A defesa construída pelo governo do Paraná para sustentar a migração dos dados da segurança pública para fora da Celepar e responder aos questionamentos sobre a privatização da estatal passou a revelar uma série de tensões jurídicas, regulatórias e tecnológicas dentro do próprio discurso oficial apresentado ao Tribunal de Contas do Estado do Paraná e posteriormente utilizado nas manifestações do Estado perante o Supremo Tribunal Federal, no âmbito das disputas relacionadas à desestatização da companhia.
Documentos oficiais da própria Secretaria de Estado da Segurança Pública do Paraná (SESP-PR), assinados pelo chefe do Centro de Tecnologia da Informação e Comunicação da SESP, Evandro Luiz Lustre (foto), mostram que, meses antes de afirmar ao STF e ao TCE que a segregação dos dados da segurança pública estava concluída e em conformidade com a Lei Geral de Proteção de Dados (LGPD), o próprio governo estadual ainda consultava formalmente a Procuradoria-Geral do Estado sobre a viabilidade jurídica e técnica de separar bases biométricas civis e criminais diante da possível privatização da Celepar.
A tensão emerge da comparação entre o protocolo 23.931.627-1, de um documento produzido em maio de 2025, e a Informação 001/2026, assinada por Evandro Luiz Lustre e posteriormente utilizada nas manifestações do Estado perante os tribunais superiores para sustentar a estratégia tecnológica e jurídica relacionada à desestatização da companhia.
O ponto mais sensível é que a Informação 001/2026 não funciona apenas como uma nota administrativa ou técnica. O documento passou a integrar a argumentação institucional do governo do Paraná em processos envolvendo soberania digital, LGPD, custódia de dados sensíveis e a própria viabilidade operacional da desestatização da Celepar.
O texto também passou a levantar questionamentos sobre mudanças de posicionamento dentro da própria SESP, sobre a interpretação do papel da Autoridade Nacional de Proteção de Dados e sobre o uso de um projeto de lei federal cujo conteúdo, em alguns pontos, parece entrar em contradição com a narrativa apresentada pelo governo estadual.
A Informação 001/2026 foi assinada por Evandro Luiz Lustre, chefe do Centro de Tecnologia da Informação e Comunicação da SESP. Seu currículo mostra formação em Análise e Desenvolvimento de Sistemas, especialização em Segurança da Informação e atuação como perito criminal da Polícia Científica do Paraná, com experiência em temas ligados a blockchain e custódia digital.
Sob o ponto de vista técnico-operacional, trata-se de um perfil compatível com debates sobre infraestrutura, segurança da informação, bancos de dados, arquitetura tecnológica e segmentação lógica. Mas a Informação 001/2026 também avança sobre temas de natureza jurídico/regulatória. Ao longo do documento, Lustre interpreta competências constitucionais, discute limites regulatórios da LGPD, aborda o papel da ANPD, utiliza projetos de lei federais como referência normativa e sustenta teses relacionadas à soberania digital e proteção estatal de dados.
Na prática, uma nota assinada por um profissional de TI passou a integrar a argumentação jurídico-regulatória da defesa institucional da estratégia estadual relacionada à Celepar. Esse aspecto ganhou ainda mais relevância porque a própria 6ª Inspetoria do Tribunal de Contas do Estado já havia apontado anteriormente ausência de um parecer jurídico no processo analisado.
Dúvida oficial
No protocolo 23.931.627-1, elaborado ainda em maio de 2025, a própria SESP demonstrava preocupação sobre a possibilidade de segregação das bases de dados relacionadas à segurança pública. O documento, inserido no sistema por Evandro Lustre, registrava consulta formal à Procuradoria-Geral do Estado solicitando parecer jurídico sobre “a possibilidade de separação do banco de dados utilizado pelo Detran do banco de dados de identificação criminal”, além de análise específica sobre a aplicação da LGPD diante da eventual privatização da Celepar.
