Skip to content

Como garantir que a Câmara cumpra a Lei Geral de Proteção de Dados (LGPD)

    Como garantir que a Câmara cumpra a Lei Geral de Proteção de Dados (LGPD)

    Quem vive a rotina de uma Casa Legislativa sabe que a LGPD não entra só pela porta da tecnologia. Ela entra pela ouvidoria, pelo protocolo, pelo gabinete, pela sessão plenária, pelo RH, pela licitação, pelo portal da transparência e até pelo grupo de mensagens que a equipe usa para tocar o expediente. O erro de muita Câmara é tratar a lei como assunto de site, quando na verdade ela é assunto de governança, conduta e responsabilidade institucional.

    Eu lhe digo isso com a franqueza de quem já viu muito problema começar pequeno e ganhar corpo por descuido. Às vezes o estrago não nasce de um ataque sofisticado. Nasce de um currículo repassado sem critério, de um processo administrativo publicado com CPF exposto, de uma lista de presença enviada em grupo errado, de uma planilha aberta demais para gente demais, de uma empresa contratada que acessa o sistema da Casa sem regra clara. Quando isso acontece, não adianta correr para fazer comunicado bonito. O dano já entrou no plenário, no jurídico e na imagem da Câmara.

    Garantir que a Câmara cumpra a LGPD é organizar a Casa para tratar dado pessoal com finalidade, necessidade, transparência, segurança e prestação de contas. Não é esconder informação pública. Não é burocratizar o mandato. Não é inventar carimbo novo para tudo. É separar o que pode ser divulgado, o que precisa ser protegido, quem decide, quem executa, quem fiscaliza e como se corrige o erro antes que ele vire incidente.

    Vou tratar esse tema como eu trataria numa conversa séria com presidente de Câmara, vereador de primeiro mandato, diretor geral, procurador e equipe administrativa. Sem enfeite desnecessário. Sem juridiquês para impressionar. O foco aqui é sair da intenção e montar uma rotina que funcione de verdade.

    Comece pelo mapa real dos dados que circulam na Casa

    A primeira providência de uma Câmara que quer cumprir a LGPD com seriedade é parar de falar da lei em abstrato e olhar para o chão da repartição. Toda Casa Legislativa trata dados pessoais o dia inteiro. Trata quando recebe currículo para contratação, quando cadastra servidor, quando responde e-SIC, quando grava audiência pública, quando coleta contato em inscrição de evento, quando registra visita, quando protocola denúncia e quando publica matéria no portal. Quem não mapeia isso trabalha no escuro.

    O problema do escuro é simples. Sem mapa, a Câmara não sabe onde estão os dados, por que os coleta, quem acessa, com quem compartilha, por quanto tempo guarda e qual base legal sustenta cada tratamento. Aí a gestão começa a agir por intuição. E intuição, nesse tema, é a estrada mais curta para o improviso.

    Imagem 1. Mapa prático dos pontos da Câmara em que dados pessoais entram, circulam, são publicados e são compartilhados.

    Onde a Câmara trata dados sem perceber

    Muita Câmara acha que trata dado pessoal apenas no portal institucional ou no cadastro do servidor. Está enganada. O tratamento começa antes. Começa no balcão do protocolo, no requerimento apresentado por cidadão, na denúncia encaminhada à ouvidoria, no gabinete que recebe currículo, na escola do legislativo que abre inscrição para curso, no setor de compras que recebe proposta de fornecedor, no cerimonial que organiza lista de presença e no sistema de processo legislativo que registra nome, contato e manifestação de quem acompanha a pauta.

    Quando eu converso com equipes legislativas, gosto de pedir um exercício bem concreto. Vamos andar pela Casa, setor por setor, e perguntar apenas cinco coisas: que dados entram aqui, para que entram, quem usa, onde ficam guardados e para onde saem. Esse passeio costuma revelar muito mais do que uma pilha de norma. Às vezes o RH guarda cópia excessiva de documentos. Às vezes o gabinete coleta mais informação do que precisa. Às vezes a ouvidoria recebe dado sensível sem fluxo próprio de tratamento. Às vezes a transmissão de sessão captura informação que depois é recortada e republicada sem critério.

    A LGPD não cobra da Câmara um discurso genérico de boas intenções. Ela cobra aderência entre finalidade, necessidade e prática. Por isso o mapa precisa alcançar o que é visível e o que é invisível. Não basta olhar o sistema oficial. Tem que olhar também a planilha paralela, o pendrive do setor, a pasta compartilhada, o e-mail funcional, o grupo de mensagens e a impressora que cospe documento esquecido na bandeja.

    Essa etapa é importante porque desmonta uma fantasia comum. A de que o risco mora apenas em tecnologia sofisticada. Na experiência administrativa, o risco mora quase sempre onde a rotina criou costume sem regra. E costume sem regra vira fragilidade institucional.

    Quando a Presidência entende isso, a conversa muda de nível. A Casa deixa de perguntar apenas se tem página de LGPD no site e começa a perguntar se conhece o próprio fluxo de dados. É aí que a adequação começa a ficar adulta.

    Quais dados são mais sensíveis no dia a dia legislativo

    Nem todo dado pessoal tem o mesmo peso de risco. Nome e e-mail exigem cuidado. CPF, endereço, telefone, biometria, dado de saúde, informação sindical, convicção religiosa, opinião política vinculada a pessoa identificada e documentos de crianças ou adolescentes exigem cuidado ainda maior. Em Câmara Municipal, isso aparece com frequência maior do que muita gente imagina.

    Pense no cotidiano. O setor pessoal lida com prontuário funcional, afastamentos, exames, dependentes e dados bancários. A procuradoria pode acessar processos com informação íntima. A comissão processante pode receber denúncia com documentos sensíveis. A assistência social da Casa ou projetos da escola do legislativo podem coletar dados de menores. O portal pode publicar anexos enviados sem revisão. O cerimonial pode expor listas com contatos. Tudo isso precisa de filtro e classificação.

    Eu costumo orientar a separar os dados em camadas de exposição. Há dado de rotina administrativa com baixo risco. Há dado que só deve circular internamente entre poucos agentes. E há dado que, se vazar ou for publicado sem tratamento, produz dano imediato ao cidadão e dor política para a Câmara. Essa classificação simples já melhora muito a tomada de decisão.

    Outro ponto importante é abandonar a ideia de que dado sensível só existe em prontuário médico. Em atividade legislativa, sensibilidade também pode surgir do contexto. Um documento comum pode se tornar delicado se revelar padrão de vida, vulnerabilidade econômica, filiação ou situação familiar de alguém. A Câmara precisa ensinar sua equipe a ler contexto, não apenas a decorar conceito.

    Quem identifica o grau de sensibilidade do dado passa a agir com mais prudência na hora de digitalizar, enviar, publicar, compartilhar e descartar. Sem essa consciência, a Casa corre o risco de tratar tudo como papel comum. E papel comum, quando vira PDF no portal, pode ganhar alcance e dano que ninguém previa.

    Como levantar fluxo, finalidade e base legal sem travar a rotina

    Mapeamento não precisa ser um mutirão caótico que paralisa a Câmara por meses. Dá para fazer com método e bom senso. O primeiro passo é escolher áreas prioritárias. Eu começaria por RH, ouvidoria, protocolo, licitações e contratos, jurídico, comunicação, escola do legislativo, sistemas de informação e gabinetes. Nesses pontos a concentração de dados é alta e o efeito cascata sobre o restante da Casa é grande.

    Em cada área, a equipe deve preencher um inventário simples. Qual atividade realiza. Quais dados usa. Qual a finalidade. Qual a base legal. Quem acessa. Se há operador terceirizado. Onde o dado é armazenado. Por quanto tempo permanece. Se há compartilhamento. Quais riscos são mais prováveis. Isso não é luxo técnico. É ferramenta de gestão. Sem esse retrato, a Mesa Diretora aprova portaria sem saber sobre o que está decidindo.

    A base legal merece atenção especial. No setor público, consentimento nem sempre é a melhor saída e, em vários casos, nem é a mais adequada. O guia da ANPD para o Poder Público explica que o tratamento precisa ser amparado por uma hipótese legal e lido em conjunto com as exigências do art. 23 da LGPD. Em linguagem de Câmara, isso quer dizer o seguinte: a Casa precisa saber dizer qual atribuição pública está executando, por qual motivo usa aquele dado e onde isso se ancora juridicamente. Não se improvisa isso na hora da crise. A ANPD destaca também que, em muitas situações do Poder Público, o consentimento não é a base mais apropriada justamente porque o cidadão não está em posição equilibrada para escolher livremente.

    O inventário bem feito ainda revela excessos. Há setor pedindo dado demais. Há formulário com campo inútil. Há sistema guardando documento sem necessidade. Há compartilhamento antigo que continua por força de hábito. Toda vez que a Câmara corta excesso, ela reduz risco, melhora governança e facilita a defesa institucional.

    Mapeamento bom não engessa a rotina. Ao contrário. Ele arruma a casa para que cada servidor saiba o que pode fazer, o que depende de autorização, o que precisa ser anonimizado e o que jamais deve sair dali sem justificativa formal. Isso dá segurança para quem executa e seriedade para quem decide.

    Dê nome aos responsáveis e tire a LGPD do discurso

    Depois do mapa, vem a governança. E aqui eu preciso ser direto. Câmara que diz que a LGPD é responsabilidade de todo mundo, mas não define responsabilidade de ninguém, já começou errado. A lei exige estrutura mínima. A gestão precisa deixar claro quem responde pela coordenação, quem orienta, quem executa, quem monitora e para quem o problema sobe quando vira risco.

    Em Casa Legislativa, isso não se resolve com um nome jogado no portal. Resolve-se com desenho institucional. Presidência, Mesa Diretora, direção administrativa, procuradoria, controladoria, TI, ouvidoria, comunicação e chefias setoriais têm papéis diferentes. Quando esses papéis se misturam, o encarregado vira bombeiro sem equipe e a conformidade fica dependente da boa vontade de um ou outro servidor.

    Imagem 2. Governança mínima para a LGPD sair do discurso e virar rotina institucional.

    O papel da Presidência, da Mesa e da direção administrativa

    Muita gente imagina que LGPD é tema técnico e, por isso, deve ficar abaixo da linha política. Eu penso o contrário. Em Câmara Municipal, a adequação só anda quando a Presidência assume patrocínio real. Isso significa colocar o tema na agenda da Mesa, dar prioridade administrativa, cobrar prazo, autorizar revisão de processo e garantir que os setores abram informação sem resistência corporativa.

