Quando o Estado falha em proteger o que não é seu: Segurança da Informação e LGPD na Administração Pública

Em outubro de 2021, hackers invadiram os sistemas do Tribunal de Justiça do Estado de Alagoas e deixaram, ironicamente, uma mensagem: dicas de como melhorar a segurança do órgão[1]. Dias antes, a Polícia Federal havia prendido suspeitos de atacar o Supremo Tribunal Federal[2]. Não se trata de episódios isolados — são sintomas de uma crise estrutural que o Brasil prefere não nomear com a clareza que o problema exige.

A Administração Pública brasileira custodia dados de mais de duzentos e treze milhões[3] de cidadãos. Registros funcionais, prontuários médicos, informações tributárias, históricos previdenciários, dados de inteligência. E os protege, em grande parte, com parques computacionais obsoletos, servidores sobrecarregados e ausência de política institucional formalizada. O Estado, nesse cenário, não é apenas vítima da criminalidade cibernética — é, em certa medida, seu cúmplice involuntário.

Este ensaio parte desse problema real para analisar os princípios gerais da Segurança da Informação e sua articulação com a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) no âmbito do setor público. O argumento central é direto: proteger dados públicos não é opção de gestão. É obrigação constitucional, jurídica e ética e o Brasil dispõe, hoje, de arcabouço normativo suficiente para exigir essa proteção. O que falta é implementação!!

1. O QUE A SEGURANÇA DA INFORMAÇÃO REALMENTE PROTEGE

A teoria distingue dado, informação e conhecimento. Dados são elementos brutos, desprovidos de significado isolado; informação é o dado contextualizado e dotado de finalidade; conhecimento é a informação internalizada nos processos decisórios (Davenport, 1998). Para a Administração Pública, essa tríade representa não apenas um ativo organizacional, mas o substrato material do exercício do poder.

Quando um sistema de seguridade social é comprometido, não se perde apenas código e banco de dados, perde-se a capacidade de pagar benefícios, de registrar contribuições, de garantir direitos. Quando registros funcionais de agentes públicos são acessados por criminosos, o que está em risco não é a integridade de um sistema. É a vida de pessoas.

A Segurança da Informação, nesse contexto, organiza-se em torno de cinco princípios fundamentais, cuja compreensão é indispensável para qualquer gestor público com responsabilidade sobre sistemas informatizados:

1) A confidencialidade determina que a informação deve ser acessada exclusivamente por quem possui autorização prévia para tanto. Em termos práticos: o prontuário de um usuário do SUS não pode estar disponível a qualquer servidor com acesso ao sistema — apenas àqueles com atribuição funcional para consultá-lo.

2) A integridade exige que a informação seja verdadeira, correta e não corrompida. Uma base de dados de folha de pagamento adulterada não representa apenas um erro técnico — pode configurar crime de peculato ou falsidade ideológica.

3) A disponibilidade assegura que os sistemas estejam acessíveis quando necessários ao funcionamento da organização. Um ataque de ransomware que paralisa o sistema de emissão de certidões de um cartório extrajudicial ou de um tribunal viola esse princípio — e com ele, o acesso à justiça.

4) A autenticidade garante que o emissor de uma informação é quem afirma ser. No ambiente digital do setor público, isso se materializa por meio de certificados digitais e assinaturas eletrônicas — instrumentos regulamentados pela Medida Provisória n. 2.200-2/2001 e pela Lei n. 14.063/2020.

5) O não repúdio — também denominado irretratabilidade em parte da doutrina brasileira — impossibilita que o responsável por um ato praticado em sistema informatizado negue sua autoria. É o equivalente digital da assinatura de próprio punho: mecanismo de responsabilização em ambiente digital.

Portanto, esses cinco princípios não são abstrações acadêmicas. São, cada um deles, requisitos técnicos e jurídicos exigíveis dos órgãos públicos. E é exatamente aqui que reside o problema: entre o que se exige e o que se implementa, há um abismo que a criminalidade cibernética ocupa sem dificuldade.

2. O ESTADO COMO ALVO PREFERENCIAL

Há uma razão objetiva pela qual a Administração Pública é alvo prioritário da criminalidade digital: volume de dados, baixa resiliência técnica e pressão política intensa para retomada dos serviços. Um hospital público atacado por ransomware não pode simplesmente encerrar as atividades enquanto negocia, porque vidas dependem da continuidade do sistema. Essa vulnerabilidade é conhecida e explorada.

