Há alguns dias, esqueci minha garrafa d'água em um canto pouco visível do escritório. Era uma garrafa sem etiqueta, com apenas um mosquetão que deveria mantê-la presa à mochila, e não largada em um canto. Saí para uma reunião importante e a deixei para trás. Quando retornei, os colegas perguntavam, em voz alta, de quem era aquela garrafa largada ali. Ninguém respondia. Eu mesmo, absorto na elaboração de um parecer, deixei a pergunta passar. Foi só diante da insistência que me identifiquei como responsável.
O episódio ficou na memória. Dias depois, ao ministrar capacitação sobre comunicação de incidentes e plano de resposta a encarregados e membros do Comitê de Proteção de Dados Pessoais do município do Rio de Janeiro8, disse aos participantes que esses documentos precisam ser atualizados em períodos predeterminados. Do contrário, tornam-se instrumentos estanques, impressos em folhas de papel sem utilidade, esquecidos em gavetas.
Foi nesse momento que a imagem da garrafa voltou. E percebo que dificilmente encontraria metáfora mais fiel para o que ocorre com boa parte dos programas de governança em proteção de dados pessoais nas instituições brasileiras: existem, foram elaborados, ocupam espaço, mas ninguém os vê, ninguém os reivindica, e ninguém sabe muito bem quem responde por eles.
Quando o programa existe, mas não aparece
A LGPD completou quase cinco anos de vigência plena, desde que suas sanções administrativas passaram a ser aplicadas, em agosto de 2021. Nesse período, muitas organizações produziram documentos, constituíram comitês e elaboraram políticas internas. Parte desse esforço, contudo, ficou guardado em pastas de rede, portarias desconhecidas ou apresentações que nunca saíram das reuniões de lançamento.
O resultado é o que se pode chamar de programa de governança de fachada: existe formalmente, consta dos documentos institucionais, mas não tem presença real no cotidiano da organização. Não é comunicado aos colaboradores, e um programa que não é comunicado permanece inerte: pode existir nos sistemas e nas pastas da instituição, mas não alcança as pessoas que deveriam aplicá-lo no dia a dia. Não é monitorado pela alta direção. Não é revisado periodicamente. Está ali, como a garrafa no canto, aguardando que alguém pergunte de quem é.
O acórdão 1.372/25-TCU-Plenário, resultado de auditoria de conformidade realizada com 387 organizações públicas federais, oferece dados que ilustram esse cenário com precisão incômoda. O indicador médio de adequação à LGPD (iLGPD) apurado foi de apenas 44%. O subindicador relativo à dimensão "Preparação", que avalia justamente a existência e a maturidade dos programas de governança, alcançou também 44%. O de "Compartilhamento de Dados Pessoais" chegou ao preocupante índice de 22%.1
Mais revelador ainda: o próprio relatório de auditoria descreve o nível mais maduro de maturidade como aquele em que a organização possui programa de governança em privacidade de dados implementado, amplamente divulgado a todas as partes interessadas e sendo periodicamente avaliado e revisado, com vistas à melhoria contínua.2 Apenas 53 das 387 organizações auditadas, ou 13,70%, chegaram a esse nível. A maioria ainda está em estágios iniciais ou intermediários, com programas que existem no papel, mas não na prática cotidiana da instituição.
Não por acaso, a doutrina especializada aponta que a governança exerce papel fundamental na consolidação de práticas de proteção de dados e segurança da informação, permitindo maior controle das operações e alinhamento estratégico aos objetivos da organização. É por meio do programa de privacidade, criado com base em boas práticas e frameworks reconhecidos, que se estabelecem as diretrizes para o tratamento de dados pessoais e a mitigação dos riscos decorrentes desse tratamento.12
Neste contexto, a visibilidade não é um detalhe estético. É um requisito de governança. Um programa que não é comunicado não produz cultura. Um programa que não é monitorado não produz resultados. E um programa sem responsável declarado não sobrevive à primeira mudança de gestão.
Quem responde pelo programa?
A pergunta que meus colegas fizeram sobre a garrafa é exatamente a que os órgãos de controle têm feito às organizações públicas e privadas: quem responde por esse programa de proteção de dados?
A resposta esperada pela LGPD envolve dois planos distintos, que com frequência são confundidos. O primeiro é o da responsabilidade: quem responde pela conformidade à LGPD é o controlador, nos termos do art. 5º, inciso VI, da lei 13.709/18. No âmbito das organizações, é a alta direção que representa esse papel internamente, aprovando políticas, destinando recursos ao programa e prestando contas perante a ANPD - Agência Nacional de Proteção de Dados e perante os titulares. A garrafa tem dono, e esse dono é o controlador, representado internamente pela alta direção.
