Alicerces da LGPD: Decretos federais 12.572 e 12.573/25

A entrada em vigor dos decretos 12.572 e 12.573, de 4 de agosto de 2025, representa um divisor de águas no ordenamento jurídico brasileiro voltado à segurança da informação e à proteção de dados pessoais. Não se trata apenas de mais uma camada normativa. Trata-se da fundação técnica e institucional para sustentar o edifício sofisticado e ambicioso da lei 13.709/18, a LGPD.

Não se pode olvidar que a LGPD é, por mérito próprio, um marco civilizatório, ao ser estruturada sobre princípios como autodeterminação informativa, responsabilidade e prevenção. Não podemos esquecer que a proteção de dados pessoais tornou-se direito fundamental expresso na Carta Magna de 1988 (art. 5º, LXXIX).

Neste contexto, poderíamos dizer que a norma representa os andares superiores de um prédio moderno que visa garantir liberdade e dignidade em tempos de vigilância algorítmica. Mas sem uma base sólida de cibersegurança e governança da informação, qualquer edifício, por mais bonito que pareça, possui elevados riscos de ruir.

É justamente aqui que os novos decretos ganham relevância estratégica.

Decreto 12.572/25: a segurança da informação como pilar de governança estatal

O decreto 12.572 institui a PNSI - Política Nacional de Segurança da Informação no âmbito da administração pública federal, com foco claro na disponibilidade, integridade, autenticidade e confidencialidade das informações estatais. Seus princípios fundacionais incluem a soberania nacional, a proteção de dados pessoais, a priorização da gestão de riscos e a valorização da educação em segurança da informação (art. 3º, incisos I a VI).

Ao impor a criação de comitês internos de segurança da informação, a designação de gestores especializados e a implementação de políticas específicas por cada órgão público (art. 10), a PNSI inaugura um novo paradigma: o da responsabilidade do poder público na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação.

Trata-se de uma resposta articulada à crescente digitalização dos serviços públicos e à criticidade dos dados sob custódia estatal. Como bem prevê o Decreto, essa política não se limita ao aspecto técnico: ela pressupõe estrutura de governança e que seja interoperacional, recursos orçamentários e conformidade contínua. É a infraestrutura invisível, mas decisiva, para que a LGPD possa prosperar também na esfera pública.

Decreto 12.573/25: a E-Ciber - Estratégia Nacional de Cibersegurança como estratégia nacional transversal

Complementando o eixo interno da segurança estatal, o decreto 12.573/25 institui a E-Ciber - Estratégia Nacional de Cibersegurança, voltada à sociedade como um todo. Estruturada em quatro eixos centrais - (i) proteção do cidadão; (ii) segurança de serviços essenciais; (iii) cooperação institucional; e (iv) soberania nacional e governança (art. 1º) -, a E-Ciber inaugura uma nova fase da política digital brasileira: a cibersegurança como política pública transversal e centrada na proteção da pessoa.

De acordo com o próprio FAQ oficial da Estratégia, a E-Ciber tem por objetivo "proteger a soberania nacional, os direitos fundamentais dos cidadãos e a resiliência dos serviços essenciais e das infraestruturas críticas", se alinhando diretamente com a LGPD e com a Constituição Federal de 1988, ao integrar tecnologia, direitos fundamentais e segurança nacional em um só eixo regulatório.

Entre as inovações mais relevantes, destacam-se: modelo nacional de maturidade em cibersegurança; selo nacional de certificação em segurança; planos de conformidade flexíveis; incentivo à formação técnica e acadêmica em todos os níveis; e a inclusão de temas como cidadania digital e ciber-higiene, inclusive para grupos vulneráveis (art. 3º; FAQ).

LGPD, PNSI e E-Ciber: uma tríade para o futuro da proteção de dados no Brasil

A harmonia entre as três normas é evidente, à medida que a LGPD estabelece os direitos, princípios e obrigações visando à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ao passo que a PNSI regula a Política Nacional de Segurança da Informação, no âmbito da administração pública federal. Que tem como finalidade, assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no País. 

