TCU identifica alto risco no tratamento de dados pessoais pela administração pública federal

23 de agosto de 2022

TCU identifica alto risco no tratamento de dados pessoais pela administração pública federal

Escrito por

A adoção de postura preventiva – e não somente repressiva – tem se mostrado cada vez mais presente no agir do Estado brasileiro. Não sem razão, essa pode ser considerada uma quebra de paradigma da Administração Pública contemporânea,[1] que se preocupa com a realidade e a efetividade prática de suas decisões, inclusive, permitindo e ampliando a participação da sociedade.[2]

Tal preocupação reflete o fortalecimento no país de uma visão do agir estatal em função de resultados, é dizer, uma Administração Pública que proporcione resultados concretos aos administrados,[3] o que impacta, diretamente, a proposta ativa para resguardar direitos e garantias fundamentais, dentre os quais estão o direito à privacidade e à proteção ao tratamento de dados pessoais.

Nesse sentido, recentemente, no bojo do processo TC 039.606/2020-1,[4] de Relatoria do Ministro Augusto Nardes, o Tribunal de Contas da União realizou auditoria em 382 organizações da Administração Pública Federal, cujo objetivo era avaliar as ações governamentais em prol da proteção de dados pessoais, e, por conseguinte, o nível de exposição desses dados, apresentando um diagnóstico do grau de implementação da Lei Geral de Proteção de Dados na Administração Pública Federal.

O Relatório considerou nove dimensões em sua análise, dentre elas: preparação, contexto organizacional, liderança, capacitação, conformidade do tratamento, direitos do titular, compartilhamento de dados pessoais, violação de dados pessoais e medidas de proteção; chegando aos seguintes percentuais em cada um dos fatores analisados:

Fator analisado/dimensão Situação encontrada
Preparação apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD e 49% delas ainda não elaboraram plano de ação para atendimento integral à LGPD
Contexto organizacional a maioria das organizações, 76%, conduziu iniciativa para identificar esses normativos. Por outro lado, 77% ainda não identificaram todas as categorias de titulares de dados pessoais com os quais mantém relacionamento
Liderança

(nomeação do encarregado e existência de políticas)

24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. Apenas 35% das organizações possuem Política de Classificação da Informação e 18% das organizações mantem Política de Proteção de Dados Pessoais ou documento similar
Capacitação a minoria das organizações, 29%, possui Plano de Capacitação que abrange a proteção de dados pessoais, o que representa um risco organizacional. Isso porque a LGPD é uma legislação técnica e de difícil compreensão, que exige estudo para que as organizações adquiram maturidade no tema
Operações de tratamento de dados pessoais 82% das organizações não possuem um registro instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais.
Compartilhamento de dados pessoais esse fator demanda a adoção de controles adequados para mitigar riscos que possam comprometer a consistência e a proteção dos dados pessoais. Apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros
Controle de acesso em sistemas apenas 16% das organizações implementaram tal processo em todos os sistemas que realizam tratamento de dados pessoais, o que representa alto risco de acesso indevido a dados pessoais e, consequentemente, pode violar a privacidade dos cidadãos

[5]

Como resultado, destacou-se que a maior parte das organizações está em estágio inicial, tendo o TCU as classificado em quatro níveis de atendimento: inexpressivo, inicial, intermediário e aprimorado; demonstrando-se, objetivamente, que 17,8% estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e apenas 2,9% estão no nível aprimorado.

Dessa forma, o Relatório de Auditoria sobre LGPD concluiu que há situação de alto risco à privacidade e à proteção de dados pessoais dos cidadãos, já que ainda muito incipientes os controles implementados pelas organizações públicas federais no tocante ao tratamento desses dados.

