DPO pode ser servidor do ente público?

Sim. A LGPD permite que o encarregado seja servidor do controlador (interno) ou contratado externo (terceirizado). Ambos têm o mesmo valor jurídico. A escolha depende do porte, da maturidade do programa e da capacidade de gerar autonomia decisória — interno é melhor em ente maduro com servidor capacitado; terceirizado é melhor em ente pequeno ou em início de programa.

ROPA precisa ser publicado?

Não. O ROPA é documento interno de accountability, acessível à ANPD mediante solicitação em fiscalização. A LAI exige publicidade de receita, despesa, contratos e atos administrativos — não do ROPA. Boa prática: publicar política de privacidade resumida e manter ROPA detalhado internamente.

O que comunicar ao titular em incidente de segurança?

Descrição do incidente em linguagem acessível, dados afetados, riscos a que o titular está exposto, medidas que o ente adotou e que o titular pode adotar, canal de contato para esclarecimento. Sem alarmismo desnecessário, sem omissão. A comunicação tardia ou omissa agrava processo posterior.

Cheat sheet · Encarregado de dados em ente público

Cheat sheet do DPO Público: LGPD operacional no setor público.

Página única para quem ocupa a função de encarregado pelo tratamento de dados pessoais (DPO) em prefeitura, secretaria estadual, autarquia ou órgão federal. Sem teoria — operação prática.

Em resumo

DPO público é obrigatório (LGPD art. 41) e responde por mapear tratamentos, definir bases legais, atender titular, conduzir DPIA, comunicar incidente à ANPD e orientar internamente. Esta é a referência rápida — bases, prazos, custos e fluxos para o dia a dia.

Bases legais da LGPD aplicáveis ao setor público

Art. 7º, I — consentimento do titular. Pouco usada no setor público, geralmente para tratamentos opcionais (newsletter, push, marketing institucional).
Art. 7º, II — cumprimento de obrigação legal ou regulatória. Base mais frequente para folha, tributário, atos administrativos exigidos por lei.
Art. 7º, III — execução de políticas públicas. Base específica do setor público. Cobre programa social, atendimento ao cidadão, serviço público em geral.
Art. 7º, IV — realização de estudos por órgão de pesquisa. Exige anonimização sempre que possível.
Art. 7º, V — execução de contrato. Usada em fornecedores e contratos com terceiros.
Art. 7º, VI — exercício regular de direitos em processo judicial, administrativo ou arbitral.
Art. 7º, IX — interesse legítimo. Raramente prevalece no setor público frente às bases específicas acima.
Art. 11, II, c — tratamento de dado pessoal sensível por execução de política pública. Saúde, assistência social, educação especial.

ROPA — Registro de Operações de Tratamento

Documenta cada operação de tratamento: dado tratado, finalidade, base legal, retenção, compartilhamento, controles aplicados.
Organizado por área da instituição — folha, atendimento ao cidadão, programas sociais, tributário, RH.
Atualizado quando há mudança real de tratamento — novo sistema, nova integração, mudança regulatória.
Acessível à ANPD em fiscalização — não precisa ser publicado, mas precisa estar disponível mediante solicitação.
Aceita formato planilha, sistema próprio ou ferramenta de mercado — escolha pragmática conforme porte.
Ponte natural com ROPA do fornecedor (operador) quando há terceirização — cláusula contratual deve obrigar entrega.

Direitos do titular — o fluxo operacional

Confirmação de existência de tratamento — responder se o ente trata dado do titular.
Acesso aos dados — fornecer cópia, em formato compreensível e portável.
Correção de dado incompleto, inexato ou desatualizado.
Anonimização, bloqueio ou eliminação de dado desnecessário, excessivo ou tratado em desconformidade.
Portabilidade a outro fornecedor ou prestador, observados segredo comercial e industrial.
Eliminação dos dados tratados com consentimento — observada hipótese de manutenção legal.
Informação sobre entidades públicas e privadas com as quais o controlador compartilhou dados.
Informação sobre possibilidade de não fornecer consentimento e consequências.
Revogação do consentimento.
Direito de revisão de decisões automatizadas — quando aplicável.

DPIA — Avaliação de Impacto à Proteção de Dados

Obrigatório quando o tratamento envolve risco alto a direitos e liberdades — definido por regulamentação da ANPD.
Casos típicos no setor público: reconhecimento facial em segurança pública; decisão automatizada em concessão de benefício; vigilância em larga escala; tratamento em massa de dado sensível.
Estrutura mínima: descrição da operação, necessidade e proporcionalidade, riscos identificados, probabilidade e gravidade, medidas de mitigação.
Revisado quando a operação muda materialmente — novo dado, nova integração, mudança de finalidade.
Documento de accountability — não precisa ser publicado, mas serve de defesa em fiscalização.
Pode ser conduzido com apoio externo, mas a responsabilidade formal é do controlador (ente público).

Incidente de segurança — o que fazer

Comunicar à ANPD em prazo razoável — a ANPD vem regulamentando o que é razoável. Boa prática: 48 a 72 horas da detecção.
Comunicar ao titular afetado quando o risco for relevante — sem alarmismo, sem omissão.
Conteúdo mínimo da comunicação à ANPD: descrição do incidente, dados afetados, número estimado de titulares, medidas mitigatórias adotadas, situação atual.
Registro interno do incidente com linha do tempo, ações tomadas e lições aprendidas.
Revisão dos controles que falharam — incidente não tratado vira reincidência.
Documentação para defesa em processo administrativo posterior — ANPD pode abrir investigação após comunicação.

