O Tribunal expõe a fragilidade estrutural do Estado na proteção de dados, rejeita o uso da LGPD como escudo para a opacidade e impõe transparência, prazos e responsabilização à administração pública
Por Vinicius Miguel - terça-feira, 30/12/2025 - 14h57
Durante anos, a Lei Geral de Proteção de Dados (LGPD) foi tratada, no setor público, como um enunciado abstrato: um compromisso normativo distante da rotina administrativa, frequentemente invocado mais para justificar silêncios do que para proteger cidadãos.
O Acórdão nº 1372/2025 do Tribunal de Contas da União (TCU) rompe essa zona de conforto e impõe uma constatação incômoda: o Estado brasileiro ainda não dispõe de mecanismos consistentes para governar os dados que coleta.
A auditoria, concluída em junho, avaliou 387 organizações públicas federais, de ministérios, tribunais, universidades, autarquias, empresas estatais passando por agências reguladoras e produziu um dos diagnósticos mais abrangentes já feitos sobre a implementação da LGPD no país.
O resultado expõe uma assimetria estrutural: a capacidade de coletar informações cresce em escala industrial, enquanto a capacidade de protegê-las permanece artesanal. E um artesanal mal feito!
Dados em abundância, governança escassa
Os números são eloquentes. Em uma escala de 0 a 100, os índices médios de adequação à LGPD ficaram abaixo de 40% em áreas centrais.
– Conformidade do tratamento de dados: 37%
– Medidas de proteção e segurança: 34%
– Capacitação dos servidores: 40%
O dado mais crítico, isolado em sua gravidade, refere-se ao compartilhamento de dados pessoais com terceiros: apenas 22%.
Esses percentuais indicam falhas humanas e técnicas.
Eles revelam a ausência de uma cultura institucional consolidada de proteção de dados, mesmo diante de informações sensíveis como saúde, renda, localização, biometria e dados de populações vulneráveis.
Procurando agulha no palheiro: o arquivo sem catálogo
A imagem que emerge do relatório do TCU é a de um arquivo público gigantesco, sem catálogo, sem controle de acesso padronizado e, em muitos casos, sem responsável formal pela guarda.
Mais de 60% das organizações públicas auditadas não verificaram se realizam tratamento de dados em regime de controladoria conjunta.
Quase 59% não realizaram qualquer avaliação sistemática de riscos à privacidade.
Além disso, dezenas de órgãos ainda sequer nomearam o Encarregado pelo Tratamento de Dados (DPO), figura obrigatória pela LGPD e central para o diálogo entre administração, titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
AS ÚLTIMAS OPINIÕES
Proteção de Dados ou Obscurantismo? LGPD não como escudo, como metacritério
Um dos pontos mais sensíveis do Acórdão está na relação entre a LGPD e a Lei de Acesso à Informação (LAI).
Nos últimos anos, multiplicaram-se negativas de acesso à informação baseadas em interpretações amplas e pouco transparentes da proteção de dados pessoais.
O TCU foi direto: a LGPD não pode funcionar como salvo-conduto para a opacidade estatal.
A negativa de acesso deve ser exceção, acompanhada de justificativa, indicação precisa dos dados protegidos e demonstração de que alternativas como anonimização ou tarjamento foram consideradas.
Por isso, o Tribunal determinou que órgãos como CNJ, CNMP, CGU e o Ministério da Gestão estabeleçam, em até 180 dias, critérios públicos e transparentes para negativas baseadas na LGPD, inclusive com a divulgação dos números e fundamentos dessas decisões.
Do diagnóstico à responsabilização: ou quem vai mexer nesse queijo?
O Acórdão não se limita a apontar falhas.
Ele estabeleceu prazos e obrigações concretas: nomeação de DPOs em até 60 dias para parte das instituições; criação de Políticas de Segurança da Informação; protocolos de resposta a incidentes; e, sobretudo, a exigência de liderança direta da alta administração nos processos de adequação.
Talvez o gesto mais significativo seja a decisão de tornar públicas as respostas individuais das 387 organizações auditadas, resguardando apenas os dados pessoais dos gestores.
Com isso, o TCU transforma a implementação da LGPD em tema de controle social permanente, ao determinar a criação de um Painel Nacional de Implementação da LGPD.
Um marco decisivo
O Acórdão 1372/2025 é um marco na governança pública.
Seu impacto é mais silencioso — e por isso mesmo mais profundo. Ele desloca a proteção de dados do campo retórico para o terreno da governança, da responsabilidade administrativa e da transparência democrática.
Ao fazê-lo, o TCU envia uma mensagem: o direito à privacidade e o direito à informação não são forças opostas, contradiças ou excludentes. São aspectos complementares do Estado de Direito e da tutela de direitos fundamentais.
Num país em que o poder público se tornou um dos maiores produtores e gestores de dados pessoais, a maturidade democrática será medida, doravante, pela forma como o Estado governa seus próprios dados e informações.
CONFIRA AS ÚLTIMAS COLUNAS DE VINICIUS MIGUEL:
