Qual o prazo do PNPD para o ente público se adequar?

Não há prazo único; depende da maturidade do órgão. A ANPD priorizou orientação até 2024-25; desde 2025-26 inicia ciclo de fiscalização. Quem já está em risco está em risco hoje.

// LGPD · setor público · responsabilização · 10 min

LGPD no Órgão Público: Multa de até R$ 50 Milhões e Como o Pentest Reduz Risco

Q: Ente público é multado pela ANPD mesmo?

Sim. A LGPD aplica-se ao Poder Público (arts. 23 a 32). A ANPD pode aplicar advertência, publicização da infração, bloqueio dos dados, eliminação e — desde decisão de 2023 — multa pecuniária. Há jurisprudência crescente.

Q: O gestor responde pessoalmente?

Sim, em três frentes: improbidade administrativa (Lei 8.429/1992), ressarcimento ao erário (TCU/TCE) e ação regressiva caso o ente seja condenado. Por isso o tema vira prioridade na gestão.

A LGPD (Lei 13.709/2018) aplica-se ao Poder Público (arts. 23 a 32). A ANPD aplica advertência, publicização, bloqueio, eliminação e multa pecuniária. O gestor responde pessoalmente por improbidade e ressarcimento. Pentest manual é a evidência objetiva mais aceita de que "medidas técnicas adequadas" (art. 46) foram efetivamente adotadas — atenuante explícito da multa (art. 52, §3º).

1. O que muda para o ente público

A LGPD não criou regime separado para administração — adaptou. O ente público tem deveres específicos:

Finalidade pública e interesse público (art. 23, I) como base legal — não pode tratar dado fora dessas finalidades;
Encarregado (DPO) obrigatório (art. 23, III);
Relatório de Impacto à Proteção de Dados (RIPD) quando aplicável;
Comunicação à ANPD e ao titular em caso de incidente que ofereça risco ou dano relevante (art. 48);
Cooperação com a ANPD em fiscalização.

2. Penalidades e a multa que (sim) existe

Por anos a tese era "ente público não paga multa LGPD". Errado. A Resolução CD/ANPD 4/2023 estabelece o regulamento de dosimetria e aplicação. Sanções possíveis:

Advertência;
Multa simples de até 2% do faturamento limitada a R$ 50 milhões por infração;
Multa diária com o mesmo teto;
Publicização da infração após apurada;
Bloqueio ou eliminação dos dados;
Suspensão parcial ou total do banco de dados;
Suspensão do exercício da atividade de tratamento de dados.

Para ente público sem faturamento, a ANPD adota base de cálculo diferente — orçamento da unidade ou valor de contrato impactado. Há jurisprudência crescente desde 2024.

3. Responsabilização do gestor

Três frentes simultâneas:

Improbidade administrativa (Lei 8.429/1992) — ato que cause prejuízo ao erário por negligência configura improbidade culposa;
Ressarcimento ao erário (TCU/TCE) — gestor pode ser condenado a devolver o valor da multa e do dano;
Ação regressiva — caso o ente seja condenado em ação judicial coletiva, pode regredir contra o gestor responsável pela omissão.

É por isso que LGPD setor público deixou de ser pauta do encarregado e virou pauta do prefeito, do secretário, do reitor.

4. Pentest como atenuante objetivo

A LGPD art. 52, §1º, IX considera entre os critérios de dosimetria "a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano" e "a adoção de boas práticas e de governança". O art. 46 fala em "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais".

Pentest manual sério é a evidência objetiva mais aceita por advogado, auditor e procurador para demonstrar art. 46. Não é declaração verbal — é relatório técnico com PoC, plano de remediação executado e ciclo recorrente. Em fiscalização ANPD, ente que apresenta pentest anual + plano de tratamento + KPIs de remediação tem dosimetria significativamente menor.

5. Pacote pentest + adequação LGPD para órgão público

Combinamos pentest manual (PTES, OWASP, NIST SP 800-115) com mapeamento de cada finding contra artigo da LGPD aplicável + entregável para o encarregado em formato pronto para fiscalização ANPD/TCU/TCE. Atendemos via pregão eletrônico, dispensa, inexigibilidade técnica ou ata de registro.

FAQ

Ente público é multado pela ANPD mesmo?

Sim. A LGPD aplica-se ao Poder Público (arts. 23-32). ANPD aplica advertência, publicização, bloqueio, eliminação e — desde 2023 — multa pecuniária. Há jurisprudência crescente.

O gestor responde pessoalmente?

Sim: improbidade administrativa (Lei 8.429/1992), ressarcimento ao erário (TCU/TCE) e ação regressiva caso o ente seja condenado.

Pentest serve como atenuante?

Sim. LGPD art. 52, §1º, IX e §3º consideram a adoção de medidas técnicas e administrativas adequadas (art. 46) como atenuante. Pentest manual com relatório técnico é evidência objetiva.

Qual o prazo para se adequar?

Não há prazo único. ANPD priorizou orientação até 2024-25 e desde 2025-26 inicia ciclo de fiscalização. Quem já está em risco está em risco hoje.

Reduzir risco LGPD do meu órgão Ver pentest para prefeitura →