Por que a adequação à LGPD virou prioridade para as prefeituras
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) se aplica integralmente à Administração Pública. Isso inclui prefeituras, câmaras municipais, autarquias, fundações, empresas públicas e consórcios. Apesar disso, o cenário de adequação dos municípios brasileiros ainda preocupa.
A Pesquisa de Informações Básicas Municipais (MUNIC 2024), divulgada pelo IBGE em 31 de outubro de 2025, revelou que pouco mais de 72% dos municípios brasileiros não possuem em suas estruturas uma área ou pessoa responsável por procedimentos e políticas de coleta, armazenamento e uso de dados pessoais ou pela implementação das diretrizes da LGPD. Em contrapartida, apenas 28,4% das cidades disponibilizam canais de atendimento pela internet ao titular de dados, somente 23,9% têm regulamentação municipal específica sobre a LGPD e apenas 18,1% oferecem cursos de segurança da informação aos servidores. IstoÉ Dinheiro
Em Minas Gerais, o cenário ganhou relevância adicional. O Tribunal de Contas do Estado de Minas Gerais (TCEMG), por meio do seu Núcleo de Proteção de Dados, aplicou questionário de avaliação a cerca de 2 mil órgãos e entidades mineiras, obtendo 1.355 respostas. Conforme registrou o relatório técnico aprovado pela Corte, "o resultado demonstrou baixa aderência aos comandos da LGPD, o que está a merecer novas ações deste Tribunal para conscientização sobre a necessidade de cumprimento dos ditames legais a respeito da proteção de dados pessoais". Tce
A mensagem das Cortes de Contas e da Autoridade Nacional de Proteção de Dados (ANPD) é clara: a adequação à LGPD deixou de ser um diferencial de gestão para se tornar dever legal, com impactos diretos em indicadores de governança municipal.
O que a LGPD exige da Administração Pública municipal
Bases legais específicas do setor público
Diferentemente do setor privado, prefeituras não podem se valer livremente do consentimento como base legal. Os arts. 7º, 11 e 23 da LGPD estabelecem que o tratamento de dados pessoais pelo Poder Público deve ocorrer prioritariamente para o atendimento de sua finalidade pública, no exercício de competências legais ou na execução de políticas públicas (art. 7º, inciso III).
Isso significa que prefeituras precisam mapear, para cada serviço prestado — saúde, educação, assistência social, tributação, urbanismo —, qual a base legal específica que autoriza o tratamento dos dados pessoais coletados.
Encarregado obrigatório
Embora a Resolução CD/ANPD nº 2/2022 dispense agentes privados de pequeno porte da nomeação do Encarregado (DPO), essa flexibilização não se estende ao setor público. O art. 23, inciso III, da LGPD é categórico ao exigir que entes públicos indiquem o Encarregado pelo Tratamento de Dados Pessoais, com publicidade da identidade e dos dados de contato. IclgIRB
Em municípios, a indicação deve ocorrer por ato formal (portaria, decreto ou resolução), publicado em Diário Oficial. Sem isso, a prefeitura já está em situação irregular perante a ANPD.
Integração com a Lei de Acesso à Informação (LAI) e a Nova Lei de Licitações
O servidor municipal vive uma tensão prática constante: como conciliar o princípio da publicidade (Constituição Federal, art. 37; Lei nº 12.527/2011 — LAI) com a proteção da privacidade exigida pela LGPD?
O Parecer nº 00009/2022/DECOR/CGU/AGU da Advocacia-Geral da União e o Guia Orientativo de Tratamento de Dados Pessoais pelo Poder Público da ANPD apontam o caminho: anonimização de dados pessoais sensíveis em publicações, divulgação seletiva no Portal Nacional de Contratações Públicas (PNCP), tarjamento de CPF e endereços antes da publicação de processos. Francodemenezes
Já a Nova Lei de Licitações (Lei nº 14.133/2021) exige que editais, contratos e estudos técnicos preliminares contemplem cláusulas específicas de proteção de dados, sobretudo quando o objeto envolver tratamento intenso de dados pessoais (sistemas de prontuário eletrônico, gestão de cadastros sociais, soluções de TI). A empresa contratada passa a ser operadora dos dados e deve responder solidariamente por incidentes. Farinaeantunes
Roteiro prático de adequação para o município
A adequação não é um projeto único, mas um programa contínuo de governança em privacidade. Para municípios mineiros, recomenda-se a seguinte sequência metodológica.
