Pular para o conteúdo
CIVITRIA — Tecnologia para governos

Custo

Quanto custa um programa LGPD: faixas reais por porte.

Adequação à LGPD em ente público não é projeto de uma vez e não é cheque único — é programa contínuo com componentes que se acumulam por anos. Este guia organiza faixas realistas de custo por porte do município, com os componentes que entram e os que costumam ficar de fora do orçamento.

Por Rodrígo Dell · Cofundador e CTO·· 9 min de leitura

Em resumo

Programa LGPD em prefeitura pequena custa entre R$ 30 mil e R$ 120 mil por ano. Em prefeitura média, R$ 100 mil a R$ 400 mil/ano. Em prefeitura grande ou secretaria estadual, R$ 300 mil a R$ 1,2 milhão/ano. Os valores cobrem encarregado, ROPA, política, controles técnicos, treinamento e gestão de incidentes — distribuídos entre folha interna e consultoria externa.

Por que faixa, não preço único?

Adequação à LGPD é programa, não produto. Não há preço fixo porque o que se está pagando difere por porte do ente, maturidade do ponto de partida, sensibilidade dos dados tratados e ambição da gestão. Ente que parte do zero gasta diferente de ente que já tinha encarregado nomeado e ROPA inicial; ente com hospital próprio gasta diferente de ente sem operação de saúde direta.

Os números neste artigo refletem faixas observadas em ente público brasileiro real, em horizonte anual de operação madura — não cotação de implantação inicial. Cotação real em pregão específico vai variar e, às vezes, ficar bem fora dessas faixas, em qualquer direção.

A regra prática: orçamento LGPD deve ser absorvível dentro do orçamento de tecnologia e governança do ente, não tratado como projeto excepcional. Quando vira projeto excepcional, sai caro; quando vira linha orçamentária permanente, fica em escala razoável.

Quais componentes entram no custo de um programa LGPD?

Antes de discutir valores, vale isolar os componentes. Programa LGPD maduro tem seis componentes que se acumulam:

1. Encarregado (DPO) — interno, terceirizado ou híbrido

Custo de remuneração ou de contrato. Pode ser servidor interno com acúmulo de função (custo parcial de folha), servidor dedicado (custo integral), consultoria externa (contrato mensal) ou modelo híbrido (combinação). Componente recorrente, mais previsível dos seis.

2. Diagnóstico e ROPA inicial

Mapeamento de operações de tratamento — quais sistemas tratam dado pessoal, com qual finalidade, sob qual base legal, com qual retenção. Custo concentrado no início do programa (geralmente entre R$ 30 mil e R$ 200 mil em consultoria, dependendo do porte) e depois redistribuído como manutenção evolutiva do ROPA.

3. Políticas e governança

Documentação que estrutura o programa — política de privacidade, política de segurança, política de retenção, política de incidentes. Custo de elaboração inicial (consultoria especializada ou jurídico interno) e custo recorrente de manutenção (revisão anual, alinhamento com regulamentações novas).

4. Controles técnicos

Implementação de RBAC nos sistemas, MFA para acesso a dado sensível, criptografia em repouso e em trânsito, log de acesso auditável. Custo embutido em projetos de TI mais amplos — não há linha exclusiva para LGPD, mas adequação adiciona requisitos a cada contratação.

5. Treinamento e cultura

Capacitação periódica de servidores em LGPD, com módulos básicos para todos e módulos específicos para áreas que tratam dado sensível (saúde, assistência social, RH). Custo recorrente, geralmente entre R$ 10 mil e R$ 80 mil/ano conforme escala do quadro de servidores.

6. Gestão de incidentes

Plano de resposta a incidentes documentado, simulação periódica, capacidade de responder a vazamento ou violação dentro do prazo legal. Custo concentrado em implementação inicial e em ferramentas de detecção (geralmente embutidas em soluções de segurança da TI), mais resposta contingencial quando um incidente real ocorre.

Quanto custa em prefeitura pequena (até 50 mil habitantes)?

Cenário típico: equipe de TI mínima (1 a 3 servidores), poucos sistemas centrais (geralmente um ERP único), volume baixo de dados sensíveis estruturados, alto volume de dado em papel ou planilha. Programa LGPD nesse porte foca no mínimo viável defensável.

Faixa de custo anual: R$ 30 mil a R$ 120 mil. Distribuição típica:

Encarregado de dados em modelo híbrido (servidor interno com acúmulo + apoio de consultoria externa pontual): R$ 15 mil a R$ 50 mil/ano.

ROPA inicial e manutenção evolutiva (consultoria de duas a quatro semanas inicial, revisão semestral): R$ 8 mil a R$ 30 mil/ano em média ao longo dos três primeiros anos.

Políticas e governança (elaboração inicial + revisão anual): R$ 3 mil a R$ 15 mil/ano em média.