    A Mesa Diretora tem papel de orientação institucional. É ela que pode aprovar atos internos, dar legitimidade ao programa de adequação e sinalizar para toda a Casa que proteção de dados não é moda passageira. Quando a Mesa trata o tema como acessório, os setores captam a mensagem imediatamente. Cada um volta para sua rotina e a LGPD fica reduzida a uma aba do portal. Quando a Mesa cobra entrega, o comportamento muda.

    A direção administrativa, por sua vez, é o braço operacional dessa decisão política. É quem articula setor por setor, organiza cronograma, chama reuniões, acompanha inventário, verifica contratos, observa sistemas, consolida pendência e transforma diretriz em tarefa executável. Sem direção administrativa forte, a decisão da Presidência não desce para o chão.

    Eu gosto de dizer que a proteção de dados precisa ter padrinho político e gerente de obra. O padrinho político é a Presidência. O gerente de obra é a direção administrativa ou a instância equivalente. Um legitima e cobra. O outro coordena e entrega. Separar esses dois papéis ajuda muito a evitar o velho problema da Câmara que aprova ato bonito e depois não acompanha a execução.

    Quando a liderança assume a pauta, a Casa entende que não se trata de capricho do jurídico. Trata-se de dever institucional. Isso muda a cultura. E cultura, nesse assunto, pesa tanto quanto norma.

    Encarregado, procuradoria, controladoria e TI cada um no seu lugar

    O encarregado não é enfeite de portal. A LGPD exige que o controlador indique encarregado e divulgue sua identidade e informações de contato de forma clara, preferencialmente no sítio eletrônico. A própria lei também descreve as atribuições centrais dessa função: receber reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar funcionários e contratados e executar outras atribuições fixadas pelo controlador ou por norma complementar. A Resolução CD/ANPD nº 18, de 2024, reforça que o agente de tratamento deve prover recursos humanos, técnicos e administrativos, garantir autonomia técnica e assegurar meios céleres para comunicação com o encarregado.

    Isso quer dizer que não basta nomear um servidor dedicado a várias outras tarefas, sem apoio, sem acesso à alta gestão e sem tempo para orientar a Casa. Encarregado sem estrutura vira caixa postal de problema. E a resolução da ANPD é clara ao dizer que o agente de tratamento deve dar meios e garantir autonomia técnica. Se a Câmara não entrega isso, o erro não é do encarregado. É da gestão.

    A procuradoria entra para interpretar base legal, sustentar ato normativo, revisar instrumentos de compartilhamento, orientar sobre transparência versus privacidade e preparar resposta jurídica em incidente mais delicado. A controladoria entra no desenho de controles, auditoria, rastreabilidade, aderência de processos e indicadores. A TI entra em perfil de acesso, segurança, backup, registro de evento, segregação de permissões, revisão de sistemas e resposta técnica a incidente.

    Um erro comum em Casa pequena é achar que essas atribuições se confundem. Não se confundem. O encarregado orienta e comunica. A procuradoria interpreta e resguarda juridicamente. A controladoria acompanha conformidade e controle. A TI implementa proteção técnica. Quando todo mundo sabe até onde vai seu papel, a Câmara trabalha com coordenação em vez de conflito.

    Não importa se a estrutura é modesta. O importante é que a divisão de funções esteja formalizada, compreendida e praticada. Casa pequena também consegue fazer isso quando há seriedade.

    Como formalizar com portaria, resolução, comitê e cronograma

    Se a Câmara quer sair do discurso, ela precisa transformar intenção em documento oficial. Eu começaria por quatro instrumentos. Primeiro, ato da Presidência ou da Mesa reconhecendo formalmente a implementação do programa de adequação. Segundo, designação do encarregado com contato público e atribuições compatíveis. Terceiro, instituição de um grupo de trabalho ou comitê com representantes das áreas críticas. Quarto, cronograma com fases, responsáveis e entregas.

    O comitê não precisa ser grande. Precisa ser útil. Presidência ou direção administrativa, procuradoria, controladoria, TI, RH, ouvidoria, comunicação e mais um representante dos gabinetes já formam um núcleo operacional decente. Em Câmara muito enxuta, duas ou três pessoas podem acumular cadeiras, desde que a ata deixe isso claro. O que não pode é a adequação depender de conversa informal de corredor.

    O cronograma também precisa ser realista. Em vez de prometer adequação total em poucas semanas, a gestão deve dividir o processo em ondas. Primeira onda, inventário de dados e levantamento de riscos. Segunda onda, atos normativos, ajustes de portal, canal do titular e revisão de contratos. Terceira onda, correção de processos críticos, treinamento e medidas técnicas prioritárias. Quarta onda, auditoria interna e revisão. Esse desenho dá previsibilidade e evita o cansaço institucional.

    A ANPD recomenda formalização e registro especialmente nas operações de compartilhamento entre órgãos, inclusive com processo administrativo, análise técnica e jurídica e, quando cabível, ato formal como contrato, convênio, portaria ou instrução normativa. Essa lógica pode e deve inspirar a rotina interna da Câmara também. O que é crítico precisa ser documentado. O que é documentado pode ser auditado. O que pode ser auditado tende a melhorar.

