Trad & Cavalcanti Advogados
PublicaçõesDireito Empresarial / Proteção de Dados

Proteção de dados e privatização: o caso Celepar no STF e seus reflexos para empresas

Proteção de dados e privatização: o caso Celepar no STF e seus reflexos para empresas

Dr. Flávio Nogueira Cavalcanti

31 de maio de 2026
6 min de leitura
proteção dados privatização: celepar reflexos

O que está em jogo na ADI 7.896

A decisão liminar do ministro Flávio Dino, do Supremo Tribunal Federal, na Ação Direta de Inconstitucionalidade nº 7.896, suspendeu o processo de privatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar). A notícia, divulgada pelo Consultor Jurídico, trata de uma decisão que vai muito além de uma disputa pontual sobre a estatal paranaense: ela inaugura no STF um debate concreto sobre os limites constitucionais à privatização de empresas públicas que custodiam grandes volumes de dados pessoais sensíveis.

A Celepar é a empresa responsável pelo processamento de dados do governo do Paraná. Em seus servidores transitam informações de saúde, fiscais, previdenciárias, educacionais e de segurança pública de milhões de cidadãos paranaenses. O cerne da ADI é justamente este: a transferência do controle dessa massa de dados a um agente privado pode comprometer direitos fundamentais previstos no artigo 5º, inciso LXXIX, da Constituição (proteção de dados pessoais) e nas garantias da Lei Geral de Proteção de Dados (LGPD).

O ministro Dino entendeu, em juízo cautelar, que a privatização sem salvaguardas específicas quanto ao tratamento desses dados pode violar o núcleo essencial do direito fundamental à proteção de dados. A decisão suspende o leilão até que o mérito seja apreciado pelo plenário.

Por que essa decisão muda o jogo

Até aqui, o debate sobre desestatização concentrava-se em aspectos econômicos, de governança e de interesse público em sentido amplo. O caso Celepar adiciona uma camada nova e técnica: a titularidade e a custódia de dados pessoais passam a ser tratadas como ativo constitucionalmente protegido, com regime jurídico próprio, que não se confunde com o simples patrimônio da empresa.

Isso tem três desdobramentos imediatos:

1. Dados pessoais não são mercadoria transferível por simples alienação societária

A leitura que se consolida é a de que a venda do controle acionário de uma empresa estatal não autoriza, por si só, a transferência indiscriminada dos bancos de dados sob sua custódia. O dado pessoal pertence ao titular (o cidadão), e o ente público é apenas controlador no sentido da LGPD. Trocar o controlador exige base legal específica, finalidade compatível e, em muitos casos, anuência regulatória.

2. A ANPD ganha protagonismo nas operações de M&A envolvendo o setor público

A Autoridade Nacional de Proteção de Dados tende a ser cada vez mais consultada — formalmente ou não — em processos de desestatização, concessões e PPPs que envolvam tratamento massivo de dados. Operações desenhadas sem essa interlocução estarão sujeitas a contestação judicial.

3. Contratos com o poder público passam a exigir auditoria de dados mais robusta

Empresas que prestam serviços ao Estado, que processam dados públicos ou que pretendem participar de futuras privatizações precisam revisar suas matrizes de risco. A due diligence tradicional, focada em passivos trabalhistas, fiscais e ambientais, agora deve incorporar de forma estruturada o passivo de proteção de dados.

Quem é afetado na prática

O caso Celepar é paranaense, mas seus reflexos são nacionais. Estão diretamente afetados:

  • Empresas que participam de licitações federais, estaduais e municipais em áreas que envolvam tecnologia da informação, saúde, segurança pública, arrecadação e identificação civil;
  • Investidores e fundos interessados em processos de desestatização de empresas públicas de tecnologia (Serpro, Dataprev e congêneres estaduais ficam no radar);
  • Operadores de saúde, hospitais e clínicas que mantêm interface com sistemas públicos (DATASUS, sistemas estaduais de regulação, e-SUS);
  • Agronegócio, especialmente empresas que se conectam a sistemas estatais de georreferenciamento, CAR, defesa agropecuária e sistemas de rastreabilidade;
  • Empresas de tecnologia e SaaS que prestam serviços a entes públicos com tratamento de dados de cidadãos;
  • Médicos e clínicas que utilizam plataformas estatais ou conveniadas para prontuário eletrônico e telemedicina.

Mesmo quem não atua diretamente com o setor público é alcançado de forma indireta: a tese que se forma no STF tende a influenciar a interpretação geral sobre responsabilidade solidária no tratamento de dados em cadeias contratuais complexas.

O que fazer agora

A decisão liminar é um sinal claro de que o ambiente regulatório está se sofisticando. Adotar postura reativa significa correr o risco de ver contratos anulados, operações suspensas ou indenizações impostas. Algumas medidas concretas:

Revisar contratos vigentes com o poder público

Verifique se os instrumentos contemplam cláusulas de tratamento de dados compatíveis com a LGPD, definição clara dos papéis de controlador e operador, e protocolos de incidente. Contratos antigos firmados antes de 2020 raramente atendem ao padrão atual e precisam ser aditados.

Mapear o fluxo de dados em operações públicas

Empresas que recebem, processam ou devolvem dados a entes estatais devem manter relatório de impacto à proteção de dados pessoais (RIPD) atualizado. Em caso de fiscalização da ANPD ou questionamento judicial, esse documento é a primeira linha de defesa.

Incluir cláusula de "proteção de dados" nas due diligences

Quem pretende adquirir empresas que mantêm contratos com o setor público — inclusive concessionárias, operadoras de saúde com convênios SUS e empresas de tecnologia agrícola — precisa avaliar o passivo regulatório de dados como item autônomo, com valuation próprio.

Preparar-se para o novo desenho das privatizações

Os próximos editais de desestatização de empresas estatais de tecnologia provavelmente trarão exigências mais rígidas: segregação prévia de bases de dados, criação de entes públicos residuais como custodiantes, ou regimes híbridos de governança. Quem participar dessas disputas precisa entrar com estrutura jurídica e técnica adequada.

Atenção redobrada para o setor médico e do agronegócio

Médicos e produtores rurais frequentemente subestimam sua exposição à LGPD, por entenderem que o tema é restrito a grandes empresas de tecnologia. É um equívoco perigoso. Prontuários, exames, dados genômicos, dados de produção, georreferenciamento e informações de rebanho são todos dados protegidos. Quando há interface com sistemas estatais, a responsabilidade compartilhada se intensifica.

O que esperar do julgamento de mérito

O plenário do STF deverá enfrentar questões delicadas: até que ponto o legislador estadual pode autorizar a alienação de bases de dados? Há necessidade de lei específica? Qual o papel da ANPD em operações desse tipo? A resposta dada pela Corte será paradigmática e servirá de baliza para todas as futuras desestatizações no país, em qualquer esfera federativa.

Independentemente do resultado, o caminho regulatório é de maior, não menor, exigência. Empresas que se anteciparem terão vantagem competitiva em licitações, em operações de M&A e em sua relação com o regulador.

A equipe do Trad & Cavalcanti Advogados acompanha de perto a evolução jurisprudencial sobre proteção de dados e suas interfaces com o direito empresarial, médico e do agronegócio. Para avaliar contratos, due diligences ou estruturas societárias diante desse novo cenário, nossos advogados estão à disposição para uma análise personalizada.

Precisa de assessoria?

Fale diretamente com um sócio

A primeira conversa é sem custo. Conte sua situação e entenda o que o direito pode fazer por você.

Falar no WhatsAppEnviar mensagem