Proteção de dados como limite à privatização estatal: caso Celepar e o STF

A transformação digital do Estado brasileiro tem intensificado o debate sobre a proteção de dados pessoais como direito fundamental e sua relação com políticas públicas, especialmente no contexto de privatizações. A decisão liminar do ministro do Supremo Tribunal Federal Flávio Dino na Ação Direta de Inconstitucionalidade nº 7.896, que suspendeu a privatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), evidencia esse novo cenário jurídico, no qual a gestão de dados sensíveis passa a ocupar posição central na análise da legitimidade de atos estatais [1].

O caso levanta questionamentos relevantes acerca dos limites constitucionais da desestatização, sobretudo quando envolve estruturas estratégicas de informação. Assim, há que se analisar a decisão à luz da proteção de dados como direito fundamental, da Lei Geral de Proteção de Dados (LGPD) [2] e da literatura científica recente.

Centralidade dos dados na administração pública

A Celepar exerce função estratégica ao gerenciar dados sensíveis da população, incluindo informações fiscais, de saúde e segurança pública. A decisão liminar do STF considerou que a privatização dessa estrutura poderia comprometer a proteção dessas informações, uma vez que a legislação estadual não demonstrava salvaguardas suficientes (Brasil, 2026), apontando Dino que:

“Inafastável a premissa de que os dados pessoais em geral, e os dados sensíveis em particular, juntamente com os dados relativos ao elenco do art. 4º, III, da LGPD são merecedores das máximas proteção e cautela por parte do Estado, entendo, em juízo próprio das medidas urgentes, que o diploma estadual ora impugnado, ao dispor de forma genérica sobre a alienação do controle acionário da Companhia de Tecnologia da Informação e Comunicação do Paraná – CELEPAR e, por conseguinte, acerca da transferência e do tratamento dos dados, inviabiliza concluir pela observância efetiva do direito fundamental ‘à proteção dos dados pessoais, inclusive nos meios digitais’” (Brasil, STF, 2026).

O ministro também aponta para a homologação da suspensão do processo de privatização pelo Tribunal de Contas do Estado, determinando ao estado do Paraná, entre outras obrigações, a de elaborar um relatório de impacto à proteção de dados pessoais. Ao tratarem sobre essa modalidade de relatório, Minghelli et al. afirmam que a gestão de dados públicos ultrapassa a dimensão administrativa, configurando-se como elemento essencial da soberania estatal [3]. Na era digital, os dados se tornaram ativos estratégicos, exigindo mecanismos robustos de governança e proteção, conforme aponta a própria Infraestrutura Nacional de Dados (IND) brasileira [4].

Proteção de dados como direito fundamental

As preocupações exaradas na decisão liminar envolveram não só tal estudo prévio, como também a preservação dos poderes fiscalizatórios sobre os tratamentos de dados pessoais sensíveis e o controle dos sistemas e bases de dados, admitindo a Agência Nacional de Proteção de Dados (ANPD) como amicus curiae exatamente pela possibilidade de ocorrer dano irreversível à integridade dos dados públicos e privados.

Essa posição da corte obedece, como indicado pelo próprio ministro, à proteção de dados pessoais consolidada no Brasil como direito fundamental a partir da LGPD, em 2018, seguida pela Emenda Constitucional nº 115/2022, que inseriu o inciso LXXXIX no artigo 5º [5]. A LGPD estabelece princípios como finalidade, necessidade e transparência, que orientam o tratamento de dados tanto no setor público quanto no privado) [6].

Pesquisa recente destaca que a proteção de dados não se limita à privacidade individual, mas possui dimensão coletiva e estrutural, influenciando diretamente a democracia e a cidadania [7]. Assim, qualquer política pública que envolva transferência de dados deve observar rigorosamente esses parâmetros, sob pena de ocorrer deslize administrativo grave, como já foi o caso em 2025, com a exposição de nomes de portadores de HIV pela Prefeitura de Feira de Santana, na Bahia [8].

No caso da Celepar, o STF entendeu que a ausência de mecanismos claros de proteção poderia violar esse direito fundamental, justificando a suspensão do processo de privatização.

Privatização e riscos à governança informacional

A decisão do ministro Flávio Dino determinou a suspensão dos atos administrativos relacionados à privatização da Celepar até nova análise do STF, evidenciando a necessidade de cautela em processos de desestatização que envolvem dados sensíveis. A medida foi adotada em caráter liminar e será submetida ao plenário da Corte, o que demonstra a relevância jurídica e institucional da matéria, bem como seu impacto no ordenamento constitucional brasileiro.

Outro ponto destacado na decisão refere-se à insuficiência da legislação estadual que autorizou a privatização, considerada genérica quanto ao tratamento dos dados pessoais. O entendimento apresentado indica que não há garantias claras de que os direitos fundamentais relacionados à privacidade e à proteção de dados seriam devidamente preservados, o que inviabiliza a continuidade do processo sem a adoção de medidas mais rigorosas.

Outrossim, foi ressaltado que o caso não se trata de uma simples alteração no controle de uma empresa pública, mas envolve diretamente direitos fundamentais da população, especialmente no que se refere ao uso e à proteção de dados pessoais sensíveis. A decisão também menciona a existência de apontamentos prévios de órgãos de controle sobre riscos associados à privatização, reforçando a necessidade de maior segurança jurídica e de estudos técnicos antes da implementação de medidas dessa natureza.