O cenário global confirma o diagnóstico. Em 2021, criminosos roubaram dados de mais de 1,4 milhão de pacientes de hospitais em Paris[4]. Ataques de ransomware arrecadaram ao menos US$ 406 milhões apenas em 2020[5] — cifra que evidencia não a sofisticação dos criminosos, mas a fragilidade dos alvos (Barcelos, 2021). No Brasil, o ataque ao STF e a invasão ao TJAL são apenas os casos que chegaram ao conhecimento público. Os incidentes não noticiados, seja por ausência de obrigação formal de comunicação, seja por receio de dano reputacional são provavelmente mais numerosos.

A natureza das ameaças é variada: vírus, cavalos de Troia (trojan horse), spyware, ransomware, adware, keylogger e screenlogger compõem um arsenal técnico que evolui mais rapidamente do que as equipes de Tecnologia da Informação (TI) do setor público são capazes de acompanhar. E isso não é uma crítica aos profissionais, é uma crítica ao modelo institucional que os sobrecarrega.

É frequente, nas organizações públicas brasileiras, que um único servidor acumule as atribuições de administrador de redes, responsável por projetos de infraestrutura e gestor de segurança da informação. Funções que, em organizações com maturidade digital adequada, ocupariam equipes distintas e especializadas. O resultado é previsível: sobrecarga funcional, impossibilidade de monitoramento contínuo e criação de pontos únicos de falha — situações em que o afastamento ou a saída de um servidor pode comprometer toda a estrutura de segurança de um órgão.

3. A LGPD E O SETOR PÚBLICO: OBRIGAÇÃO SEM EXCEÇÃO

A Lei Geral de Proteção de Dados Pessoais não foi criada apenas para o setor privado. Seus artigos 23 a 32 disciplinam especificamente o tratamento de dados pessoais pelo Poder Público, estabelecendo um regime que, embora com modulações, não isenta os órgãos públicos das obrigações fundamentais da lei.

O artigo 6º da LGPD determina que as atividades de tratamento de dados pessoais devem observar a boa-fé e os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. O princípio da segurança, nesse rol, não é decorativo, esse impõe a adoção de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito.

O artigo 46 da mesma lei é ainda mais direto: os agentes de tratamento devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O descumprimento desse dever, no contexto público, configura não apenas infração administrativa sujeita à atuação da Autoridade Nacional de Proteção de Dados (ANPD), mas potencial violação ao princípio constitucional da eficiência administrativa e ao dever de proteção dos direitos fundamentais dos cidadãos.

O artigo 48 da LGPD estabelece, ainda, a obrigação de comunicação à ANPD e aos titulares dos dados em caso de incidente de segurança que possa acarretar risco ou dano relevante. A Resolução ANPD n. 15/2024 regulamentou essa obrigação, fixando o prazo de três dias úteis para a comunicação preliminar à Autoridade a partir da ciência do incidente. Essa exigência, que já deveria ser prática corrente, ainda não integra os protocolos formais da maioria dos órgãos públicos brasileiros, o que à luz da norma vigente um descumprimento regulatório passível de sanção.

A articulação entre a LGPD e a Constituição Federal é direta: o artigo 5º, inciso X, da Carta Magna assegura a inviolabilidade da vida privada, da honra e da imagem das pessoas, com direito a indenização pelo dano material ou moral decorrente de sua violação. O Estado que expõe dados de cidadãos por omissão em matéria de segurança da informação viola esse dispositivo e responde pelos danos dele decorrentes.

4. O DECRETO N. 12.572/2025 E A NOVA POLÍTICA NACIONAL DE SEGURANÇA DA INFORMAÇÃO

Em 4 de agosto de 2025, o Presidente da República assinou o Decreto n. 12.572, instituindo a Política Nacional de Segurança da Informação (PNSI) — a terceira geração desse instrumento normativo no Brasil, que revogou integralmente o Decreto n. 9.637/2018. O decreto representa o reconhecimento, no plano normativo, de que a segurança da informação é função estratégica de Estado e não apêndice da gestão tecnológica.

A nova PNSI tem como finalidade assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no País, abrangendo todos os dados, ativos informacionais e ambientes digitais da Administração Pública Federal. Seus princípios estruturantes incluem a soberania nacional, a responsabilidade do Poder Público na coordenação das políticas de segurança, a garantia dos direitos fundamentais, especialmente a proteção de dados pessoais, a educação como instrumento de cultura de segurança e o foco na gestão de riscos.

