Decreto 12.455/2025 – Atualização importante sobre compartilhamento de dados pessoais para gestão de benefícios sociais
Por Adriano Chaves, Marcia Issler Mandelbaum e Marcelo Rosa Filho
No último dia 15 de maio foi publicado o Decreto 12.455/2025, alterando o Decreto 12.428/2025, que dispõe sobre compartilhamento de dados pelos órgãos públicos federais e pelas prestadoras de serviços públicos para fins de gestão de benefícios sociais.
Com tais mudanças, a definição de prestadoras de serviços públicos, para fins de tal norma, fica mais restritiva, englobando apenas as concessionárias, as permissionárias e as autorizatárias que prestam serviços públicos relacionados à distribuição de energia e à telecomunicação de interesse coletivo.
A principal obrigação trazida é a de que as prestadoras de serviços públicos deverão compartilhar com o Ministério da Gestão e da Inovação em Serviços Públicos os dados de endereço físico dos cidadãos cadastrados nas bases de dados de que sejam detentoras, acompanhados pelo respectivo número do CPF em formato pseudonimizado. A finalidade do compartilhamento é aperfeiçoar o processo de verificação de requisitos para a concessão, a manutenção e a ampliação de benefícios da seguridade social. Essas informações serão utilizadas para qualificar os dados de endereços constantes das bases dos benefícios da seguridade social e, quando necessário, confirmar a composição familiar.
Além disso, de acordo com o Decreto, as Agências Reguladoras serão responsáveis por fiscalizar o cumprimento dessa obrigação, e as prestadoras de serviços públicos deverão indicar a tais agências seus responsáveis técnicos pelo compartilhamento dos dados.
A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos ainda estabelecerá, em ato próprio, os procedimentos e os prazos para o compartilhamento e a atualização dos dados pelas prestadoras de serviços públicos, indicando, inclusive: a base legal aplicável, o período do uso compartilhado dos dados, as responsabilidades de cada agente de tratamento, os parâmetros de segurança e medidas técnicas e administrativas para proteger os dados pessoais, os procedimentos para atender os titulares e as diretrizes de transparência.
Por fim, o Decreto 12.455/2025 trouxe obrigações de que o uso compartilhado de dados e as atividades de tratamento de dados pessoais abrangidas por tal norma deverão observar os princípios e os parâmetros da LGPD, ser realizados de forma proporcional e garantir o pleno exercício dos direitos dos titulares, além de estabelecer a necessidade de realização prévia de relatório de impacto à proteção de dados pessoais, que deverá conter, no mínimo, a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais e as medidas, as salvaguardas e os mecanismos de mitigação de tais riscos.
O descumprimento do disposto no Decreto sujeitará as prestadoras de serviços públicos às penalidades previstas na legislação.
Para saber mais sobre as regras trazidas pelo Decreto, acesse-o aqui ou consulte os líderes do nosso time de Privacidade e Proteção de Dados, Adriano Chaves e Marcia Issler Mandelbaum.
Este boletim tem propósito meramente informativo e não deve ser considerado a fim de se obter aconselhamento jurídico sobre qualquer um dos temas aqui tratados. CGM Advogados. Todos os direitos reservados.