A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) está completando cinco anos de vigência, mas sua implementação na administração pública federal ainda revela desafios estruturais e institucionais expressivos. É o que demonstra a auditoria realizada pelo Tribunal de Contas da União (TCU), que avaliou o grau de conformidade de 387 órgãos e entidades federais com os dispositivos da LGPD.
O diagnóstico é preocupante: 28,2% das organizações estão em estágio crítico de atraso, sem adoção de medidas mínimas de adequação. A ausência de políticas de segurança da informação, a não nomeação de encarregados de dados e a falta de padronização na comunicação de incidentes à Autoridade Nacional de Proteção de Dados (ANPD) estão entre os principais pontos críticos identificados.
Falhas estruturais e riscos Institucionais
A auditoria revelou que 91 órgãos (20,7%) não possuem Política de Segurança da Informação (PSI), enquanto 48 (12,4%) ainda não nomearam o encarregado de proteção de dados pessoais, figura central para a governança em privacidade. Ainda mais alarmante é o fato de que 250 organizações (64,6%) não padronizaram a comunicação de incidentes de segurança, comprometendo a transparência e a resposta a violações.
Além disso, 146 entidades (37,7%) não elaboraram política de privacidade, e 90 (23,3%) não implementaram mecanismos para assegurar os direitos dos titulares. Esses números apontam não apenas para falhas operacionais, mas para um distanciamento dos princípios fundamentais da LGPD, como a responsabilização, a prevenção e a autodeterminação informativa.
O quadro geral revela não apenas a carência de mecanismos básicos de governança, mas também uma possível desconexão institucional com os deveres constitucionais de proteção à privacidade e à informação, o que pode gerar responsabilizações jurídicas e administrativas, além de comprometer a confiança da sociedade na atuação estatal.
Capacitação e cultura institucional: os grandes ausentes
Sem capacitação adequada e cultura organizacional voltada à proteção de dados, qualquer esforço normativo tende a ser meramente formal e ineficaz. Nesse ponto, os dados da auditoria também são reveladores: 161 organizações (41,6%) não possuem plano de capacitação para seus servidores, e 170 (43,9%) não realizaram avaliação adequada do compartilhamento de dados com terceiros.
A ausência de mapeamento de riscos e de fluxos de dados compromete a efetividade de qualquer programa de conformidade. Ainda mais grave: 40 organizações (10,3%) sequer iniciaram ações voltadas ao “contexto organizacional”, o que as coloca em situação de risco elevado quanto à segurança e regularidade no tratamento de dados pessoais.
A atuação do TCU e os caminhos para a conformidade
A atuação do TCU, ao emitir recomendações e determinar providências corretivas, cumpre papel fundamental na indução da maturidade digital do setor público. Destaca-se, entre suas recomendações, a orientação para que os Órgãos Governantes Superiores (OGS) e a Controladoria-Geral da União (CGU) promovam ações coordenadas de orientação, fiscalização e harmonização entre a LGPD e a Lei de Acesso à Informação (LAI).
Essa harmonização é particularmente sensível, pois exige critérios técnicos e jurídicos claros que garantam a proteção de dados pessoais sem comprometer a transparência pública. Trata-se de um equilíbrio delicado, mas essencial para a governança democrática e responsável.
Da exigência legal ao compromisso institucional
A LGPD não é apenas uma norma de compliance: é um marco civilizatório na proteção de direitos fundamentais. Sua implementação efetiva no setor público é condição indispensável para a consolidação da cidadania digital, da confiança institucional e da integridade administrativa.
A auditoria do TCU deve servir como alerta e ponto de inflexão. A conformidade com a LGPD exige mais do que ajustes pontuais: requer comprometimento político, capacitação contínua, estruturação de políticas internas e responsabilização institucional. O tempo da transição já passou, agora é o momento da efetividade.
A construção de um setor público digital ético, transparente e centrado no cidadão passa, obrigatoriamente, pela adoção consciente da LGPD como instrumento de transformação institucional.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