O segundo plano é o da interlocução institucional. O art. 41 da lei 13.709/18 determina a nomeação do encarregado pelo Tratamento de Dados Pessoais, figura responsável por atuar como canal de comunicação entre o controlador, os titulares e a ANPD, orientar os colaboradores e executar as demais atribuições previstas em norma. O encarregado não responde pela conformidade da organização à LGPD, conforme estabelece a resolução CD/ANPD 18/24.9 Ele é, na metáfora da garrafa, o mosquetão que a prende a quem a carrega: não é o dono, mas é o elo visível que conecta o programa à organização e esta aos titulares e à ANPD.
Neste sentido, o encarregado precisa ir além do conhecimento normativo. A resolução CD/ANPD 18/24 exige que se comunique com clareza com titulares e com a ANPD, o que pressupõe habilidades de mediação, didática e negociação interna. Um encarregado que conhece a lei, mas não consegue traduzir suas exigências para a linguagem da organização, ou que não tem autonomia para dialogar com a alta direção, é uma etiqueta ilegível: está na garrafa, mas não cumpre sua função.
A ausência do encarregado não é apenas uma irregularidade formal. É o sinal mais evidente de que o programa carece de interlocução institucional: sem esse canal, os titulares não sabem a quem recorrer, a ANPD não tem com quem dialogar, e os colaboradores não têm a quem perguntar. O programa perde visibilidade não porque não existe, mas porque ninguém o representa. É a garrafa sem mosquetão: está ali, mas ninguém sabe a quem se dirigir.
É fundamental, portanto, definir atores-chave, instrumentos e processos para que se tenha um programa de governança bem estruturado.10 Não basta nomear o encarregado e aprovar uma política interna: é preciso que cada função esteja claramente atribuída, que os fluxos de decisão sejam conhecidos e que os instrumentos de controle estejam operacionais no cotidiano da instituição.
Contudo, o levantamento do TCU identificou que 48 organizações, representando 12,4% do total auditado, ainda não haviam nomeado sequer o encarregado, em descumprimento direto ao art. 41 da LGPD.3 Diante da gravidade, o acórdão 1.372/25-TCU-Plenário foi além de uma mera recomendação: determinou a essas 48 organizações que procedam à nomeação no prazo de 60 dias.4
O legado que se perde quando ninguém assume
Há ainda uma dimensão que o episódio da garrafa ilumina de forma particular: a continuidade. Quando me levantei e afirmei que a garrafa era minha, o problema estava resolvido, porque eu estava ali. Mas e se eu não estivesse? E se tivesse saído da organização? Quem responderia pela garrafa?
Essa é uma das vulnerabilidades mais subestimadas nos programas de governança em proteção de dados: a dependência de pessoas, em vez de estruturas. Programas construídos em torno de um único gestor, sem documentação adequada, sem processos formalizados e sem capacitação da equipe, não sobrevivem à saída desse gestor. O legado se perde. O programa recomeça do zero, ou simplesmente desaparece.
É relevante destacar, neste ponto, que 109 organizações, ou 28,16% do total auditado pelo TCU, ainda não concluíram qualquer iniciativa voltada à identificação, ao planejamento e à execução de medidas preparatórias para adequação à LGPD, sendo que 11 delas sequer iniciaram esse processo.5 Em organizações assim, não há legado a preservar. O programa nunca chegou a existir de fato.
A distinção conceitual que ilumina esse problema foi formulada com precisão por Marcelo Crespo:
Quando a organização trata proteção de dados como evento de consultoria, produz documentos. Quando a trata como função permanente de governança, produz critério, memória e aprendizado.11
Essa distinção é menos glamourosa do que a promessa de um selo de conformidade, mas muito mais relevante sob a perspectiva jurídica. Programas mais maduros são justamente aqueles que abandonaram a visão de projeto pontual e passaram a tratar a adequação como capacidade institucional permanente: com rotinas que sobrevivem a trocas de pessoal, pressão comercial e mudanças tecnológicas, e com memória decisória que permite saber por que determinada base legal foi escolhida, por que um fornecedor foi considerado aceitável e quando essas decisões precisam ser revisitadas.
A construção desse legado exige que o programa seja institucionalizado: documentado, comunicado, capacitado, monitorado e revisado em períodos predeterminados. Que existam responsáveis formalmente designados em múltiplos níveis. Que os colaboradores saibam o que fazer diante de um incidente, de uma solicitação de titular ou de uma dúvida sobre bases legais. Que o programa sobreviva à troca de gestão, porque pertence à organização, não a uma pessoa.
Os colegas que encontraram a garrafa
Quando meus colegas encontraram a garrafa esquecida e perguntaram de quem era, estavam exercendo, involuntariamente, uma função de controle. Identificaram algo fora do lugar, sem responsável aparente, e indagaram sobre a accountability.