1. Ato normativo instituidor do programa
A primeira providência é a edição de decreto municipal instituindo o Programa de Governança em Privacidade e Proteção de Dados Pessoais. Esse normativo deve criar o Comitê Gestor (com integrantes do jurídico, TI, recursos humanos e gabinete), definir a metodologia de implantação e prever a nomeação formal do Encarregado e de seu substituto.
2. Inventário de dados e análise de riscos
A prefeitura deve mapear cada setor — Saúde, Educação, Tributação, Assistência Social, Recursos Humanos — e levantar quais dados pessoais são coletados, sob qual base legal, com que finalidade, por quanto tempo são armazenados, com quem são compartilhados e quais medidas de segurança são adotadas. Esse inventário (também chamado de Registro das Operações de Tratamento) é exigido pelo art. 37 da LGPD.
3. Relatório de Impacto à Proteção de Dados (RIPD)
Para os tratamentos de maior risco — câmeras de segurança em escolas, cadastros sociais, sistemas de saúde — recomenda-se a elaboração do RIPD, conforme art. 38 da LGPD. O relatório descreve a operação, os riscos e as medidas de mitigação adotadas, podendo ser exigido pela ANPD a qualquer tempo. Get Privacy
4. Políticas, processos e canais
É preciso publicar Política de Privacidade no site oficial do município, estruturar canal de atendimento ao titular (com prazo de 15 dias para resposta, conforme art. 19 da LGPD) e definir plano de resposta a incidentes de segurança. O município, como controlador, tem o dever do art. 48 da LGPD de comunicar incidentes relevantes à ANPD e aos titulares em até 3 dias úteis (Resolução CD/ANPD nº 15/2024). PeticionaMais
5. Capacitação dos servidores
O dado pessoal "vaza" não apenas por ataque hacker. Vaza por servidor que envia planilha por WhatsApp, por documento esquecido em impressora, por senha compartilhada. O treinamento contínuo dos servidores — em saúde, educação, tributação — é o controle mais barato e mais efetivo. E é justamente a frente com maior atraso: apenas 18,1% dos municípios oferecem cursos de segurança da informação aos servidores, segundo a MUNIC 2024. O Juruá Em TempoIstoÉ Dinheiro
6. Adequação de contratos e licitações
Editais, termos de referência e minutas contratuais devem prever cláusulas de proteção de dados, especialmente quando o fornecedor atuar como operador. A exigência de programa de adequação da contratada — inclusive nomeação de Encarregado — pode constar como critério de habilitação técnica, na forma da Lei nº 14.133/2021. Farinaeantunes
Riscos da omissão: o que pode acontecer com o município
Embora o art. 52, §3º, da LGPD impeça a aplicação de multas pecuniárias a entes públicos, isso não significa imunidade. A ANPD pode aplicar advertências, determinar publicização da infração, exigir bloqueio ou eliminação de dados e suspender atividades de tratamento.
Além disso, são plenamente aplicáveis ao município:
Responsabilização do gestor perante o Tribunal de Contas, com possibilidade de multa pessoal ao prefeito e secretários;
Ações civis públicas propostas pelo Ministério Público para reparação de danos coletivos;
Ações individuais dos cidadãos prejudicados, com base nos arts. 42 a 45 da LGPD, e responsabilidade civil objetiva do município;
Improbidade administrativa, em hipóteses de negligência grave;
Risco reputacional, com perda de confiança da população e prejuízo a indicadores de governança.
A LGPD já ingressou nos principais levantamentos estatísticos federais. Estar em dia deixou de ser um diferencial competitivo entre cidades: virou pré-requisito da gestão pública moderna.
Conclusão
Para municípios mineiros, a adequação à LGPD precisa sair do papel. O conjunto formado pela LGPD, pela LAI, pela Nova Lei de Licitações e pelas resoluções da ANPD compõe um microssistema jurídico que exige planejamento, ato normativo próprio, designação de Encarregado, capacitação de servidores e governança contínua.
Mais do que evitar sanções, trata-se de fortalecer a confiança do cidadão na Administração Pública e proteger informações sensíveis dos munícipes — de prontuários médicos a cadastros do CRAS.
Quer saber em que estágio de adequação à LGPD seu município se encontra? Acesse o Termômetro LGPD do escritório Felipe Piló Advogados Associados e faça um diagnóstico gratuito em poucos minutos em felipepilo.com.br/diagnostico-lgpd. Ou entre em contato com nossa equipe para conhecer nossas soluções jurídicas para a Administração Pública.
Este artigo tem caráter exclusivamente educativo e informativo. Não constitui consultoria jurídica. Para análise do caso concreto, consulte um advogado especializado.