QUANDO O DADO VAZA, O CPF DO GESTOR RESPONDE: O CASO DE PORTO NACIONAL COMO ALERTA PARA TODAS AS PREFEITURAS DO BRASIL

O recente ataque cibernético à Prefeitura de Porto Nacional (TO), ocorrido entre os dias 23 e 24 de junho de 2025, não é um episódio isolado. Ele se soma a uma crescente lista de incidentes em administrações municipais que expõem fragilidades profundas na gestão de dados públicos. Mais do que uma falha técnica, trata-se de uma grave omissão institucional, que pode gerar responsabilidade direta aos agentes públicos envolvidos — inclusive com base na Lei Geral de Proteção de Dados (LGPD) e na Lei de Improbidade Administrativa (LIA).


A Administração Pública como controladora de dados

Nos termos da LGPD, a Administração Pública atua como controladora de dados pessoais, o que significa que ela decide sobre as finalidades e os meios de tratamento das informações que coleta — desde cadastros escolares, fichas médicas, registros sociais até dados de servidores e fornecedores.

Essa função não é exercida de forma abstrata: são os agentes públicos, na prática, os operadores do tratamento, e respondem por seus atos nos limites da legalidade e da boa-fé. A responsabilidade do órgão público existe “da porta para fora”, mas “da porta para dentro”, o servidor também pode e deve ser responsabilizado individualmente por suas condutas — especialmente quando age com dolo, má-fé ou grave negligência.

O que aconteceu em Porto Nacional?

Um ransomware invadiu os sistemas da Prefeitura de Porto Nacional na madrugada de 23 para 24 de junho de 2025. O ataque criptografou arquivos dos setores internos e de geomapeamento, interrompeu o serviço de internet nas repartições municipais e deixou sistemas inoperantes por horas. Os cibercriminosos deixaram uma mensagem exigindo contato em 72 horas e ameaçaram divulgar arquivos sigilosos caso não houvesse negociação com a prefeitura.

Reação da administração municipal

A gestão informou que possuía backups diários de cerca de 20 TB de dados, o que teria possibilitado a recuperação dos sistemas afetados. Também alegou que não houve comprometimento de dados sensíveis de contribuintes ou servidores. Ainda assim, a Procuradoria Jurídica formalizou boletim de ocorrência junto à Polícia Civil e iniciou procedimentos administrativos de apuração e contenção.

Fragilidades expostas

Apesar da resposta inicial, o incidente revelou falhas estruturais relevantes:

  • Ausência de um plano de resposta a incidentes, o que atrasou a restauração total dos sistemas;
  • Falta de medidas técnicas preventivas e controles de acesso, como autenticação multifator e segmentação de rede;
  • Evidências de que credenciais antigas e configurações frágeis foram exploradas pelos invasores;
  • Comunicação institucional deficiente, sem detalhamento dos riscos e dos aprendizados com o ataque.

Um alerta simbólico

O caso de Porto Nacional se tornou um exemplo emblemático da vulnerabilidade estrutural de muitos municípios brasileiros diante de ameaças cibernéticas. Apesar de contar com backups — um diferencial importante — a cidade demonstrou que ter dados salvos não é o mesmo que estar em conformidade com a LGPD.

Além dos prejuízos operacionais e da exposição da fragilidade institucional, o episódio demonstrou que, mesmo sem vazamento confirmado, há graves implicações jurídicas quando o poder público não adota medidas suficientes de prevenção, resposta e transparência.

O que a LGPD exige — e faltou


  • Plano de resposta a incidentes: A inexistência de uma política clara de contenção comprometeu a retomada dos serviços e a segurança dos dados.
  • Medidas técnicas e organizacionais: O ataque explorou lacunas que poderiam ter sido evitadas com controle de acessos, atualização de sistemas e autenticação segura.
  • Governança de dados: A ausência de um comitê, encarregado (DPO) e políticas documentadas mostra o descompasso com o artigo 50 da LGPD.
  • Transparência ativa: O princípio da publicidade (art. 23) exige que o poder público informe, de forma clara, a forma como trata dados. Não houve comunicação técnica suficiente à população sobre as consequências e as providências adotadas.

Quando a violação vira improbidade administrativa

Órgãos públicos podem ser sancionados por falhas no tratamento de dados, mesmo que algumas penalidades sejam específicas para entidades públicas. Isso, no entanto, não isenta os agentes públicos infratores de sanções próprias. O agente público que dolosamente violar a LGPD pode responder por ato de improbidade administrativa.

