TCU aponta falhas de órgãos públicos em Alagoas na proteção de dados pessoais

Fiscalização inédita do Tribunal de Contas da União (TCU) apontou falhas no cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) por parte de órgãos federais com sede em Alagoas. Segundo o relatório da auditoria, o Instituto Federal de Alagoas (Ifal) e o Tribunal Regional Eleitoral de Alagoas (TRE-AL) apresentam lacunas em suas políticas e práticas de proteção de dados, o que pode representar riscos concretos à privacidade e segurança dos cidadãos atendidos por essas instituições.

A fiscalização foi conduzida entre 27 de maio e 14 de novembro de 2024 pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), sob a relatoria do ministro Walton Alencar Rodrigues. A ação avaliou 387 organizações públicas federais a partir de extenso questionário de autoavaliação baseado em nove dimensões da LGPD, como liderança institucional, capacitação, compartilhamento de dados, medidas de proteção e atendimento aos direitos dos titulares.

No caso de Alagoas, o Ifal não elaborou política de privacidade nem avaliou o compartilhamento de dados com terceiros, além de não apresentar evidências de medidas protetivas mais estruturadas. Já o TRE também foi listado por não ter plano de capacitação para os servidores em relação ao tratamento de dados pessoais e por não avaliar o compartilhamento de dados, o que compromete o cumprimento de artigos essenciais da LGPD, como os que garantem o direito de acesso, correção e exclusão de dados por parte do cidadão.

Em contraste, a Universidade Federal de Alagoas (Ufal) apresentou uma única pendência — a ausência de um plano de capacitação — e o Tribunal Regional do Trabalho da 19ª Região (TRT-19) foi um dos poucos órgãos do estado a não figurar em nenhuma das categorias de descumprimento analisadas, o que indica maior maturidade institucional em proteção de dados.

As explicações do TRE e Ifal

Procurado pelo EXTRA, o TRE informou que mantém em seu portal institucional, por meio do link https://www.tre-al.jus.br/transparencia-e--prestacao-de-contas/portal--da-lei-geral-de-protecao-de--dados, todas as informações e normativos relacionados à Lei Geral de Proteção de Dados Pessoais (LGPD). Ainda que não esteja contemplada no Plano Anual de Capacitação, a Corte eleitoral já vem promovendo diversos eventos voltados à formação de seus servidores sobre a LGPD, com novas iniciativas similares previstas para os próximos meses.

De acordo com o servidor Heberth Pinheiro, coordenador do grupo de estudos para a implementação da LGPD no TRE-AL, a recente auditoria do Tribunal de Contas da União (TCU) representa um avanço: “Eu considero a auditoria do TCU um processo exitoso, uma vez que evidencia a evolução institucional do TRE/AL na temática da proteção de dados, especialmente em comparação com avaliações anteriores realizadas pelo próprio Tribunal de Contas da União”, afirmou.

Já o Ifal esclareceu que se faz necessário diferenciar as legislações, uma é a Lei Geral de Proteção de Dados Pessoais (LGPD) e a outra a de Privacidade da Informação. “Em relação à LGPD, o Ifal informa que, de acordo com a Lei, cada órgão estabelecerá as normas internas, e, em 2022 o Ifal emitiu a portaria 31/2022, atendendo às questões de proteção de dados. No que diz respeito à privacidade da informação, é uma outra política, publicada por meio da Resolução 111/2023, e, atualmente, o Comitê de Segurança da Informação está trabalhando na conclusão de diretrizes específicas, que, de certa forma, aborda a privacidade dos dados”.

TCE fica de fora

Um dos pontos mais críticos revelados pelo relatório foi a ausência do Tribunal de Contas do Estado de Alagoas (TCE-AL) na articulação nacional promovida pelo TCU. O relatório da auditoria explicita que apenas os Tribunais de Contas de oito estados aderiram formalmente à fiscalização — Amazonas, Bahia, Ceará, Pará, Pernambuco, Paraná, Rio de Janeiro e Rio Grande do Norte. O TCE-AL não aparece entre os participantes.

Brasil ainda patina na proteção de dados públicos

O TCU criou um indicador exclusivo para medir o nível de conformidade dos órgãos públicos com a Lei Geral de Proteção de Dados (LGPD): o iLGPD. De acordo com o acórdão aprovado pelo plenário do TCU no final de junho último, as organizações públicas federais ainda não se estruturaram adequadamente para conduzir de forma sistêmica a implementação da LGPD.

A auditoria identificou, inclusive, grande número de instituições que sequer iniciaram ações concretas de adequação, além de constatar a ausência de controles mínimos de segurança e governança sobre dados sensíveis. Trata-se, segundo o relatório, de um cenário preocupante diante do volume e da sensibilidade dos dados tratados diariamente por essas entidades.

Entre as principais recomendações aprovadas pelo TCU está a de que os órgãos auditados sejam formalmente notificados sobre falhas como a inexistência de Política de Segurança da Informação (PSI), a não nomeação do encarregado de tratamento de dados pessoais (DPO) e a ausência de procedimentos padronizados para comunicação de incidentes à Autoridade Nacional de Proteção de Dados (ANPD).

Já em relação aos demais achados, o TCU propôs que o Conselho Nacional de Justiça (CNJ), o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) e a própria ANPD atuem em parceria com as unidades de controle interno das instituições, a fim de promover as correções necessárias e impulsionar a maturidade institucional em proteção de dados.