Auditoria do TCU expõe cenário preocupante sobre a proteção de dados dentro dos órgãos públicos

Governança, Risco e Compliance

Auditoria do TCU expõe cenário preocupante sobre a proteção de dados dentro dos órgãos públicos

Sancionada em 2018 e vigente desde agosto de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD), nº13.709/18, deverá começar a penalizar os seus infratores a partir deste mês de outubro. Esse prazo entre o surgimento até o início das sanções da norma foi concedido para que as organizações tivessem tempo para se estruturar e passar a atuar em conformidade com a nova regulação. No entanto, a mais recente auditoria realizada pelo Tribunal de Contas da União comprovou que esse intervalo parece não ter sido aproveitado pelas instituições públicas, evidenciando uma realidade preocupante.

Tendo auditado um total de 382 órgãos e organizações públicas federais, a decisão  do TCU escancarou números alarmantes. Um exemplo disso é o dado de que 76,7% dessas instituições estão em um grau inexpressivo ou inicial no processo de adequação à LGPD. Outra apuração grave dá conta que 82% das entidades avaliadas não consideram os riscos de exposição a incidentes de segurança para tratar dados dos cidadãos brasileiros.

Mais do que isso, o acórdão do TCU aponta ainda que 43% dessas organizações públicas não utilizam criptografia para proteger os dados, 54% não é capaz de comprovar que adotou medidas de segurança, técnicas e administrativas aptas a proteger esses dados sigilosos, 72% não possuem sistema para registro de incidentes que envolvem violação de informações pessoais e 75% não possuem um sistema para registro das ações adotadas para solucionar tais incidentes.

Tais números revelam um descaso perigoso por parte dessas instituições públicas no que diz respeito à proteção de dados, em desacordo com as regras da LGPD, refletindo um cenário de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados por agentes da administração pública.

Diante desse cenário, é possível dizer que grande parte do Poder Público segue atuando em meio a alta exposição a riscos de incidentes de segurança da informação, como vazamentos de dados e uso indevido de agentes maliciosos. E pior, demonstra ainda que o setor público parece sequer ter conhecimento sobre quais dados possui a respeito de cada indivíduo.

Infelizmente, essa realidade difícil não se mostra como algo exclusivo para o setor das organizações públicas. Digo isso porque os dados que temos disponíveis se tratando do âmbito privado também não são animadores. Como exemplo a pesquisa divulgada pelo Painel TIC do NIC.br no começo do mês de setembro que expôs que, apesar de ser algo obrigatório pela LGPD, somente 17% das empresas contam com um DPO, profissional encarregado pela gestão dos programas de proteção de dados, em seu quadro de colaboradores.

Cenário exige uma mudança

Todas essas bases referenciais com números pouco expressivos, acabam justificando o fato do Brasil continuar sendo uma vítima constante de ataques virtuais que resultam na exposição de dados pessoais da população, como o grave vazamento ocorrido em dezembro de 2020 em que mais de 223 milhões de brasileiros tiveram as suas informações reveladas por conta de uma falha de segurança no sistema utilizado do Ministério da Saúde, citado na auditoria pelo próprio TCU.

Some-se isso ao fato de que o órgão responsável pela fiscalização do cumprimento das regras da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD), ter sido constituída tardiamente e sem a autonomia financeira, jurídica e diretiva necessárias para não só atuar propriamente, mas também fazer parte do processo de conscientização e normatização de questões relevantes para os tratamentos de dados no ambiente público.

Todos os índices e acontecimentos retratam a existência de deficiências graves relacionadas à cibersegurança no país e ao respeito de direitos fundamentais do cidadão como a liberdade, a privacidade e a proteção dos seus dados pessoais. Para conseguir alterar esse cenário preocupante é necessário uma transformação radical do tratamento dado pelo Poder Público ao tema, incentivando  uma cultura que valorize a proteção de dados pessoais e promova a conscientização do cidadão para exigir os seus direitos.

Além disso, é imprescindível que a Medida Provisória que altera a natureza jurídica e promove a reestruturação organizacional da ANPD, seja convertida definitivamente em lei, para garantir o nível de autoridade e independência necessários para que o órgão possa efetivamente exercer as suas atribuições.

A LGPD representa um passo fundamental para garantir para empresas e o governo brasileiro a participação no mercado globalizado, em um contexto de uma economia baseada em dados, porém é preciso que ela seja aplicada, fiscaliza rigidamente, exigindo da ANPD imediata abertura de procedimentos fiscalizatórios e sancionatórios das Organizações Públicas auditadas pelo TCU que já infringiram a Lei, não respeitando os prazos nela definidos para estarem em conformidade. Somente desta forma será possível garantir que os direitos protetivos da população sejam respeitados.

Por: *Marcelo Fattori, Advogado e especialista em Direito Digital, Marcelo Fattori é CEO e fundador da seusdados, legaltech especializada na proteção de informações das empresas. Também foi presidente da Comissão de Direito Digital e Proteção de Dados da OAB de Jundiaí (2019-2021).

Avatar IBDCNI

Escrito por

IBDCNI

Instituto

Instituto Brasileiro de Direito, Conformidade e Normas Internacionais.