Já a E-Ciber amplia o debate acerca da proteção e a conscientização do cidadão e da sociedade têm por objetivo criar condições seguras para o uso dos serviços digitais, especialmente por pessoas em situação de vulnerabilidade.

Neste sentido, a soberania digital, prevista expressamente em ambos os decretos (PNSI, art. 3º, I; E-Ciber, art. 1º, IV, arts. 9º e 10º), deixa de ser um conceito abstrato para tornar-se instrumento de planejamento estratégico e proteção da autonomia nacional em ambiente digital.

Essa visão é reforçada pelo dado impactante divulgado no FAQ da E-Ciber: os prejuízos causados por cibercrimes no Brasil em 2024 ultrapassaram R$ 1,5 trilhão¹. Diante desse cenário, a adoção de uma estratégia nacional torna-se imperativo não apenas jurídico, mas econômico, institucional e civilizatório.

O DPO - Encarregado de Dados e o gestor de segurança: dois pilares da nova arquitetura organizacional

Para que essa tríade normativa funcione na prática, será necessário fortalecer a atuação do DPO - encarregado pelo tratamento de dados pessoais e integrá-lo à estrutura de governança da informação. A PNSI determina que os órgãos públicos devem coordenar suas ações entre o DPO, o gestor de segurança da informação e as áreas de TI (art. 10, VIII). Já a E-Ciber prevê ações concretas para fomentar equipes de prevenção e resposta a incidentes, laboratórios de segurança e canais de notificação (art. 8º, I a III).

Nesse novo cenário, o DPO - Encarregado de Dados deixa de ser um ator isolado ou meramente burocrático, e passa a exercer papel tático, em diálogo com áreas técnicas, jurídicas e estratégicas da organização. A maturidade institucional da proteção de dados depende justamente dessa articulação interdisciplinar.

Conclusão

O Brasil dá, com esses decretos, um passo decisivo rumo à consolidação de uma infraestrutura normativa que sustenta a LGPD. Com a PNSI e a E-Ciber, não se trata mais apenas de exigir proteção de dados, mas de criar condições para que essa proteção se concretize.

A cibersegurança é a base técnica da proteção de dados, englobando as ferramentas e práticas como criptografia, firewalls e gestão de acessos, funcionando, como bem leciona meu amigo Antônio Sérgio¹, como a fundação de um edifício que protege os dados contra ameaças cibernéticas. Sem essa base sólida, qualquer esforço para proteger as informações seria ineficaz, deixando-as vulneráveis a ataques e incidentes de segurança.

Sobre essa fundação, a LGPD se eleva como a estrutura legal e regulatória, sendo que a lei não especifica quais tecnologias usar, mas, como visto, estabelece princípios e obrigações para o tratamento de dados pessoais, como a necessidade de medidas de segurança adequadas. A LGPD almeja a criação de uma cultura de proteção que vai além da tecnologia, focando também em processos e pessoas.

Enfim, a LGPD e a cibersegurança, juntas, se complementam, à medida que a cibersegurança fornece os meios técnicos para que a lei seja cumprida, enquanto a LGPD oferece o arcabouço legal que justifica e orienta a adoção dessas medidas de segurança. Uma fortalece a outra, garantindo que os dados sejam protegidos tanto na prática quanto na lei.

________

Referências

BRASIL. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2025/Decreto/D12572.htm . Acesso em 5 Ago. 2025.

BRASIL. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2025/Decreto/D12573.htm . Acesso em 5 Ago. 2025.

BRASIL. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 5 Ago. 2025.

BRASIL. Gabinete de Segurança Institucional. FAQ - Estratégia Nacional de Cibersegurança 2025. Disponível em: https://www.gov.br/gsi/pt-br/assuntos/seguranca-da-informacao-e-cibernetica/estrategia-nacional-de-ciberseguranca-eciber/perguntas-frequentes/e-ciber-faq.pdf . Acesso em: 5 ago. 2025.

1 Antonio Sergio De Oliveira Luiz é uma das maiores referências no tema na Administração Pública Municipal do Rio de Janeiro e Coordenador Técnico do Escritório de Riscos, Conformidade e Segurança da Empresa Municipal de Informática S.A. / IPLANRIO, Empresa Pública do Município do Rio de Janeiro.