Por que LGPD em prefeitura é diferente
A Lei Geral de Proteção de Dados (Lei 13.709/2018) trata o poder público com o mesmo rigor do setor privado quanto à proteção do titular, mas adapta as bases legais ao interesse público. Isso parece técnico, mas tem efeito prático: prefeitura processa dado sensível em larga escala (saúde, assistência social, educação, cobrança tributária) sob bases legais como execução de políticas públicas, obrigação legal e exercício regular de direitos — geralmente não consentimento.
O risco também é distinto. Vazamento em prefeitura raramente vira manchete por valor financeiro perdido — vira manchete por exposição de dados de crianças, beneficiários sociais ou pacientes. A reputação institucional do município paga o preço, e o custo político da gestão é alto. A ANPD já aplicou as primeiras sanções a entes públicos, e o ritmo deve acelerar.
O outro lado da moeda é a oportunidade: bem feita, a adequação LGPD profissionaliza a operação. Ela obriga a prefeitura a saber onde os dados estão, quem acessa o quê, como o cidadão pode pedir correção ou exclusão. Esse mapa é útil para muito além da conformidade — vira insumo de modernização administrativa.
Roteiro por porte: pequeno, médio, grande
O erro mais comum nas adequações municipais é copiar o programa de uma capital. Funciona mal. Pequeno, médio e grande porte têm restrições de equipe, orçamento e complexidade muito distintas, e o que faz sentido em cada um varia.
Prefeitura pequena (até 50 mil habitantes)
Realidade típica: equipe de TI enxuta (1 a 3 servidores), poucos sistemas centrais (geralmente um ERP único), volume baixo de dados sensíveis estruturados, mas alto volume de dado em papel ou planilha.
Programa mínimo viável: nomear formalmente um encarregado de dados (não precisa ser exclusivo — pode acumular com outro cargo, desde que tenha tempo), inventariar as operações de tratamento mais críticas (saúde, assistência, cobrança), publicar política de privacidade e aviso ao titular, e estabelecer um canal de atendimento (e-mail dedicado, formulário no portal).
O que NÃO fazer: contratar consultoria que entregue 30 documentos modelo sem implementar nada. Isso vira pasta morta — e quando a ANPD pedir evidência, a pasta não responde.
Prefeitura média (50 mil a 500 mil habitantes)
Realidade típica: equipe de TI maior, múltiplos sistemas (ERP, protocolo, portal de serviços, prontuário eletrônico), volume relevante de dados sensíveis e operação em mais de uma unidade administrativa.
Programa adequado: encarregado dedicado ou com dedicação parcial qualificada, comitê interno multisetorial, inventário ampliado de operações (ROPA) com base legal documentada, política de retenção por sistema, canal estruturado de atendimento ao titular com SLA, primeiras auditorias internas e plano de resposta a incidentes formalizado.
Ponto sensível: integração com sistemas estaduais e federais (SUS, e-Social, FNDE) traz operações transfronteiriças entre entes federativos — cada uma precisa de contrato de compartilhamento.
Prefeitura grande (acima de 500 mil habitantes)
Realidade típica: capitais e regiões metropolitanas com dezenas de sistemas, dados sensíveis em volume, alta exposição midiática e fiscalização por TCM/TCE atenta.
Programa robusto: encarregado dedicado em estrutura formal (DPO Office), DPIAs para tratamentos de alto risco (vigilância em saúde, predição em educação, reconhecimento facial em segurança, scoring social), sistema de gestão de incidentes integrado a centro de operações de segurança (SOC), publicação trimestral de relatórios de transparência, programa contínuo de capacitação de servidores.
Adicionalmente, é nesse porte que aparecem soluções algorítmicas (uso de IA, decisão automatizada) — cada uma exige avaliação de impacto e revisão humana documentada.
As 6 etapas que valem para qualquer porte
Independente do porte, há uma sequência lógica que evita retrabalho. Pular etapa para acelerar resultado quase sempre custa mais caro depois.