Na prática, o governo admitia naquele momento que havia integração entre dados biométricos civis e bases criminais, incluindo estruturas relacionadas à identificação civil, CNH, Detran e sistemas de segurança pública. Mais do que isso: a consulta demonstrava que o próprio Estado ainda buscava segurança e convicção técnica/jurídica sobre a viabilidade da segregação, os impactos da LGPD e os limites do tratamento desses dados em eventual ambiente privado. O cenário descrito no protocolo de 2025 era de incerteza técnica, regulatória e operacional.
Mudança brusca
Poucos meses depois, porém, a Informação 001/2026 apresenta um cenário substancialmente diferente. No documento encaminhado ao Tribunal de Contas do Estado do Paraná, a SESP afirma que a Celepar “não detém mais controle e governança da totalidade dos dados” da segurança pública, que sete aplicações estratégicas já teriam sido transferidas, que aproximadamente 50% do armazenamento utilizado anteriormente na estatal estaria sob controle da secretaria, que a segmentação lógica das bases teria sido concluída e que os riscos relacionados à LGPD e à soberania digital estariam integralmente mapeados.
O texto também afirmava que a operação já estava concluída e houve “processo de segregação total”, dos dados. E a SESP estaria preparada para atender “integralmente a LGPD e as diretrizes da ANPD”. A mudança de posicionamento chamou atenção porque ocorre justamente no período em que o processo de privatização da Celepar enfrentava avanço das disputas judiciais e maior pressão dos órgãos de controle.
Contradição central
A principal tensão revelada pelos documentos está no contraste entre os dois cenários. Em maio de 2025, o Estado consultava formalmente a PGE para saber se seria juridicamente e tecnicamente possível separar bases biométricas civis e criminais. Meses depois, a mesma estrutura estatal passou a afirmar perante tribunais superiores que a segregação estaria concluída, os riscos plenamente mapeados e a LGPD integralmente atendida. O próprio documento de 2026, contudo, apresenta elementos que suscitam dúvidas sobre o alcance da expressão “segregação total”.
A SESP informa que apenas sete aplicações haviam sido transferidas, que o processo envolvia cerca de 50% do armazenamento e que a chamada “Nuvem de Governo” do Serpro ainda estava “em processo de contratação”. Isso levanta uma questão técnica relevante: como interpretar a expressão “segregação total concluída” diante do fato de que metade da estrutura ainda aparecia como referência operacional, a migração complementar ainda dependia do Serpro e a própria arquitetura futura ainda estava em implantação?
Segundo a contradição começa quando 4ª Inspetoria do TCE descobriu no levantamento que são sete sistemas de um total de 70 sistemas. Já a 6ª Inspetorias foi mais à fundo na investigação e acabou informando que são mais de 100 sistemas.
Além disso foi constatado que o volume de dados nos sete sistemas informados pela secretaria não representam nenhum grau de complexidade só representam em torno de 5 % das informações sensíveis armazenadas. São apenas dados não estruturados de imagens , vídeos, gravações.
Papel da ANPD
A Informação 001/2026 também passou a gerar debate pela forma como interpreta o papel institucional da ANPD. O texto afirma que a autoridade teria reconhecido “não haver qualquer definição do que representa a totalidade de dados mencionada na LGPD”, embora destacando a importância de evitar concentração de armazenamento para garantir soberania estatal.
Especialistas em proteção de dados observam, porém, que essa leitura não elimina as competências constitucionais e regulatórias da autoridade nacional. A própria LGPD, mesmo prevendo futura regulamentação específica para segurança pública, não suspende princípios constitucionais já vigentes relacionados à proporcionalidade, finalidade, necessidade, segurança, controle estatal e proteção de dados pessoais.
Além disso, a Emenda Constitucional nº 115 elevou a proteção de dados à condição de direito fundamental. Ou seja: a ausência de uma lei penal específica não significa ausência completa de parâmetros jurídicos para atuação da ANPD.
LGPD Penal
Para sustentar a tese de “vazio regulatório”, a SESP citou diretamente o PL 1515/2022, que está encalhado há meses na Comissão de Ciência e Tecnologia da Câmara dos Deputados. Só que o conteúdo do projeto cria uma nova contradição dentro da argumentação apresentada pelo governo do Paraná para defender a privatização.
