A Lei Geral de Proteção de Dados (Lei n. 13.709/18), em vigor plenamente desde 2021, exige que toda organização que trate dados pessoais, seja ela pública ou privada, adote medidas robustas de proteção. 

Entretanto, informações disponibilizadas pela Autoridade Nacional de Proteção de Dados (ANPD) mostram que há um alerta sobre a vulnerabilidade no setor público. De acordo com o painel da Coordenação de Tratamento de Incidentes de Segurança (TIS), enquanto os comunicados de incidente na iniciativa privada vêm caindo desde 2023, na área pública o movimento é contrário: até o início de novembro deste ano foram recebidos 131 comunicados, o que representa um aumento de 44% em relação a todo o ano de 2024. 

Os incidentes reportados pela ANPD incluem roubo de credenciais, sequestro de dados e publicação não intencional de informações, sublinhando os riscos a que os dados dos cidadãos estão expostos. Para órgãos que lidam com um grande volume de informações de profissionais e cidadãos, a adequação vai além de simples ajustes. 

O Conselho Regional de Administração de São Paulo - CRA-SP, por exemplo, tem demonstrado preocupação e, por isso, contratou uma consultoria especializada para estruturar seu programa de LGPD. O projeto da autarquia focou na segurança dos dados pessoais de seus registrados e de todos aqueles que se relacionam com o Conselho de alguma forma, incluindo, até o momento: 

• Mapeamento detalhado: 36 reuniões setoriais que resultaram no mapeamento e classificação de 131 processos organizacionais; 
• Inventário e governança: atualização de 71 sistemas no inventário técnico e identificação de 41 operadores de dados pessoais; 
• Cultura de dados: ações educacionais contínuas para orientar os seus colaboradores sobre boas práticas de coleta, uso e armazenamento de dados pessoais.

Para o início de 2026, os próximos passos do projeto envolvem, entre outros itens, a criação do Manual Interno do Programa de Privacidade, os ajustes finais em políticas e instrumentos jurídicos e a validação das soluções implementadas, consolidando uma cultura de privacidade e segurança. 

O movimento do CRA-SP, segundo o presidente da entidade, Adm. Alberto Whitaker, serve como um modelo para que as organizações cumpram seu dever legal de proteger as informações pessoais dos brasileiros. “Nosso compromisso vai além da simples conformidade legal. Ao estruturar e implementar o programa de adequação à LGPD de forma robusta, o Conselho demonstra que a proteção dos dados pessoais dos nossos profissionais é prioridade máxima. Este movimento serve como um chamado para que as empresas registradas no Conselho e outras entidades públicas reconheçam seu dever legal e moral de blindar as informações dos cidadãos, garantindo a transparência e a segurança que a sociedade brasileira espera”, alerta. 

Sanções para o setor público

O artigo 52 da LGPD estabelece uma série de sanções administrativas que podem ser aplicadas pela ANPD em caso de descumprimento das normas previstas na legislação. Embora as instituições públicas (como autarquias e fundações) não estejam sujeitas às multas financeiras aplicáveis às empresas privadas (multa simples ou diária), elas podem sofrer outras penalidades que geram impacto significativo:

• Advertência: com indicação de prazo para a adoção de medidas corretivas;
• Publicização da infração: a ANPD torna pública a infração cometida após devidamente apurada, gerando um dano severo à reputação do órgão perante a sociedade; 
• Bloqueio dos dados pessoais: proibição temporária de tratamento de dados pessoais envolvidos na infração até a sua regularização; 
• Eliminação dos dados pessoais: exclusão das informações que foram objeto da infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.