TCU avalia a (des) adequação à LGPD pelos órgãos públicos
O relatório apresenta mais desconformidades com a adequação dos órgãos públicos à LGPD.
quarta-feira, 6 de julho de 2022
Atualizado às 13:55
O Tribunal de Contas da União é um órgão de controle externo do governo federal, que busca promover uma Administração Pública efetiva, ética, ágil e responsável, em benefício da sociedade. Tem como atribuição a fiscalização contábil, financeira, orçamentária, operacional e patrimonial dos órgãos e entidades públicas do país quanto à legalidade, legitimidade e economicidade.
O TCU realizou a 'Auditoria sobre a LGPD' com o objetivo de avaliar as ações governamentais e os riscos à proteção de dados pessoais por meio da elaboração de diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD.
A auditoria iniciou seus trabalhos a partir do primeiro trimestre de 2021, abrangendo o universo de 382 órgãos federais. O questionário continha 60 perguntas, sobre os seguintes temas: preparação, contexto organizacional, liderança, capacitação, conformidade do tratamento, direitos do titular, compartilhamento de dados pessoais, violação de dados pessoais e medidas de proteção.
O relatório final do Ministro Augusto Nardes - aprovado pelo plenário da Corte em 14/06/2022 -, apontou uma situação considerada grave e que mostra o tamanho do fosso em que se encontra o governo, após três anos em que a lei foi promulgada. A robusta e minuciosa Auditoria revela fragilidade crítica nas questões relativas à gestão da segurança da informação, responsável pela sustentação da estrutura de privacidade.
A fiscalização se ancorou nas disposições da norma ABNT NBR ISO/IEC 27701:2019, que especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação. Trata-se de uma norma de extensão das NBRISO/IEC27001 e NBRISO/IEC27002 para a gestão da privacidade dentro do contexto da organização.
O Ministro relator ressaltou que a estrutura legal 'aplicável ao setor público que trata questões relativas à privacidade e à proteção de dados não se restringe à LGPD. A Constituição Federal, a Lei de Acesso à Informação, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo e a Consolidação das Leis Trabalhistas são exemplos de normas que também abrangem comandos relacionados ao tratamento de dados pessoais e que devem ser seguidos'.
Nesta primeira análise destaco os achados da auditoria em relação ao Conselho Nacional de Justiça
O CNJ foi citado 38 vezes no relatório e alvo de 26 recomendações.
O Conselho Nacional do Ministério Público recebeu 45 recomendações para ajustamento de condutas, a grande maioria idêntica as do CNJ.
Considerando o controle realizado sobre a atuação administrativa das organizações sob suas jurisdições, o TCU recomendou ao CNJ que se expeçam as seguintes orientações para atendimento da ISO 27701, quanto ao planejamento das medidas necessárias para adequação à LGPD (item 5.4.2 da ABNT NBR ISO/IEC 27701:2019), e quanto à:
53. identificação de normativos correlatos ao tratamento de dados pessoais aplicáveis à organização - item 5.2.1;
58. identificação das categorias de titulares de dados pessoais com os quais se relacionam - item 7.2.8;
63. identificação dos operadores que realizam tratamento de dados pessoais em seus nomes - item 5.2.2;
82. avaliação da ocorrência de tratamento de dados pessoais com o envolvimento de controlador conjunto e à definição de papeis e responsabilidades de cada um dos controladores - item 7.2.7;
91. identificação dos processos de negócio que realizam tratamento de dados pessoais, bem como dos respectivos responsáveis - Item 7.2.8 e LGPD, arts. 3º, 5º, inciso X, e 37;
99. identificação dos dados pessoais que são tratados por elas, bem como dos locais de armazenamento desses dados - item 7.2.8 e LGPD, arts. 5º, inciso I, e 37;
104. avaliação de riscos relacionados aos processos de tratamento de dados pessoais - item 5.4.1.2 e LGPD, art. 50, §2º, alínea 'd';
128. elaboração de Política de Classificação da Informação que considere a classificação de dados pessoais - item 6.5.2 e LGPD, arts. 5º, inciso II, 11 e 14 e Lei 12.527/2011, art. 31, § 1ºç
134. elaboração de Política de Proteção de Dados Pessoais - item 6.2.1.1ç
164. elaboração de Plano de Capacitação que considere a realização de treinamento e conscientização dos colaboradores em proteção de dados pessoais - itens 5.5.2 e 5.5.3ç
171. identificação e à documentação das finalidades das atividades de tratamento de dados pessoais - item 7.2.1 e LGPD art. 6º, inciso Iç
175. necessidade de avaliar se coletam apenas os dados estritamente necessários para as finalidades de tratamento de dados pessoais e se os dados são retidos durante o tempo estritamente necessário às mesmas necessidades - itens 7.4.1 e 7.4.7 e LGPD, art. 6º, II e III;
