Vazamento de dados pode virar improbidade administrativa
A proteção de dados pessoais no setor público entrou em um novo momento. Recentemente, a Comissão de Administração e Serviço Público da Câmara dos Deputados aprovou o Projeto de Lei nº 2.263/2025. A proposta trata o vazamento ou a exposição indevida de dados pessoais por agentes públicos como ato de improbidade administrativa.
Agora, o texto segue para a Comissão de Constituição e Justiça e de Cidadania. Caso avance, o projeto pode alterar de forma relevante o modelo de responsabilização na Administração Pública. Além disso, tende a fortalecer a ligação entre governança de dados e direito administrativo sancionador.
O que prevê o Projeto de Lei nº 2.263/2025
O projeto inclui o artigo 11-A na Lei nº 8.429/1992, a Lei de Improbidade Administrativa, que dispõe sobre as sanções aplicáveis em virtude da prática de atos de improbidade administrativa, de que trata o § 4º do art. 37 da Constituição Federal e dá outras providências. Com isso, o ordenamento passa a enquadrar como improbidade a conduta do agente público que, por ação ou omissão, cause ou exponha a risco indevido dados pessoais ou dados pessoais sensíveis sob sua responsabilidade funcional.
No entanto, o texto não admite punições automáticas. Ao contrário, ele exige análise concreta da situação. Nesse sentido, o intérprete deve avaliar a natureza dos dados, o grau de culpa ou dolo, o dever funcional de guarda e sigilo, os danos causados ou potenciais e a existência de medidas de prevenção e resposta a incidentes. Dessa forma, o projeto preserva a proporcionalidade e evita enquadramentos genéricos.
Por que essa mudança é relevante
A Lei n.º 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), já impõe deveres claros à Administração Pública. Ainda assim, ela não criou mecanismos próprios de responsabilização político-administrativa, como os previstos na Lei de Improbidade. Por essa razão, surgem zonas de insegurança jurídica, sobretudo em casos de vazamentos causados por negligência grave ou omissão institucional.
Nesse contexto, o Supremo Tribunal Federal (STF), em 2022, reforçou esse entendimento ao julgar a ADI 6.649 e a ADPF 695. Na ocasião, o Tribunal afirmou que o compartilhamento de dados entre órgãos públicos não é ilícito por si só. Contudo, ele exige finalidade pública legítima, específica e transparente, além do respeito integral aos princípios da LGPD, especialmente ao artigo 23, inciso I.
Quando esses requisitos não são observados, o Estado responde objetivamente pelos danos. Além disso, pode haver ação regressiva contra o servidor responsável. Em situações mais graves, havendo dolo, o agente também pode responder por improbidade administrativa. Por esse motivo, o compartilhamento irregular pode se equiparar juridicamente a um vazamento, mesmo quando ocorre dentro da estrutura estatal.
Vazamento de dados não é mero erro administrativo
O projeto parte de uma premissa clara. Em primeiro lugar, o vazamento de dados pessoais não representa simples falha técnica. Na prática, ele pode causar fraudes, assédio, prejuízos financeiros, violação da dignidade humana e perda de confiança do cidadão no Estado.
Além disso, a justificativa do projeto menciona episódios recentes de vazamentos massivos envolvendo bases públicas sensíveis, como dados previdenciários. Esses casos, por sua vez, revelam fragilidades estruturais e evidenciam os efeitos da ausência de responsabilização adequada. Quando isso ocorre, o problema deixa de ser tecnológico e passa a comprometer a boa governança.
Impactos práticos para gestores e órgãos públicos
Se o Congresso aprovar o PL nº 2.263/2025, os órgãos e entidades públicas precisarão rever sua postura institucional. Em consequência, a tendência aponta para políticas de privacidade e segurança da informação mais robustas, controles mais rigorosos de acesso, valorização dos planos de resposta a incidentes e fortalecimento das áreas de compliance e das diretrizes e boas práticas apontadas pelos Encarregados pelo Tratamento de Dados Pessoais.
Em síntese, a mensagem é direta. A proteção de dados deixa de ser somente uma boa prática e passa a integrar o núcleo dos deveres funcionais do agente público.
Evento, incidente e vazamento não são sinônimos
No campo da proteção de dados e da segurança da informação, a confusão entre evento, incidente e vazamento gera riscos jurídicos relevantes. Por isso, esses conceitos exigem distinção clara, já que produzem efeitos normativos diferentes.
De modo geral, um evento de segurança corresponde a qualquer ocorrência relacionada à segurança da informação, ainda que não indique dano efetivo. Nessas situações, ele funciona somente como alerta técnico, sem gerar obrigações legais imediatas.
Por outro lado, o incidente de segurança com dados pessoais surge quando o evento confirmado afeta a confidencialidade, a integridade ou a disponibilidade de dados pessoais. Nesse momento, o risco jurídico se torna concreto.
Quando o incidente se transforma em vazamento de dados
O vazamento representa uma forma qualificada de incidente. Em termos objetivos, ele ocorre quando há acesso, divulgação ou exposição não autorizada de dados pessoais, em desacordo com a LGPD ou com deveres legais de sigilo.
Ainda assim, nem todo incidente gera vazamento. Da mesma forma, nem todo incidente de segurança da informação envolve dados pessoais. Essa distinção, portanto, evita comunicações indevidas, respostas desproporcionais e enquadramentos jurídicos equivocados.
Relação direta com a improbidade administrativa
É justamente aqui que a proposta legislativa ganha relevância. Quando o agente público ignora alertas, deixa de adotar medidas preventivas, compartilha dados sem hipótese legal, além de outras exigências, ou permite exposição indevida por omissão grave, a conduta ultrapassa o campo técnico.
Nessas hipóteses, o fato pode ingressar no direito administrativo sancionador. Dependendo do caso, torna-se possível o enquadramento como ato de improbidade administrativa, nos termos da Lei nº 8.429/1992.
Conclusão
O PL nº 2.263/2025 marca uma mudança de paradigma. A partir dele, o vazamento de dados no setor público deixa de ocupar posição marginal e passa a integrar o debate central sobre ética, legalidade e responsabilidade estatal.
Mais do que punir, o projeto busca induzir prevenção, diligência e respeito aos direitos fundamentais. Em um cenário cada vez mais orientado por dados, proteger informações pessoais não é escolha. É dever institucional.
Síntese conclusiva
- Evento é qualquer ocorrência relacionada à segurança da informação;
- Incidente é evento confirmado com impacto potencial ou real;
- Vazamento é incidente com exposição ou divulgação indevida de dados pessoais;
- Compartilhamento ilegal pode configurar vazamento;
- Nem todo incidente gera responsabilização, mas todo vazamento exige análise jurídica rigorosa.