LGPD nas Prefeituras: entre a crise anunciada e a escolha pela governança
Por Allan Kovalscki
Nos últimos anos, tornou-se impossível ignorar um fato: a proteção de dados pessoais passou a ocupar posição central entre as responsabilidades — e também entre as vulnerabilidades — da administração pública municipal. A entrada em vigor da Lei Geral de Proteção de Dados Pessoais não representa apenas uma mudança normativa; ela inaugura um novo paradigma de governança pública. A proteção de dados deixou de ser tema restrito a grandes empresas ou à esfera privada e passou a integrar o núcleo da responsabilidade administrativa dos municípios brasileiros.
O cenário atual revela que não se trata mais de debate teórico. Tribunais de Contas de diversos estados vêm incorporando a temática da proteção de dados às suas rotinas de fiscalização, incluindo-a em auditorias operacionais, levantamentos estruturais e análises de prestação de contas. Paralelamente, o Poder Legislativo avança para ampliar os mecanismos de responsabilização dos agentes públicos. A mensagem institucional é inequívoca: a LGPD deve ser implementada, e sua inobservância poderá gerar consequências concretas para gestores e prefeitos.
Os casos recentes ocorridos em diferentes municípios evidenciam a dimensão do problema. Em Feira de Santana, dados sensíveis de centenas de cidadãos vivendo com HIV foram expostos indevidamente, gerando repercussão nacional e profunda comoção social. Em Barueri, relatórios médicos tornaram-se acessíveis mediante a simples inserção de CPF e data de nascimento, o que resultou em condenação do município por danos morais. Em Campo Grande, um jovem conseguiu acessar sistemas municipais utilizando uma senha extremamente frágil, expondo dados de alunos e servidores. Em Taubaté, o vazamento atingiu múltiplas secretarias, com dados posteriormente divulgados em ambientes clandestinos da internet. Na capital paulista, uma falha de configuração em ambiente de nuvem permitiu a exposição de centenas de milhares de registros administrativos. Esses episódios não são isolados; revelam um padrão de fragilidade estrutural que pode estar presente em qualquer prefeitura brasileira.
O elemento comum nesses incidentes raramente é a intenção dolosa inicial do gestor público. Na maioria das vezes, o que se verifica é ausência de governança estruturada. Falta inventário adequado de dados pessoais, inexistem registros formais das atividades de tratamento, não há avaliação sistemática de riscos, contratos com terceiros não contemplam cláusulas específicas de proteção de dados, políticas internas são inexistentes ou meramente formais, e servidores não recebem capacitação contínua. A vulnerabilidade nasce da omissão organizacional, não necessariamente da má-fé.
Esse contexto se torna ainda mais sensível quando se observa o avanço legislativo recente. A Câmara dos Deputados aprovou proposta que enquadra o vazamento de dados pessoais como ato de improbidade administrativa, ampliando a possibilidade de responsabilização pessoal de agentes públicos. Caso a medida avance definitivamente no processo legislativo, prefeitos, secretários e gestores poderão responder não apenas por atos dolosos, mas também por omissões graves relacionadas à ausência de medidas preventivas adequadas. O risco, portanto, deixa de ser exclusivamente institucional e passa a ser pessoal, com potencial aplicação de sanções severas, como multa, suspensão de direitos políticos e perda da função pública.
Paralelamente, os Tribunais de Contas vêm sinalizando que a proteção de dados será analisada sob a perspectiva da legalidade e da boa governança. Se a LGPD impõe deveres claros à administração pública, o descumprimento desses deveres pode configurar irregularidade administrativa. A exigência de encarregado formalmente designado, a implementação de políticas de proteção de dados, a adoção de controles de acesso, a manutenção de registros de tratamento e a existência de plano de resposta a incidentes já aparecem como elementos observados pelas cortes de controle. Não se trata mais de recomendação facultativa, mas de expectativa institucional de conformidade.
É fundamental compreender que adequação à LGPD não se resume à contratação de soluções tecnológicas. A proteção de dados, na esfera pública, é antes de tudo um tema de governança. Ela exige estrutura organizacional definida, normatização interna coerente, gestão de riscos sistemática, mecanismos de controle e cultura institucional voltada à responsabilidade e à prevenção. Sem esse arcabouço, qualquer ferramenta tecnológica será apenas uma camada superficial incapaz de mitigar efetivamente os riscos existentes.
Prefeituras lidam diariamente com informações altamente sensíveis: dados de saúde, assistência social, educação, arrecadação tributária, folha de pagamento, cadastros biométricos e registros socioeconômicos de populações vulneráveis. A magnitude desse volume informacional impõe dever de cuidado proporcional. Cada sistema desprotegido representa uma potencial crise institucional. Cada ausência de política formal pode resultar em apontamento de órgão de controle. Cada omissão pode transformar-se em responsabilização pessoal do gestor.
O momento atual coloca os municípios diante de uma decisão estratégica. É possível adotar postura preventiva, estruturando um programa consistente de governança em proteção de dados, integrando gestão de riscos, segurança da informação e compliance público. Também é possível manter postura reativa, aguardando que um incidente, uma auditoria ou uma investigação provoque a adoção tardia de medidas emergenciais. A experiência recente demonstra que o custo da reação costuma ser significativamente maior do que o investimento na prevenção.
Por fim, a proteção de dados tornou-se elemento indissociável da boa governança pública. Ignorar essa realidade não elimina o risco, apenas o adia. A LGPD já é lei, os Tribunais de Contas já atuam, e o legislador caminha para ampliar a responsabilização. Nesse contexto, a escolha que se apresenta às administrações municipais é clara: enfrentar o tema pela via da governança estruturada ou ser compelido a enfrentá-lo pela via da crise.
