A nova tentativa do governo do Paraná de destravar a privatização da Celepar por meio da Mensagem nº 7/2026 não resolve o impasse jurídico aberto no Supremo Tribunal Federal. Ao contrário, expõe uma estratégia que busca responder formalmente à decisão cautelar do ministro Flávio Dino, mas que deixa intacta a fragilidade estrutural do Estado para exercer controle real sobre os dados sensíveis de 11 milhões de paranaenses, sobretudo na área de Segurança Pública.
O Projeto de Lei nº 163/2026 altera a Lei 22.188/2024, que autorizou a desestatização da Celepar, e acrescenta ao Conselho Estadual de Governança Digital e Segurança da Informação poderes fiscalizatórios diretos sobre o tratamento de dados pessoais sensíveis, antes, durante e após a privatização. Também autoriza o Conselho a requisitar informações, determinar medidas corretivas e representar à Autoridade Nacional de Proteção de Dados. Além disso, insere dispositivo afirmando que o Estado preservará o controle sobre sistemas e bases de dados sensíveis, vedando sua transferência integral a entes privados.
O movimento é claramente direcionado à exigência imposta por Flávio Dino na ADI 7.896/PR, que condicionou o prosseguimento da privatização à preservação de poderes fiscalizatórios diretos sobre o tratamento de dados pessoais sensíveis, sob pena de manutenção da suspensão do processo.
O problema é que a nova lei enfrenta o tema apenas no plano formal.
O Conselho Estadual de Governança Digital é um órgão colegiado de natureza consultiva, normativa e deliberativa. Não opera data centers. Não administra sistemas fiscais. Não mantém bases de arrecadação. Não executa plataformas de saúde, educação ou segurança pública. Ele delibera. A fiscalização técnica contínua de ambientes críticos exige estrutura permanente, equipes especializadas em arquitetura de sistemas, segurança cibernética, auditoria de logs, controle de acesso e monitoramento de processamento. Nada disso é criado pelo projeto.
A proposta afirma que a Secretaria de Estado da Inovação e Inteligência Artificial prestará apoio técnico. Mas a própria declaração de adequação orçamentária anexada ao projeto informa que não haverá aumento de despesa nem criação de novas estruturas. Em outras palavras: amplia-se a responsabilidade, mas não se amplia a capacidade operacional. Se não há reforço estrutural, não há como falar em fiscalização técnica robusta. Há, no máximo, fiscalização normativa.
Essa distinção é central. A decisão do STF não exige apenas previsão legal de poder de fiscalização. Exige controle direto e efetivo. Controle material. Controle que permita auditar, intervir, verificar e, se necessário, interromper operações.
No campo da Lei Geral de Proteção de Dados, o problema se aprofunda. A LGPD estabelece o princípio da responsabilização e da prestação de contas. O controlador deve demonstrar a adoção de medidas eficazes para comprovar observância da legislação. Se a Celepar for privatizada e continuar operando os sistemas, o Estado será controlador e a empresa privada será operadora. Sem equipe técnica robusta para auditar permanentemente essa operadora, o dever de fiscalização corre o risco de se tornar apenas formal. A nova lei não cria unidade técnica de auditoria, não impõe certificações obrigatórias, não estabelece protocolos permanentes de monitoramento independente.
Outro ponto crítico está na redação que afirma que o Estado preservará o controle sobre sistemas e bases de dados, vedada a transferência integral a entes privados. A expressão “transferência integral” é juridicamente aberta. A empresa pode continuar processando integralmente os dados mediante contrato de prestação de serviços. Pode hospedar, operar e manter as bases. Pode executar a infraestrutura física e lógica. Se isso ocorrer, o controle estatal será essencialmente contratual, não operacional. A lei não define o que significa controle material. Não estabelece critérios objetivos. Não impõe limitação técnica à operação privada.
No plano econômico, a incongruência é ainda mais evidente. O valor estimado de venda gira em torno de R$ 1,3 bilhão. Entretanto, os contratos já firmados com órgãos estaduais ultrapassam R$ 2 bilhões, podendo superar R$ 4 bilhões até 2029, segundo projeções parlamentares. Além disso, há contrato específico de R$ 438,7 milhões por 60 meses para manutenção de sistemas críticos. Se confirmados esses números, o futuro comprador poderá adquirir uma empresa com receitas robustas já asseguradas pelo próprio Estado. Isso levanta questionamento sobre precificação do ativo público e compatibilidade com os princípios da eficiência, economicidade e proteção do patrimônio público.
A nova lei também não enfrenta o risco concorrencial. Enquanto estatal, a Celepar pode firmar contratos diretos com o governo em determinadas hipóteses legais. Após privatizada, a manutenção automática desses contratos pode gerar questionamentos sobre isonomia e livre concorrência, especialmente se não houver nova competição pública estruturada. O projeto não estabelece qualquer regra de transição contratual nem obriga reequilíbrio competitivo.
Há ainda a questão da chamada nuvem soberana federal. O governo sustenta que dados sensíveis poderiam migrar para essa estrutura no Serpro. Contudo, declarações públicas da direção da estatal federal indicam que há apenas protocolo de intenções, não contrato formal. Protocolo não gera obrigação executiva. Não impõe cronograma. Não assegura migração. Não garante governança compartilhada. Sem instrumento vinculante, o argumento perde força jurídica.
O cenário revela uma contradição central. O Estado afirma ao Supremo que manterá controle direto sobre dados sensíveis, mas admite que não possui estrutura técnica ampliada para absorver integralmente os sistemas operados há mais de seis décadas pela Celepar. Reconhece que precisará de apoio técnico. Não cria novos quadros. Não reforça orçamento. Não estrutura unidade de fiscalização tecnológica permanente.
Politicamente, a mensagem enviada é clara: o governo quer manter o cronograma de venda e reduzir o risco jurídico da decisão cautelar. A solução encontrada foi reforçar competências formais do Conselho e declarar, em lei, que o controle será preservado. O problema é que controle real não se decreta. Se estrutura.
A privatização da principal empresa pública de processamento de dados do Estado envolve sistemas fiscais, educacionais, sanitários, previdenciários e de segurança pública. Trata-se de infraestrutura estratégica. A discussão não é apenas societária. É de soberania informacional, responsabilidade institucional e proteção de dados pessoais.
A nova proposta não elimina as dúvidas constitucionais. Não resolve integralmente a exigência material imposta pelo STF. Não enfrenta o debate patrimonial. Não esclarece o modelo concorrencial pós-privatização. Não cria estrutura técnica compatível com a magnitude do desafio.
O impasse jurídico permanece. E, ao insistir na venda sem resolver essas lacunas estruturais, o governo Ratinho Junior assume o risco político e jurídico de ser acusado de transferir patrimônio estratégico, fragilizar a governança de dados sensíveis e cumprir apenas formalmente uma exigência judicial que exige, na prática, muito mais do que alteração redacional.
A controvérsia não se encerra com a nova lei. Ela entra em uma nova fase. Mais técnica, mais profunda e possivelmente mais judicializada.
*Íntegra da nova proposta do governo do Paraná encaminhada ao Legislativo.
https://capitaldigital.com.br/wp-content/uploads/2026/03/lei-celepar2.pdf
