A Administração Pública, em um sentido amplo, desempenha funções estatais e presta serviços indispensáveis para a sociedade. A complexidade e extensão das suas competências faz com que seja necessário constante monitoramento acerca de sua adequação às leis vigentes. Nesse sentido, após estudo realizado pelo Tribunal de Contas da União (TCU), observou-se a escassez de iniciativas governamentais para providenciar a adequação à Lei Geral de Proteção de Dados (LGPD), situação que ocasiona vulnerabilidade no tratamento de danos pessoais.
Mesmo após a vigência da LGPD, o Brasil tem sido vítima de graves ataques que resultaram no vazamento de dados pessoais. Lembramos, a título exemplificativo, o vazamento de dados de mais de 200 milhões de brasileiros, ocasionado por falha de segurança no sistema do Ministério da Saúde, quando foram divulgados nomes, CPFs e até dados de veículos dos cidadãos atingidos. Segundo o laboratório especializado em segurança digital da PSafe, cerca de 40 milhões de empresas tiveram divulgadas informações relacionadas à razão social e ao número de CNPJ.
Em recente auditoria realizada pelo Tribunal de Contas da União (TCU) para avaliar as ações governamentais de 382 organizações, verificou–se, pelo resultado coletado, que há alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.
O TCU classificou a adequação à LGPD em quatro níveis: inexpressivo, inicial, intermediário e aprimorado. A classificação foi realizada com base em questionário para avaliar o índice de preparação, contexto organizacional, liderança, capacitação, operações de tratamento de dados pessoais, compartilhamento de dados pessoais e controle de acesso a sistemas. De acordo com o levantamento, 17,8% das organizações estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado. Tais resultados retratam a ausência da cultura de gestão de riscos e do compromisso em estar em conformidade com os normativos de proteção de dados pessoais.
A auditoria identificou, ainda, outros dados relevantes. Apenas 45% das organizações alcançaram a primeira etapa de planejamento das medidas necessárias à adequação à LGPD, revelando que a maior parte das organizações ainda não consideram as consequências que podem ocorrer tanto para elas próprias como para os titulares de dados pessoais, caso os riscos advindos do vazamento de dados se materializem. Ainda, somente 18% das organizações mantêm Política de Proteção de Dados Pessoais em níveis desejados e apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros.
Diante do exposto, tais resultados ilustram a necessidade das organizações adotarem medidas de implementação à LGPD e consequente mitigação de riscos. Vale ressaltar, inclusive, que a Administração Pública Federal está sujeita às penalidades da LGPD e o gestor público que não adotar as medidas legais também pode ser responsabilizado.
Apesar do processo de adequação ser complexo, é certo que sua ausência acarreta danos imensuráveis. Nesse sentido, o levantamento indica a tendência de maior fiscalização e penalização das organizações que não observam os preceitos legais da proteção de dados pessoais. As empresas privadas que mantêm relação contratual com a Administração Pública também precisam ser capazes de comprovar que atendem à LGPD.