Conformidade com a LGPD: Os Desafios da Administração Pública

De tempos em tempos, algumas leis surgem para mudar o cotidiano da administração pública. A Lei Geral de Proteção de Dados (LGPD) é uma dessas transformações. Afinal, ela mexe com os alicerces do modo como os dados dos cidadãos são tratados nos órgãos federais. É uma lei complexa, exigente e, ainda assim, seus avanços são mais lentos do que todos imaginavam. Sete anos se passaram desde o início de sua vigência. E o fato que persiste é intrigante: apenas 42% dos órgãos públicos federais afirmam estar adequados à LGPD. E eu me pergunto: como explicar tanta demora? E, mais ainda, quais consequências estão batendo à porta?

Proteção de dados é, hoje, sinônimo de confiança.

Nesta análise, vou trazer à tona as causas desse quadro desafiador. Também vou mostrar o que está faltando para virar o jogo da conformidade, segundo o Tribunal de Contas da União (TCU). Caminhos, riscos e recomendações – cada aspecto merece atenção, inclusive para inspirar outras áreas além do setor público, como propomos na Robolabs.

Onde estamos: sete anos de LGPD e pouco avanço

Lembro da empolgação inicial com a LGPD, aprovada em 2018. O discurso era de uma virada de página. O cidadão na ponta do processo, finalmente dono de seus dados! Parecia promissor. Rapidamente, surgiram eventos, portais e treinamentos. Mas a implementação, na prática, se mostrou penosa.

Segundo levantamento do TCU, apenas 42% dos órgãos federais estão adequados às exigências da LGPD. Ao olhar além dos números, fica claro que muitos projetos de adequação foram mal planejados ou deixados em segundo plano. Tem quem tenha começado, mas ficou pelo meio do caminho. Ou fez só o mínimo apenas para “mostrar serviço”. Não é exagero: o próprio TCU veio a público destacar uma baixa maturidade institucional em segurança de dados na administração federal.

  • Políticas frouxas ou inexistentes
  • Falta de líderes para conduzir projetos de adequação
  • Capacitação precária das equipes
  • Maus exemplos no tratamento e compartilhamento de dados

Parece que aguardavam que a solução viesse de fora. Mas, ao contrário, a pressão cresce a cada novo vazamento ou incidente de segurança.

Auditoria do TCU: um retrato preocupante

Talvez você já tenha ouvido falar, mas vale repetir: o Tribunal de Contas da União realizou uma auditoria ampla para saber como os órgãos federais estavam lidando com a LGPD. Os resultados foram, no mínimo, alarmantes.

Equipe de auditoria do Tribunal de Contas da União reunida em uma mesa analisando documentos e gráficos Entre os principais achados:

  • Apenas uma parte dos órgãos implantou controles mínimos de proteção de dados.
  • Informações pessoais continuam sendo expostas, ou mesmo compartilhadas sem critérios claros.
  • Processos de treinamento, quando existem, são superficiais.
  • Na maioria dos casos, sequer foi nomeado o encarregado pelo tratamento de dados pessoais (DPO).
  • Faltam políticas de governança e boas práticas formais de segurança da informação.

É chocante, se pararmos para pensar. Já imaginou confiar seus dados pessoais a alguém que não tem regras claras para protegê-los? O cidadão deveria ser a prioridade, mas o que se vê é desatenção.

Governança de dados não é um luxo – é pré-requisito para o serviço público.

Falta de governança e políticas de segurança

Governança parece uma palavra sofisticada, não é? Mas significa algo bem simples: ter regras claras, líderes capacitados e práticas transparentes. É aquilo que põe ordem na casa. Só que, quando falamos em proteção de dados, essa ordem anda em falta no setor público.

Observando os relatórios, fica evidente uma grave carência de políticas claras de segurança da informação. A ausência de profissionais dedicados – os chamados DPOs – é algo quase generalizado. E mesmo quando há normas escritas, elas raramente são conhecidas ou aplicadas por todos.

Sem governança, ocorre o que todos temem: fragilidade diante de ataques cibernéticos e vazamentos. O dano é duplo. O cidadão se sente inseguro e a administração pública perde credibilidade.

Um problema pouco falado: ausência de DPOs

Uma das exigências centrais da LGPD é a designação de um encarregado pelo tratamento de dados pessoais. No jargão, esse profissional é conhecido como DPO (Data Protection Officer). Ele deveria ser a ponte entre o órgão, o cidadão e a Autoridade Nacional de Proteção de Dados (ANPD).

