Cinco anos após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), uma auditoria de grande escala conduzida pelo Tribunal de Contas da União (TCU) revelou um cenário de descaso e descumprimento sistemático da norma por órgãos federais. O trabalho, autorizado pelo Acórdão nº 889/2024 e consolidado no Acórdão nº 1372/2025, avaliou 387 órgãos e entidades federais por meio de um questionário estruturado em nove dimensões de maturidade. Os resultados mostram que, em muitos aspectos, o Estado brasileiro ainda está em estágio inicial de adequação, o que expõe riscos generalizados à segurança dos dados de milhões de cidadãos.
Os índices médios apurados foram preocupantes. No eixo de estruturação e preparação, que reflete o grau de organização dos órgãos para implementar políticas de proteção de dados, a dimensão de Preparação registrou média de 44%.
Esse indicador mede se a instituição planejou minimamente sua adequação à LGPD. Apenas 13,70% das organizações possuem um programa de governança em privacidade monitorado e atualizado, enquanto mais de 28% não concluíram nem a etapa de identificação dos riscos e do planejamento básico. A dimensão de Contexto Organizacional teve média de 59%, mas revelou que 64% dos órgãos não verificaram se há tratamento conjunto com outros controladores e 59% não avaliaram riscos associados às operações de tratamento. Na dimensão Liderança, que mensura o comprometimento da alta direção, políticas internas e a nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO), o índice médio foi de 68%. Apesar disso, 12% não nomearam sequer o encarregado, 70% não possuem política formal de classificação da informação e 20% não têm Política de Segurança da Informação (PSI), que é obrigatória por lei. A dimensão de Capacitação apresentou índice ainda mais baixo, com média de 40%, revelando que 63% das organizações não possuem plano de capacitação adequado ou sequer contemplam a proteção de dados pessoais. Somente 11,63% treinaram todos os colaboradores de maneira diferenciada, como recomenda a LGPD.
Veja também: Liderança que protege: o papel do CEO na segurança da informação
No eixo da implementação de controles e medidas técnicas, os resultados foram igualmente frágeis. A Conformidade do Tratamento teve índice médio de apenas 37%, refletindo que grande parte das operações de tratamento de dados ainda ocorre sem procedimentos claros ou mapeamento completo. O indicador Direitos do Titular, que mede se os órgãos possuem mecanismos para atender solicitações dos cidadãos, apresentou média de 62%.
O índice mais crítico foi o de Compartilhamento de Dados, com apenas 22% de conformidade, demonstrando que a maioria absoluta das organizações não possui controle efetivo sobre com quem os dados pessoais são compartilhados, aumentando o risco de vazamentos e usos indevidos. Os indicadores de Resposta a Incidentes e Medidas de Proteção ficaram em 38% e 34%, respectivamente, confirmando que os processos de detecção, comunicação e mitigação de incidentes e as práticas de segurança técnica permanecem incipientes.
A auditoria também constatou que 40 organizações federais, equivalentes a 10% do total, não realizaram nenhuma das ações mínimas de identificação de riscos, processos e contratos relacionados ao tratamento de dados, apesar de estarem obrigadas desde 2020. Segundo o relatório, essa situação cria riscos imediatos em três frentes principais: danos diretos aos titulares dos dados, que podem sofrer vazamentos, discriminação ou uso indevido das informações; responsabilização judicial das entidades públicas, com potencial condenação ao pagamento de indenizações; e aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que pode impor multas e restringir o funcionamento de serviços.
Para tentar reverter esse quadro, o TCU determinou a criação e divulgação do Painel Nacional de Implementação da LGPD, que tornará público o grau de maturidade de cada órgão auditado, e a notificação formal dos que não possuem Política de Segurança da Informação e não nomearam DPO. Além disso, foram enviados relatórios individuais de feedback a cada entidade, com o objetivo de estimular medidas corretivas.
A LGPD obriga qualquer controlador ou operador público a adotar medidas técnicas e administrativas eficazes para garantir a segurança dos dados e respeitar os direitos dos titulares. O descumprimento reiterado configura infração administrativa e pode gerar penalidades severas.
Este diagnóstico expõe não apenas um retrato contundente da realidade dos órgãos federais brasileiros, mas também sugere que o cenário em níveis estaduais e municipais pode ser ainda mais alarmante. Muitos entes subnacionais sequer dispõem de estruturas básicas para a implementação da LGPD, realidade que tende a amplificar o risco de vazamentos, uso indevido de dados e prejuízos à sociedade.
O descumprimento reiterado da LGPD por parte de órgãos públicos, especialmente quando doloso ou marcado por omissão consciente, pode configurar ato de improbidade administrativa, nos termos da Lei nº 8.429/1992, conforme alteração trazida pela Lei nº 14.230/2021.
Dependendo do caso concreto, condutas como negligenciar deliberadamente a implementação de controles, permitir acessos indevidos ou ignorar solicitações de titulares podem se enquadrar em diferentes categorias: enriquecimento ilícito (art. 9º), quando houver vantagem econômica pessoal; prejuízo ao erário (art. 10), se o órgão for condenado a indenizar cidadãos ou pagar multas; ou violação dos princípios da administração pública (art. 11), sobretudo por ferir os deveres de legalidade, lealdade e preservação do sigilo.
O próprio Guia Orientativo da ANPD para o Poder Público reforça que a observância dos princípios da LGPD – finalidade, necessidade, transparência, segurança e responsabilidade – não é facultativa e que o tratamento de dados exige formalização, base legal clara e controles documentados. A omissão em adotar medidas mínimas, como a designação do encarregado de dados, a publicação de políticas de privacidade e a implementação de controles de segurança, implica violação expressa da legislação.
Diante desse quadro, é essencial que gestores públicos compreendam que a proteção de dados pessoais não é apenas uma exigência burocrática: é um dever jurídico e ético que reflete o respeito ao cidadão e à Constituição.
Ignorar essas obrigações, além de expor indivíduos e o Estado a riscos, coloca em xeque a integridade administrativa e pode ensejar responsabilização pessoal dos agentes públicos, inclusive por improbidade administrativa.
Walter Calza Neto, DPO do Corinthians.
Inscreva-se em nosso canal do Whatsapp e tenha acesso as principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
