23/09/2025

LGPD no Setor Público | Guia Completo (Leitura Confortável no Celular)

Proteção de Dados · Guia mobile

LGPD no Setor Público: guia completo e prático

Atualizado em 23/09/2025 · Leitura ~14–20 min

1) Introdução e escopo

A LGPD (Lei 13.709/2018) aplica-se ao Poder Público em todas as esferas (União, Estados, DF e Municípios), inclusive autarquias, fundações e entidades que executem políticas públicas. Para o setor público, a lei dedica um capítulo próprio (arts. 23 a 26), sem afastar os princípios gerais e os direitos dos titulares.

2) Fundamentos e princípios (art. 6º)

Finalidade e adequação: trate dados com propósito legítimo, explícito e compatível com a atividade pública.
Necessidade e minimização: colete o mínimo indispensável.
Transparência: linguagem clara em portais e avisos de privacidade.
Segurança e prevenção: medidas técnicas/administrativas proporcionais ao risco.
Responsabilização e prestação de contas (accountability): demonstre a conformidade (políticas, registros, DPIA).

3) Bases legais no setor público (arts. 7º, 11 e 23–26)

No setor público, as bases mais usuais são:

Cumprimento de obrigação legal/regulatória e Execução de políticas públicas (art. 7º, II; art. 23).
Tratamento e uso compartilhado para implementação de políticas públicas previstas em leis/decretos (art. 26).
Para dado sensível (art. 11), aplicar as hipóteses específicas (ex.: cumprimento de obrigação legal; políticas públicas; tutela da saúde; garantia de prevenção à fraude e à segurança do titular, quando cabível na Administração).

Consentimento não é a base preferencial no Poder Público; use-o apenas quando adequado e sem condicionamento indevido do serviço.

4) Papéis: controlador, operador e encarregado (DPO)

Controlador: órgão/entidade responsável pelas decisões de tratamento.
Operador: quem realiza o tratamento em nome do controlador (ex.: estatal prestadora de TI, empresa contratada).
Encarregado (DPO): canal com titulares e ANPD; no setor público, a indicação e publicidade do contato são essenciais (site/Portal da Transparência).

Dica: formalize a nomeação do DPO por ato administrativo, publique contato institucional e defina suplente.

5) Registro das operações (art. 37) e inventário

Mantenha registro das operações (ROP) com: finalidades; bases legais; categorias de titulares/dados; compartilhamentos; prazos de retenção; medidas de segurança; operadores; pontos de contato. Use formato padronizado para facilitar auditoria interna e respostas a titulares.

6) Relatório de Impacto à Proteção de Dados (DPIA – art. 38)

Exija DPIA para tratamentos de alto risco (ex.: dados sensíveis em larga escala; perfilamento; integração massiva de bases). O relatório deve descrever operações, riscos e salvaguardas; guarde evidências (minutas, pareceres e atas do comitê de privacidade).

7) Compartilhamento de dados pelo Poder Público (art. 26)

Somente para finalidades específicas de execução de políticas públicas e com atribuição legal clara.
Previna usos secundários incompatíveis; trate dados necessários e registre as bases legais.
Formalize por acordos de cooperação/convênios, com cláusulas de segurança, retenção, auditoria e canais de contato.
Vincule o uso aos princípios de transparência e publicidade (divulgação do arranjo de compartilhamento sempre que não houver sigilo legal).

8) Segurança e incidentes (arts. 46–48; RCIS/ANPD)

Implemente segurança proporcional ao risco (controles técnicos e administrativos). Em incidente de segurança com risco ou dano relevante aos titulares, comunique titulares e ANPD conforme o Regulamento de Comunicação de Incidentes (RCIS).

Resposta a incidentes (passo a passo)

Detectar e conter (ativar plano de resposta; preservar evidências).
Avaliar impacto (dados afetados, número de titulares, riscos individuais/coletivos).
Notificar conforme RCIS/ANPD (canal oficial), quando aplicável; comunicar titulares de forma clara e tempestiva.
Mitigar (reset de credenciais, bloqueios, patches, oferta de suporte ao titular).
Registrar e revisar (RCA do incidente; atualizar políticas, contratos e treinamentos).