Mas, surpreendentemente, a auditoria do TCU deixou claro: a maioria dos órgãos federais sequer indicou seu DPO. Os poucos que o fizeram, escolheram servidores sem preparo, acumulando funções incompatíveis ou simplesmente ignorando a complexidade do papel.

Sem o DPO, a LGPD é apenas uma folha de papel.

O DPO não é um detalhe burocrático. Ele é, sim, o guardião dos direitos dos titulares e o responsável por orientar colegas e superiores. Sua ausência é um convite ao erro e ao improviso.

A batalha da LGPD com a Lei de Acesso à Informação

Existe um dilema real, e ele assombra diariamente os gestores públicos. Como equilibrar o direito à privacidade dos cidadãos, protegido pela LGPD, e a transparência requerida pela Lei de Acesso à Informação (LAI)?

Ilustração de dois livros, um representando a LGPD e outro a LAI, em lados opostos de uma balança De um lado, a Constituição e a LAI reforçam a obrigação de transparência dos órgãos públicos. De outro, a LGPD impõe limites na divulgação e uso de dados pessoais. E cada solicitação vira um pequeno quebra-cabeça jurídico. O medo de expor dados indevidamente faz com que muitos departamentos passem a negar informações, preferindo o excesso de cautela à punição futura.

O resultado? Um cenário onde a insegurança jurídica se impõe: nem tudo é liberado, e o cidadão sente na pele a dificuldade de acessar dados públicos. A transparência, que deveria ser fortalecida, acaba prejudicada.

E não é só. Decisões judiciais conflitantes aumentam a hesitação dos gestores, que temem sofrer penalidades tanto pelo excesso quanto pela falta de zelo. É um tema que merece discussão profunda e, mais ainda, normas claras para orientar a conciliação desses direitos.

TCU exige ação: as determinações e recomendações

Diante dos problemas, o Tribunal de Contas da União não ficou apenas na crítica. O órgão fez uma série de determinações e recomendações para forçar a mudança. Entre as medidas exigidas para o setor público federal, destacam-se algumas orientações práticas.

O que o TCU pede que seja feito, com urgência?

  1. Nomeação imediata de encarregados (DPOs) para todos os órgãos e entidades.
  2. Mapeamento detalhado dos fluxos de dados pessoais existentes nos processos internos.
  3. Criação e atualização constante de políticas de segurança da informação.
  4. Ampliação das ações de capacitação sobre proteção de dados e privacidade.
  5. Desenvolvimento de mecanismos para responder, de modo padronizado, às solicitações feitas sob a ótica da LGPD e da LAI.

Além disso, o TCU determinou que a Controladoria-Geral da União e outras entidades responsáveis elaborem orientações claras para todos os órgãos. O intuito é reduzir dúvidas e padronizar procedimentos, evitando que cada área “invente” sua própria solução, o que só aumentaria a insegurança.

Equipe de servidores públicos discutindo um quadro de planejamento com post-its e fluxogramas de dados Recomendações fundamentais do TCU: uma lista direta

  • Designar imediatamente DPOs (não dá mais para adiar).
  • Realizar levantamento completo dos dados tratados: onde estão, quem acessa, por quê e para quê.
  • Criar políticas formais de controle de acesso e uso de dados.
  • Promover treinamentos regulares (não basta uma palestra isolada, é preciso constância).
  • Documentar decisões e procedimentos quanto ao tratamento e compartilhamento de dados.
  • Acompanhar e revisar periodicamente os processos para garantir evolução na maturidade institucional.

Essas recomendações podem soar óbvias, mas não são trivialidades. Sem essas ações iniciais, toda a arquitetura da proteção de dados fica frágil. E, como ocorrido em situações recentes, basta um incidente para expor milhares – ou milhões – de pessoas.

A responsabilidade da alta administração

Em quase todas as organizações, mudanças reais acontecem de cima para baixo. Não seria diferente com a LGPD. A auditoria mostrou que há, ainda, forte resistência das lideranças em assumir o protagonismo nessa pauta.

A alta administração precisa entender isso: adaptar-se à LGPD não é opcional. É obrigação legal, sim, mas também é passo estratégico para reconstruir a confiança social na administração pública. Afinal, dados pessoais representam um valor imenso. Sua proteção não pode ser delegada apenas à área de TI ou a comitês isolados.

Quando a diretoria se compromete, a mudança acontece.

Os dirigentes devem não apenas patrocinar as ações de adequação, mas monitorar pessoalmente o seu avanço e cobrar resultados práticos. Em muitos casos, só o engajamento do topo move o restante da equipe. As áreas técnicas podem alertar sobre riscos, mas sem apoio da gestão superior, pouco avança. Robolabs observa esse cenário com atenção, já que, nos projetos de automação, percebe que a ausência de liderança reflete diretamente na baixa adesão a processos inovadores.