Ou seja, não é mais possível se esconder atrás da pessoa jurídica do Estado. O gestor que se omite diante de alertas de segurança, ignora a LGPD, compartilha dados sem base legal ou expõe informações sensíveis pode ter seu CPF envolvido em ação de improbidade, com risco de:

  • perda do cargo público,
  • suspensão dos direitos políticos,
  • indenização pessoal ao erário,
  • e danos à sua reputação funcional e civil.

Tipos de improbidade ligados à violação da LGPD

A violação da Lei Geral de Proteção de Dados (LGPD) por agentes públicos, especialmente quando ocorre com dolo ou má-fé, pode configurar ato de improbidade administrativa nos termos da Lei nº 8.429/1992 — especialmente após o julgamento da ADI 6.649 e da ADPF 695 pelo Supremo Tribunal Federal, que consolidou o entendimento de que o tratamento e o compartilhamento indevido de dados por parte do poder público atingem diretamente os princípios que regem a Administração Pública.

A jurisprudência já reconhece três eixos principais de enquadramento típico para esses atos:


1. Violação aos princípios da Administração Pública (art. 11 da LIA)

O artigo 11 da Lei de Improbidade Administrativa tipifica como ato ímprobo qualquer conduta que atente contra os princípios da legalidade, moralidade, publicidade, imparcialidade, eficiência, entre outros. Isso inclui comportamentos que, embora não resultem necessariamente em prejuízo financeiro ou ganho indevido, ferem a ética e a integridade da função pública.


Aplicação à LGPD:

  • Compartilhamento de dados sem base legal e sem transparência;
  • Omissão na nomeação de encarregado (DPO) e na criação de políticas mínimas de proteção de dados;
  • Ausência de divulgação das práticas de tratamento de dados pessoais no portal da instituição;
  • Negligência deliberada na adoção de medidas técnicas e organizacionais de segurança.
Essas condutas, se dolosas, configuram grave violação aos princípios da publicidade, da legalidade e da moralidade administrativa.


2. Prejuízo ao erário (art. 10 da LIA)

O artigo 10 da Lei nº 8.429/1992 tipifica como ato de improbidade administrativa qualquer conduta que cause lesão ao patrimônio público, de forma direta ou indireta, mesmo sem o enriquecimento pessoal do agente.

Aplicação à LGPD:

Quando a violação aos dados pessoais de um titular (por exemplo, vazamento de prontuário médico ou dados sensíveis) resulta em condenação judicial da prefeitura para pagamento de indenização, temos um caso claro de dano ao erário municipal.


Da mesma forma, despesas públicas geradas para remediar uma violação previsível e evitável (como contratação emergencial, recuperação de sistemas ou campanhas de contenção de imagem) também podem ser enquadradas nesse dispositivo.

Importante: A conduta pode ser dolosa ou culposa, desde que haja nexo de causalidade entre a omissão/inércia do agente e o prejuízo concreto ao erário.


3. Enriquecimento ilícito (art. 9º da LIA)

O artigo 9º tipifica como ato de improbidade a conduta do agente público que, no exercício de sua função, recebe vantagem patrimonial indevida, direta ou indiretamente.

Aplicação à LGPD:

Situações em que o servidor comercializa dados pessoais sob sua guarda, ou repassa essas informações a terceiros mediante pagamento ou benefício, configuram ato de improbidade por enriquecimento ilícito.

Por exemplo, um agente público que vende dados cadastrais a empresas de telemarketing, ou que cede dados sensíveis a terceiros mal-intencionados, obtendo vantagem patrimonial com base no acesso funcional, comete infração direta ao artigo 9º da LIA.

Nesses casos, há dolo manifesto, quebra de confiança institucional e abuso de poder funcional.

Requisitos para responsabilização

Para que o agente público seja responsabilizado por ato de improbidade administrativa em razão de violação à LGPD, é necessário que estejam presentes:

  • A prática de um ato funcional ilícito (ação ou omissão);
  • A presença de dolo (nas hipóteses dos artigos 9º e 11), ou dolo ou culpa grave (para o art. 10);
  • A demonstração do nexo entre a conduta e o resultado (prejuízo, enriquecimento ou violação de princípio)
  • E o exercício da função pública ou o vínculo jurídico com a administração.

Esses elementos são exigidos tanto pela doutrina quanto pela jurisprudência consolidada do Superior Tribunal de Justiça.


