LGPD e poder público: a proteção de dados sensíveis como expressão da boa administração

O levantamento recentemente divulgado pelo Tribunal de Contas do Estado de Pernambuco revelou um quadro que exige reflexão. Entre 88 instituições públicas avaliadas, a média de adequação à LGPD foi de apenas 32,48%, situando a maioria no nível classificado como “iniciando”.

O dado pode parecer apenas um indicador técnico, mas traduz um problema sério: a distância entre a normatividade da proteção de dados e sua efetiva incorporação à cultura administrativa.

De acordo com o Painel Estadual da LGPD, 80,6% das instituições não possuem procedimentos formais para comunicar incidentes à Autoridade Nacional de Proteção de Dados, 79,5% não registram suas operações de tratamento e 43,1% sequer dispõem de política de privacidade.

Em 28,4% dos casos, não há sequer encarregado designado. Esses números não representam apenas falhas de gestão, mas sinalizam a ausência de uma visão de governança que reconheça a proteção de dados como valor público e expressão contemporânea da boa administração.

A digitalização do Estado brasileiro, embora necessária e irreversível, tem avançado de modo mais veloz do que a consolidação das estruturas capazes de garantir segurança, transparência e responsabilidade no tratamento das informações.

Essa assimetria revela um desafio de maturidade institucional: o poder público ampliou seu acesso a dados sensíveis do cidadão, mas ainda não desenvolveu, na mesma medida, a cultura de cautela e de ética informacional que deve acompanhar esse poder.

A adequação à LGPD, portanto, não é mera obrigação legal, mas parte integrante do dever constitucional de governar com integridade, eficiência e respeito à dignidade humana.

O órgão que protege dados protege também a confiança social que o legitima. Essa é, em essência, a tarefa que se impõe à administração pública no século XXI: compreender que a gestão de informações pessoais não é um aspecto “a mais" da boa governança, mas um de seus fundamentos.

Causas da baixa conformidade

A tímida adesão dos órgãos públicos à LGPD não decorre de simples desatenção administrativa. Trata-se de um fenômeno estrutural, que tem raízes na própria formação histórica da gestão pública brasileira, ainda marcada por um modelo burocrático, mais voltado à formalidade dos atos do que à gestão preventiva de riscos e responsabilidades.

A cultura institucional tende a compreender a LGPD como uma tarefa pontual, a ser cumprida por “obrigação normativa”, e não como parte de um processo contínuo de governança e de aperfeiçoamento institucional.

O relatório do Tribunal de Contas evidencia, de modo bastante nítido, essa carência de cultura informacional. Em outras palavras, o Estado ainda não aprendeu a conhecer-se administrativamente no plano digital.

Outro aspecto relevante é a fragmentação das estruturas administrativas. Em grande parte dos órgãos, as áreas de tecnologia da informação, controle interno e assessoria jurídica atuam de forma isolada, sem coordenação horizontal.

Essa falta de integração impede a criação de fluxos unificados e de uma política institucional coerente de proteção de dados. O resultado é a dispersão de responsabilidades e a ausência de diretrizes uniformes, o que torna a conformidade um esforço episódico e pouco sustentável.

Em suma, a baixa conformidade dos órgãos públicos à LGPD não é apenas resultado de omissão, mas reflexo de um modelo de gestão ainda em transição.

Falta cultura de governança informacional, falta estrutura técnica adequada e falta, sobretudo, a percepção de que a proteção de dados não é custo, mas investimento em credibilidade institucional.

Sem essa mudança de perspectiva, o cumprimento da LGPD continuará a ser visto como imposição externa, e não como expressão interna de maturidade administrativa.

Consequências e soluções da baixa adesão à LGPD 

A omissão dos órgãos públicos em implementar políticas de proteção de dados pessoais produz efeitos que transcendem o campo administrativo.

A inércia fragiliza a legitimidade do Estado, compromete a confiança social e expõe a administração e seus agentes a riscos jurídicos concretos.

Em um cenário em que a informação se converteu em ativo de poder, a ausência de governança informacional traduz vulnerabilidade institucional.

A Lei nº 13.709/2018, em seus artigos 52 a 54, estabelece sanções também aplicáveis à administração pública, com adaptações.

No caso dos órgãos estatais, a ANPD pode impor advertências, determinar a publicização da infração e exigir a adoção de medidas corretivas, excluídas as multas pecuniárias e as sanções que comprometam a continuidade do serviço público.

Ainda assim, tais medidas têm impacto relevante sobre a credibilidade institucional e a transparência do ente infrator.