1. Diagnóstico e mapeamento
Antes de criar política, é preciso saber o que existe. Listar os sistemas que tratam dado pessoal, as finalidades, as bases legais aplicáveis, os atores envolvidos e a retenção atual. Esse é o inventário de operações de tratamento — o famoso ROPA. Sem ele, qualquer plano é palpite.
2. Nomeação formal do encarregado
Ato publicado, com contato divulgado no portal da prefeitura. O encarregado é interlocutor com a ANPD e com o titular. Pode ser servidor concursado, comissionado ou contratado — desde que tenha autonomia técnica e canal direto com o alto comando.
3. Adequação contratual
Contratos com fornecedores que tratam dado pessoal em nome da prefeitura (operadores) precisam de cláusulas específicas: finalidade, prazo, devolução/eliminação ao final, obrigações de segurança, comunicação de incidentes. Vale revisar contratos vigentes e padronizar minuta para licitações futuras.
4. Política de segurança e controles técnicos
Documento publicado interno que define controle de acesso (preferencialmente por papel — RBAC), autenticação forte para dados sensíveis (MFA), criptografia em repouso e em trânsito, política de backup, retenção e descarte. A política só vale se os controles existirem de fato — auditoria periódica é parte do programa.
5. Atendimento ao titular
Canal estruturado para o cidadão pedir acesso, correção, anonimização, eliminação ou portabilidade dos seus dados. Prazo legal de resposta (15 dias úteis para a maioria dos pedidos), fluxo interno definido, log dos atendimentos. O canal pode ser parte do portal de serviços já existente.
6. Plano de resposta a incidentes
Documento que descreve quem aciona quem em caso de vazamento, indisponibilidade ou acesso indevido. Define em quanto tempo a ANPD precisa ser comunicada (em regra, prazo razoável — interpretado como dois dias úteis para incidentes relevantes), como o titular afetado é notificado, e o que se faz para conter e remediar. Esse plano precisa ser testado — não basta existir no papel.
Armadilhas comuns
Tratar como projeto único com data de fim. LGPD é programa contínuo — termina o ciclo um, começa o ciclo dois. Quem entrega um pacote final e considera resolvido descobre o problema na primeira mudança de sistema, fornecedor ou processo.
Centralizar tudo na TI. LGPD é jurídico, administrativo, técnico e operacional ao mesmo tempo. Programa que vive só na TI esbarra em decisões que dependem do procurador, do controle interno e dos secretários finalísticos.
Confundir aviso de privacidade com programa de adequação. Publicar política no portal não muda a operação. O cidadão lê (raramente), entende (mais raramente) e segue confiando no que percebe — não no que está escrito.
Contratar encarregado terceirizado e desligar-se do tema. O DPO terceirizado funciona como apoio técnico, mas a responsabilidade institucional permanece com a prefeitura. Encarregado externo sem patrocínio interno do alto comando não consegue mudar nada.
Por onde começar amanhã
Se o seu município ainda não nomeou encarregado, esse é o passo zero — ato publicado, contato no portal, lista de e-mails de quem atende o titular hoje. Sem isso, qualquer outra coisa que aconteça é informal.
Se o encarregado já existe, o próximo movimento é o diagnóstico real. Não diagnóstico genérico ("a prefeitura precisa adequar X sistemas"), mas o ROPA por unidade — o que cada secretaria trata, sob qual base legal, por quanto tempo retém.
Se ROPA já existe, o que falta é fechar o ciclo: política de retenção por sistema, controle de acesso revisado, canal do titular operando com SLA, plano de resposta a incidentes testado pelo menos uma vez por ano.
Cada um desses ciclos cabe em algumas semanas, se houver patrocínio do alto comando e equipe técnica que cuide do dia a dia. Bem encadeados, em dois ou três anos a prefeitura sai de não-conformidade para um programa contínuo defensável — sem precisar de big bang nem de fornecedor único.