Princípios da LGPD aplicáveis ao Setor Público: o que a Administração Pública precisa observar

Por que a LGPD se aplica integralmente ao Poder Público

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) alcança o tratamento de dados realizado tanto por pessoa de direito privado quanto por pessoa jurídica de direito público.

O art. 1º da lei é expresso ao dispor que suas normas gerais são de interesse nacional e devem ser observadas pela União, pelos Estados, pelo Distrito Federal e pelos Municípios.

A consequência é direta: a boa-fé e os princípios do art. 6º vinculam toda a Administração Pública, direta e indireta.

Essa incidência foi reforçada pela Emenda Constitucional nº 115/2022, que inscreveu a proteção de dados pessoais no rol de direitos fundamentais (art. 5º, LXXIX, da Constituição).

A mesma emenda fixou a competência privativa da União para legislar sobre o tema (art. 22, XXX) e para organizar e fiscalizar a proteção e o tratamento de dados (art. 21, XXVI).

Antes mesmo dessa positivação, o Supremo Tribunal Federal já reconhecia a proteção de dados como direito fundamental autônomo, como se verá adiante.

Os princípios do art. 6º e seu impacto sobre a Administração

O caput do art. 6º da LGPD estabelece a boa-fé como vetor que orienta todos os demais princípios.

"As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios."

Trata-se de princípio de observância cumulativa, e não eletiva, que funciona como filtro de proporcionalidade de qualquer tratamento.

Finalidade, adequação e necessidade

Esses três princípios formam a restrição mais intensa às atividades de tratamento.

Pela finalidade (art. 6º, I), os dados só podem ser tratados para propósitos legítimos, específicos, explícitos e informados ao titular.

Pela adequação (art. 6º, II), o tratamento deve ser compatível com as finalidades informadas, de acordo com o contexto.

Pela necessidade (art. 6º, III), o tratamento limita-se ao mínimo indispensável, vedados dados excessivos.

No setor público, esse trio exige que cada coleta esteja ancorada em uma competência legal e em um interesse público concreto.

Livre acesso, qualidade e transparência

O livre acesso (art. 6º, IV) garante ao titular consulta facilitada e gratuita sobre a forma, a duração e a integralidade do tratamento.

A qualidade dos dados (art. 6º, V) impõe exatidão, clareza, relevância e atualização das informações.

A transparência (art. 6º, VI) assegura informações claras, precisas e facilmente acessíveis sobre o tratamento e seus agentes.

No Estado, esse grupo dialoga com o habeas data (art. 5º, LXXII), o direito de obter informações de órgãos públicos (art. 5º, XXXIII) e a publicidade administrativa (art. 37, caput).

Na prática, reproduz o desafio cultural de superação do sigilo já enfrentado na implementação da Lei de Acesso à Informação.

Segurança, prevenção e responsabilização

A segurança (art. 6º, VII) determina o uso de medidas técnicas e administrativas que protejam os dados contra acessos não autorizados e incidentes.

A prevenção (art. 6º, VIII) impõe a adoção de medidas voltadas a evitar danos decorrentes do tratamento.

A responsabilização e prestação de contas (art. 6º, X) exige que o agente demonstre a adoção e a eficácia dessas medidas — o chamado accountability.

São esses princípios que fundamentam o dever de comunicar incidentes de segurança e de manter programas de governança em privacidade.

Não discriminação

Aqui convém desfazer um equívoco recorrente: o inciso IX do art. 6º trata da não discriminação, e não de qualquer "não responsabilização".

O dispositivo veda a realização do tratamento para fins discriminatórios ilícitos ou abusivos.

No âmbito estatal, a regra homenageia o princípio constitucional da igualdade (art. 5º, caput e XLI).

O Capítulo IV: o regime próprio do Poder Público

Para além do art. 6º, a LGPD dedica um capítulo inteiro ao Estado, nos arts. 23 a 30.

O art. 23 condiciona o tratamento pelas pessoas jurídicas de direito público ao atendimento de sua finalidade pública e à persecução do interesse público, no cumprimento de competências legais.

