimo cada uso de dado pessoal. No setor público, as bases legais predominantes diferem das do setor privado. Enquanto empresas frequentemente recorrem ao consentimento ou ao legítimo interesse, o Poder Público tem como fundamento principal a execução de políticas públicas e o cumprimento de obrigação legal ou regulatória. Identificar corretamente a base legal de cada operação é uma das etapas mais importantes da adequação.

Execução de políticas públicas e obrigação legal

O tratamento de dados pelo Poder Público deve atender à finalidade pública, na persecução do interesse público, com o objetivo de executar competências legais ou cumprir atribuições legais do serviço público. A base legal principal é a execução de políticas públicas previstas em leis, regulamentos, convênios, contratos administrativos e instrumentos congêneres. Uma alternativa frequente é o cumprimento de obrigação legal ou regulatória pelo controlador. Em ambos os casos, o tratamento decorre de um dever ou de uma atribuição do órgão, e não de uma escolha discricionária.

Quando o consentimento é e não é necessário

No setor público, a base legal predominante da LGPD é a execução de políticas públicas e o cumprimento de obrigação legal, e não o consentimento do cidadão. O consentimento é exceção, não a regra, e é considerado pouco adequado quando o tratamento decorre de obrigação ou atribuição legal. Tratar o consentimento como base legal padrão é um dos erros mais comuns no setor público, porque pode gerar a falsa ideia de que o cidadão poderia recusar o tratamento de dados indispensáveis a uma política pública obrigatória. O órgão deve identificar, atividade por atividade, qual fundamento se aplica, em vez de presumir que tudo se resolve com consentimento.

O tratamento de dados pessoais sensíveis

Dados pessoais sensíveis são aqueles que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, além de dados referentes à saúde, vida sexual e dados genéticos ou biométricos. O setor público trata muitos desses dados em áreas como saúde, assistência social e segurança, o que exige atenção redobrada. O tratamento de dados sensíveis sem consentimento é admitido em hipóteses específicas, como o cumprimento de obrigação legal ou regulatória do controlador ou a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização. 

O encarregado pelo tratamento no setor público

A LGPD exige que o órgão público indique um encarregado pelo tratamento de dados pessoais e dê publicidade às suas operações de tratamento. O encarregado, também conhecido como DPO (sigla em inglês para Data Protection Officer), é o ponto de contato entre o órgão, os titulares e a Autoridade Nacional de Proteção de Dados. Sua atuação é essencial para que os direitos dos cidadãos sejam efetivamente operacionalizados no dia a dia.

Como designar o encarregado por ato administrativo

A LGPD não define se o encarregado deve ser servidor público ou agente externo ao órgão. A recomendação consolidada é que a designação ocorra por meio de ato administrativo formal, que documente a indicação, defina as atribuições e divulgue o canal de contato. Essa formalização evita um erro frequente no setor público: deixar de indicar o encarregado ou fazê-lo de modo informal, sem clareza sobre quem responde pelas demandas relacionadas a dados pessoais.

Atribuições e relação com a ANPD

O encarregado recebe e responde às solicitações dos titulares, orienta servidores e demais agentes sobre as práticas de proteção de dados e atua como interlocutor com a Autoridade Nacional de Proteção de Dados. Ele também participa da elaboração e da análise do Relatório de Impacto à Proteção de Dados Pessoais. Os direitos do titular oponíveis ao órgão incluem a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados, a informação sobre o uso compartilhado e a eliminação quando cabível. No setor público, esses direitos convivem com limites próprios, já que muitos dados precisam ser mantidos por exigência legal, mas o órgão deve estar preparado para receber, registrar e responder a essas solicitações por meio do canal do encarregado.

Uso compartilhado e interoperabilidade de dados

O compartilhamento de dados é uma realidade frequente no setor público, já que diferentes órgãos precisam cruzar informações para qualificar políticas públicas e prestar serviços integrados. A LGPD estabelece regras específicas para esse uso compartilhado, que variam conforme o compartilhamento ocorra entre órgãos públicos ou envolva entidades privadas.

Compartilhamento entre órgãos públicos

A LGPD exige que os dados sejam mantidos em formato interoperável e estruturado para uso compartilhado voltado à execução de políticas públicas. A interoperabilidade permite que sistemas de diferentes órgãos troquem informações de forma padronizada, o que facilita a colaboração entre entes do Poder Público. Uma secretaria estadual que precisa cruzar dados com outro órgão para qualificar uma política pública deve observar essas regras, mantendo formato interoperável e respeitando a finalidade que justifica o compartilhamento.

Regras para comunicação a entidades privadas

Quando o compartilhamento envolve entidades privadas, as regras são mais rigorosas. A comunicação ou uso compartilhado de dados de pessoas jurídicas de direito público a pessoas de direito privado deve ser informada à Autoridade Nacional de Proteção de Dados e, em regra, depende de consentimento do titular, salvo hipóteses de exceção. A transferência de dados a entidades privadas é, em princípio, vedada, exceto em casos como a execução descentralizada de atividade pública, dados de acesso público, previsão legal, prevenção de fraudes ou proteção do próprio titular. Compartilhar dados com entidades privadas sem observar essas vedações e exceções, e sem informar a ANPD quando exigido, é um erro que pode gerar responsabilização do órgão.

Fiscalização, ANPD e sanções para o setor público

A Autoridade Nacional de Proteção de Dados é o órgão responsável por regular, orientar e fiscalizar o cumprimento da LGPD, inclusive pelo Poder Público. Sua atuação garante que o regime de proteção de dados não fique apenas no papel, oferecendo orientação técnica e, quando necessário, aplicando sanções.

