LGPD em eventos institucionais: o que conselhos e órgãos públicos precisam garantir

Sempre que um evento coleta nome, e-mail, CPF, documento profissional ou qualquer informação que identifique uma pessoa, há tratamento de dados pessoais — e a Lei Geral de Proteção de Dados (Lei 13.709/2018) passa a reger essa atividade. Isso vale para congressos, seminários e oficinas, mesmo gratuitos e mesmo quando promovidos por órgãos públicos ou conselhos profissionais.

Na LGPD, a organização que decide por que e como os dados serão tratados é o controlador; a plataforma ou fornecedor que processa dados em nome dela é o operador. Conselhos e órgãos públicos costumam ser controladores dos dados dos participantes, com responsabilidades específicas sobre finalidade, segurança e atendimento aos titulares.

Órgãos públicos têm um regime adicional: o tratamento de dados deve atender ao interesse público e às competências legais do órgão, com transparência reforçada. Por isso a definição da base legal correta é ainda mais sensível no setor público.

O primeiro passo de conformidade é mapear o que é realmente coletado em cada etapa. Em eventos institucionais, o fluxo costuma envolver inscrição, emissão de certificado, check-in e, em congressos científicos, submissão e avaliação de trabalhos.

Atenção redobrada com dados sensíveis (saúde, biometria, opinião política, dados de crianças e adolescentes). Informações de acessibilidade ou restrição alimentar, por exemplo, podem revelar dados de saúde e exigem cuidado e base legal específica.

A LGPD exige uma base legal para cada finalidade — não basta pedir consentimento para tudo. Para a inscrição em si, a base costuma ser a execução de contrato ou de procedimentos preliminares (art. 7º, V): sem os dados, não há como inscrever a pessoa. Já o cumprimento de obrigação legal ou regulatória pode sustentar registros que o órgão precisa guardar.

Para órgãos públicos, a execução de políticas públicas e o exercício de competências legais (art. 7º, III, e art. 23) são bases típicas. O consentimento deve ficar reservado a usos que não são necessários ao evento — como enviar comunicações de marketing de eventos futuros — e precisa ser livre, informado e revogável.

O legítimo interesse é uma base possível para usos esperados pelo participante, mas exige avaliação documentada de necessidade e balanceamento, e não pode prevalecer sobre direitos fundamentais. Esta é uma definição que merece validação com a área jurídica antes de ser adotada.

Dois princípios concentram a maior parte dos erros em formulários de inscrição. A minimização (art. 6º, III) determina coletar apenas os dados necessários à finalidade declarada — se o evento não precisa do CPF para emitir o certificado, não peça CPF. Campos 'só para constar' aumentam o risco sem agregar valor.

A finalidade (art. 6º, I) exige que cada dado seja usado apenas para o propósito informado no momento da coleta. Reaproveitar a lista de inscritos de um seminário para vender outro produto, sem nova base legal, viola esse princípio. Some-se a isso a transparência (informar de forma clara) e a segurança (proteger os dados contra acesso indevido).

A LGPD garante ao participante uma série de direitos (art. 18) que a organização precisa estar preparada para atender, normalmente em prazos curtos. Na prática, isso significa ter um canal de contato (encarregado/DPO) e processos para localizar, corrigir ou eliminar os dados de uma pessoa quando solicitado.

Em eventos, esses pedidos aparecem com frequência: alguém pede correção do nome no certificado, quer ser removido da lista de divulgação ou solicita confirmação de quais dados foram guardados. Centralizar inscrições, certificados e comunicações em uma única plataforma facilita responder com rapidez e rastreabilidade.

Raramente um evento é operado sem fornecedores: plataforma de inscrições, gateway de pagamento, serviço de e-mail, fornecedor de crachás. Cada um que acessa dados pessoais em nome do controlador é um operador e deve estar vinculado por contrato que defina finalidade, medidas de segurança e proibição de uso próprio dos dados.

O controlador responde por escolher operadores que ofereçam garantias adequadas. Verifique onde os dados são armazenados, se há criptografia e controle de acesso, e exija que o operador não exponha os dados a terceiros não autorizados. Plataformas com arquitetura multi-tenant que isolam os dados de cada organização reduzem o risco de exposição cruzada.

Compartilhar a lista de participantes com patrocinadores ou parceiros é um tratamento adicional que precisa de base legal própria — normalmente consentimento específico — e deve ser informado ao titular. Não presuma autorização só porque a pessoa se inscreveu no evento.

A LGPD não fixa um prazo único de guarda: a retenção deve durar o tempo necessário para cumprir a finalidade ou uma obrigação legal. Encerrado o evento e expirados os prazos legais aplicáveis, os dados devem ser eliminados ou anonimizados — manter bases antigas 'por garantia' é justamente o oposto do que a lei pede.

Há exceções legítimas de guarda: certificados com código único verificável precisam permanecer consultáveis em página pública de validação para comprovar autenticidade, e órgãos públicos podem ter obrigações de arquivamento. Defina uma política de retenção por tipo de dado, registre os prazos e automatize o descarte quando possível.

Por fim, mantenha medidas de segurança proporcionais ao risco e um plano de resposta a incidentes — em caso de vazamento que possa causar risco relevante aos titulares, a ANPD e os afetados devem ser comunicados. As definições acima são orientações gerais; o desenho final das bases legais e prazos deve ser validado com a assessoria jurídica do seu órgão ou conselho.