    Formalização não é excesso de papel. É memória institucional. Em ano eleitoral, troca de servidor, mudança de Mesa ou saída de prestador, a Câmara só mantém continuidade se o programa estiver ancorado em atos, registros e calendário. O resto se perde com facilidade.

    Crie regras internas que sirvam para gabinete, plenário e administrativo

    Depois que a Câmara sabe onde estão os dados e quem responde por quê, chega a hora das regras internas. É nessa fase que muita Casa tropeça, porque copia uma política genérica da internet e acha que resolveu. Não resolveu. Regra boa é a que conversa com a realidade concreta da instituição. O texto do portal precisa dialogar com o balcão do protocolo, com o computador do RH, com a comunicação oficial, com os gabinetes e com o sistema que armazena documentos.

    Em Casa Legislativa, a política precisa ser clara o suficiente para orientar o cidadão e objetiva o bastante para guiar o servidor. Documento cheio de frase bonita e vazio de procedimento prático só serve para fotografia institucional.

    Política de privacidade e avisos claros no portal

    O portal é a vitrine pública da Câmara, e por isso ele merece atenção especial. A LGPD, no art. 23, exige que os órgãos públicos informem de forma clara e atualizada as hipóteses em que realizam tratamento de dados pessoais, a previsão legal, a finalidade, os procedimentos e as práticas utilizadas, preferencialmente em seus sítios eletrônicos. Em linguagem mais direta, o site da Câmara precisa explicar com clareza o que coleta, por que coleta, como usa, com quem compartilha, por quanto tempo guarda e como o titular exerce seus direitos.

    Não adianta esconder isso em texto confuso ou em página esquecida. O aviso precisa ser acessível, compreensível e coerente com a prática. Se o portal usa formulário de contato, precisa dizer para que coleta nome, e-mail e telefone. Se há inscrição para curso, tem que informar finalidade e regras de tratamento. Se o site usa cookies ou ferramentas analíticas, precisa explicar isso adequadamente. E se a Câmara publica o contato do encarregado, esse contato precisa funcionar.

    Uma boa política de privacidade não fala só do site. Ela pode remeter às operações mais relevantes da Casa e apontar os canais corretos. O guia da ANPD enfatiza transparência e livre acesso como princípios essenciais, destacando a necessidade de informações claras, precisas e facilmente acessíveis e de mecanismos efetivos para o titular solicitar informações sobre o tratamento dos seus dados. Não é só obrigação formal. É elemento de confiança institucional.

    Eu sempre recomendo evitar dois extremos. O primeiro é a política microscópica, que não explica nada. O segundo é a política enciclopédica, copiada de modelo privado, cheia de conceito estrangeiro e distante da rotina pública. O ideal é texto limpo, canal visível, atualização periódica e alinhamento com a prática dos setores.

    Quando o portal fala a verdade sobre a operação da Câmara, ele ajuda a reduzir conflito, melhora a comunicação com o cidadão e ainda protege a Casa em eventual questionamento. Transparência bem feita também é defesa institucional.

    Imagem 3. Checklist enxuto para conciliar transparência pública e proteção de dados.

    Regras de coleta, retenção, descarte e compartilhamento

    A maior parte do risco da LGPD não nasce da coleta em si. Nasce do excesso de coleta, do armazenamento sem prazo, do descarte improvisado e do compartilhamento automático por costume. É aqui que a Câmara precisa sair do genérico e baixar regra interna clara. Formulário deve pedir o mínimo necessário. Processo deve guardar o que a lei e a finalidade exigem. Documento sensível deve circular por fluxo restrito. E descarte deve obedecer regra de retenção, não vontade do momento.

    A política interna precisa responder perguntas simples. Quando um setor pode pedir CPF. Quando esse dado pode ser mascarado. Em que hipóteses um documento precisa ser publicado integralmente e quando deve ter dado pessoal protegido. Como digitalizar e indexar documento sensível. Quem autoriza compartilhamento entre setores. Em quais condições o envio a órgão externo depende de instrumento formal. Como se registra a eliminação ou anonimização. Essas respostas evitam o velho improviso administrativo.

    O guia da ANPD para o Poder Público dedica parte relevante ao compartilhamento e recomenda formalização, delimitação objetiva dos dados compartilhados, finalidade específica, definição de base legal, duração do tratamento, mecanismos de transparência, prevenção e segurança. Também sugere, quando o compartilhamento for frequente, avaliar a edição de portarias ou instruções normativas para padronizar essas operações. Para uma Câmara Municipal, isso é ouro puro, porque boa parte do problema nasce exatamente em trocas recorrentes com prefeitura, tribunal, banco, prestador de sistema e outros órgãos.

    Outro cuidado importante é compatibilizar LGPD com gestão documental. Não se elimina dado de forma atabalhoada para parecer rigoroso. A Câmara tem dever de memória, prova e controle. O ponto é guardar com fundamento, por prazo compatível e em ambiente adequado. Guardar tudo para sempre também está errado. Guardar nada também.

    Regra boa é a que ajuda o servidor a agir certo sem depender de inspiração. Se o procedimento couber numa nota técnica, num fluxo desenhado e num modelo padronizado, melhor ainda. A rotina agradece.