Boas práticas: simule incidentes, mantenha matriz de criticidade, defina runbooks por tipo de ocorrência e SLA de resposta.

9) Fiscalização e sanções (Res. ANPD 4/2023; art. 52)

A ANPD fiscaliza e pode aplicar sanções administrativas graduadas por dosimetria (Resolução 4/2023). Para órgãos e entidades públicas, a LGPD não prevê multa pecuniária; aplicam-se, por exemplo, advertência, publicização da infração e bloqueio/eliminação de dados, entre outras medidas compatíveis.

Mantenha evidências de conformidade (registros, políticas, DPIA, contratos e treinamentos) para reduzir risco sancionatório.

10) Governança, programas e treinamento

Política institucional de privacidade e proteção de dados (aprovada por autoridade competente).
Comitê de privacidade com representantes de TI, jurídico, ouvidoria e áreas finalísticas.
Plano de adequação com prazos, responsáveis e indicadores.
Treinamentos contínuos (ingresso e reciclagem anual).
Gestão contratual: cláusulas LGPD para operadores/terceiros (confidencialidade, segurança, suboperadores, auditoria, término e descarte).
Canal do titular e prazos para resposta (registre atendimentos).

11) Modelos práticos

11.1. Aviso de Privacidade (órgão público)

Finalidade: execução de políticas públicas de [área]; Bases legais: art. 7º, II e art. 23; Compartilhamentos: [listar]; Retenção: [prazo/regra]; Direitos dos titulares: canais de acesso e prazos; Contato do DPO: [email institucional].

11.2. Matriz de Bases Legais

Atividade/Processo → Finalidade → Categoria de dados/titular → Base legal → Prazo de retenção → Compartilhamentos → Medidas de segurança → Operadores.

12) Checklist de conformidade (uso rápido)

DPO nomeado e contato publicado.
ROP (registro) atualizado por unidade.
Política institucional e Comitê ativos.
Matriz de bases legais e de compartilhamento (art. 26).
Contratos com operadores revisados.
DPIA para tratamentos de alto risco.
Plano de resposta a incidentes alinhado ao RCIS/ANPD.
Portal com Aviso de Privacidade e canal do titular.
Treinamento contínuo e registros de participação.
Métricas de melhoria (SLA de atendimento ao titular, tempos de correção, auditorias).

13) Questões rápidas (C/E)

Para o setor público, a base de execução de políticas públicas é admitida. (C)
Órgãos públicos estão sujeitos a multa pecuniária da ANPD. (E)
Incidentes com risco relevante devem ser comunicados à ANPD e aos titulares, conforme o RCIS. (C)
O consentimento é a base preferencial na Administração. (E)
O DPO deve ter canal público de contato disponível. (C)

FAQ

Consentimento é obrigatório no setor público?

Não. O uso mais comum recai em obrigação legal e execução de políticas públicas. Use consentimento apenas quando adequado e livre de condicionamento indevido.

Órgão público pode ser multado pela ANPD?

A LGPD não prevê multa pecuniária para órgãos/entidades públicas; há outras sanções como advertência e publicização da infração, entre outras medidas.

Quem comunica incidentes?

O controlador é o responsável por comunicar incidentes relevantes à ANPD e aos titulares, seguindo o RCIS/ANPD.

Agentes de pequeno porte têm regras diferentes?

A Resolução ANPD 2/2022 traz tratamento diferenciado para agentes de pequeno porte (especialmente privados). Órgãos públicos devem observar as regras gerais, salvo dispensa específica da ANPD.

Voltar ao topo

Fontes

Lei 13.709/2018 (LGPD) — arts. 6º, 7º, 11, 23–26, 37–38, 46–48, 52–54.
ANPD — Resolução CD/ANPD nº 2/2022 (agentes de pequeno porte).
ANPD — Resolução CD/ANPD nº 4/2023 (dosimetria e aplicação de sanções).
ANPD — Resolução CD/ANPD nº 15/2024 (Regulamento de Comunicação de Incidentes – RCIS).
Guias de órgãos públicos sobre tratamento e incidentes (ANPD, Ministérios, SERPRO).

⬆️ Topo

Nenhum comentário:

Postar um comentário

Blog do Luiz Fernando Pereira