Para Dino, a privatização de empresas estatais que lidam com dados sensíveis não pode ser tratada como mera operação econômica. O ministro destacou que não se trata de uma atividade empresarial comum, mas de uma estrutura que envolve direitos fundamentais dos cidadãos.

Nesse escopo Pereira et al. reforçam esse entendimento ao apontarem que a implementação da LGPD ainda enfrenta desafios práticos, especialmente na articulação entre setor público e privado e na garantia de segurança da informação [9]. Isso indica que a transferência de controle para a iniciativa privada pode aumentar riscos, caso não haja regulação adequada, além disso Araújo Neto e Aguiar mostram que a proteção de dados exige não apenas normas jurídicas, mas também infraestrutura técnica e institucional capaz de garantir sua efetividade [10].

Papel do STF na proteção de direitos fundamentais

A atuação do STF no caso da Celepar reafirma o papel do Judiciário como guardião dos dados pessoais. Para que isso ocorra no âmbito dessa proteção, entendeu-se que existe a necessidade de assegurar que o processo de desestatização não ocorra de forma genérica, apressada ou sem balizas claras. Por se tratar de concessão de liminar, não há garantias de que a privatização prevista pela Lei Estadual nº 22.188/2024 [11] não ocorrerá, mas indica-se a necessidade de dar um passo atrás para contemplar melhor a LGPD e a Política que compõe a Infraestrutura Nacional de Dados.

Ao vincular o avanço da privatização ao relatório de impacto à proteção de dados e pretender submetê-lo à ANPD, o STF cumpre seu papel de garantir que o controle e a fiscalização de dados sensíveis permaneçam sob a titularidade estatal, exatamente pelos riscos de danos que possam ocorrer. A concessão da liminar revela uma alteração no paradigma jurídico que acompanha a normativa proveniente da LGPD, integrando a governança digital com a soberania informacional.

Ao realizar uma transferência de controle acionário via privatização, a preocupação com a governança, protegendo integridade e confidencialidade, indica uma priorização da prevenção de riscos, pois a contenção de danos posterior tem se mostrado de difícil alcance. A exigência do alinhamento das normas estaduais aos parâmetros federais reforça a competência privativa da União na legislação sobre proteção de dados e evita a insegurança jurídica.

Conclusão

A suspensão da privatização da Celepar representa um marco relevante na consolidação da proteção de dados como limite à atuação estatal, assim, o caso evidencia que, na era digital, a gestão de dados pessoais não pode ser dissociada dos direitos fundamentais, exigindo uma análise mais rigorosa das políticas públicas. Na fundamentação da decisão liminar, observa-se o entendimento não só de que a proteção de dados se configura como direito fundamental previsto no inciso LXXXIX do artigo 5º da Constituição, como também que a legislação estadual do Paraná não apresentou salvaguardas suficientes para garantir a integridade e confidencialidade das informações que a Celepar possui.

Ao condicionar a continuidade do processo de privatização à adoção de diversas medidas preventivas, a decisão do STF demonstra que, embora juridicamente possível, o processo encontra limites quando envolve estruturas estratégicas de informação, e nesse caminho, a proteção de dados emerge como elemento central para a legitimidade das ações estatais, reafirmando a necessidade de conciliar eficiência administrativa com a garantia de direitos, em especial quando se trata de dados sensíveis, que devem permanecer sob efetiva fiscalização do Estado.

[1] BRASIL. Supremo Tribunal Federal. Ação Direta de Inconstitucionalidade n. 7.896. Relator: Flávio Dino. Decisão monocrática, julgado em 11 fev. 2026. Disponível  aqui.

[2] BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível aqui.

[3] MINGHELLI, M. et al. Lei Geral de Proteção de Dados e a elaboração do Relatório de Impacto à Proteção de Dados Pessoais. Em Questão, v. 30, 2024. Disponível aqui.

[4] BRASIL. Infraestrutura Nacional de Dados (IND) . Disponível aqui.

[5] BRASIL. Constituição (1988). Emenda Constitucional n. 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais. Art. 5º, LXXIX: “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”. Disponível aqui.

[6] NASCIMENTO, B. L. C.; SILVA, E. M. Lei Geral de Proteção de Dados (LGPD) e repositórios institucionais. Em Questão, v. 29, 2023. Disponível aqui.

[7] SIQUEIRA, P. G. A Lei Geral de Proteção de Dados (LGPD) no Brasil: desafios e impactos nas relações de consumo no ambiente digital, Conteúdo Jurídico, 2025. Disponível aqui.

[8] OLIVEIRA, Gustavo Justino de; GLASSMAN, Guillermo; VENTURINI, Otavio. Vazamento de dados sensíveis de HIV/Aids e a responsabilização do Estado. Conjur, 8 mar. 2026. Disponível aqui.

[9] PEREIRA, G. C.  et al. A proteção de dados pessoais no Brasil: Análise crítica da Lei Geral de Proteção de Dados (LGPD). Revista Nativa Americana de Ciências, Tecnologia & Inovação, Ji-Paraná –RO, v. 8, n. 1, 2025. Disponível aqui.

[10] ARAÚJO NETO, R. J.; AGUIAR, J. J. B. Os impactos da Lei Geral de Proteção de Dados (LGPD) na segurança da informação: uma revisão da literatura. Revista de Gestão e Secretariado, v. 15, n. 2, 2024. Disponível aqui.

[11] PARANÁ. Lei n. 22.188, de 13 de novembro de 2024. Autoriza a desestatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR), institui o Conselho Estadual de Governança Digital e Segurança da Informação e dá outras providências. Disponível aqui.