Pular para o conteúdo
CIVITRIA — Tecnologia para governos

Diferença entre

LAI × LGPD: diferenças, sobreposições e tensões.

LAI exige publicidade. LGPD exige proteção. As duas leis convivem na mesma instituição pública e, em casos específicos, tensionam-se. Este guia organiza onde cada uma se aplica, onde se sobrepõem e como tratar os casos em que o pedido de acesso à informação envolve dado pessoal.

Por Rodrígo Dell · Cofundador e CTO·· 9 min de leitura

Em resumo

LAI (Lei 12.527/2011) garante o direito do cidadão ao acesso a informações públicas, com publicidade como regra. LGPD (Lei 13.709/2018) protege dados pessoais e exige finalidade definida para qualquer tratamento. As duas convivem na mesma instituição e tensionam-se quando o pedido de acesso envolve dado pessoal — o caminho é anonimização e ponderação caso a caso.

O que cada lei garante, em uma frase

LAI (Lei 12.527/2011) é a lei brasileira que regulamenta o direito constitucional do cidadão de acesso a informações públicas (art. 5º, XXXIII, da CF/88). Estabelece que a publicidade é a regra e o sigilo é exceção, e cria mecanismos de transparência ativa (informações disponíveis sem provocação) e transparência passiva (atendimento a pedidos específicos).

LGPD (Lei 13.709/2018) é a lei brasileira que disciplina o tratamento de dados pessoais, definindo princípios (finalidade, necessidade, transparência), bases legais para o tratamento, direitos do titular e obrigações do controlador e do operador. Aplica-se integralmente a entes públicos.

As duas existem para proteger direitos distintos: LAI protege o direito difuso à informação pública; LGPD protege o direito individual à privacidade do titular de dados. Não são leis em conflito por desenho — são leis com escopos diferentes que, em alguns casos, exigem conciliação prática.

Onde cada lei se aplica?

LAI aplica-se a órgãos públicos da União, estados, Distrito Federal, municípios e a entidades privadas que recebam recursos públicos para finalidade pública (em parte). Cobre informações produzidas, custodiadas ou geridas pelo poder público — orçamento, contratos, decisões administrativas, agenda de autoridades, viagens, salários, atos normativos.

LGPD aplica-se a qualquer organização — pública ou privada — que trate dados pessoais no Brasil ou de pessoas localizadas no Brasil. Para o setor público, o escopo é amplo: dados de cidadãos, dados de servidores, dados de fornecedores. Toda operação de tratamento exige base legal e finalidade declarada.

Há ampla sobreposição de escopo. O ente público trata dados pessoais (LGPD se aplica) e simultaneamente custodia informação pública (LAI se aplica). A maior parte da operação cotidiana — folha, processo administrativo, cadastro de contribuinte, atendimento ao cidadão — está sob as duas leis ao mesmo tempo.

Quando LAI e LGPD se sobrepõem na prática?

A sobreposição mais frequente ocorre em pedidos de acesso à informação que envolvem dado pessoal de terceiros. Cidadão pede acesso à lista de servidores e seus salários — informação pública por LAI; dado pessoal dos servidores por LGPD. O ente público precisa atender o pedido sem violar a privacidade dos servidores.

Outras sobreposições típicas: pedido de relação de beneficiários de programa social (publicidade vs. proteção de dado sensível), acesso a processos administrativos disciplinares (transparência vs. honra do servidor envolvido), divulgação de agenda de autoridade (publicidade vs. dados de localização da autoridade).

Em geral, a leitura conjunta das duas leis chega a uma solução: anonimização de dados pessoais quando a finalidade da publicidade pode ser cumprida sem identificação; agregação estatística quando o interesse é o padrão, não o indivíduo; manutenção da identificação quando a transparência sobre o uso de recurso público é o ponto central (caso típico: nome e remuneração de servidor concursado, que a jurisprudência brasileira já consolidou como passível de divulgação).

Quando uma das leis prevalece sobre a outra?

