Lições aprendidas com a auditoria do TCE/RJ relativa à LGPD

1. Introdução

Em recente julgamento, o TCE/RJ, no âmbito do julgamento do processo 217.899-0/24, informou os resultados de Auditoria Governamental de Conformidade realizada nas 91 Prefeituras fluminenses sob sua jurisdição (ou seja, todos os municípios fluminenses, exceto a capital Rio de Janeiro, que se encontra sob a jurisdição do TCM/RJ). Realizada no período entre 20/5/2024 e 11/10/2024, a Auditoria teve por objetivo verificar a adequação das Prefeituras fluminenses à LGPD (lei federal 13.709/18). Este artigo trará uma breve síntese dos principais achados obtidos nesta iniciativa, recomendando, desde já, a leitura na íntegra do acórdão 003931/2025-PLENV, que pode ser consultado no portal.

2. Da competência do tribunal de contas para verificar a conformidade à LGPD

Em primeiro lugar, destaca-se a competência para que Tribunais de Contas realizem a averiguação da adequação das organizações governamentais à LGPD. Conforme mencionado no acórdão 009.980/2024-5 do Tribunal de Contas da União, o trabalho de auditoria realizado pela Corte de Contas tem por objetivos principais: i) elaborar diagnóstico acerca dos controles implementados por organizações públicas federais para adequação à LGPD; e ii) induzir tais órgãos e entidades a conduzirem iniciativas para providenciar o pleno cumprimento desta lei. 

É de se ressaltar que o TCU não foi o único a realizar auditoria acerca do cumprimento da LGPD pelos órgãos e entidades sob sua competência jurisdicional. Conforme descrito no referido Acórdão, paralelamente à avaliação realizada por esta Corte de Contas, por meio de ação coordenada no âmbito da Rede Integrar, outros oito Tribunais de Contas Estaduais (TCE/AM, TCE/BA, TCE/CE, TCE/PA, TCE/PE, TCE/PR, TCE/RJ e TCE/RN) também fiscalizaram organizações públicas estaduais e municipais sob suas respectivas jurisdições. Dessa forma, percebe-se uma atuação conjunta das instituições de Controle, com o objetivo de averiguar a conformidade dos órgãos e entidades jurisdicionados à LGPD. 

Por fim, conforme descrito no já mencionado acórdão do TCE/RJ: "a Constituição da República de 1988 definiu, de maneira precisa, os vetores que devem pautar a atividade de fiscalização a cargo dos Tribunais de Contas: legalidade, legitimidade e economicidade. Desse modo, a Carta Magna aponta decisivamente para padrões de supervisão e controle, confirmando que atividade fiscalizadora incide não apenas sobre a gestão financeira, contábil, patrimonial e orçamentária, mas abrange, também, a gestão operacional do Estado". Portanto, a atuação das Cortes de Contas qualifica-se como auditoria de conformidade, caracterizada pela verificação de cumprimento não apenas da normatividade financeira, mas também da juridicidade administrativa aplicável aos procedimentos de gestão dos recursos públicos, com fundamento no art. 71, IV, da Constituição Federal. 

As auditorias de conformidade representam parte essencial do ciclo de responsabilização nas ações estatais, compreendendo a avaliação (i) de situações contábeis e financeiras; (ii) da responsabilidade financeira da Administração como um todo; (iii) do cumprimento de leis, normas e regulamentos; (iv) do controle interno; e (v) da probidade e correção das decisões administrativas. Assim, a conformidade à LGPD estaria abrangida nas competências institucionais dos órgãos de Controle.

Portanto, na hipótese de instituições públicas realizarem tratamento de dados pessoais, o cuidado deve ser redobrado, uma vez que elas poderão ser fiscalizadas não apenas pela ANPD, em razão das competências fiscalizatórias constantes do art. 55-J, IV, da LGPD, como também pelos Tribunais de Contas, que vêm atuando de forma coordenada para monitorar e auditar as ações dos jurisdicionados para garantir a proteção da privacidade dos dados pessoais dos cidadão

3. Destaques da Auditoria Governamental de Conformidade do TCE/RJ

A atuação do TCE/RJ teve como objetivo avaliar o grau de adequação das 91 prefeituras do estado à LGPD, considerando os riscos à privacidade e à proteção de dados pessoais. Destaque-se que a auditoria realizada em 2024 foi a segunda, uma vez que já havia sido realizada auditoria anterior em 2022, que, segundo o próprio Tribunal, apontou falta de ações das municipalidades fluminenses para conformidade. 