    Contratos, sistemas e fornecedores sob cláusula de proteção de dados

    Toda Câmara depende de terceiros. Sistema legislativo, hospedagem do portal, folha, digitalização, nuvem, suporte de TI, empresa de transmissão, assessoria, software de protocolo, fornecedor de certificado, empresa de manutenção. Se esses contratos não forem revistos à luz da LGPD, a Câmara deixa aberta uma avenida de risco. A responsabilidade institucional não desaparece só porque o dado passou pela mão do prestador.

    O primeiro movimento é identificar quais fornecedores realmente tratam dados pessoais em nome da Câmara. Depois disso, os instrumentos contratuais precisam dizer com clareza o objeto, a finalidade do tratamento, as obrigações de sigilo, os padrões mínimos de segurança, o controle de acesso, a vedação de uso para finalidade própria, a obrigação de comunicar incidente, as regras de subcontratação, devolução ou eliminação dos dados ao final e a cooperação em caso de solicitação do titular ou da ANPD.

    Isso vale inclusive para a contratação mais simples. Em Casa pequena, é comum que o contrato seja genérico e que a operação real dependa de conversa informal com o suporte técnico. Esse é um erro caro. O guia da ANPD reforça a necessidade de formalização e registro das operações, inclusive com análise técnica e jurídica e identificação das funções e responsabilidades dos agentes de tratamento. O guia sobre agentes de tratamento também lembra que o controlador é quem toma as decisões essenciais e permanece responsável pelas obrigações legais, ainda que conte com operadores para executar parte da atividade.

    Outro ponto pouco debatido é o acesso privilegiado. Empresa que presta suporte ao sistema da Câmara muitas vezes enxerga mais informação do que deveria. Sem perfil adequado, sem registro de acesso e sem cláusula contratual firme, a gestão perde o controle sobre quem entrou, o que viu e o que fez. Isso precisa ser corrigido.

    Eu sempre digo à Presidência o seguinte. Contrato sem cláusula de proteção de dados é contrato que envelheceu mal. Revisar isso não é perfumaria jurídica. É blindagem mínima para a Casa.

    Proteja o cidadão sem matar a transparência

    Esse talvez seja o ponto mais sensível na administração legislativa. Quando a LGPD chega, aparece rapidamente uma tentação perigosa. Usar a proteção de dados como pretexto para esconder informação que deveria ser pública. Isso é erro. A Câmara tem dever de transparência e de publicidade dos atos. A proteção de dados não revoga esse dever. O que ela exige é critério para divulgar sem expor em excesso.

    Na prática, a maturidade institucional aparece quando a Casa aprende a equilibrar dois valores constitucionais que precisam conviver. O cidadão tem direito à informação sobre a atuação do poder público. E também tem direito à proteção de seus dados pessoais. O bom gestor não escolhe um para atropelar o outro. Ele organiza procedimento para harmonizar os dois.

    LGPD não é desculpa para esconder ato público

    Eu já vi órgão público responder pedido legítimo de informação com a frase mais preguiçosa possível: não podemos fornecer por causa da LGPD. Esse atalho é ruim juridicamente e pior ainda politicamente. A LGPD não foi criada para encobrir a administração. Foi criada para disciplinar o tratamento de dados pessoais e proteger direitos fundamentais sem desmontar a finalidade pública do Estado.

    O próprio texto da lei diz que as normas são de interesse nacional e alcançam União, estados, Distrito Federal e municípios. No caso do poder público, o tratamento deve atender à finalidade pública e à execução das competências legais. Isso não autoriza esconder integralmente um documento apenas porque ele contém dado pessoal. O que a Câmara precisa fazer é tratar o documento com técnica, avaliando o que deve ser preservado e o que precisa ser resguardado.

    O guia da ANPD para o Poder Público também trabalha essa compatibilização e trata da divulgação de dados pessoais sob o enfoque da conformidade. Em outras palavras, a pergunta correta não é se divulga tudo ou se esconde tudo. A pergunta correta é: qual finalidade pública justifica a divulgação, qual dado é realmente necessário para atendê-la e quais medidas reduzem risco ao titular.

    Em Câmara Municipal, isso aparece na publicação de atos, listas, anexos, processos, contratos e matérias legislativas. É perfeitamente possível dar publicidade ao conteúdo essencial sem deixar CPF completo, endereço residencial, dado de saúde, documento de dependente ou assinatura escancarados. O que falta, na maioria das vezes, não é base jurídica. É rotina de revisão.

    Quando a Casa usa a LGPD como biombo, ela perde credibilidade. Quando usa a LGPD como critério, ela ganha segurança e respeitabilidade. Há uma diferença enorme entre as duas posturas.

    Como publicar documentos sem expor CPF, endereço e dado sensível

    Publicação segura começa com triagem antes de subir o arquivo. O servidor ou setor responsável pela divulgação precisa ter um checklist mínimo. Este documento contém dado pessoal? O dado é necessário para a finalidade de transparência? É possível ocultar parte da informação sem prejuízo do controle social? Existe dado sensível? O anexo precisa ir inteiro ou bastaria extrato? Essa triagem simples evita que o portal vire um repositório de excesso.