A Constituição, em seu artigo 37, §6º, consagra a responsabilidade civil objetiva do Estado pelos danos causados por seus agentes, assegurado o direito de regresso em caso de dolo ou culpa grave.

Vazamentos de dados de saúde, previdenciários ou educacionais podem ensejar indenizações expressivas e danos morais coletivos, além de comprometer a confiança do cidadão na administração.

No plano individual, a responsabilização do gestor deve observar o artigo 11 da Lei nº 8.429/1992, com a redação dada pela Lei nº 14.230/2021, que exige dolo específico para a configuração de improbidade administrativa por violação a princípios. 8á a Lei de Introdução às Normas do Direito Brasileiro, em seu artigo 28, impõe o dever de diligência e boa-fé, prevendo a responsabilização apenas em caso de erro grosseiro, entendido como conduta manifestamente desatenta ao dever funcional, conforme o Decreto nº 9.830/2019.

Esses dispositivos evidenciam três dimensões de responsabilidade: institucional, quando o órgão é sancionado; patrimonial, quando o Estado responde civilmente; e pessoal, quando o agente incorre em dolo ou erro grave.

Em todas, a omissão diante da obrigação de governança digital configura falha incompatível com o princípio da boa administração.

Superar esse quadro requer mais que atos formais: demanda planejamento, continuidade e coordenação entre setores. A criação de comitês de proteção de dados, a designação de encarregados com autonomia técnica e a adoção de políticas internas são medidas indispensáveis.

A capacitação permanente dos servidores, por sua vez, consolida a cultura de responsabilidade informacional que sustenta a integridade digital da administração.

A assessoria jurídica especializada exerce papel estruturante na implementação da LGPD no setor público. Nos termos do artigo 74, inciso III, e do artigo 75, inciso II, da Lei nº 14.133/2021, é inexigível a licitação quando se tratar de serviço técnico de natureza predominantemente intelectual, realizado por profissional de notória especialização.

A adequação à LGPD insere-se exatamente nessa hipótese, dada a complexidade interdisciplinar do tema, que envolve direito administrativo, proteção de dados e segurança da informação.

A presença de advogados especializados permite a integração normativa entre o dever de proteção de dados e as práticas de governança pública, assegurando previsibilidade, mitigação de riscos e aderência às orientações da ANPD.

Mais que uma função consultiva, trata-se de uma atuação de engenharia jurídica da gestão pública digital.

A verdadeira conformidade nasce quando o dever de proteger dados deixa de ser mera exigência legal e se transforma em valor institucional.

O Estado que atua com responsabilidade digital realiza, de forma plena, os princípios da legalidade, da moralidade e da eficiência.

Um marco de aprendizado

O relatório do Tribunal de Contas de Pernambuco não deve ser interpretado como um retrato do fracasso institucional, mas como um marco de aprendizado.

A baixa adesão à LGPD expõe não apenas falhas operacionais, mas uma lacuna mais profunda: a dificuldade do poder público em reconhecer que a proteção de dados é parte do próprio dever de governar com integridade.

A administração contemporânea não se mede apenas pela observância da legalidade formal, mas pela capacidade de proteger direitos fundamentais na esfera digital, onde o cidadão se torna, simultaneamente, titular de dados e destinatário da ação estatal.

Cumprir a LGPD é, antes de tudo, um exercício de maturidade republicana. Significa compreender que o Estado que guarda informações pessoais com prudência respeita a privacidade sem trair a transparência, e atua com autoridade sem abdicar da responsabilidade.

A boa administração, nesse contexto, é aquela que se realiza na conjugação entre eficiência técnica, ética pública e respeito à dignidade humana.

A transição da formalidade para a cultura de integridade informacional exige continuidade, planejamento e compromisso. Não basta criar normas ou designar encarregados.

É preciso transformar a conformidade em hábito, e o hábito em cultura. Quando a proteção de dados deixar de ser uma obrigação externa e passar a ser um valor interno da administração, o Estado terá dado um passo decisivo em direção à verdadeira governança pública.

A advocacia especializada, ao orientar esse processo de transformação, desempenha papel essencial. Sua função não é apenas normativa, mas também pedagógica: traduz o sentido ético da proteção de dados em práticas concretas e duradouras.

O resultado dessa atuação não é apenas a prevenção de riscos, mas o fortalecimento da confiança entre o cidadão e as instituições. A maturidade digital do Estado não se constrói por decreto, mas por convicção.

E essa convicção nasce quando a administração reconhece que proteger dados é proteger pessoas, e que o respeito à privacidade é, em última análise, o respeito ao próprio princípio da boa administração.