O dever de publicidade e a obrigação de governança


A Lei Geral de Proteção de Dados Pessoais (LGPD), no artigo 23, impõe à Administração Pública não apenas o dever de tratar dados para fins legítimos e definidos, mas também a obrigação de transparência ativa. Os órgãos públicos devem informar, de forma clara, objetiva e acessível à população:

  • A previsão legal que autoriza o tratamento;
  • A finalidade pública específica que justifica a coleta e o uso dos dados;
  • Os procedimentos e práticas adotadas no tratamento;
  • As hipóteses de compartilhamento com outros entes e os respectivos fundamentos jurídicos.
Esse dever não é meramente informativo — trata-se de garantia fundamental da autodeterminação informativa e de instrumento de controle social sobre a atuação estatal. É o que justifica o acesso pleno e tempestivo a informações sobre como os dados estão sendo tratados pelo poder público.

Negar ou omitir essas informações, ainda que por desorganização ou ausência de estrutura adequada, deixa de ser uma falha administrativa genérica para se transformar em um ato ilícito específico, que pode configurar:

  • Violação à LGPD, por descumprimento do princípio da transparência;
  • Descumprimento da Lei de Acesso à Informação (Lei nº 12.527/2011), quando não se publica a base legal e as práticas adotadas;
  • Violação de princípios constitucionais, como os da legalidade, moralidade, eficiência e publicidade (art. 37 da Constituição);

E, nos casos dolosos ou de grave omissão, ato de improbidade administrativa conforme o art. 11 da Lei nº 8.429/1992.

O Supremo Tribunal Federal, ao julgar o Decreto 10.046/2019 no âmbito da ADI 6.649 e da ADPF 695, fixou entendimento de que o compartilhamento de dados pessoais entre órgãos públicos só é legítimo quando há justificativa explícita, finalidade legítima e observância plena da LGPD. O STF ainda reforçou que a publicidade dessas práticas deve ser garantida por meio de veículos de fácil acesso, preferencialmente nos próprios sites institucionais, sob pena de afronta direta ao princípio republicano e ao direito à privacidade.

Ou seja, a transparência deixou de ser uma boa prática e passou a ser um dever jurídico incontornável. A ausência de informações públicas sobre o tratamento de dados pessoais pelo Estado cria um ambiente de opacidade institucional, desinformação e risco de abuso, especialmente em contextos sensíveis como saúde, assistência social, educação e segurança pública.

A governança de dados no setor público, por sua vez, deve ser encarada como um sistema integrado de políticas, práticas, processos e controles, que assegure não apenas a conformidade legal, mas também a confiança da população no uso ético e seguro das informações. Isso envolve:
  • Nomeação de encarregado (DPO) com competência técnica e autonomia;
  • Políticas claras de uso, retenção e descarte de dados;
  • Mecanismos de accountability;
  • Monitoramento contínuo e avaliação de riscos.

Quando não há governança, o risco jurídico é imediato — e, como já reiterado por diversas decisões e pareceres técnicos, a consequência pode recair sobre o ente público e também sobre o agente responsável, inclusive com ação de regresso.

A mensagem é clara: transparência não é opcional. É regra. E não se trata apenas de disponibilizar dados ao cidadão, mas de explicitar com precisão, em linguagem compreensível, o que está sendo feito com as informações pessoais que a Administração coleta, trata e compartilha.

Conclusão: não há mais desculpas — é hora de agir com estratégia, técnica e responsabilidade

O ataque à Prefeitura de Porto Nacional não pode ser visto como um incidente isolado ou um “azar tecnológico”. Trata-se de um sintoma grave de negligência institucional com os dados da população, que infelizmente se repete em centenas de municípios Brasil afora. A Lei Geral de Proteção de Dados (LGPD) já está em vigor e as penalidades — inclusive pessoais — já estão sendo aplicadas. A jurisprudência amadureceu. O Supremo Tribunal Federal confirmou: a responsabilidade é objetiva para o ente público e direta para o gestor que atua com dolo ou má-fé.

A LGPD não é só TI. Ela exige governança, segurança jurídica, protocolos administrativos, gestão de crise, capacitação e resposta técnica rápida. E isso só é possível com estruturação profissional e planejamento estratégico.

Portanto, não basta contratar “alguém da informática” ou delegar a missão a um servidor sem capacitação específica. A realidade atual exige que as prefeituras busquem consultorias sérias e com experiência notoriamente comprovada, com profissionais verdadeiramente especializados em proteção de dados, segurança da informação, direito digital e gestão pública. Proteção de dados não é campo para amadorismo ou oportunismo.

