TCU: 76,7% de 382 órgãos federais não adotam a LGPD. 24% não têm sequer Política de Segurança da Informação

Foi o que constatou a auditoria realizada pelo Tribunal de Contas da União, comandada pela Secretaria de Fiscalização de TI (Sefti) em relatório final aprovado hoje pelo plenário da Corte, de autoria do ministro Augusto Nardes. A situação apontada por ele é grave e mostra o tamanho do fosso em que se encontra o governo, após três anos em que a lei foi sancionada pelo então presidente Michel Temer.

No relatório de Nardes, o ministro recomenda à Secretaria de Governo Digital do Ministério da Economia e à Casa Civil da Presidência da República, para que empreendam esforços no sentido de dotar a Autoridade Nacional de Proteção de Dados (ANPD) de todos os recursos necessários para poder cumprir as suas funções previstas na Lei Geral de Proteção de Dados (LGPD).

A auditoria foi realizada a partir do primeiro trimestre de 2021 com 382 órgãos federais, que responderam um questionário contendo 60 perguntas, elencadas pelos seguintes temas: “preparação, contexto organizacional, liderança, capacitação, conformidade do tratamento, direitos do titular, compartilhamento de dados pessoais, violação de dados pessoais e medidas de proteção”.

Os indicadores encontrados pela auditoria do TCU foram os seguintes:

  • Apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação.
  • Quase metade das organizações, 49%, não produziu este tipo de artefato.
  • A maioria das organizações, 76%, conduziu iniciativa para identificar esses normativos.
  • A maioria das organizações, 77% (31% não identificaram e 46% identificaram parcialmente), ainda não identificou todas as categorias de titulares de dados pessoais com os quais mantém relacionamento.
  • Mais da metade, 51%, não conduziu iniciativa para identificar os operadores.
  • Apenas 15% das organizações adequaram todos os contratos firmados com os operadores identificados.
  • A maioria, 70%, não avaliou a existência de tratamento de dados com o envolvimento de controlador conjunto.
  • A minoria das organizações que avaliaram a existência de controlador conjunto, 17% (20 de 114), definiu, formalmente, os papeis e responsabilidades de cada um dos controladores conjuntos.
  • Apenas 17% das organizações identificaram todos os processos de negócio que realizam tratamento de dados pessoais.
  • A maioria das organizações que identificou total ou parcialmente os processos ainda não identificou os responsáveis por todos os processos que realizam tratamento de dados pessoais, pois 62% identificaram os responsáveis de apenas parte desses processos, enquanto 7% sequer identificou os responsáveis.
  • A minoria das organizações, 14%, identificou todos os dados pessoais que tratam.
  • Apenas 27% dessas organizações identificaram os locais onde todos os dados pessoais são hospedados.
  • Apenas 33% das organizações que responderam esta questão fizeram a análise de riscos.
  • Apenas 35% das organizações possuem Política de Classificação da Informação.
  • A maioria das organizações que possui Política de Classificação da Informação, 57%, providenciou a adequação da política para contemplar diretrizes para a classificação de dados pessoais.
  • No entanto, apenas 18% das organizações que responderam esta questão contemplaram diretrizes para classificação desses dados.
  • Apenas 18% das organizações possuem Política de Proteção de Dados Pessoais ou documento similar.
  • A maioria das organizações, 69%, nomeou o encarregado.
  • A maioria, 75%, das organizações que nomeou o encarregado providenciou a publicação da nomeação em meio de comunicação oficial. O mesmo ocorreu com a divulgação da identidade e das informações de contato na internet, onde 67% dessas organizações informaram que realizaram tal divulgação.
  • A minoria das organizações, 29%, possui Plano de Capacitação que abrange a proteção de dados pessoais.
  • No entanto, constatou-se que quase metade das organizações que elaboraram o plano, 46%, não consideraram essa
    necessidade.
  • Somente 11% das organizações identificaram e documentaram todas as finalidades das atividades de tratamento de dados pessoais.
  • 51%, não avaliou se coleta apenas os dados estritamente necessários para cumprir com as finalidades. Ao passo que 61% dessas organizações não avaliaram se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades elencadas.
  • Boa parte dos encarregados, 25%, está lotada na Ouvidoria. Os setores de Tecnologia da Informação (TI), Jurídico e Auditoria/Controle Interno obtiveram percentual aproximado de 7%.

Segurança da Informação

Na auditoria da Secretaria de Fiscalização de TI também foi verificado o grau de preparo das organizações para a defesa cibernética. E os auditores acabaram constatando que 24% dos órgãos federais avaliados sequer possuem a “Posic” (Política de Segurança da Informação) ou algum instrumento similar.

“Diante do exposto, a equipe de auditoria propõe dar ciência às 91 organizações que informaram, por meio de resposta ao questionário, que não possuem Política de Segurança da Informação, ou instrumento similar, que a ausência do referido documento afronta o disposto nos normativos de referência”, destacam no documento.

Mas vão além, O TCU decidiu cobrar o Gabinete de Segurança Institucional da Presidência da República (GSI) no sentido de que tome providências para obrigar os 91 órgãos detectados com essa falha a resolverem o problema.

*CLIQUE NESTE LINK E BAIXE A ÍNTEGRA DO PROCESSO RELATADO PELO MINISTRO AUGUSTO NARDES.

Assista ao vídeo da sessão em que o ministro fez a leitura resumida do relatório.