O que torna o Decreto n. 12.572/2025 relevante do ponto de vista prático não são apenas suas declarações principiológicas, são suas obrigações concretas. O artigo 10 do decreto impõe a cada órgão e entidade da Administração Pública Federal: instituir comitê interno de segurança da informação; designar formalmente um gestor de segurança da informação; elaborar, publicar, implementar e revisar regularmente suas políticas internas de segurança; promover ações de conscientização e capacitação; e realizar avaliações periódicas de conformidade com as normas editadas pelo Gabinete de Segurança Institucional da Presidência da República.

Traduzindo em linguagem direta: o gestor público que, a partir de 2025, não designou um responsável pela segurança da informação em seu órgão, não possui política interna publicada e implementada e não realizou treinamentos com seus servidores não está apenas operando de forma precária, está em descumprimento de obrigação normativa expressa.

5. O QUE FAZER: PRÁTICAS QUE O ORDENAMENTO JÁ EXIGE

A boa notícia é que o ordenamento jurídico brasileiro já fornece o roteiro. A LGPD, o Decreto n. 12.572/2025 e a norma técnica ABNT NBR ISO/IEC 27002:2022 convergem para um conjunto de práticas que, implementadas de forma coordenada, são capazes de elevar significativamente o nível de maturidade em segurança da informação das organizações públicas.

A norma ABNT NBR ISO/IEC 27002:2022 reorganizou os controles de segurança em quatro categorias: organizacional, pessoal, física e tecnológica. Essa estrutura é adequada à realidade das organizações públicas e fornece um mapa claro para a implementação progressiva de controles.

Entre as práticas prioritárias, destacam-se: a elaboração e publicação de Política de Segurança da Informação institucional com definição de responsabilidades, classificação das informações e procedimentos de resposta a incidentes; a implementação de controles de acesso baseados no princípio do menor privilégio — cada servidor acessa apenas o que é necessário ao exercício de suas funções; a adoção de sistemas de backup automatizados e redundantes, com cópias armazenadas em ambientes fisicamente distintos; a utilização de certificados digitais e assinaturas eletrônicas nos atos praticados em meio digital; e a realização de auditorias de segurança em periodicidade mínima anual.

Ao lado das medidas técnicas, a dimensão humana é igualmente crítica. O usuário, o servidor público que abre um e-mail de phishing, que compartilha credenciais de acesso, que utiliza dispositivo pessoal sem controles de segurança para acessar sistemas institucionais é o vetor de ataque mais explorado pela criminalidade cibernética. Programas de conscientização e educação continuada em segurança da informação não são custo supérfluo: são investimento em resiliência institucional.

Um ponto merece destaque especial: a separação formal de funções. A acumulação, por um único servidor, das atribuições de administrador de redes, gestor de projetos de infraestrutura e responsável pela segurança da informação é uma vulnerabilidade sistêmica que precisa ser endereçada, por meio de cargos, designações específicas ou reorganização funcional. Não se resolve com tecnologia. Resolve-se com vontade institucional e reorganização administrativa.

6. Segurança da Informação é questão de governança, não de TI

O equívoco mais persistente na gestão pública brasileira é tratar a segurança da informação como problema do departamento de tecnologia. Não é. É problema de governança, portanto, da alta direção de cada órgão.

Quando um prefeito assina um contrato de prestação de serviços sem exigir cláusulas de segurança da informação do contratante que terá acesso a dados de contribuintes, ele pratica ato de gestão com impacto direto na proteção de dados pessoais. Quando um secretário de estado aprova um orçamento que contingencia os recursos destinados à atualização do parque tecnológico e à capacitação de pessoal, ele toma uma decisão com consequências jurídicas mensuráveis em caso de incidente.

A segurança da informação, nesse entendimento, não é departamento, é atributo transversal da gestão pública e sua ausência não é apenas falha técnica: é violação do dever constitucional de eficiência administrativa, é descumprimento da LGPD, é afronta ao direito fundamental dos cidadãos à proteção de seus dados pessoais.

Mandarino Junior e Canongia (2010) já advertiam, há mais de quinze anos, que a segurança cibernética é função estratégica de Estado. O Brasil levou tempo para incorporar essa premissa ao ordenamento jurídico, desta forma, o Decreto n. 12.572/2025 é o reconhecimento tardio, mas bem-vindo, dessa realidade. O desafio agora é a implementação: transformar norma em prática, princípio em procedimento, obrigação jurídica em rotina institucional.