Diante desse cenário, instaura-se um ambiente de preocupação extrema, e se faz necessário ativar um sinal de alerta para Administração Pública, especialmente considerando o crescente tratamento de dados pessoais, decorrente dos avanços constantes da tecnologia na Sociedade de Informação. O atual potencial de coleta, processamento e utilização de dados pessoais, enquanto oportunidade de geração de novos conhecimentos e serviços, pode acarretar graves riscos aos direitos da personalidade do cidadão, ao acesso aos serviços e bens, além de grande insegurança jurídica para o ambiente de negócios.[6]

E, não se pode olvidar que um dos maiores interessados no tratamento de dados pessoais é a própria Administração Pública, que exige dos titulares a exposição constante e crescente de suas informações pessoais para fins de execução de políticas públicas previstas em leis e regulamentos. A título de exemplo, cita-se a biometria obrigatória de impressão digital dos eleitorados para exercer o direito a voto, do uso de tecnologias de reconhecimento facial para vigilância pública, do cruzamento de dados bancários para fiscalização da tributação, e diversas outras informações que a Administração Pública necessita para persecução de seus objetivos e formulação de políticas públicas.

Assim, ainda que a Administração Pública atue em persecução do interesse público quando realiza o tratamento de dados pessoais, isso não a isenta de, eventualmente, realizar tratamento indevido desses dados, seja por falta de um programa maduro de segurança digital ou mesmo o uso de dados privados para fins ilícitos – não pautados pelo princípio da finalidade.

Dessa forma, a Administração Pública, necessariamente, deverá realizar a implementação de medidas efetivas ao cumprimento da lei, não apenas para ser coerente com as exigências feitas ao setor privado, mas também para dar cumprimento ao princípio da legalidade, já que, inclusive, está sujeita às penalidades da LGPD.

É dizer, considerando a análise da realidade das organizações federais, que, certamente, reflete – muitas vezes para pior – a realidade de outros entes federados, a Administração Pública deve se atentar aos riscos que o tratamento indevido de dados pessoais enseja, amparando-se em sólida política de boas práticas e segurança digital, sob pena de macular os direitos fundamentais individuais dos titulares, e, ao mesmo tempo, sacrificar a eficiência da máquina pública.

É tempo de se preocupar com o tratamento íntegro dos dados pessoais e entrega de resultado à sociedade.

 

 

[1] Sobre quebra de paradigma, Gustavo Binenbojm ensina que “o discurso jurídico elege determinadas premissas teóricas cuja legitimidade decorre de sua aceitação ampla pela comunidade jurídica. Por isso, enquanto as soluções construídas em consonância com o paradigma permanecem dotadas de certo grau de plausibilidade e aceitação da comunidade jurídica, predomina o enfoque dogmático do direito. Contudo, com o surgimento de anomalias, surgem teorias subversivas.” BINENBOJM, Gustavo. Uma Teoria do Direito Administrativo. Rio de Janeiro: Renovar, 2014. p. 28.

[2] Sobre o tema cf. PIRONTI, Rodrigo; ZILIOTTO, Mirela. Compliance nas contratações públicas: exigência e critérios normativos. 2. ed. Belo Horizonte: Fórum, 2021. p. 50 e ss.

[3] SOUZA, Rodrigo Pagani de. Em busca de uma administração pública de resultados. In: PEREZ, Marcos Augusto Perez; SOUZA, Rodrigo Pagani de. (Org.). Controle da administração pública. Belo Horizonte: Fórum, 2016. p. 39-61.

[4] TCU. Relatório de Auditoria sobre LGPD. Disponível em: <https://portal.tcu.gov.br/data/files/B4/25/78/27/D9C818102DFE0FF7F18818A8/038.172-2019-4-AN%20-%20auditoria_Lei%20Geral%20de%20Protecao%20de%20Dados.pdf>. Acesso em: 01 jul. 2022.

[5] Fonte: TCU. Disponível em: <https://portal.tcu.gov.br/imprensa/noticias/tcu-verifica-risco-alto-a-privacidade-de-dados-pessoais-coletados-pelo-governo.htm>. Acesso em 01 jul. 2022.

[6] ZILIOTTO, Mirela; GREGGIO, Felipe. Fundamentos da Lei Geral de Proteção de Dados Pessoais e a responsabilidade extracontratual do estado no tratamento de dados pessoais. In. Lei Geral de Proteção de Dados: estudos sobre um novo cenário de governança corporativa. PIRONTI, Rodrigo (coord). Belo Horizonte: Fórum, 2020. p. 191-196.