LGPD e municípios: Omissão dos prefeitos - Improbidade administrativa

1. Introdução

A proteção de dados pessoais foi recentemente alçada ao status de direito fundamental, por meio da EC 115/22, que incluiu o art. 5º, LXXIX, na Constituição Federal, estabelecendo que "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais". A lei 13.709/18 (LGPD), ao disciplinar o tratamento de dados pessoais por pessoas naturais, jurídicas, de direito público e privado, buscou harmonizar a proteção da privacidade com a necessidade de desenvolvimento econômico e tecnológico.

O parágrafo único do art. 1º da LGPD deixa expresso que as normas da lei são de interesse nacional e devem ser observadas por União, Estados, Distrito Federal e municípios (MALDONADO; BLUM, 2020). Portanto, os municípios não estão à margem desse processo: possuem o dever jurídico de estruturar programas de conformidade que assegurem a integridade das informações pessoais sob sua guarda.

Entretanto, na realidade concreta, observa-se que boa parte dos prefeitos brasileiros mantém-se inerte quanto à adequação à LGPD. Essa omissão expõe os cidadãos a riscos de violações de privacidade, compromete a confiança social e pode caracterizar improbidade administrativa, uma vez que os gestores deixam de cumprir dever legal expresso.

2. A obrigatoriedade da LGPD no âmbito municipal

O art. 23 da LGPD estabelece regras específicas para o tratamento de dados pessoais pelo poder público, determinando que este deve ocorrer para finalidades públicas legítimas, respeitando princípios como finalidade, adequação, necessidade e transparência. Como observa Grossi (2020), a disciplina da proteção de dados impõe ao Estado - em todas as suas esferas - uma postura ativa de gestão e de governança informacional.

Os municípios concentram alguns dos bancos de dados mais sensíveis do país: cadastros de saúde (SUS), educação (matrículas, notas, histórico escolar), assistência social (Cadastro Único, Bolsa Família/Auxílio Brasil), arrecadação tributária (IPTU, ISS, ITBI) e segurança pública (monitoramento urbano, câmeras, cadastros de ocorrências). A negligência na proteção dessas bases coloca em risco não apenas a intimidade dos cidadãos, mas também a própria credibilidade institucional da administração municipal.

Além disso, a LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (art. 41), a elaboração de Relatórios de Impacto (art. 38) e a adoção de medidas de segurança, técnicas e administrativas (art. 46). A ausência dessas estruturas demonstra a omissão deliberada do gestor público.

É importante destacar que a função do Encarregado de Dados (DPO - Data Protection Officer) não precisa ser exercida exclusivamente por servidor público municipal. A própria LGPD (BRASIL, 2018) prevê a possibilidade de designação de pessoa natural ou jurídica para essa atribuição, possibilitando a terceirização da função por meio da contratação de consultores ou empresas especializadas em privacidade e proteção de dados. Essa alternativa é especialmente relevante para municípios de pequeno e médio porte, que frequentemente carecem de estrutura técnica interna para cumprir as exigências legais. Como ressaltam Maldonado e Blum (2020), a flexibilização do modelo de DPO visa justamente viabilizar a efetividade da lei, permitindo que tanto agentes internos quanto externos possam atuar como encarregados, desde que assegurem o canal de comunicação entre o controlador, os titulares e a ANPD.

3. A omissão dos prefeitos e o risco de improbidade administrativa

A improbidade administrativa, regulada pela lei 8.429/1992 (com redação dada pela lei 14.230/21), abrange não apenas atos comissivos, mas também omissivos. O art. 11 dispõe que constitui ato de improbidade a conduta que atente contra os princípios da administração pública, ainda que não cause dano material ao erário.

Assim, a omissão dos prefeitos em implementar programas de adequação à LGPD pode ser enquadrada como improbidade administrativa, pois viola diretamente princípios da legalidade, moralidade, eficiência e publicidade (art. 37, caput, da Constituição). Como afirma Maldonado (2020), a proteção de dados é "um shift no modo de pensar e agir no mundo atual", de modo que a negligência estatal nesse campo equivale à negação de um direito fundamental.

Casos concretos reforçam o risco:

• vazamentos de dados de pacientes em secretarias municipais de saúde;
• divulgação irregular de informações de servidores públicos;
• cadastros educacionais expostos em planilhas públicas sem anonimização;
• sistemas de arrecadação sem criptografia adequada.

Tais episódios não apenas expõem a inércia administrativa, mas também evidenciam o potencial de responsabilização pessoal do prefeito por improbidade, na medida em que se tratam de riscos previsíveis e preveníveis por meio de políticas adequadas de compliance.

4. O papel do compliance digital na Administração Pública municipal

O compliance digital representa a institucionalização de práticas e controles voltados à conformidade legal no tratamento de dados pessoais. Como destaca Batista (2021), em Compliance Digital na Administração Pública, o compliance deve ser entendido não como um custo adicional, mas como investimento em governança, credibilidade e transparência administrativa.

No âmbito municipal, um programa de compliance digital deve envolver:

1. Criação de comitê gestor de proteção de dados para coordenar secretarias e órgãos.
2. Nomeação de encarregado (DPO municipal) como canal direto com titulares e com a ANPD.
3. Mapeamento de fluxos de dados em saúde, educação, arrecadação e assistência social.
4. Elaboração de políticas internas (Política de Privacidade, Política de Segurança da Informação, Planos de Resposta a Incidentes).
5. Treinamento e capacitação de servidores públicos.
6. Elaboração de RIPD - Relatórios de Impacto à Proteção de Dados para tratamentos sensíveis.
7. Adoção de ferramentas tecnológicas mínimas (criptografia, controle de acessos, logs de auditoria).

Ao demonstrar a adoção dessas medidas, o prefeito comprova diligência administrativa, afastando a configuração de omissão dolosa ou culposa que poderia gerar improbidade.

5. Conclusão

A LGPD impôs aos municípios um dever inafastável: garantir a proteção de dados pessoais dos cidadãos, como expressão do direito fundamental à privacidade. A resistência ou a omissão dos prefeitos não pode ser compreendida como simples dificuldade administrativa, mas como violação de dever legal expresso, que expõe o gestor ao risco de responsabilização por improbidade administrativa.

Nesse cenário, o compliance digital surge como instrumento essencial de governança, prevenção de riscos e fortalecimento da cidadania. Municípios que implementam programas sérios de adequação não apenas cumprem a lei, mas reforçam a confiança social, modernizam sua gestão e evitam condenações futuras.

Assim, cabe aos prefeitos compreenderem que a omissão não é uma opção: a inércia representa risco jurídico, político e pessoal. A implementação de programas de compliance digital nos municípios é medida urgente, necessária e inadiável.

__________

Referências

BATISTA, José Humberto Gimenes. Compliance Digital na Administração Pública. Uberlândia: JHGB, 2021.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: https://www.planalto.gov.br. Acesso em: 17 set. 2025.

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei n. 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, DF, 15 ago. 2018.

BRASIL. Lei n. 8.429, de 2 de junho de 1992. Dispõe sobre improbidade administrativa. Diário Oficial da União, Brasília, DF, 3 jun. 1992.

GROSSI, Bernardo Menicucci (Org.). Lei Geral de Proteção de Dados: uma análise preliminar da Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre: Editora Fi, 2020.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (Coords.). LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2020.