TCU vê ‘risco alto à privacidade de dados’ coletados pelo governo

privacidade
Diagnóstico do TCU mostra nível baixo de adequação à LGPD nas 382 organizações públicas federais, sobretudo na violação da privacidade (reprodução).

Uma auditoria realizada pelo Tribunal de Contas da União (TCU) mostra que é alto o risco à privacidade dos cidadãos que têm seus dados pessoais coletados e tratados pela Administração Pública Federal. O órgão divulgou, na semana passada, um diagnóstico sobre os controles implementados pelas organizações públicas federais em sua adequação à Lei Geral de Proteção de Dados (LGPD), que considera dado pessoal como “informação relacionada à pessoa natural identificada ou identificável”.

O relatório, que pode ser acessado aqui, abrangeu 382 organizações a respeito dos controles implementados para adequação à LGPD e sobre medidas para cumprir exigências estabelecidas na Lei. A conclusão é uma situação de alto risco de exposição da privacidade dos cidadãos.

Elaborado pela Secretaria de Fiscalização de Tecnologia da Informação e relatado pelo ministro Augusto Nardes, o trabalho compara as organizações auditadas e as classifica em quatro níveis de adequação à LGPD: inexpressivo, inicial, intermediário e aprimorado. Os resultados mostram que 17,8% estão no nível inexpressivo; 58,9%, no nível inicial; 20,4%, no nível intermediário e apenas 2,9% encontram-se no nível aprimorado.

Leia também:

Os principais itens avaliados e a situação encontrada sobre cada um podem ser identificados na tabela abaixo:

Fator analisado/dimensãoSituação encontrada
Preparaçãoapenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD e 49% delas ainda não elaboraram plano de ação para atendimento integral à LGPD
Contexto organizacionala maioria das organizações (76%) conduziu iniciativa para identificar esses normativos. Por outro lado, 77% ainda não identificaram todas as categorias de titulares de dados pessoais com os quais mantém relacionamento
Liderança(nomeação do encarregado e existência de políticas)24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. Apenas 35% das organizações possuem Política de Classificação da Informação e 18% mantêm Política de Proteção de Dados Pessoais ou documento similar
Capacitaçãoa minoria das organizações (29%) possui Plano de Capacitação que abrange a proteção de dados pessoais, o que representa um risco organizacional. Isso porque a LGPD é uma legislação técnica e de difícil compreensão, que exige estudo para que as organizações adquiram maturidade no tema
Operações de tratamento de dados pessoais82% das organizações não possuem um registro instituído para consolidar informações relacionadas com características das atividades de tratamento de dados pessoais.
Compartilhamento de dados pessoaisesse fator demanda a adoção de controles adequados para mitigar riscos que possam comprometer a consistência e a proteção dos dados pessoais. Apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros
Controle de acesso em sistemasapenas 16% das organizações implementaram tal processo em todos os sistemas que realizam tratamento de dados pessoais, o que representa alto risco de acesso indevido a dados pessoais e, consequentemente, pode violar a privacidade dos cidadãos

Diante do resultado, o Tribunal recomenda que a Secretaria de Governo Digital do Ministério da Economia, o Conselho Nacional de Justiça e o Conselho Nacional do Ministério Público editem normativos e guias, consultando a Autoridade Nacional de Proteção de Dados (ANPD) e o Gabinete de Segurança Institucional da Presidência da República para auxiliar o processo de adequação das organizações à LGPD.

O TCU também recomendou à Casa Civil da Presidência da República e ao Ministério da Economia que adotem as medidas necessárias para alterar a natureza jurídica e promover a reestruturação organizacional da ANPD, conferindo o grau de independência e os meios necessários para o pleno exercício de suas atribuições.

Fonte: TCU

Veja também

Não perca as notícias de geoinformação