É exatamente essa função que os órgãos de controle exercem em relação aos programas de governança em proteção de dados. O TCU, ao realizar a auditoria que resultou no acórdão 1.372/25, encontrou uma quantidade expressiva de programas esquecidos nos cantos das instituições federais. E, como meus colegas, perguntou: quem responde por isso?
Neste caminhar, o dado mais revelador talvez não seja o iLGPD médio de 44%, mas o que diz respeito às instâncias de controle interno das próprias organizações: 159 delas, ou 41,09% do total, não realizaram qualquer avaliação relacionada à LGPD ou à lei de Acesso à Informação nos últimos três anos.6 Os próprios guardiões internos não estavam olhando para a garrafa.
O mesmo padrão se repete no âmbito municipal. O TCE/RJ, ao auditar 91 prefeituras fluminenses no processo 217899-0/24, encontrou cenário ainda mais preocupante: 87 delas, ou 95,61% do total, situaram-se nos níveis "inexpressivo" ou "iniciando" de adequação à LGPD, e nenhuma alcançou o nível "aprimorado". Entre os achados mais graves, 70 prefeituras (76,92%) não haviam nomeado sequer o encarregado pelo Tratamento de Dados Pessoais.7 A garrafa não estava esquecida apenas nos corredores federais.
Desta forma, o controle externo foi chamado a suprir uma lacuna que o controle interno não preencheu. E encontrou o que encontrou: programas invisíveis, encarregados não nomeados, políticas não publicadas, compartilhamentos de dados não mapeados e uma cultura organizacional ainda distante do que a LGPD exige.
A resposta precisa ser espontânea
No escritório, só me identifiquei como responsável pela garrafa depois de muita insistência. Não foi proativo. Foi reativo. E essa reatividade, no contexto da proteção de dados, tem um nome técnico: ausência de accountability.
O princípio da responsabilização e da prestação de contas, previsto no art. 6º, inciso X, da LGPD, exige que o controlador demonstre a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Não basta ter feito. É preciso poder demonstrar que fez, e que faz continuamente.
Um programa de governança em proteção de dados que só aparece quando um órgão de controle bate à porta, seja o TCU, o TCE ou a ANPD, quando se instaura um processo administrativo ou quando um incidente de segurança vira notícia, não é um programa. É uma garrafa esquecida no canto, aguardando a pergunta inevitável.
A resposta espontânea, ao contrário, é o que diferencia as organizações que constroem cultura de privacidade daquelas que apenas produzem documentos. É a alta direção que pauta o tema nas reuniões de gestão. É o encarregado que representa o programa, traduz suas exigências para a linguagem da organização e responde às dúvidas dos titulares antes de ser cobrado. É o programa visível no sítio eletrônico, nos treinamentos periódicos, nas cláusulas contratuais com operadores, nos relatórios de impacto elaborados preventivamente.
Visibilidade, legado e responsabilidade não são atributos opcionais de um bom programa de governança. São sua substância. Um programa que não os possui pode até estar na gaveta, mas não está, de fato, em funcionamento.
_____
1. BRASIL. Tribunal de Contas da União. Acórdão nº 1.372/2025-TCU-Plenário. TC 009.980/2024-5. relatório de auditoria, item 12. Relator: Ministro Walton Alencar Rodrigues. Sessão de 25 jun. 2025. Disponível em: https://portal.tcu.gov.br/tecnologia-da-informacao/auditoria-sobre-lgpd#painel-nacional-de-implementacao-da-lgpd. Acesso em: 6 jul. 2026.
2. Ibid., item 36.
3. Ibid., item 56.
4. Ibid., Acórdão, item 9.2.3.
5. Ibid., relatório de auditoria, itens 38-39.
6. Ibid., item 165.
7. RIO DE JANEIRO (Estado). Tribunal de Contas do Estado do Rio de Janeiro. Acórdão. Processo nº 217899-0/24. Coordenadoria de Auditoria em Políticas de Tecnologia da Informação. Rio de Janeiro, 3 fev. 2025. Disponível em: https://www.tcerj.tc.br/consulta-processo/VisualizarPDF/VisualizarPDF?url=documento%2Facordao%2Fprocesso%2F217899%2F0%2F2024%2Fdocumento%2F211&filename=Ac%C3%B3rd%C3%A3o%20-%20Processo%20217899_0_2024%20-%20Sess%C3%A3o%2003_02_2025. Acesso em: 6 jul. 2026.