Apesar de os auditores constatarem evolução na jornada de conformidade das Prefeituras, tendo sido apresentados mais regulamentações municipais à LGPD, nomeando encarregados de dados e avançando nos níveis de maturidade, a conclusão constante do relatório é a de que "a maioria ainda carece de estruturas mínimas para garantir a proteção dos dados pessoais dos cidadãos fluminenses. A equipe de auditoria constatou que das 91 prefeituras municipais jurisdicionadas: 66 encontram-se classificadas na faixa "inexpressivos"; 21 na faixa "iniciando"; e 4 na faixa "intermediário"". Importante esclarecer que o Índice varia de 0 a 1, e os municípios avaliados foram divididos em 4 (quatro) níveis de maturidade, de acordo com os resultados obtidos. Na tabela abaixo é possível visualizar as pontuações relativas aos níveis de maturidade, de acordo com o score obtido pelo município:

Fonte: Anexo XX do processo 217.899-0/24 TCE/RJ

Ainda de acordo com a Conselheira relatora do referido Acórdão, "a análise empreendida revelou ainda a persistência de riscos significativos à privacidade dos cidadãos, com destaque para os achados de estruturação insuficiente e de medidas inadequadas de proteção de dados, refletindo a necessidade de ações efetivas para garantir a conformidade normativa e a segurança dos dados pessoais nos municípios fluminenses". Conforme se verifica no gráfico abaixo, constante do já citado acórdão, é possível verificar o número de municípios fluminenses que foram avaliados em cada nível de maturidade do Índice de Conformidade à LGPD - iLGPD:

 

Fonte: Acórdão 003931/25-PLENV

Assim, embora os próprios auditores tenham destacado a ocorrência de melhora de desempenho dos municípios fluminenses, com a diminuição do número de prefeituras no nível inexpressivo e o aumento daquelas no nível inicial e intermediário, ainda assim observou-se que, "as prefeituras, de modo geral, ainda não possuem estruturas mínimas para garantir a privacidade dos dados pessoais dos cidadãos e o desempenho geral no índice que mede o grau de adequação continua muito baixo".

Para fins de melhor compreensão, observe-se abaixo o quadro comparativo do número de municipalidades fluminenses classificadas em seus diferentes níveis de maturidade, tanto na auditoria do TCE/RJ realizada em 2022 como naquela realizada em 2024:

Fonte: elaboração própria, com base nos dados do processo 217.899-0/24 TCE/RJ

Dessa forma, houve uma melhoria no desempenho dos municípios fluminenses, mas ainda chama a atenção que mais da metade dos municípios fluminenses está no nível inexpressivo e nenhum conseguiu ainda atingir o nível aprimorado de maturidade na conformidade à LGPD.

4. Metodologia do iLGPD - Índice de Avaliação de Conformidade à LGPD

O I-LGPD - Índice de LGPD elaborado pelo TCE/RJ possui 9 dimensões, que são as seguintes:

• (i) Preparação;
• (ii) Contexto organizacional;
• (iii) Liderança;
• (iv) Conformidade do tratamento;
• (v) Violação de dados pessoais;
• (vi) Medidas de proteção;
• (vii) Capacitação;
• (viii) Direitos do titular;
• (ix) Compartilhamento de dados pessoais.

Essas 09 dimensões possuem o seguinte peso relativo no Índice:

Fonte: Acórdão 003931/25-PLENV

A fórmula que permite a inclusão dos pesos para o cômputo final do índice é a seguinte:

iLGPD = (iPrep + iOrg +2iLid +1.5iCap+2iConf +2iDir +2iComp+1.5 iResp +2iProt)/15

Dessa forma, as questões relativas às dimensões de conformidade, direitos dos titulares, compartilhamento de dados pessoais, medidas de proteção e liderança (ou seja, comprometimento da alta gestão na implementação da LGPD) possuem um peso maior na composição do Índice em 2024.

Os municípios fluminenses foram avaliados em 2022 e em 2024 nessas mesmas dimensões; contudo, as questões são um pouco diferentes. Para melhor compreender o desempenho das municipalidades fluminenses no desempenho do iLGPD, apresenta-se abaixo a comparação dos achados de Auditoria em 2022 e 2024:

Fonte: Acórdão 003931/25-PLENV

Assim, chama a atenção de que o desempenho dos municípios fluminenses diminuiu substancialmente na dimensão de compartilhamento de dados, enquanto nas dimensões de preparação, liderança, capacitação, conformidade, direitos do titular e resposta a incidentes foram observados avanços na maturidade organizacional das municipalidades.  