O mesmo artigo exige informação clara sobre as hipóteses de tratamento, preferencialmente nos sítios eletrônicos, e a indicação de um encarregado.

O art. 26 disciplina o uso compartilhado de dados pelo Poder Público, que deve atender a finalidades específicas de execução de políticas públicas, respeitados os princípios do art. 6º.

Como regra, é vedado ao Poder Público transferir a entidades privadas os dados a que tenha acesso, ressalvadas as exceções legais.

Já o art. 24 esclarece que empresas públicas e sociedades de economia mista em regime de concorrência recebem o mesmo tratamento dispensado às pessoas de direito privado.

O exercício dos direitos do titular perante o Estado observa, ainda, a Lei do Habeas Data, a Lei do Processo Administrativo e a Lei de Acesso à Informação (art. 23, § 3º).

Atualizações jurisprudenciais

O Supremo Tribunal Federal foi pioneiro ao enfrentar o tema no setor público.

Em maio de 2020, ao julgar as ADIs 6387, 6388, 6389, 6390 e 6393 (Rel. Min. Rosa Weber), a Corte suspendeu a Medida Provisória 954/2020, que previa o compartilhamento de dados de usuários de telefonia com o IBGE.

Naquele julgamento, o STF reconheceu a proteção de dados como direito fundamental autônomo e aplicou os filtros da finalidade, da adequação e da necessidade.

Em 15 de setembro de 2022, no julgamento conjunto da ADI 6649 e da ADPF 695 (Rel. Min. Gilmar Mendes), o STF analisou o Decreto nº 10.046/2019, que instituiu o Cadastro Base do Cidadão.

A Corte conferiu interpretação conforme à Constituição, admitindo o compartilhamento entre órgãos públicos desde que pautado em propósitos legítimos, específicos e explícitos.

O Tribunal declarou inconstitucional o art. 22 do decreto, preservando temporariamente a estrutura do Comitê Central de Governança de Dados para sua readequação a um perfil independente e plural.

No Superior Tribunal de Justiça, o REsp 2.147.374/SP (Rel. Min. Ricardo Villas Bôas Cueva, 3ª Turma, 2024) reafirmou a autodeterminação informativa e a responsabilidade do agente de tratamento diante de incidentes de segurança.

A ANPD agora é uma Agência reguladora

A autoridade fiscalizadora mudou de patamar desde a redação original deste tema.

A Lei nº 15.352/2026, fruto da conversão da Medida Provisória nº 1.317/2025, transformou a Autoridade Nacional de Proteção de Dados em Agência Nacional de Proteção de Dados (ANPD).

A ANPD passou a ser autarquia de natureza especial vinculada ao Ministério da Justiça e Segurança Pública, integrando o regime das agências reguladoras.

No setor público, vale destacar que os órgãos e entidades estatais não estão sujeitos à multa prevista na LGPD.

Segundo o art. 52, § 3º, aplicam-se a eles sanções como advertência, publicização da infração, bloqueio e eliminação de dados e suspensão, sem prejuízo do disposto na Lei de Improbidade Administrativa e na Lei de Acesso à Informação.

Como o Jusdocs pode ajudar

A atuação em proteção de dados no setor público exige fundamentação atualizada e segura.

No Jusdocs, você acessa jurisprudência atualizada dos tribunais para embasar requerimentos, defesas administrativas e ações relacionadas a dados pessoais.

Para o caso concreto, consulte o acervo de modelos de peças, que reúne, entre outros, habeas data e requerimentos administrativos voltados ao exercício dos direitos do titular perante o Poder Público.

Conheça também o JusDog IA, a inteligência artificial do Jusdocs que gera peças personalizadas, com jurisprudência do tribunal que você escolher.

Conclusão

Os princípios da LGPD não são diretrizes abstratas: possuem âncoras constitucionais e vinculam diretamente a Administração Pública.

O tratamento de dados pelo Estado submete-se ao art. 6º, ao regime específico dos arts. 23 a 30 e à fiscalização da ANPD, hoje estruturada como agência reguladora.

Diante de um cenário normativo e jurisprudencial em constante evolução, verificar a vigência e a atualidade de cada norma é condição essencial para uma atuação jurídica segura.