Embora as duas convivam, há cenários em que uma delas tem peso maior. A regra prática de ponderação considera três fatores:

Quando LAI tende a prevalecer

Quando o titular exerce função pública relevante — servidor, autoridade política, fornecedor com contrato público. A jurisprudência brasileira, especialmente do STF e do STJ, consolidou que aspectos da atuação pública são intrinsecamente públicos. Nome de servidor concursado, salário do servidor público, atos administrativos formais — tudo isso é regra de publicidade.

Quando LGPD tende a prevalecer

Quando o titular é cidadão comum em relação privada com o ente público — beneficiário de programa social, paciente de saúde pública, aluno da rede pública, contribuinte em situação fiscal específica. Esses dados são protegidos com mais força, e a publicidade só se justifica em forma anonimizada ou agregada, com base legal específica.

Quando há tensão real

Casos em que a publicidade da informação acaba expondo dado pessoal sensível — beneficiário de saúde mental específica, criança sob medida protetiva, vítima de violência. Nesses casos, o caminho é anonimização cuidadosa, com parecer documentado de quem decidiu pelo que. A decisão precisa estar rastreável caso seja questionada depois.

Como tratar pedidos de acesso que envolvem dados pessoais?

O fluxo prático que funciona em entes públicos com programa maduro tem quatro passos:

Primeiro, classificar o pedido. O que está sendo pedido é informação genuinamente pública (atos, orçamento, contratos), informação que contém dado pessoal de servidor em função pública (público com proteção parcial) ou informação sobre cidadão comum em relação com o ente (proteção elevada)?

Segundo, identificar a base legal. Se a publicidade decorre direta da LAI (regra geral), atender com publicação direta. Se há dado pessoal envolvido, identificar a base legal LGPD que justifica o tratamento — geralmente "cumprimento de obrigação legal" ou "execução de políticas públicas", para o ente público.

Terceiro, decidir sobre anonimização. Quando a finalidade da publicidade pode ser cumprida sem identificação individual, anonimizar é a regra prudente. Pseudonimização (substituir identificadores diretos por código) ou agregação (apresentar dado estatístico, não individual) são técnicas comuns.

Quarto, documentar a decisão. O encarregado de dados (DPO) deve registrar a base legal e os critérios usados em cada caso relevante. Documentação consistente protege a instituição em fiscalização da ANPD ou em ação judicial posterior.

Quais erros aparecem com frequência ao tratar as duas leis?

Erro frequente número um: invocar LGPD para negar pedido legítimo de acesso. "Não posso fornecer o salário do servidor concursado porque a LGPD protege esse dado" é resposta errada — a jurisprudência consolidada autoriza a divulgação, e a recusa expõe a instituição em controle externo.

Erro frequente número dois: divulgar dado pessoal sensível em nome da transparência. Lista nominal de beneficiários de programa de assistência social, sem anonimização, expõe dado sensível e viola a LGPD — sem ganho real de controle social, que pode ser feito por dado agregado.

Erro frequente número três: tratar as duas leis em silos institucionais separados. Quando o setor de transparência (responsável pela LAI) e o encarregado de dados (responsável pela LGPD) não conversam, decisões inconsistentes aparecem em pedidos similares. Comitê integrado é prática que funciona.

Erro frequente número quatro: não documentar decisões. Decisão tomada de cabeça hoje sem registro vira problema amanhã, quando alguém questiona ou quando o servidor que decidiu não está mais. Registro escrito da base legal e dos critérios é proteção institucional.

Por onde começar a integrar as duas leis na sua instituição

Primeiro: mapear os pedidos típicos. Quais pedidos de acesso a instituição recebe com mais frequência? Quais envolvem dado pessoal? Esse inventário simples ilumina onde a tensão LAI-LGPD aparece de fato.

Segundo: estabelecer uma matriz de decisão. Para cada tipo recorrente de pedido, definir antecipadamente o tratamento padrão — publicar integral, publicar anonimizado, publicar agregado, sigiloso por base legal específica. Decisão padronizada reduz inconsistência e acelera atendimento.

