Prezado usuário, este portal não é compatível com o navegador Internet Explorer ou outros navegadores antigos.

Recomenda-se o uso de versões atualizadas dos navegadores Google Chrome, Microsoft Edge ou Mozilla Firefox.

Imprensa

TCU verifica risco alto à privacidade de dados pessoais coletados pelo governo

Auditoria do TCU mostrou que é alto o risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal
Por Secom TCU
21/06/2022

RESUMO:

  • O TCU fez auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais. A análise abrangeu 382 organizações e abordou a condução de iniciativas governamentais para providenciar a adequação à Lei Geral de Proteção de Dados (LGPD) e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei.
  • O trabalho também comparou as organizações auditadas quanto ao nível de adequação à LGPD e concluiu que 17,8% estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado.
  • O diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD apresentou, portanto, situação de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.

O Tribunal de Contas da União (TCU) fez auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais. Foi elaborado um diagnóstico sobre os controles implementados pelas organizações públicas federais para adequação à Lei Geral de Proteção de Dados (LGPD). Essa lei considera que dado pessoal é a “informação relacionada à pessoa natural identificada ou identificável”.

A análise abrangeu 382 organizações a respeito de aspectos relacionados à condução de iniciativas para providenciar a adequação à LGPD e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei.

Os principais itens avaliados e a situação encontrada sobre cada um podem ser identificados na tabela abaixo:

Fator analisado/dimensão

Situação encontrada

Preparação

apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD e 49% delas ainda não elaboraram plano de ação para atendimento integral à LGPD

Contexto organizacional

a maioria das organizações, 76%, conduziu iniciativa para identificar esses normativos. Por outro lado, 77% ainda não identificaram todas as categorias de titulares de dados pessoais com os quais mantém relacionamento

Liderança

(nomeação do encarregado e existência de políticas)

24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. Apenas 35% das organizações possuem Política de Classificação da Informação e 18% das organizações mantem Política de Proteção de Dados Pessoais ou documento similar

Capacitação

a minoria das organizações, 29%, possui Plano de Capacitação que abrange a proteção de dados pessoais, o que representa um risco organizacional. Isso porque a LGPD é uma legislação técnica e de difícil compreensão, que exige estudo para que as organizações adquiram maturidade no tema

Operações de tratamento de dados pessoais

82% das organizações não possuem um registro instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais.

Compartilhamento de dados pessoais

esse fator demanda a adoção de controles adequados para mitigar riscos que possam comprometer a consistência e a proteção dos dados pessoais. Apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros

Controle de acesso em sistemas

apenas 16% das organizações implementaram tal processo em todos os sistemas que realizam tratamento de dados pessoais, o que representa alto risco de acesso indevido a dados pessoais e, consequentemente, pode violar a privacidade dos cidadãos

 

INDICADOR DE ADEQUAÇÃO À LGPD

Imagem1.png

O trabalho também comparou as organizações auditadas quanto ao nível de adequação à LGPD e as classificou em quatro níveis: inexpressivo, inicial, intermediário e aprimorado. Os resultados mostraram que 17,8% estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado.

A conclusão do diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD apresentou, portanto, situação de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.

Em consequência dos trabalhos, o Tribunal recomendou que a Secretaria de Governo Digital do Ministério da Economia, o Conselho Nacional de Justiça e o Conselho Nacional do Ministério Público editem normativos e guias, consultando a Autoridade Nacional de Proteção de Dados e o Gabinete de Segurança Institucional da Presidência da República, para auxiliar o processo de adequação das organizações à LGPD.

A Corte de Contas também recomendou à Casa Civil da Presidência da República e ao Ministério da Economia que adotem as medidas necessárias para alterar a natureza jurídica e promover a reestruturação organizacional da Autoridade Nacional de Proteção de Dados, conferindo o grau de independência e os meios necessários para o pleno exercício de suas atribuições.

A unidade técnica do TCU responsável pela fiscalização foi a Secretaria de Fiscalização de Tecnologia da Informação. O relator do processo é o ministro Augusto Nardes.

 

 

Serviço

Acesse o relatório na íntegra

Leia a íntegra da decisão: Acórdão 1384/2022 – TCU – Plenário

Processo: TC 039.606/2020-1

Sessão: 15/6/2022

Secom – SG

Atendimento ao cidadão - e-mail: ouvidoria@tcu.gov.br

Atendimento à imprensa - e-mail: imprensa@tcu.gov.br

 

Acompanhe o TCU pelo Twitter e pelo Facebook. Para reclamações sobre uso irregular de recursos públicos federais, entre em contato com a Ouvidoria do TCU, clique aqui ou ligue para 0800-6442300