Auditoria do Tribunal de Contas da União (TCU) analisou 382 organizações governamentais da administração pública federal a respeito de aspectos relacionados à condução de iniciativas para providenciar a adequação à LGPD e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei. O estudo concluiu que existe uma situação de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.
A partir de uma classificação em quatro níveis: inexpressivo, inicial, intermediário e aprimorado, quanto ao nível adequação à LGPD, os dados da auditoria mostram que 17,8% das organizações estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado. Segundo a LGPD, é considerado dado pessoal a "informação relacionada à pessoa natural identificada ou identificável".
Em consequência dos trabalhos, o Tribunal recomendou que a Secretaria de Governo Digital do Ministério da Economia, o Conselho Nacional de Justiça e o Conselho Nacional do Ministério Público editem normativos e guias, consultando a Autoridade Nacional de Proteção de Dados e o Gabinete de Segurança Institucional da Presidência da República, para auxiliar o processo de adequação das organizações à LGPD.
A corte de Contas também recomendou à Casa Civil e ao Ministério da Economia que adotem as medidas necessárias para alterar a natureza jurídica e promover a reestruturação organizacional da Autoridade Nacional de Proteção de Dados, conferindo o grau de independência e os meios necessários para o pleno exercício de suas atribuições.
Segundo Antonielle Freitas, DPO do escritório Viseu Advogados, a realidade mostraria uma ineficiência do Estado, aquém das expectativas do que almejam os cidadãos. "Um exemplo disso é o alto grau de risco no tratamento dos dados pessoais pelo governo, conforme apurado na auditoria realizada pelo TCU, na qual constatou-se que pouquíssimos organizações (menos de 3%) podem ser consideradas com nível apropriado. Resta um longo caminho a ser trilhado para garantir a proteção dos dados no setor público, pois não basta a criação das leis, elas precisam ser colocadas em prática", explica a advogada.
Willian de Souza Campos, advogado do escritório Peluso, Stupp e Guaritá Advogados, lembra que o tratamento de dados por parte das pessoas jurídicas de direito público, tais como as organizações auditadas pelo TCU, deverá ser realizado para o atendimento de finalidade pública, na persecução do interesse público, com o objetivo de executar competências legais ou cumprir atribuições legais do serviço público.
O advogado aponta que o não cumprimento destas condicionantes, bem como a inobservância de outras disposições da LGPD aplicáveis, sujeitarão esses órgãos à atuação da ANPD, que poderá sugerir-lhes a adoção de padrões mais adequados e melhores práticas em matéria de privacidade e tratamentos de dados pessoais.
A unidade técnica do TCU responsável pela fiscalização foi a Secretaria de Fiscalização de Tecnologia da Informação. O relator do processo é o ministro Augusto Nardes.
Itens avaliados
A análise das 382 organizações sobre a implementação de iniciativas de adequação à LGPD e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei levou em consideração os seguintes dimensões:
Fator analisado/dimensão | Situação encontrada |
Preparação | apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD e 49% delas ainda não elaboraram plano de ação para atendimento integral à LGPD |
Contexto organizacional | a maioria das organizações, 76%, conduziu iniciativa para identificar esses normativos. Por outro lado, 77% ainda não identificaram todas as categorias de titulares de dados pessoais com os quais mantém relacionamento |
Liderança (nomeação do encarregado e existência de políticas) | 24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. Apenas 35% das organizações possuem Política de Classificação da Informação e 18% das organizações mantem Política de Proteção de Dados Pessoais ou documento similar |
Capacitação | a minoria das organizações, 29%, possui Plano de Capacitação que abrange a proteção de dados pessoais, o que representa um risco organizacional. Isso porque a LGPD é uma legislação técnica e de difícil compreensão, que exige estudo para que as organizações adquiram maturidade no tema |
Operações de tratamento de dados pessoais | 82% das organizações não possuem um registro instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais. |
Compartilhamento de dados pessoais | esse fator demanda a adoção de controles adequados para mitigar riscos que possam comprometer a consistência e a proteção dos dados pessoais. Apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros. |
Controle de acesso em sistemas | apenas 16% das organizações implementaram tal processo em todos os sistemas que realizam tratamento de dados pessoais, o que representa alto risco de acesso indevido a dados pessoais e, consequentemente, pode violar a privacidade dos cidadãos. |