Terceiro: integrar setor de transparência e encarregado de dados em rito mensal. Não precisa de comitê formal grande — uma reunião curta para discutir casos limítrofes do mês é suficiente para construir jurisprudência interna.

A conciliação das duas leis raramente é juridicamente impossível. É operacionalmente desafiadora quando o ente não tem rotina de integração. Construir essa rotina é exercício de governança contínua, não projeto pontual.

Resumo factual

O que fica do artigo

  • LAI (Lei 12.527/2011) regulamenta o direito constitucional do cidadão de acesso a informações públicas, estabelecendo que a publicidade é a regra e o sigilo a exceção em entes públicos brasileiros.
  • LGPD (Lei 13.709/2018) disciplina o tratamento de dados pessoais por organizações públicas e privadas, exigindo base legal e finalidade declarada para qualquer operação envolvendo dado pessoal.
  • As duas leis sobrepõem-se na maior parte da operação cotidiana de ente público — folha, processo administrativo, cadastro de contribuinte, atendimento ao cidadão estão simultaneamente sob LAI e LGPD.
  • A jurisprudência consolidada do STF e do STJ autoriza a divulgação de nome e remuneração de servidor concursado em portal de transparência, ainda que sejam dados pessoais — a função pública prevalece sobre proteção individual nesses casos.
  • O caminho prático para conciliar as duas leis em pedidos sensíveis é anonimização ou agregação estatística, com decisão documentada pelo encarregado de dados (DPO) e rastreável em caso de fiscalização ou ação judicial.

Perguntas comuns

Perguntas frequentes

Qual a diferença entre LAI e LGPD?
LAI garante o direito do cidadão ao acesso a informações públicas, com publicidade como regra. LGPD protege dados pessoais e exige base legal e finalidade declarada para qualquer tratamento. LAI atua sobre informação pública; LGPD atua sobre dado pessoal — e as duas convivem na mesma instituição pública, sobrepondo-se quando o pedido de acesso envolve dado pessoal.
LGPD pode ser usada para negar pedido de informação pública?
Não como regra. A jurisprudência consolidada autoriza divulgação de informações sobre função pública (nome de servidor concursado, salário, atos administrativos) mesmo quando contêm dado pessoal. Invocar LGPD para recusar pedido legítimo de acesso a esse tipo de informação expõe a instituição em controle externo e gera responsabilização.
Posso publicar nome e salário de servidor público no portal de transparência?
Sim. A jurisprudência do STF e do STJ consolidou que nome e remuneração de servidor concursado são informações públicas, sujeitas à transparência ativa por força da LAI. A LGPD não impede essa publicação — ela exige proteção em outros contextos, mas reconhece a função pública como vetor de publicidade.
Quando devo anonimizar dados em resposta a um pedido LAI?
Quando a finalidade da publicidade pode ser cumprida sem identificação individual e o pedido envolve dado pessoal de cidadão em relação privada com o ente (beneficiário de programa social, paciente de saúde, aluno). Pseudonimização (substituir identificador por código) ou agregação estatística são as técnicas mais usadas. A decisão deve ser registrada por escrito.
Quem decide se um pedido LAI pode ser atendido apesar de envolver dados pessoais?
Em órgãos com programa LGPD maduro, a decisão envolve o setor de transparência (responsável pela LAI) em conjunto com o encarregado de dados (DPO). Quando há tensão real, o parecer técnico do DPO orienta a decisão final, que precisa ser documentada e rastreável. Sem essa integração, decisões inconsistentes aparecem em pedidos similares.

Relacionados

Continue por aqui.

Conversar

A conversa começa pela sua realidade.

Mande o cenário institucional e os indicadores que mais doem hoje. Devolvemos uma leitura honesta — incluindo dizer quando ainda não é a hora.

Conversar com a CIVITRIAVer todas as soluções