    Em vários casos, a solução é mascaramento. CPF aparece só nos últimos dígitos. Endereço residencial sai. Número de documento some. Assinatura manuscrita pode ser protegida quando não for essencial ao controle público. Em casos mais delicados, é possível publicar versão com tarja de trechos específicos, desde que a decisão esteja alinhada a fundamento legal e não destrua a compreensão do ato. O importante é que a revisão aconteça antes da divulgação, não depois do problema.

    O guia da ANPD chama atenção para medidas de mitigação de risco, como anonimização, pseudonimização, minimização e descrição de medidas de prevenção e segurança, inclusive com eventual elaboração de relatório de impacto quando necessário. Ele também reforça que a divulgação de informações sobre dados tratados deve ser de fácil compreensão e que o atendimento aos titulares precisa ter responsabilidades e procedimentos definidos. Isso conversa diretamente com a rotina do portal legislativo.

    Outro cuidado relevante é com anexos de origem externa. A Câmara muitas vezes publica documento recebido de outro órgão ou do cidadão sem revisar. A responsabilidade por aquela divulgação, no entanto, passa a ter reflexo próprio. Receber não é o mesmo que republicar. Republicar exige juízo administrativo.

    Eu aconselho sempre criar fluxo de dupla checagem para documentos de maior risco. Comunicação ou transparência revisa a forma de publicação. Jurídico ou encarregado orienta em caso sensível. Isso reduz erro banal e evita dor de cabeça séria.

    Direitos do titular, ouvidoria e canal de atendimento funcionando

    Não existe conformidade verdadeira se o cidadão não consegue exercer seus direitos de maneira clara. A Câmara precisa oferecer canal efetivo para que o titular pergunte se há tratamento, solicite acesso, peça correção, conteste dado incorreto, questione compartilhamento ou encaminhe reclamação. E precisa responder com procedimento, prazo interno e linguagem compreensível.

    Muita Casa nomeia encarregado, publica um e-mail e considera o dever cumprido. Só que o canal não funciona sozinho. É preciso definir fluxo de recebimento, triagem, encaminhamento, resposta, registro e monitoramento. Quem recebe a demanda. Quem consulta o setor responsável. Quem valida a resposta. Em quanto tempo a Casa se movimenta. Como o protocolo é registrado. Sem isso, o cidadão escreve, ninguém responde direito e a Câmara transforma um pedido simples em desgaste.

    A LGPD atribui ao encarregado justamente o papel de aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, além de receber comunicações da ANPD e orientar funcionários e contratados. A Resolução CD/ANPD nº 18, de 2024, ainda reforça que o agente de tratamento deve assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos. Isso precisa sair do papel e entrar na rotina administrativa.

    Em Câmara, a ouvidoria costuma ser parceira natural desse fluxo. Muitas vezes ela já tem canal, protocolo e contato com o cidadão. Mas a ouvidoria precisa atuar em consonância com o encarregado, não como substituta automática. Onde houver essa integração, a resposta ganha agilidade. Onde não houver, o atendimento fica partido.

    Quando o cidadão percebe que a Câmara responde com clareza e respeito, ele confia mais na instituição. E confiança institucional, no mundo público, vale muito.

    Segurança da informação e resposta a incidente

    A quinta frente é aquela que todo mundo lembra tarde demais. Segurança. Não existe adequação à LGPD sem medida técnica e administrativa capaz de reduzir risco. Aqui não adianta exagerar no discurso e economizar na prática. Câmara que trata dado pessoal com senha fraca, acesso compartilhado, ausência de backup, perfil solto e nenhum controle sobre aplicativos paralelos está oferecendo problema em bandeja.

    Segurança, neste contexto, não é assunto exclusivo do analista de informática. É política institucional. A chefia decide prioridade, a TI implementa, os setores respeitam, o encarregado orienta, a controladoria verifica e a Presidência sustenta o padrão mínimo. Se uma dessas partes falha, a rede inteira enfraquece.

    Controle de acesso, senha, perfil e registro de uso

    A medida mais simples costuma ser a mais negligenciada. Cada servidor e prestador deve acessar apenas o que precisa para executar sua função. Isso é perfil de acesso. Parece básico, mas em muitas Câmaras a regra real ainda é outra: entrou no setor, ganhou senha ampla; mudou de função, manteve acesso antigo; saiu da empresa terceirizada, a conta continuou ativa. Esse tipo de frouxidão compromete qualquer discurso de proteção.

    É essencial revisar usuários, níveis de permissão e registros de atividade. Quem acessou. Quando acessou. O que alterou. Quem exportou. Quem compartilhou. Em sistema legislativo, folha, protocolo, nuvem e e-mail isso faz enorme diferença. Sem trilha de auditoria, a apuração de incidente fica cega. E Casa cega sofre mais para responder à ANPD, ao Ministério Público, ao Tribunal de Contas e ao próprio cidadão.

    O guia da ANPD para o Poder Público destaca a necessidade de medidas técnicas e administrativas para proteger os dados pessoais de incidentes de segurança e inclui, entre as recomendações de prevenção e segurança, a descrição das medidas adotadas para proteger os dados. A resolução sobre o encarregado também exige que o agente forneça meios adequados e garanta estrutura para o cumprimento das atribuições relacionadas à conformidade. Em resumo: segurança precisa ser planejada e comprovável, não presumida.