Treinamento básico para servidores (3 a 5 horas/ano, módulos online ou presenciais): R$ 4 mil a R$ 25 mil/ano.

Controles técnicos e gestão de incidentes: tipicamente embutidos em contratos de TI existentes, sem custo isolado relevante para a LGPD nesta faixa.

Investimento inicial concentrado (primeiro ano): pode chegar a R$ 80 mil a R$ 200 mil se o ente parte do zero, com diagnóstico aprofundado e construção do programa. Nos anos seguintes, o valor recorrente cai para a faixa anual indicada.

Quanto custa em prefeitura média (50 a 500 mil habitantes)?

Cenário típico: equipe de TI estruturada (5 a 20 servidores), múltiplos sistemas centrais, operação em várias secretarias finalísticas, volume relevante de dado sensível (saúde, educação, assistência social, RH).

Faixa de custo anual: R$ 100 mil a R$ 400 mil. Distribuição típica:

Encarregado dedicado ou em dedicação parcial qualificada, com comitê interno multissetorial: R$ 60 mil a R$ 180 mil/ano (folha + apoio externo).

ROPA ampliado e manutenção evolutiva (consultoria com presença mensal, revisão por secretaria): R$ 30 mil a R$ 80 mil/ano.

Programa de DPIAs para tratamentos de alto risco (vigilância em saúde, decisão automatizada em benefício social): R$ 15 mil a R$ 50 mil/ano em consultoria especializada.

Políticas, governança e adequação contratual com operadores: R$ 10 mil a R$ 40 mil/ano.

Treinamento estruturado (módulos básicos + específicos por área sensível): R$ 15 mil a R$ 60 mil/ano.

Controles técnicos específicos (RBAC, MFA, log auditável) e ferramentas de detecção de incidentes: R$ 30 mil a R$ 100 mil/ano em parcela alocada à LGPD dentro do orçamento de TI/segurança.

Quanto custa em prefeitura grande ou secretaria estadual?

Cenário típico: capital, cidade metropolitana ou secretaria estadual com dezenas de sistemas em operação simultânea, volume alto de dado sensível, exposição midiática elevada, fiscalização atenta de TCM/TCE e jurisprudência da ANPD em formação.

Faixa de custo anual: R$ 300 mil a R$ 1,2 milhão. Distribuição típica:

DPO Office formal (encarregado dedicado, equipe de apoio com 2 a 5 servidores, jurídico de privacidade): R$ 200 mil a R$ 700 mil/ano em folha e estrutura.

Programa de DPIAs robusto, com cobertura de tratamentos automatizados (predição, scoring, reconhecimento facial): R$ 50 mil a R$ 150 mil/ano.

Adequação contratual sistemática e gestão de operadores: R$ 20 mil a R$ 60 mil/ano em revisão de contratos.

Publicação trimestral de relatórios de transparência sobre tratamento de dados: R$ 15 mil a R$ 40 mil/ano em comunicação e portal.

Programa contínuo de capacitação de servidores em múltiplos níveis: R$ 30 mil a R$ 100 mil/ano.

Sistema de gestão de incidentes integrado a centro de operações de segurança (SOC), com simulação anual: R$ 50 mil a R$ 200 mil/ano em parcela LGPD dentro do orçamento de segurança.

Quais armadilhas mais frequentes inflam o custo real?

Cinco armadilhas inflam o custo de programa LGPD no setor público:

Tratar como projeto de uma vez. Programa LGPD que tem data de fim termina como projeto fracassado — o orçamento de implantação é gasto, o programa não é mantido e, no ano seguinte, há nova implantação "emergencial". Custo total maior do que se o orçamento fosse linha permanente.

Centralizar tudo na TI. LGPD é tema jurídico, administrativo, técnico e operacional ao mesmo tempo. Programa que vive só na TI custa mais (porque retrabalha em interfaces) e entrega menos (porque não muda processo finalístico). Distribuir governança entre TI, jurídico, controle interno e secretarias finalísticas reduz custo total.

Comprar produto LGPD em pacote. "Solução LGPD completa" vendida como produto único costuma ser cara e genérica. Programa real é construído com peças (DPO, ROPA, política, controles, treinamento) que vêm de fornecedores diferentes — cada uma especializada.

Subestimar formação interna. Treinamento que é só palestra anual de 1 hora não muda comportamento de servidor. Programa que funciona inclui módulos específicos por função, simulação prática e atualização periódica. Subdimensionar esse componente gera incidente que custa muito mais que o treinamento evitado.

Reagir a apontamento da ANPD em vez de antecipar. Quando a ANPD notifica, o custo de remediação é geralmente várias vezes maior que o custo de prevenção que teria sido feito antes. Programa preventivo é mais barato que defesa reativa.