182. identificação e à documentação das bases legais que fundamentam as atividades de tratamento de dados pessoais - item 7.2.2 e LGPD, arts. 7º e 23;
187. manutenção de registro das operações de tratamento de dados pessoais - item 7.2.8 e LGPD, art. 37;
196. elaboração do RIPD e de implementar controles para mitigar os riscos identificados e as diretrizes estabelecidas no item 7.2.5 e LGPD, art. 5º, XVII;
207. elaboração de Política de Privacidade - itens 7.3.2 e 7.3.3 e LGPD, arts. 6º, IV e VI, 9º e 23;
213. implementação de mecanismos para atendimento dos direitos dos titulares - item 7.3 e LGPD, art. 18;
234. implementação de procedimentos e controles para o compartilhamento de dados pessoais com terceiros (organizações públicas, privadas e transferência internacional) - item 7.5 e LGPD, arts. 5º, inciso XVI, 26, 27 e 33;
252. elaboração de Plano de Resposta a Incidentes e à implementação de controles para o tratamento de ocorrências relacionadas à violação de dados pessoais - item 6.13 e LGPD, art. 50, § 2º, inciso I, alínea 'g';
267. adoção de medidas de segurança para proteção de dados pessoais (LGPD, arts. 46 e 47) e as boas práticas de gestão de segurança da informação abordadas pela ISO/IEC 27701;
272. implementação de processo de controle de acesso de usuários em sistemas que realizam tratamento de dados pessoais - itens 6.6.2.1 e 6.6.2.2 e LGPD, arts. 46 e 47;
283. utilização de criptografia para proteção de dados pessoais - item 6.7 e LGPD, arts. 48, § 3º; e 50, § 2º, inciso I, alínea 'c';
289. adoção de medidas de proteção de dados pessoais desde a fase de concepção até a fase de execução de processos e sistemas (privacy by Design), incluindo a coleta de dados limitada ao que é estritamente necessário ao alcance do propósito definido (privacy by Default) - item 7.4 e LGPD, art. 46, § 2º.
Em 2012 o Plenário do TCU já havia recomendado orientações aos entes sob suas jurisdições na implementação dos seguintes controles de segurança da informação: nomeação de responsável pela segurança da informação na organização, criação de comitê para coordenar os assuntos de segurança da informação, definição de processo de gestão de riscos de segurança da informação, estabelecimento de política de segurança da informação, definição de processo de elaboração de inventário de ativos e definição de processo de classificação da informação. 112
Propôs dar ciência às 91 organizações que informaram, por meio de resposta ao questionário, que não possuem Política de Segurança da Informação, ou instrumento similar, que a ausência do referido documento afronta o disposto nos normativos de referência.115
O CNJ foi ainda orientado, a editar guias e normativos - consultada a ANPD - para auxiliar o processo de adequação das organizações sob suas respectivas jurisdições à LGPD, em relação a 26 temas diferentes. 300
Como 'boa prática' foi identificada a Resolução CNJ 363/2021 que estabeleceu medidas para o processo de adequação à LGPD e que devem ser adotadas pelos tribunais de primeira e segunda instâncias e pelas cortes superiores, à exceção do STF. 383
E agora? A estratégia de atuação do TCU no controle externo em privacidade, proteção e governança de dados prevê o acompanhamento das ações de adequação identificadas e a realização de futuras fiscalizações nas organizações auditadas.
Segurança da informação
A auditoria apontou o resultado alarmante de que 1 em cada 4 organizações não possui política de segurança da informação (43) e 75% das organizações ainda não elaboraram documentação relativa à política de privacidade, o que demonstra que não é dada a devida transparência ao titular de como os seus dados pessoais são tratados (29). Somente 14% das organizações cumpriram a orientação para atender todos esses direitos elencados no art. 18 da LGPD (30).
O Poder Judiciário é supremo guardião dos dados pessoais e sensíveis dos jurisdicionados, cidadãos e serventuários. A proteção da privacidade de dados envolve riscos que exigem tratamento adicional, sob pena de perdimento da base de dados processuais. Cabe-lhe a responsabilidade de adotar vigoroso sistema de gestão de privacidade da informação, afetado pelo tratamento de dados pessoais.
Nenhum sistema informatizado está imune a riscos e o Poder Judiciário não é exceção: os noticiados ataques aos sistemas do TSE, STJ, TRF 1, TRF 3, Justiça Federal de Pernambuco, TRT ES e TJRS comprovam o afirmado.
A gestão da segurança da informação é de sensibilidade crítica e se atrela ao cumprimento do princípio basilar da democracia e da governança - a transparência na Administração Pública.
Ana Amelia Menna Barreto de Castro Ferreira
Advogada e Docente no Direito Digital. CEO Núcleo de Direito Digital.