    A Câmara deve adotar política mínima de senhas, autenticação forte quando possível, bloqueio de sessões ociosas, revisão periódica de contas, segregação entre ambiente administrativo e áreas mais críticas e retirada imediata de acesso quando houver desligamento ou mudança de função. Isso não é sofisticação tecnológica. É higiene básica.

    Se a Casa ainda trabalha com usuário compartilhado para facilitar a vida, eu diria sem rodeio que está correndo risco desnecessário. Facilidade hoje vira dor amanhã.

    Backup, nuvem, WhatsApp, e-mail e riscos mais comuns na Câmara

    Os vazamentos mais embaraçosos nem sempre saem do sistema oficial. Muitas vezes saem do atalho. O assessor salva documento em nuvem pessoal. O servidor encaminha planilha para o e-mail particular porque vai terminar o serviço em casa. O gabinete troca documento com dados pessoais em grupo de aplicativo. A presidência recebe PDF confidencial e repassa sem cuidado. O problema não está apenas na ferramenta, mas no uso sem regra.

    Toda Câmara precisa estabelecer orientação clara para armazenamento, compartilhamento e comunicação. O que pode ir por e-mail. O que exige sistema oficial. O que não pode circular em aplicativo comum. Quando o arquivo precisa de senha. Qual nuvem é autorizada. Como funciona o backup. Quem restaura. Onde está a cópia de segurança. Quem verifica integridade. Sem isso, a instituição depende da cultura informal da equipe, e cultura informal é frágil demais para um tema como este.

    Em municípios menores, vejo muito risco concentrado em três pontos. Primeiro, prestadores com acesso remoto e pouca rastreabilidade. Segundo, documentos sensíveis guardados em computadores locais sem política de backup adequada. Terceiro, uso massivo de aplicativos de mensagem para resolver tudo. A soma desses fatores produz um ambiente onde o dado circula rápido demais e com controle de menos.

    Segurança também exige pensar continuidade. Se um equipamento falha, a Câmara continua operando. Se um arquivo é apagado indevidamente, consegue recuperar. Se um notebook some, o dado estava protegido ou exposto. Essas perguntas são administrativas, tecnológicas e políticas ao mesmo tempo.

    Quando a Casa organiza isso, o trabalho flui melhor. O servidor deixa de ficar refém do improviso. E a gestão passa a ter condições de responder por aquilo que guarda.

    O que fazer nas primeiras horas de um vazamento

    Todo plano de conformidade sério precisa presumir que incidente pode acontecer. A questão não é criar pânico. É criar prontidão. Nas primeiras horas de um vazamento, a pior decisão é fingir que nada houve ou sair comunicando sem apuração mínima. A Câmara deve ter um roteiro claro: conter o problema, preservar evidências, identificar o que vazou, avaliar o alcance, verificar se envolve dado sensível, mobilizar responsáveis e registrar tudo.

    Nesse momento, a cadeia de resposta precisa funcionar sem vaidade. TI atua para bloquear acesso indevido, isolar conta ou restaurar ambiente. Direção administrativa coordena a resposta interna. Encarregado orienta o fluxo de comunicação com titulares e ANPD, quando for o caso. Procuradoria avalia repercussão jurídica. Presidência toma ciência e autoriza medidas institucionais. Se cada um tenta resolver sozinho, a gestão perde tempo e aumenta o dano.

    O guia da ANPD enfatiza prevenção e segurança e remete, conforme o caso, à elaboração de relatório de impacto e à adoção de medidas adicionais de mitigação. A lógica do poder público exige documentação da resposta. O que foi detectado, quando, por quem, quais sistemas foram afetados, quais dados estavam envolvidos, quais medidas foram tomadas e que ações corretivas serão implementadas. Essa memória é indispensável para governança e responsabilização.

    Não é prudente tratar incidente como assunto de bastidor político. Incidente é assunto técnico, jurídico e institucional. A comunicação pública, se necessária, deve ser coordenada, sóbria e baseada em fato. Nem omissão total, nem espetáculo.

    Casa preparada erra menos e reage melhor. Casa despreparada transforma um problema pontual em crise de imagem. A diferença está no roteiro prévio.

    Como fiscalizar e manter a conformidade viva

    Por fim, é preciso dizer o óbvio que muita gente esquece. LGPD não é inauguração. Não se corta fita de conformidade. A Câmara pode até lançar página, nomear encarregado e revisar contrato, mas se não houver treinamento, auditoria e cobrança periódica, tudo volta ao hábito antigo. E hábito antigo, nessa área, costuma ser excesso de acesso, excesso de publicação e pouca documentação.

    A proteção de dados precisa entrar na rotina de gestão, do mesmo modo que entram prestação de contas, compras, patrimônio e controle interno. Quando ela vira tema cíclico, a Casa amadurece. Quando vira evento, ela se desgasta.

    Treinamento contínuo para vereador, assessor e servidor

    Eu vejo um erro recorrente em muitas Câmaras. O treinamento é oferecido só para o administrativo, como se gabinete e mandato fossem território neutro. Não são. Gabinete recebe currículo, denúncia, mensagem de cidadão, imagem, áudio, documento pessoal e pedido de ajuda o tempo todo. Vereador e assessor precisam entender o mínimo de proteção de dados para não transformar atendimento político em exposição indevida.

