Sete anos após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), apenas 42% dos órgãos públicos federais estão em conformidade com as exigências da norma. A constatação é do Tribunal de Contas da União (TCU), que publicou os resultados da auditoria no Acórdão nº 1372/2025, alertando para falhas generalizadas na proteção dos dados dos cidadãos.
A fiscalização foi conduzida pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI) com base em um questionário de autoavaliação respondido por 387 órgãos e entidades da administração pública federal. Os dados apontam que a maioria das instituições ainda possui baixo grau de maturidade em critérios essenciais, como preparação institucional, contexto organizacional e capacitação técnica para aplicação da LGPD.
Falta de governança e de políticas de proteção de dados preocupa
Segundo o TCU, há fragilidades graves na estrutura de governança para tratamento de dados pessoais. Muitos órgãos ainda não definiram políticas claras de segurança da informação nem indicaram formalmente um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), figura obrigatória prevista na LGPD.
Entre os pontos mais críticos estão a ausência de controles internos eficazes, a má gestão do compartilhamento de dados com terceiros e a inexistência de fluxos formais para lidar com incidentes de violação de dados. Também foram registradas deficiências na definição de responsabilidades e na aplicação dos direitos dos titulares, como acesso, retificação e exclusão de informações.
Conflito entre LGPD e LAI gera insegurança jurídica
Um dos problemas mais sensíveis identificados pela auditoria é a dificuldade de harmonização entre a LGPD (Lei nº 13.709/2018) e a Lei de Acesso à Informação (LAI – Lei nº 12.527/2011). Enquanto a LAI tem como foco a transparência e o controle social, a LGPD protege os dados pessoais contra exposição indevida.
A sobreposição de objetivos tem causado interpretações divergentes nos órgãos públicos, que muitas vezes utilizam a LGPD como justificativa para negar pedidos de informação. O TCU destacou que essa prática compromete o princípio da publicidade administrativa e prejudica o exercício do controle social por parte da sociedade civil.
“O uso genérico e infundado da LGPD para negar informações públicas afronta diretamente os princípios da transparência e da publicidade”, afirmou o ministro Bruno Dantas, ao justificar a mudança de recomendação para determinação aos órgãos competentes.
TCU determina harmonização entre LGPD e LAI
Em seu voto, o ministro Walton Alencar acolheu a proposta do ministro Dantas e transformou a recomendação em determinação formal. A Controladoria-Geral da União (CGU), o Conselho Nacional de Justiça (CNJ), o Conselho Nacional do Ministério Público (CNMP), a Secretaria de Governo Digital (SGD/MGI) e a Secretaria de Gestão de Pessoas (Sest/MGI) terão 180 dias para orientar os órgãos sob sua supervisão sobre como conciliar os dispositivos da LGPD com os da LAI.
A meta é garantir que a proteção de dados pessoais não sirva de barreira à transparência da administração pública, especialmente em informações de interesse coletivo, como folhas de pagamento, contratos administrativos e repasses públicos.
TCU exige medidas concretas e nomeação de DPOs
O acórdão do TCU estabelece um plano de ação para que os órgãos federais aprimorem sua adequação à LGPD. Entre as medidas urgentes exigidas, destacam-se:
Nomeação de encarregado pelo tratamento de dados pessoais (DPO);
Mapeamento dos dados pessoais tratados e avaliação de riscos;
Estabelecimento de políticas de segurança da informação e proteção de dados;
Definição de fluxos para atendimento aos direitos dos titulares;
Revisão e formalização de acordos de compartilhamento de dados com terceiros.
Além disso, 48 órgãos públicos foram expressamente citados e deverão indicar, no prazo de até 60 dias, seus respectivos encarregados de dados.
Adequação à LGPD: risco institucional e responsabilidade da alta gestão
Para o TCU, a ausência de medidas estruturantes e de um modelo de governança de dados adequado compromete não apenas a segurança das informações dos cidadãos, mas também a integridade das políticas públicas e a confiança da sociedade no Estado.
O tribunal reforça que a responsabilidade pela adequação à LGPD recai sobre a alta administração das instituições, que deve se comprometer com ações efetivas de diagnóstico, prevenção e resposta a incidentes envolvendo dados pessoais.
Órgãos públicos devem agir com urgência para se adequar à LGPD
O relatório do TCU é um alerta claro sobre o atraso na implementação da LGPD no setor público federal. A baixa adesão à norma, aliada à ausência de estruturas mínimas de proteção de dados, coloca em risco não apenas o cumprimento legal, mas a própria credibilidade da administração pública.
Contadores públicos, gestores, advogados e profissionais de tecnologia devem acompanhar as determinações do TCU e orientar seus órgãos ou clientes sobre a urgência em regularizar a governança de dados, sob pena de sanções administrativas e judiciais.
Fonte: Contábeis