O papel da ANPD e o Relatório de Impacto (RIPD)

A ANPD pode solicitar, a qualquer momento, informações sobre as operações de tratamento de dados realizadas pelo Poder Público e emitir pareceres técnicos. Também pode estabelecer normas complementares para a comunicação e o uso compartilhado de dados. Um instrumento central de governança é o Relatório de Impacto à Proteção de Dados Pessoais, o RIPD, documento que descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais, além das medidas, salvaguardas e mecanismos de mitigação adotados. A ANPD pode solicitar o RIPD ao órgão, sobretudo quando uma atividade apresenta risco elevado aos direitos dos titulares.

Sanções administrativas aplicáveis a órgãos públicos

A ANPD pode solicitar informações, emitir pareceres e aplicar sanções administrativas a entidades e órgãos públicos que descumpram a LGPD. As sanções podem incluir advertência com prazo para a adoção de medidas corretivas, multa, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração, sem prejuízo de outras legislações aplicáveis. A aplicação dessas sanções segue um método de dosimetria que calibra a medida ao caso concreto. A ANPD adota um modelo de fiscalização responsivo, que prioriza medidas orientativas e preventivas antes da punição, o que reforça o valor de uma postura proativa de conformidade por parte do órgão.

Como adequar o órgão público à LGPD (passo a passo)

A adequação de um órgão público à LGPD raramente é simples, porque envolve cultura organizacional, processos antigos e sistemas legados. Ainda assim, é possível conduzi-la de forma estruturada, seguindo etapas que vão do diagnóstico inicial à melhoria contínua. A seguir, a jornada típica de adequação de um órgão.

Mapeamento de dados e base legal de cada operação

A primeira etapa é o diagnóstico, em que o órgão levanta todas as atividades de tratamento que já realiza: cadastros de servidores, registros de cidadãos atendidos, bancos de dados de programas, sistemas de protocolo, folha de pagamento e processos administrativos. Esse inventário revela quais dados são coletados, com qual finalidade, por quanto tempo são mantidos e com quem são compartilhados.

A segunda etapa é a definição da base legal de cada operação. Aqui o órgão identifica, atividade por atividade, se o fundamento é a execução de uma política pública prevista em lei, o cumprimento de uma obrigação legal ou regulatória, ou outra hipótese aplicável. A terceira etapa é a estruturação da governança: designar formalmente o encarregado, definir fluxos para atender solicitações de titulares, estabelecer políticas internas de segurança, definir prazos de retenção e descarte e elaborar o RIPD quando houver risco relevante. A quarta etapa é a capacitação continuada dos servidores, sem a qual nenhuma política se sustenta. Por fim, a quinta etapa é a melhoria contínua: revisar periodicamente o inventário, atualizar o RIPD e acompanhar as orientações e normas complementares editadas pela ANPD.

Erros comuns no setor público e como evitá-los

• Tratar o consentimento como base legal padrão, quando a regra é a execução de políticas públicas e a obrigação legal.
• Coletar mais dados do que o necessário, violando o princípio da necessidade.
• Deixar de indicar formalmente o encarregado pelo tratamento.
• Compartilhar dados com entidades privadas sem observar as vedações e exceções da lei e sem informar a ANPD quando exigido.
• Confundir o dever de transparência da Lei de Acesso à Informação com autorização para expor dados pessoais sensíveis.
• Tratar a adequação como projeto exclusivo de TI, ignorando a dimensão jurídica e de governança.
• Manter dados por tempo indefinido, sem definir prazo de retenção e descarte alinhado à finalidade.
• Ignorar solicitações de titulares por falta de um canal estruturado e de um encarregado atuante.

LGPD e LAI: como conciliar transparência e proteção

A LGPD não se confunde com a Lei de Acesso à Informação, a Lei nº 12.527/2011. A LAI privilegia a transparência e o acesso à informação pública, enquanto a LGPD protege os dados pessoais dos titulares. As duas normas têm objetos distintos, mas se complementam: o órgão deve ser transparente quanto à sua atuação sem expor indevidamente dados pessoais, especialmente os sensíveis. A transparência ativa não pode servir de pretexto para a exposição indevida de informações que identificam cidadãos. Conciliar os dois regimes é justamente um dos desafios práticos da LGPD na administração pública.

Capacite-se em LGPD aplicável à Administração Pública

Dominar a LGPD na administração pública é uma competência técnica concreta, exigida de gestores, servidores e profissionais que atuam em órgãos públicos. Conhecer o Capítulo IV, diferenciar bases legais, aplicar a minimização e conduzir uma adequação consistente são habilidades que protegem o cidadão, o servidor e o órgão contra sanções. Para transformar esse conhecimento em prática e demonstrar conformidade no dia a dia, a capacitação formal é o caminho mais seguro.

A Unieducar, instituição credenciada pelo MEC desde 2003 e especializada no desenvolvimento de servidores públicos, oferece o curso de LGPD aplicável à Administração Pública, com certificação reconhecida, assinatura eletrônica e verificação online. É uma forma direta de aprofundar o tema, aproveitar programas de Licença Capacitação e levar segurança técnica para a rotina de tratamento de dados no setor público. Para servidores que buscam estruturar um plano de desenvolvimento, vale explorar também os cursos online para Licença Capacitação disponíveis no catálogo.

Perguntas frequentes sobre LGPD na administração pública