    O treinamento também não pode ser palestra esquecível. Precisa ser prático. Casos do cotidiano da Casa. O que fazer quando chega denúncia com dado sensível. Como tratar lista de presença. Como responder pedido do titular. Como publicar documento com segurança. Como usar e-mail funcional. Como agir diante de incidente. Quando a formação conversa com a rotina, ela muda comportamento.

    O encarregado tem papel importante nessa frente porque a própria LGPD lhe atribui a função de orientar funcionários e contratados sobre as práticas relativas à proteção de dados. A ANPD reforça esse papel orientativo em seus guias e na regulação sobre o encarregado. Mas, de novo, orientação depende de apoio institucional e calendário. Não é tarefa para ser cumprida entre uma urgência e outra.

    Uma boa prática é fazer ciclos curtos e frequentes. Treinamento de integração para quem entra. Reciclagem anual. Nota orientativa quando mudar procedimento. Conversa específica com gabinetes quando houver tema sensível. Isso custa menos do que remediar problema depois.

    Proteção de dados é matéria de cultura. E cultura se forma por repetição, exemplo da liderança e coerência de procedimento.

    Indicadores, auditoria interna e revisão periódica

    Se a Câmara quer saber se a adequação anda, precisa medir. Não com painel exagerado, mas com indicadores simples e úteis. Quantos processos de tratamento já foram mapeados. Quantos contratos críticos foram revisados. Quantas páginas do portal receberam ajuste. Quantos pedidos de titular foram respondidos no prazo. Quantos perfis de acesso foram revistos. Quantos incidentes ou quase incidentes foram registrados. Quantas áreas já receberam treinamento. Isso permite enxergar avanço real.

    A controladoria ou estrutura equivalente pode ajudar muito nessa etapa. Não para burocratizar, mas para conferir lastro de controle. Revisão de amostra de processos, conferência de publicação no portal, checagem de instrumentos de compartilhamento, verificação de contas ativas e inativas, análise de cumprimento de fluxo de resposta ao titular. Auditoria interna bem desenhada não atrapalha a gestão. Ela evita autoconvencimento.

    A ANPD, no guia do Poder Público, ressalta a importância de formalização, registro, transparência, prevenção e segurança. Esses elementos, quando convertidos em critérios de revisão, ajudam a Câmara a passar da narrativa para a evidência. Não basta dizer que adota boas práticas. É preciso demonstrar que elas estão de pé.

    Também recomendo revisão programada das políticas e atos. Mudou sistema. Mudou equipe. Mudou contrato. Mudou fluxo de atendimento. A norma interna precisa acompanhar. Documento estático para realidade dinâmica envelhece rápido.

    Em gestão pública, o que não é monitorado tende a perder prioridade. Por isso eu sempre defendo que a Presidência receba relatório sintético periódico sobre o tema. Quando a chefia acompanha, a organização não larga.

    Imagem 4. Plano de 90 dias para a Câmara sair do improviso e entrar em ciclo contínuo de conformidade.

    O roteiro de 90 dias para a Câmara sair do improviso

    Para fechar de maneira prática, eu gosto de propor um roteiro de noventa dias. Nos primeiros trinta, a Câmara instala governança mínima, designa ou confirma o encarregado, forma grupo de trabalho, levanta áreas críticas e inicia o inventário de dados. Também nesse período já deve revisar a página institucional de LGPD para garantir contato, transparência mínima e alinhamento com o art. 23 da lei.

    Dos trinta aos sessenta dias, a prioridade é transformar diagnóstico em correção. Rever contratos com operadores, ajustar formulários, definir critérios de publicação, padronizar atendimento ao titular, revisar perfis de acesso, orientar os setores mais expostos e formalizar fluxos de compartilhamento e retenção. Se houver sistema muito frágil, é hora de registrar o risco e atacar o essencial primeiro.

    Dos sessenta aos noventa dias, a Câmara precisa consolidar. Treinar equipes, validar procedimentos, publicar orientações internas, revisar pendências, testar resposta a incidente e estabelecer indicadores de acompanhamento. Ao fim desse ciclo, a Casa não estará perfeita. Mas já terá saído do improviso e entrado numa trilha séria de conformidade.

    O mais importante é não vender milagre. Adequação em poder público é processo contínuo. Só que há uma enorme diferença entre estar no começo com método e estar anos parado em promessa. A Câmara que mapeia, formaliza, corrige e monitora constrói defesa institucional de verdade.

    Proteção de dados, no fundo, é respeito ao cidadão e respeito à própria Casa. Quando a Câmara aprende isso, ela trata informação com a seriedade que o mandato e a função pública exigem.

    4. Base legal e técnica consultada

    Base legal e técnica utilizada na elaboração deste material

    Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018, com destaque para o art. 23, aplicável ao Poder Público, e para o art. 41, sobre o encarregado.

    Guia orientativo Tratamento de dados pessoais pelo Poder Público, ANPD, versão 2.0.

    Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado, ANPD.

    Resolução CD/ANPD nº 18, de 16 de julho de 2024, sobre a atuação do encarregado pelo tratamento de dados pessoais.

    Páginas institucionais analisadas: Câmara Municipal de Brasileira – PI, Câmara Municipal de Quintana – SP e Câmara Municipal de Natal – RN.

    Leave a Reply

    Your email address will not be published. Required fields are marked *