O Estado que não protege a informação que custodia não falha apenas em termos técnicos. Falha em seu compromisso mais elementar com os cidadãos cujos dados lhe foram confiados, muitas vezes sem escolha, por força de lei. E essa falha, no ordenamento jurídico vigente, não é mais apenas moral. É jurídica, é administrativa e é passível de responsabilização.

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: tecnologia da informação — técnicas de segurança — código de prática para controles de segurança da informação. 3. ed. Rio de Janeiro: ABNT, 2022.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Resolução CD/ANPD n. 15, de 24 de abril de 2024. Dispõe sobre o procedimento de comunicação de incidente de segurança com dados pessoais. Brasília, DF: ANPD, 2024. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-resolucao-que-regulamenta-a-comunicacao-de-incidentes-de-seguranca. Acesso em: 12 maio 2026.

BARCELOS, R. Ataques ransomware renderam R$ 2,1 bilhões a hackers em 2020, aponta estudo. CNN Brasil, São Paulo, 15 maio 2021. Disponível em: https://www.cnnbrasil.com.br/tecnologia/2021/05/15/ataques-ransomware-renderam-r-2-1-bilhoes-a-hackers-em-2020. Acesso em: 12 maio 2026.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 12 maio 2026.

BRASIL. Medida Provisória n. 2.200-2, de 24 de agosto de 2001. Institui a Infra-Estrutura de Chaves Públicas Brasileira — ICP-Brasil e dá outras providências. Brasília, DF: Presidência da República, 2001. Disponível em: https://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm. Acesso em: 12 maio 2026.

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12 maio 2026.

BRASIL. Lei n. 14.063, de 23 de setembro de 2020. Dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos e em atos de pessoas jurídicas e dá outras providências. Brasília, DF: Presidência da República, 2020. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14063.htm. Acesso em: 12 maio 2026.

BRASIL. Decreto n. 12.572, de 4 de agosto de 2025. Institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação no âmbito da Administração Pública Federal. Brasília, DF: Presidência da República, 2025. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2025/decreto/D12572.htm. Acesso em: 12 maio 2026.

COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS. Fuite de données de santé de l'AP-HP: que pouvez-vous faire si vous êtes concerné? Paris: CNIL, 21 set. 2021. Disponível em: https://www.cnil.fr/fr/fuite-de-donnees-de-sante-ap-hp-que-pouvez-vous-faire-si-vous-etes-concerne. Acesso em: 12 maio 2026.

DAVENPORT, Thomas H. Ecologia da informação: por que só a tecnologia não basta para o sucesso na era da informação. São Paulo: Futura, 1998.

INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. Estimativas da população residente para os municípios e para as unidades da federação. Rio de Janeiro: IBGE, 2025. Disponível em: https://www.ibge.gov.br/estatisticas/sociais/populacao/9103-estimativas-de-populacao.html. Acesso em: 12 maio 2026.

MANDARINO JUNIOR, Raphael; CANONGIA, Claudia. Livro verde: segurança cibernética no Brasil. Brasília: Gabinete de Segurança Institucional — Departamento de Segurança da Informação e Comunicações, 2010.

[1] Disponível em: https://www.cadaminuto.com.br/noticia/2020/05/16/hacker-invade-site-do-tj-al-e-parabeniza-o-orgao-pela-atuacao-durante-pandemia. Acesso em: 13 de março de 2026.

[2] Disponível em: https://www.cnnbrasil.com.br/nacional/pf-prende-hackers-que-atacaram-sistemas-do-stf/. Acesso em: 13 de março de 2026.

[3] Disponível em: https://www.ibge.gov.br/estatisticas/sociais/populacao/9103-estimativas-de-populacao.html. Acesso em: 13 de março de 2026.

[4] Disponível em: https://noticias.uol.com.br/ultimas-noticias/rfi/2022/08/23/hospital-na-franca-e-atacado-por-hackers-entenda-por-que-este-crime-e-recorrente.htm. Acesso em: 13 de maio de 2026.

[5] Disponível em: https://www.jota.info/opiniao-e-analise/artigos/ransomware-pagar-ou-nao-pagar-eis-a-questao. Acesso em: 13 de maio de 2026.