LGPD e Lei de Acesso à Informação: diálogo impossível ou complementar?

A relação entre a Lei Geral de Proteção de Dados (LGPD) — Lei 13.709/2018 — e a Lei de Acesso à Informação Pública (LAI) — Lei 12.527/2011 — constitui uma das tensões mais delicadas do direito administrativo brasileiro contemporâneo. Enquanto a primeira estabelece um arcabouço normativo para a proteção e o tratamento de dados pessoais, a segunda consagra o direito fundamental à transparência das ações estatais. O ponto crítico emerge quando dados pessoais encontram-se nas bases de administrações públicas: deve prevalecer o direito de acesso do cidadão ou a confidencialidade assegurada pela legislação de proteção de dados?

Contexto

A questão ganha relevo especialmente porque a LGPD, ao contrário de marcos europeus similares — particularmente o Regulamento Geral de Proteção de Dados (GDPR) —, não contempla de forma clara e pormenorizada a articulação entre direitos fundamentais colidentes. O sistema europeu resolve esse conflito mediante princípios hierárquicos bem definidos: a proteção de dados é direito fundamental, mas o acesso à informação pública igualmente o é, exigindo ponderação caso a caso.

No Brasil, a LGPD foi aprovada sob forte influência do modelo europeu, incorporando conceitos como "dado pessoal", "legítimo interesse" e "consentimento". Porém, sua aplicação à Administração Pública permanecia incerta até a promulgação da Lei 13.709/2018. O artigo 4º da LGPD contém definições essenciais; o artigo 17 aborda o tratamento de dados de pessoas naturais pela Administração Pública. Já a LAI, anterior em sete anos, estrutura-se sobre o pressuposto de que a transparência estatal é regra e a restrição exceção — inversão de lógica relativamente à LGPD, onde o tratamento de dados pessoais exige justificativa legal expressa.

A divergência anteriormente não era central porque a LGPD ainda não havia consolidado sua aplicabilidade administrativa. Após 2020, com a entrada em vigor integral da lei, conflitos práticos emergiram: pedidos de informação sobre servidores públicos processados por improbidade, planilhas com remuneração de gestores, cadastros de beneficiários de políticas públicas — tudo envolvia dados pessoais cujo acesso seria exigido pela LAI, mas restringido pela LGPD.

O que foi decidido

A contribuição da pesquisa em foco — publicada na Revista de Direito Administrativo 281 (2022) — é diagnosticar que esse diálogo, embora teoricamente possível, mostra-se problemático na prática brasileira. O trabalho analisa as influências do direito europeu sobre ambas as legislações e conclui que a arquitetura normativa brasileira carece de um critério unificado de resolução de conflitos.

A análise aprofunda como o GDPR europeu, ao reconhecer tanto a proteção de dados quanto o acesso à informação como direitos fundamentais, construiu mecanismos de ponderação (teste de proporcionalidade, interesse público manifestamente predominante, anonimização como solução intermediária). O sistema brasileiro absorveu a técnica europeia de proteção, mas não assimilou a metodologia de conflito.

O estudo evidencia que a LAI opera com uma lógica publicista clássica: segredo é exceção; o acesso é direito de todo cidadão sobre qualquer ato estatal. A LGPD, inversamente, partiu de premissa protetiva: dado pessoal é cercado por restrições; o acesso exige base legal específica. Quando esses dois regimes se encontram — por exemplo, um pedido via Lei de Acesso a informações que contenham dados pessoais de terceiros —, qual prevalece?

A conclusão apresentada é que, sem regulamentação clara ou jurisprudência consolidada, a Administração Pública brasileira tende a negar pedidos de acesso com base na LGPD, fechando informações que, em análise mais rigorosa de proporcionalidade, deveriam ser reveladas com técnicas de anonimização ou com restrições de uso.

Base normativa e precedentes

• Art. 5º, XXXIII, CF/88 — reconhece o direito de acesso à informação pública como direito fundamental.
• Lei 12.527/2011 (LAI) — regulamenta o direito de acesso; artigos 7º e 13º definem restrições por segurança, sigilo profissional e privacidade.
• Lei 13.709/2018 (LGPD) — institui regime de proteção de dados; art. 4º define "dado pessoal"; art. 17 trata de tratamento pela Administração Pública em bases legais específicas.
• Art. 2º, Lei 13.709/2018 — fundamentos incluem a dignidade, a privacidade, mas também a liberdade de informação (inciso VIII).
• Regulamento Geral de Proteção de Dados (GDPR, UE, 2016) — estabelece princípios de proporcionalidade e interest balancing; artigos 6º (bases legais) e 21º (direito de acesso/oposição) servem como parâmetro comparado.
• Jurisprudência consolidada — Poder Judiciário brasileiro ainda não pacificou critérios de resolução desse conflito em nível de súmula ou precedente vinculante.

Impacto prático

Para advogados litigantes:

• Pedidos de acesso a informações de interesse público (como dados sobre contratos públicos, beneficiários de políticas sociais, gestores envolvidos em atos discricionários) são cada vez mais negados sob a alegação de LGPD, mesmo quando justificáveis por interesse público manifesto.
• Em ações judiciais por mandado de segurança ou habeas data, a estratégia defensiva da Administração repousa agora em norma de proteção de dados, criando nova camada de complexidade processual.

Para servidores públicos e gestores:

• A incerteza sobre qual lei prevalece obriga estruturas administrativas a investir em orientações internas contraditórias ou à adoção de postura ultrarrestritiva, paralisando fluxos de informação legítimos.

Para pesquisadores e fiscalizadores:

• Relatórios de acesso a dados sobre remuneração, execução orçamentária ou beneficiários de programas federais enfrentam recusas sistemáticas.

Para a transparência estatal:

• O risco maior é a erosão da LAI como instrumento de accountability, sem que a LGPD tenha oferecido em troca proteção substantiva eficaz (pois a Administração continua tratando dados pessoais sem consentimento adequado, sob bases legais genéricas).

O que observar

Regulamentação pendente: O Conselho Nacional de Proteção de Dados (CNPD), previsto na LGPD, ainda não consolidou orientações vinculantes sobre a articulação com a LAI. Instruções normativas de órgãos como a CGU (Controladoria-Geral da União) tentam preencher lacunas, mas carecem de força normativa plena.

Jurisprudência em formação: O STF e o STJ não se pronunciaram de forma sistemática sobre qual critério deve prevalecer em casos emblemáticos. Quando o fizerem, pode haver modulação de efeitos que altere a prática administrativa consolidada nos últimos anos.

Anonimização como solução intermediária: Nenhuma das duas leis brasileiro elegeu a anonimização como caminho preferencial de resolução de conflitos. O GDPR, por seu turno, reconhece dados anonimizados como exceção à proteção — isso deveria inspirar revisões futuras da LAI ou LGPD.

Convergência com direito comparado: Organismos internacionais (UNCITRAL, OEA) e agências de proteção de dados estrangeiras discutem harmonização. O Brasil pode incorporar essas lições, evitando precedentes que fechem indevidamente a transparência ou que desprotejam dados genuinamente pessoais.

Risco para profissionais: Advogados que litigam transparência ou proteção de dados enfrentam critérios em fluxo; parecerias jurídicas sobre conformidade administrativa devem agora considerar ambas as leis como pares de força, não subordinadas.