Este tipo de iniciativa gera evidências que permitem que os gestores municipais tenham um "mapa" contendo um diagnóstico detalhado quanto aos pontos que precisam ser aperfeiçoados nas suas jornadas de conformidade à LGPD. Portanto, as Auditorias realizadas pelos Tribunais de Contas funcionam como uma ferramenta de monitoramento contínuo da gestão pública, que dá suporte às Prefeituras para que se organizem melhor para implementar iniciativas de governança em proteção de dados pessoais nas suas respectivas Administrações Públicas municipais.

5. Importância dos índices e selos para políticas públicas e para o adequado cumprimento da LGPD

A existência de selos, certificados e índices não é nova para o Poder Público¹. Existem diversos instrumentos de políticas públicas, em diversos setoriais específicos, como por exemplo na área ambiental, e que tais instrumentos de políticas públicas podem ser bastante diversos e ter diferentes perspectivas. Certificados, selos, sistemas de monitoramento, sistemas de alertas, são exemplos de instrumentos de políticas públicas, que podem ter uma função informativa. Índices também são considerados instrumentos de informação, pois têm como principal objetivo produzir e dar visibilidade a informações qualificadas e atualizadas.

Os Índices têm como vantagens: permitir melhores ações de planejamento e tomada de decisão; orientar e estimular a participação política e o controle social; e produzir resultados perenes, quando resultam em mudanças culturais e comportamentais. Algumas desvantagens que podem ser apontadas são: os resultados podem ser lentos; os custos de monitoramento, manutenção e avaliação da informação podem ser altos, demandando uma grande quantidade de especialistas trabalhando nos dados; os sistemas de monitoramento necessitam de atualização contínua e de capacidade de obtenção das informações muito capilarizada, o que prescinde de uma capacidade instalada muito grande para que possa funcionar.

 Assim, o Índice de LGPD possui alguns aspectos que o aproximam de um instrumento de informação, possuindo seus prós e contras ao ser utilizado. Para as municipalidades fluminenses, há a vantagem da obtenção de um diagnóstico detalhado e atualizado da sua realidade institucional, mas manter a realização deste Índice demandará um esforço contínuo e perene para que permaneça sendo útil como diagnóstico para a gestão pública municipal.  

6. Principais achados da auditoria

Retomando a análise do acórdão 003931/25-PLENV, as municipalidades fluminenses foram avaliadas quanto ao seu grau de maturidade institucional avaliado no iLGPD e hierarquizadas da seguinte forma:  

Fonte: Acórdão 003931/25-PLENV

Alguns pontos de destaque da imagem acima, coletada do Acórdão supramencionado: 18 municipalidades tiraram nota zero no iLGPD em 2024 (em 2022 foram 12 municípios); 25% dos municípios apresentaram regulamentação municipal para a LGPD em 2024; 77% das municipalidades fluminenses ainda não possuíam encarregado de dados designado, violando expressamente o art. 41 da LGPD; e 88% dos municípios não possuem uma política de segurança da informação. 

Fonte: Anexo AN13 do processo 217.899-0/24 TCE/RJ 

Além disso, conforme consta descrito no já citado acórdão, foram identificados dois achados de auditoria: (1) Estruturação insuficiente para adequação à LGPD, e (2) Medidas e controles de proteção de dados pessoais inadequados. Esses achados encontram-se melhor detalhados ao longo do acórdão, na forma como se transcreve a seguir:

• Achado 1 - Estruturação insuficiente para adequação à LGPD: 1.1. Encarregado pelo tratamento de dados pessoais 70 prefeituras (76,92%) não nomearam o Encarregado de Dados Pessoais. Além disso, foi constatado que 72 jurisdicionados (79,12%) não divulgam as informações de identidade e contato do Encarregado de Dados Pessoais no seu portal eletrônico institucional.
• Achado 1 - Estruturação insuficiente para adequação à LGPD: 1.2. Políticas Internas: 68 prefeituras (74,73%) não instituíram nem mantêm atualizada a Política de Proteção de Dados Pessoais. Além disso, constatou-se que 80 jurisdicionados (87,91%) não instituíram nem mantêm atualizada a Política de Segurança da Informação. Por fim, verificou-se que 85 prefeituras (93,41%) não instituíram nem mantêm atualizada a Política de Classificação de Informação.
• Achado 1 - Estruturação insuficiente para adequação à LGPD: 1.3. Ações de capacitação e conscientização em proteção e privacidade de dados pessoais: 59 prefeituras (64,84%) não realizaram capacitação para seus servidores na temática de privacidade e proteção de dados pessoais.
• Achado 2 - Medidas e controles de proteção de dados pessoais inadequados: 2.1. Inventário de dados pessoais: nenhuma prefeitura elaborou o inventário de dados pessoais.
• Achado 2 - Medidas e controles de proteção de dados pessoais inadequados: 2.2. Relatório de Impacto à Proteção de Dados Pessoais - RIPD: 87 prefeituras (95,6%) não elaboraram tal instrumento.
• Achado 2 - Medidas e controles de proteção de dados pessoais inadequados: 2.3. Direitos dos Titulares: 74 prefeituras (81,32%) não elaboraram e/ou não publicaram sua Política de Privacidade. Além disso, foi constatado que 83 jurisdicionados (93,41%) não implementaram mecanismos para atender todos os direitos dos titulares.
• Achado 2 - Medidas e controles de proteção de dados pessoais inadequados: 2.4. Plano de Respostas a Incidentes e Comunicação à ANPD: 90 prefeituras (98,9%) não elaboraram e/ou não atualizam seu Plano de Resposta a Incidentes. Além disso, foi constatado que 86 jurisdicionados (94,51%) não estabeleceram procedimentos para comunicar os incidentes de violação de dados à ANPD e aos titulares.
• Achado 2 - Medidas e controles de proteção de dados pessoais inadequados: 2.5. Medidas de segurança: não foram apresentadas evidências de que quaisquer dos municípios jurisdicionados tenham apresentado medidas de segurança técnicas e administrativas com fins de proteção de dados pessoais, nos termos dos art. 46 e 47 da LGPD.

Observa-se dos achados acima colacionados que ainda há uma longa jornada a ser cumprida pela maior parte dos municípios fluminenses para caminhar para uma maior maturidade institucional na conformidade à LGPD e às melhores práticas.

7. Conclusão: lições aprendidas para outros órgãos e entidades que possam a vir a ser fiscalizados no futuro

Conforme já comentado em artigo anterior da mesma autora², espera-se que, após essa avaliação de Auditoria, os governos municipais fluminenses passem a dar a devida atenção à proteção dos dados pessoais sob sua gestão, implementando Programas de Governança em Privacidade e Proteção de Dados Pessoais que possam dar conta das dimensões apontadas na fiscalização realizada pelo órgão de controle. 

Conforme aponta a professora Miriam Wimmer³, "se a motivação e a legitimidade do governo ao tratar dados pessoais devem ser compreendidas como distintas daquela dos agentes privados, sua responsabilidade é também maior, dado que eventual mau uso de dados pelo Estado produz impactos abrangentes não apenas sobre a esfera de direitos individuais, mas sobre a sociedade como um todo". 

Dessa forma, a responsabilidade dos entes públicos no uso dos dados pessoais dos cidadãos é ampliada, especialmente no momento atual em que governos municipais se transformam digitalmente e cada vez mais precisam de um grande volume de dados pessoais para implementar seus serviços e suas políticas públicas. 

_______

1 SILVA, Ana Paula Vasconcellos da. Os Efeitos do ICMS-E para as Políticas Ambientais dos Municípios Fluminenses. Tese (Doutorado em Políticas Públicas, Estratégias e Desenvolvimento) - Instituto de Economia, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2018. Disponível em: https://www.ie.ufrj.br/images/IE/PPED/Teses/2018/Ana%20Paula%20Vasconcellos%20da%20Silva.pdf

2 Síntese da Avaliação do Tribunal de Contas do Estado do Rio de Janeiro sobre a Adequação das Prefeituras Fluminenses à LGPD. Disponível em: https://www.linkedin.com/pulse/s%C3%ADntese-da-avalia%C3%A7%C3%A3o-do-tribunal-de-contas-estado-rio-vasconcellos/. 

3 WIMMER, Miriam. O REGIME JURÍDICO DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. In: Tratado de Proteção de Dados Pessoais. Org.: Bruno Bioni, Laura Schertel Mendes,Danilo Doneda, Ingo Wolfgang Sarlet e Otavio Luiz Rodrigues Jr. Rio de Janeiro: Forense, 2021.