Por onde começar a dimensionar o orçamento defensável

Primeiro: identificar o porte real do ente e o ponto de partida. Ente que nunca teve encarregado nomeado precisa de investimento inicial maior; ente com programa em andamento orça menos por ano mas precisa sustentar continuidade.

Segundo: separar capex e opex desde o início. Implantação inicial (diagnóstico, ROPA inicial, política base, primeira capacitação) é capex; manutenção evolutiva (encarregado, revisão de ROPA, treinamento contínuo) é opex. Confundir os dois leva a orçamento que parece cair e depois não cabe.

Terceiro: distribuir custo entre folha interna e contratos. Programa que depende exclusivamente de consultoria externa fica caro e cria dependência; programa que depende exclusivamente de folha interna fica limitado pela especialização disponível. A combinação dos dois é mais defensável.

Quarto: tratar como linha orçamentária permanente. Quando LGPD vira parte do orçamento ordinário de governança e TI, o custo se estabiliza em faixa previsível. Quando vira projeto excepcional renovado a cada gestão, o custo total ao longo dos anos é significativamente maior — sem entrega proporcional.

Resumo factual

O que fica do artigo

  • Programa LGPD em prefeitura pequena (até 50 mil habitantes) custa entre R$ 30 mil e R$ 120 mil por ano de operação madura, com investimento inicial concentrado de R$ 80 mil a R$ 200 mil se o ente parte do zero.
  • Programa LGPD em prefeitura média (50 a 500 mil habitantes) custa entre R$ 100 mil e R$ 400 mil por ano, com encarregado dedicado ou em dedicação parcial qualificada e comitê multissetorial interno.
  • Programa LGPD em prefeitura grande ou secretaria estadual custa entre R$ 300 mil e R$ 1,2 milhão por ano, com DPO Office formal, programa de DPIAs robusto e sistema de gestão de incidentes integrado.
  • Os seis componentes de um programa LGPD são encarregado (DPO), diagnóstico e ROPA, políticas e governança, controles técnicos, treinamento e cultura, e gestão de incidentes — distribuídos entre folha interna e contratos externos.
  • Modelo híbrido de encarregado (servidor interno + apoio de consultoria especializada) é o que mais frequentemente entrega bom custo-benefício, especialmente em entes de porte médio para cima.

Perguntas comuns

Perguntas frequentes

Quanto custa adequar uma prefeitura pequena à LGPD?
Em municípios de até 50 mil habitantes, o custo anual de um programa LGPD em operação madura fica entre R$ 30 mil e R$ 120 mil. Se o ente parte do zero, o investimento inicial pode chegar a R$ 80 mil a R$ 200 mil no primeiro ano, com queda nos anos seguintes. Inclui encarregado em modelo híbrido, ROPA, políticas, treinamento básico e controles técnicos.
Qual o custo anual de um programa LGPD em prefeitura média?
Entre R$ 100 mil e R$ 400 mil por ano para municípios de 50 a 500 mil habitantes, incluindo encarregado dedicado ou em dedicação parcial qualificada, ROPA ampliado, programa de DPIAs para tratamentos de alto risco, adequação contratual com operadores, treinamento estruturado por área e controles técnicos específicos.
O que aumenta o custo de adequação LGPD em ente público?
Tratar como projeto de uma vez (em vez de programa contínuo), centralizar tudo na TI (em vez de distribuir governança), comprar "solução LGPD" em pacote único, subestimar formação interna e reagir a apontamento da ANPD em vez de antecipar. Esses cinco erros são responsáveis pela maior parte dos sobrecustos observados em programas LGPD do setor público.
Como financiar um programa LGPD no setor público?
Tratar como linha orçamentária permanente dentro do orçamento de governança e TI, não como projeto excepcional. Distribuir custo entre folha interna (servidor concursado em função de encarregado, capacitação interna) e contratos externos (consultoria especializada, DPIAs, treinamento avançado). Em alguns casos, recursos PMAT do BNDES podem financiar a componente de modernização tecnológica vinculada.
É possível ter programa LGPD eficaz em prefeitura pequena com orçamento de R$ 30 mil/ano?
Sim, em municípios pequenos e com programa minimalista estruturado. Encarregado em modelo híbrido (servidor interno + consultoria externa pontual), ROPA inicial bem feito e revisado semestralmente, política base publicada, canal de atendimento ao titular operando, plano de incidentes documentado. Não cobre tudo, mas estabelece o mínimo defensável perante fiscalização da ANPD.

Relacionados

Continue por aqui.

Conversar

A conversa começa pela sua realidade.

Mande o cenário institucional e os indicadores que mais doem hoje. Devolvemos uma leitura honesta — incluindo dizer quando ainda não é a hora.

Conversar com a CIVITRIAVer todas as soluções