É necessário montar um programa real de conformidade à LGPD que inclua:

  • Mapeamento e inventário de dados pessoais tratados pela administração municipal;
  • Nomeação e capacitação de um Encarregado (DPO) com perfil técnico-jurídico;
  • Revisão de contratos com fornecedores de tecnologia, com cláusulas de proteção de dados;
  • Criação de uma política de resposta a incidentes e plano de continuidade de serviços essenciais;
  • Capacitação contínua de todos os servidores com acesso a dados;
  • Auditorias periódicas e indicadores de maturidade em segurança da informação.
E acima de tudo: os prefeitos, secretários e dirigentes precisam compreender que proteger dados não é “apenas cumprir a LGPD” — é garantir o direito fundamental à privacidade de cada cidadão que confiou suas informações ao Estado. É proteger a imagem da gestão. É preservar a própria responsabilidade funcional e pessoal.

Gestão pública responsável é aquela que antecipa riscos, age preventivamente e se cerca dos melhores profissionais para garantir segurança, legalidade e confiança institucional.

Não se trata de burocracia. Trata-se de governar com consciência e responsabilidade no mundo digital.



“Quando o Estado protege dados, protege pessoas.”

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Inteligência Artificial Revoluciona o Compliance no Setor de Saúde

Imagem
A Inteligência Artificial (IA) está transformando o compliance das operadoras de seguro saúde, tornando-se uma ferramenta essencial para a detecção de fraudes e a conformidade regulatória. A capacidade da IA de analisar grandes volumes de dados rapidamente permite identificar padrões e comportamentos suspeitos que métodos tradicionais poderiam não detectar. Esse avanço é crucial no setor de saúde, onde fraudes podem causar prejuízos significativos tanto para as operadoras quanto para os beneficiários. As normas da Agência Nacional de Saúde Suplementar (ANS), como a RN nº 518, exigem que as operadoras implementem programas robustos de compliance. Esses programas devem incluir políticas, procedimentos e controles internos adaptados à realidade de cada organização. A IA facilita o cumprimento dessas diretrizes, automatizando processos de monitoramento e garantindo a conformidade contínua com as regulamentações. Além disso, a IA permite a revisão automática de documentos, e-mails e denúnci...
Leia mais

Governo Federal Estabelece Regras Rigorosas de Convivência nas Redes Sociais

Imagem
O Ministério da Gestão e da Inovação em Serviços Públicos publicou um conjunto de regras de uso e convivência para suas redes sociais oficiais, com o objetivo de garantir um ambiente virtual respeitoso, seguro e alinhado com os princípios da administração pública. A medida, que ganhou visibilidade recentemente, reforça a importância da etiqueta digital institucional, ao estabelecer diretrizes claras sobre o que é considerado aceitável nos canais oficiais do governo no Instagram, Facebook, YouTube, Twitter/X, TikTok, LinkedIn, WhatsApp e outras plataformas. Segundo o Ministério, as contas são administradas pela Assessoria Especial de Comunicação Social e destinam-se à divulgação de ações públicas e prestação de informações aos cidadãos. No entanto, o acesso e a interação nos espaços digitais estão condicionados ao cumprimento de uma série de regras, e qualquer violação pode resultar em restrição imediata do usuário, sem aviso prévio ou justificativa. Entre os comportamentos vetados estã...
Leia mais

Nova Portaria do Ministério da Justiça Estabelece Regras para Uso de Tecnologia em Investigações: Limites, Garantias e Impactos

Imagem
No dia 24 de junho de 2025, foi publicada no Diário Oficial da União a Portaria nº 961 do Ministério da Justiça e Segurança Pública (MJSP) , que dispõe sobre diretrizes e limites para o uso de soluções de tecnologia da informação nas atividades de investigação criminal e inteligência de segurança pública. A normativa surge em um contexto de crescente digitalização dos processos investigativos e de consolidação das garantias constitucionais de privacidade, exigindo de operadores do Direito, peritos, gestores de segurança pública e cidadãos um novo olhar sobre as práticas cotidianas de coleta e processamento de dados. O texto normativo encontra fundamento em dispositivos constitucionais e legais que já apontavam para a necessidade de regulamentação específica. Entre eles, destacam-se o artigo 5º, incisos X e XII da Constituição Federal de 1988 , que assegura a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, bem como o sigilo das comunicações, e a Lei Ger...
Leia mais