O PL 1515/2022 foi apresentado pelo deputado federal Coronel Armando, do PL de Santa Catarina, um ferrenho Bolsonarista ligado ao campo da segurança pública. O texto cria uma espécie de “LGPD penal”, específica para tratamento de dados relacionados à segurança pública, defesa nacional, segurança do Estado e investigação criminal.
Ao contrário da interpretação sugerida pela SESP, porém, o projeto não flexibiliza amplamente o controle estatal sobre bases sensíveis. Em diversos trechos ocorre justamente o contrário. O texto estabelece que “em nenhum caso a totalidade dos dados pessoais” relacionados à segurança pública poderá ser tratada por pessoas jurídicas de direito privado, salvo empresas integralmente controladas pelo poder público.
Na prática, o mesmo projeto utilizado pelo governo do Paraná como argumento para justificar uma lacuna regulatória, também reforça uma das principais teses dos críticos da privatização da Celepar: a necessidade de manutenção do controle estatal sobre bases integrais da segurança pública.
O PL também amplia competências da própria ANPD, prevendo auditorias, relatórios de impacto e supervisão sobre operações de tratamento de dados ligadas à segurança pública e inteligência estatal. Ou seja: o projeto citado pela SESP não reduz o papel da autoridade nacional. Em vários pontos, ele o amplia.
Soberania mitigada
Outra tensão relevante aparece no discurso sobre “nuvem soberana”. A Informação 001/2026 afirma que a chamada “Nuvem de Governo” do Serpro garantiria soberania estatal, segurança da informação e controle governamental sobre os dados da segurança pública paranaense. Mas o próprio modelo tecnológico utilizado hoje pelo Serpro depende, em diferentes níveis, de integração com plataformas e fornecedores internacionais. A estatal federal, que primeiro negou a contratação, mas depois admitiu sua existência, agora vem se negando a mostrar o teor desse contrato.
Nos últimos anos o Serpro ampliou estratégias de multicloud e passou a operar ambientes associados a gigantes como Amazon Web Services e Google Cloud, ainda que sob modelos específicos de isolamento e governança para o setor público. Isso significa que a chamada “nuvem soberana” brasileira não corresponde necessariamente a soberania tecnológica plena baseada em infraestrutura integralmente nacional.
Na prática, o modelo brasileiro se aproxima mais de uma “soberania operacional”, pois os dados permanecem sob jurisdição brasileira, o controle administrativo é estatal, mas parte da infraestrutura tecnológica continua dependente de empresas estrangeiras.
Enquanto o governo do Paraná sustenta que a migração para o Serpro resolveria os riscos associados à privatização da Celepar, o próprio conceito de soberania utilizado pelo Estado brasileiro hoje já admite algum grau de dependência estrutural de ecossistemas tecnológicos globais controlados por grandes fornecedores internacionais.
Arquitetura paralela
O documento também revela que o governo já trabalha concretamente em uma estrutura pós-Celepar. A SESP afirma ter reestruturado o Centro de Tecnologia da Informação e Comunicação, criado áreas específicas de governança, infraestrutura, sistemas e dados, instituído Comitê Gestor de Governança de Dados e fortalecido a Fundação de Apoio à Atividade de Segurança Pública do Paraná para atuar também em governança tecnológica do SUSP.
Na prática, o Estado parece construir gradualmente uma nova camada institucional destinada a reduzir a dependência da Celepar. Mas os documentos também mostram que, para sustentar juridicamente esse movimento, o governo passou a adotar interpretações específicas sobre LGPD, soberania digital, competência da ANPD e sobre o próprio projeto de lei federal utilizado como referência regulatória.
E um dos pontos mais sensíveis do debate é que o PL citado pela SESP como justificativa para um suposto “vazio normativo” também pode ser interpretado como reforço à necessidade de manutenção do controle estatal integral sobre os dados da segurança pública.Justamente um dos principais argumentos utilizados pelos setores que questionam a privatização da Celepar.