Riscos reais: por que ignorar a LGPD compromete a gestão

Deixar a regularização para depois já mostrou consequências reais:

  • Maior risco de vazamentos e ataques cibernéticos
  • Dificuldade para responder a demandas judiciais e solicitações da ANPD
  • Impacto negativo na imagem institucional
  • Desconfiança de parceiros, fornecedores e da sociedade como um todo
  • Funcionários inseguros quanto a seus papéis e responsabilidades

Além disso, não se pode esquecer das sanções administrativas e judiciais previstas na própria LGPD. A lei prevê multas, publicidade negativa das infrações e até restrição parcial das atividades institucionais. Nenhum órgão deseja ser exemplo de má conduta ou despreparo.

Jogo em aberto: conciliar proteção de dados e transparência

Talvez um dos temas mais complexos seja, justamente, o equilíbrio entre acessibilidade e privacidade. Muitos servidores temem errar. Uns bloqueiam tudo, outros abrem além do que deveriam. É um ambiente de insegurança constante.

Servidores públicos analisando informações digitais protegidas em telas com cadeados e símbolos de privacidade O que falta, talvez, seja segurança jurídica. Por isso a determinação do TCU para que, em curto prazo, os órgãos elaborem orientações uniformes sobre a aplicação simultânea da LGPD e da LAI é tão acertada. O cidadão não pode ficar sem resposta. E o servidor não pode ser refém da dúvida permanente.

Enquanto as diretrizes consolidadas não chegam, uma postura recomendada é buscar orientação junto a setores especializados (controladorias, consultorias jurídicas, áreas técnicas). A Robolabs, aliás, acredita que o uso estruturado e automático dos dados – com limites e trilhas auditáveis – pode diminuir riscos e simplificar esse conflito. Mas tudo passa por governança bem definida e controles transparentes.

A urgência da regularização: sanções são apenas o começo

Se há algo que o setor público precisa entender é que a regularização da governança de dados não pode mais esperar. O risco de sanções é só a parte visível do problema. O maior prejuízo, por vezes, é silencioso: a perda da credibilidade institucional, seja com o cidadão, seja com outros órgãos ou empresas.

Governança falha, reputação abalada.

Muitas vezes, a solução já está disponível, mas falta vontade política e abraçar a mudança. Nos sistemas informatizados, por exemplo, o uso de robôs automatizados, como os desenvolvidos pela Robolabs, permite rastrear, controlar e documentar processos de dados pessoais com muito mais segurança e transparência. Isso reduz o risco de erros e cria uma camada adicional de proteção.

Ignorar a urgência agora pode sair caro amanhã. E não apenas no bolso, mas na confiança da sociedade, algo muito mais difícil de recuperar do que de perder.

O papel das novas tecnologias como aliadas

Longe de ser ameaça, a tecnologia pode ser uma aliada nesse processo de conformidade. Sistemas inteligentes, automação de rotinas e mapeamento digital de fluxos tornam possível acompanhar o ciclo de vida dos dados com rastreabilidade. Isso facilita auditorias, respostas rápidas e transparência nos processos. O próprio case da Robolabs mostra como é viável automatizar tarefas repetitivas de modo seguro, liberando a equipe para análises estratégicas e acompanhamento da conformidade.

Na medida em que as soluções digitais são corretamente empregadas – com regras claras e profissionais capacitados – é possível transformar um tema denso e desgastante em processo previsível, transparente e menos sujeito a falhas humanas.

Conclusão: transformar cultura, garantir direitos

O caminho da conformidade com a LGPD na administração pública é, sobretudo, um processo de mudança de cultura. Não é para ser visto como “risco a evitar”, mas como uma oportunidade de entregar valor ao cidadão. O percurso é longo. Muitos órgãos ainda patinam, mas as ferramentas, as normas e as orientações já estão à disposição.

Se a adaptação não for feita rapidamente, as sanções vão bater à porta. Se for feita de modo consciente, ganha o cidadão, ganha o Estado. E só assim a administração pública poderá reconstituir um dos itens mais preciosos de qualquer regime democrático: a confiança social.

No final, tudo se resume a uma escolha: continuar justificando atrasos ou, finalmente, abraçar as recomendações e agir. E você, enquanto gestor público ou cidadão atento, também pode ser protagonista dessa mudança. A Robolabs está pronta para ajudar sua instituição a descomplicar processos e tornar a governança de dados mais segura, transparente e humana. Explore nossas soluções, descubra como podemos apoiar sua jornada de conformidade e seja parte dessa transformação.