Em 29 de junho de 2022, o Tribunal de Contas da União (TCU) publicou acórdão (n.º 1284/2022, TC 039.606/2020-1) com recomendações para que o governo federal tome medidas para sanar a situação de inadequação dos órgãos federais com relação à Lei Geral de Proteção de Dados (LGPD).
O acórdão dá o devido encaminhamento com relação às deficiências identificadas no processo de auditoria, conduzido pelo ministro Augusto Nardes, que avaliou 382 organizações públicas federais com o intuito de aferir o grau de implementação da LGPD pela administração pública federal.
Dentre outros pontos de análise, a auditoria do TCU buscou:
a) Avaliar se as organizações conduziram iniciativas para identificar e planejar as medidas necessárias à adequação à LGPD: apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação;
b) Avaliar se as organizações elaboraram plano de ação, plano de projeto ou documento similar para direcionar a iniciativa de adequação à LGPD: os resultados indicam que quase metade das organizações (49%) não produziu este tipo de artefato;
c) Avaliar se as organizações identificaram as categorias de titulares de dados pessoais com os quais se relacionam: constatou-se que a maioria das organizações, 77% (31% não identificaram e 46% identificaram parcialmente) ainda não identificou todas as categorias de titulares de dados pessoais com os quais mantém relacionamento;
d) Avaliar se as organizações conduziram iniciativa para verificar se há operadores que realizam tratamento de dados pessoais em seus nomes e identificar esses operadores: constatou-se que mais da metade (51%) não identificou operadores;
e) Avaliar se as organizações possuíam Política de Classificação da Informação ou instrumento similar: apenas 35% possuem tal política, que deve fornecer diretrizes para assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância. Esse tema é abordado em outros normativos como a Lei de Acesso à Informação (Lei 12.527/2011), que explora, no art. 24, a classificação da informação quanto ao grau de sigilo. Além disso, a Política de Classificação é mencionada desde a primeira versão da norma ABNT ISO/IEC 27002 e deveria ser contemplada em mais organizações;
f) Avaliar se as organizações possuem Política de Proteção de Dados Pessoais ou documento similar: apenas 18% informou que sim; e
g) Verificar se as organizações são capazes de comprovar que adotam medidas de segurança, técnicas e administrativas, para proteção dos dados pessoais: 54% mencionou não ser capaz de comprovar.
Enquanto aguardam-se as diretrizes e edição de padrões pela Autoridade Nacional de Proteção de Dados (ANPD), os controladores podem tomar como referência as boas práticas e normas técnicas de gestão de segurança da informação e de privacidade, como é o caso da ABNT NBR ISO/IEC 27701:2019, que é uma extensão de duas outras normas de gestão da segurança da informação – ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013 – para gestão da privacidade da informação.
O relatório final da auditoria concluiu nos seguintes termos:
“Os resultados obtidos por esta fiscalização mostraram que é necessário acompanhar as futuras ações de adequação à LGPD que serão realizadas pelas organizações da APF. Nesse sentido, convém que sejam planejadas ações de controle externo com foco em privacidade e proteção de dados pessoais no setor público federal, de forma a propiciar a continuidade do presente trabalho e a indução de avanços na implementação da LGPD pelas organizações auditadas, como parte de uma estratégia de atuação do TCU em proteção de dados e privacidade ou, até mesmo, em governança de dados.”
Para acessar o acórdão completo, clique aqui.
Se você ainda não sabe se precisa de adequação, ou ainda não passou pelo processo de regularização do seu negócio à LGPD, consulte seu advogado de confiança. O SH Law possui larga experiência na execução de adequações e está constantemente atualizando a sua equipe nessa matéria.
Não deixe de falar com a nossa advogada consultora!