Sanções administrativas previstas

Advertência — com indicação de prazo para adoção de medidas corretivas.
Multa simples — até 2% do faturamento do exercício anterior, limitada a R$ 50 milhões por infração.
Multa diária — observado o limite total da multa simples.
Publicização da infração após apurada e confirmada — exposição reputacional.
Bloqueio dos dados pessoais a que se refere a infração até regularização.
Eliminação dos dados pessoais a que se refere a infração.
Suspensão parcial do funcionamento do banco de dados a que se refere a infração — até 6 meses, prorrogável.
Suspensão do exercício da atividade de tratamento dos dados pessoais — até 6 meses, prorrogável.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Erros comuns que aparecem em fiscalização

Nomeação do DPO sem ato formal publicado ou sem contato divulgado em local de fácil acesso.
Acúmulo de função do DPO com gestor de sistema crítico — conflito de interesse direto.
ROPA inexistente ou desatualizado em relação às operações reais.
Tratamento sem base legal documentada — descobrir no momento da fiscalização é tarde.
Pedido do titular respondido fora do prazo razoável (15 dias é a referência prática).
Incidente de segurança não comunicado à ANPD por receio reputacional — vira agravante quando descoberto depois.
Cláusulas LGPD ausentes em contratos com fornecedores que tratam dado.
Política de retenção que mantém dado além do necessário — viola princípio da necessidade.
Compartilhamento de dado entre órgãos sem base legal específica para a operação.

Como estruturar um programa LGPD defensável

Diagnóstico inicial — inventário de tratamentos, sistemas, fluxos de dado.
Definição formal das bases legais — uma por operação, com fundamento documentado.
Nomeação do DPO por ato publicado, com contato divulgado.
ROPA por área da instituição.
Política de privacidade publicada e linguagem acessível ao cidadão.
Canal de atendimento ao titular — formulário, e-mail, formulário em portal — com prazo definido.
Plano de resposta a incidente — fluxo, responsáveis, comunicação.
Cláusulas LGPD em todos os contratos com fornecedores que tratam dado.
Treinamento de servidores — não basta o DPO saber.
Revisão periódica do programa — mínimo anual.

Tabela de decisão

Se isto acontece, faça aquilo.

Situação	Recomendação
Cidadão pede acesso à lista de servidores e remuneração	Atender com base na LAI (publicidade da função pública). Aspectos da atuação pública são intrinsecamente públicos (STF/STJ).
Cidadão pede acesso a lista de beneficiários de programa social	Atender com anonimização — fornecer dado agregado (quantidade, perfil) sem identificar individualmente o titular.
Sistema novo será implantado para concessão automatizada de benefício	DPIA obrigatório antes da entrada em produção. Decisão automatizada com efeito jurídico relevante é caso clássico.
Houve vazamento de dado por falha em sistema legado	Comunicar à ANPD em 48-72h. Conter o incidente, comunicar titulares afetados, revisar controle que falhou.
Servidor DPO quer acumular função com chefia de TI	Recusar. Conflito de interesse explícito. Solução interina: terceirizar DPO até reorganização institucional.
Contrato com fornecedor sem cláusula LGPD vai ser renovado	Aditivo contratual obrigatório antes da renovação. Sem cláusula, responsabilidade integral fica com o ente.
Outra secretaria pede dado pessoal para política transversal	Documentar base legal específica para o compartilhamento (geralmente art. 7º, III — execução de política pública). Registrar no ROPA.

Referências numéricas

Os números que tipicamente entram na conta.

Multa máxima por infração: 2% do faturamento, até R$ 50 milhões
Prazo para atender direito do titular: 15 dias
Prazo para comunicar incidente à ANPD: 48 a 72 horas (boa prática)
Vigência das sanções da LGPD: Desde agosto de 2021
Custo típico de DPO terceirizado: R$ 4 mil a R$ 20 mil/mês
Custo típico de programa LGPD em prefeitura média: R$ 80 mil a R$ 250 mil/ano

Perguntas comuns

Perguntas frequentes — DPO Público

DPO pode ser servidor do ente público?: Sim. A LGPD permite que o encarregado seja servidor do controlador (interno) ou contratado externo (terceirizado). Ambos têm o mesmo valor jurídico. A escolha depende do porte, da maturidade do programa e da capacidade de gerar autonomia decisória — interno é melhor em ente maduro com servidor capacitado; terceirizado é melhor em ente pequeno ou em início de programa.
ROPA precisa ser publicado?: Não. O ROPA é documento interno de accountability, acessível à ANPD mediante solicitação em fiscalização. A LAI exige publicidade de receita, despesa, contratos e atos administrativos — não do ROPA. Boa prática: publicar política de privacidade resumida e manter ROPA detalhado internamente.
O que comunicar ao titular em incidente de segurança?: Descrição do incidente em linguagem acessível, dados afetados, riscos a que o titular está exposto, medidas que o ente adotou e que o titular pode adotar, canal de contato para esclarecimento. Sem alarmismo desnecessário, sem omissão. A comunicação tardia ou omissa agrava processo posterior.

Aprofundar

Conteúdo relacionado.

Conversar

Comece pela jornada concreta da sua instituição.

Esta página é mapa, não rota. A conversa institucional começa por escutar restrições reais. Mande o cenário — devolvemos uma leitura honesta.

Conversar com a CIVITRIA Ver todas as soluções