TCU: Sete anos depois, só 42% dos órgãos federais estão adequados à LGPD
TCU deu 60 dias para 48 órgãos indicarem DPO. Governo, Justiça e Ministério Público precisam harmonizar LGPD e LAI
O Tribunal de Contas da União (TCU) revelou que apenas 42% dos órgãos públicos federais estão adequadamente preparados para cumprir a Lei Geral de Proteção de Dados Pessoais (Lei 1.3.709/18). Os achados, consolidados no Acórdão 1372/2025, indicam um despreparo generalizado que coloca em risco a segurança das informações pessoais dos cidadãos e compromete a transparência governamental.
A fiscalização do TCU, conduzida pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), por meio de um questionário de autoavaliação aplicado a 387 órgãos e entidades, demonstrou fragilidades em diversas frentes da adequação à LGPD. Indicadores como “Preparação”, “Contexto Organizacional” e “Capacitação” apresentaram baixos níveis de maturidade, revelando que a maioria das instituições ainda engatinha na implementação da legislação.
Entre as principais deficiências apontadas pelo TCU, destacam-se a insuficiência de controles para a proteção de dados pessoais e a precariedade na gestão do compartilhamento dessas informações. Áreas como a conformidade do tratamento de dados, medidas de proteção e o processo de violação de dados pessoais registraram índices alarmantes de não conformidade.
A auditoria também concluiu que há uma falta de governança formal e comprometimento da alta gestão com a proteção de dados. Muitos órgãos ainda não possuem políticas claras de segurança da informação ou de proteção de dados, e a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) – figura central para a LGPD – é ausente em diversas instituições.
LGPD x LAI
Um dos pontos críticos evidenciados pelo TCU é o conflito latente e a dificuldade de harmonização entre a LGPD e a Lei de Acesso à Informação (LAI). Enquanto a LAI preza pela transparência e acesso irrestrito à informação pública, a LGPD visa a proteção dos dados pessoais. A falta de clareza nessa relação tem levado a negativas indevidas de pedidos de acesso à informação e até mesmo à remoção de dados que deveriam ser públicos, prejudicando o controle social e a fiscalização cidadã. O próprio TCU já havia alertado para uma diminuição na transparência pública desde a vigência da LGPD em auditoria anterior.
O ministro Bruno Dantas pediu e o relator, Walton Alencar, aceitou trocar de recomendação por determinação da Corte de Contas para que CGU, CNJ, CNMP, SGD/MGI e Sest/MGI para que, em até 180 dias, orientem as organizações sob suas respectivas supervisões administrativas sobre a harmonização entre LGPD e LAI .”A invocação da Lei Geral de Proteção de Dados Pessoais como fundamento para negar, de forma genérica e infundada, o acesso a informações de interesse público representa grave deturpação da norma e afronta direta aos princípios da publicidade e da transparência”, disse o ministro.
O TCU emitiu uma série de recomendações para que os órgãos federais corrijam as deficiências. Entre as principais, está a necessidade de realizar medidas preparatórias para a LGPD, como mapeamento de dados e avaliação de riscos. Além disso, os órgãos devem estabelecer processos claros para atender aos direitos dos titulares dos dados, como acesso, retificação e exclusão, e também avaliar e regularizar o compartilhamento de dados pessoais com terceiros. E 48 organizações foram expressamente nominadas para que indiquem, em até 60 dias, encarregado de dados.