8. CONJUR. Prefeitura do Rio promove oficina sobre comunicação de incidentes de segurança de dados. Consultor Jurídico, 3 jul. 2026. Disponível em: https://www.conjur.com.br/2026-jul-03/prefeitura-do-rio-promove-oficina-sobre-comunicacao-de-incidentes-de-seguranca-de-dados/. Acesso em: 6 jul. 2026.
9. BRASIL. Agência Nacional de Proteção de Dados. Resolução CD/ANPD nº 18, de 16 de julho de 2024. Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Diário Oficial da União, 17 jul. 2024, Edição 136, Seção 1, p. 42. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074. Acesso em: 6 jul. 2026.
10. SILVA, Ana Paula Vasconcellos da. Construindo um programa de governança em proteção de dados pessoais no poder público: boas práticas sugeridas. In: LIMA, Ana Paula Canto; SILVA JUNIOR, Silvio Maciel e (coords.). Direito Digital: tendências e desafios. Recife: Editora Império, 2025. p. 74.
11. CRESPO, Marcelo. Governança da proteção de dados entre LGPD e GDPR: certificação, compliance e os limites da conformidade formal. In: LIMA, Ana Paula Canto de; SILVA JUNIOR, Silvio Maciel e; CARDOSO, Oscar Valente (coords.). Proteção de Dados e Segurança da Informação: diálogos entre Brasil e Portugal. Recife: Editora Império, 2026. p. 505.
12. PECK, Patricia; ARTHUSO, Lucas Grandini. Proteção de dados pessoais e segurança da informação na cadeia de fornecedores. In: LIMA, Ana Paula Canto de; SILVA JUNIOR, Silvio Maciel e; CARDOSO, Oscar Valente (coords.). Proteção de Dados e Segurança da Informação: diálogos entre Brasil e Portugal. Recife: Editora Império, 2026. p. 654.
_____
BRASIL. Agência Nacional de Proteção de Dados. Resolução CD/ANPD nº 18, de 16 de julho de 2024. Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Diário Oficial da União, 17 jul. 2024, Edição 136, Seção 1, p. 42. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074. Acesso em: 6 jul. 2026.
BRASIL. Tribunal de Contas da União. Acórdão nº 1.372/2025-TCU-Plenário. TC 009.980/2024-5. relatório de auditoria. Relator: Ministro Walton Alencar Rodrigues. Sessão de 25 jun. 2025. Disponível em: https://portal.tcu.gov.br/tecnologia-da-informacao/auditoria-sobre-lgpd#painel-nacional-de-implementacao-da-lgpd. Acesso em: 6 jul. 2026.
CONJUR. Prefeitura do Rio promove oficina sobre comunicação de incidentes de segurança de dados. Consultor Jurídico, 3 jul. 2026. Disponível em: https://www.conjur.com.br/2026-jul-03/prefeitura-do-rio-promove-oficina-sobre-comunicacao-de-incidentes-de-seguranca-de-dados/. Acesso em: 6 jul. 2026.
CRESPO, Marcelo. Governança da proteção de dados entre LGPD e GDPR: certificação, compliance e os limites da conformidade formal. In: LIMA, Ana Paula Canto de; SILVA JUNIOR, Silvio Maciel e; CARDOSO, Oscar Valente (coords.). Proteção de Dados e Segurança da Informação: diálogos entre Brasil e Portugal. Recife: Editora Império, 2026. p. 505.
PECK, Patricia; ARTHUSO, Lucas Grandini. Proteção de dados pessoais e segurança da informação na cadeia de fornecedores. In: LIMA, Ana Paula Canto de; SILVA JUNIOR, Silvio Maciel e; CARDOSO, Oscar Valente (coords.). Proteção de Dados e Segurança da Informação: diálogos entre Brasil e Portugal. Recife: Editora Império, 2026. p. 654.
RIO DE JANEIRO (Estado). Tribunal de Contas do Estado do Rio de Janeiro. Acórdão. Processo nº 217899-0/24. Coordenadoria de Auditoria em Políticas de Tecnologia da Informação. Rio de Janeiro, 3 fev. 2025. Disponível em: https://www.tcerj.tc.br/consulta-processo/VisualizarPDF/VisualizarPDF?url=documento%2Facordao%2Fprocesso%2F217899%2F0%2F2024%2Fdocumento%2F211&filename=Ac%C3%B3rd%C3%A3o%20-%20Processo%20217899_0_2024%20-%20Sess%C3%A3o%2003_02_2025. Acesso em: 6 jul. 2026.
SILVA, Ana Paula Vasconcellos da. Construindo um programa de governança em proteção de dados pessoais no poder público: boas práticas sugeridas. In: LIMA, Ana Paula Canto; SILVA JUNIOR, Silvio Maciel e (coords.). Direito Digital: tendências e desafios. Recife: Editora Império, 2025. p. 74.