Auditoria do TCU expõe falhas dos órgãos públicos na proteção de dados

O Tribunal de Contas da União soltou um Acórdão (1384/22) recheado de más notícias para a proteção de dados dos brasileiros. Ao auditar 382 órgãos e organizações públicas federais, a Corte de Contas identificou um “cenário preocupante”, não somente pela baixa adequação à Lei Geral de Proteção de Dados (13.709/18), foco original da investigação, mas por deficiências básicas nos entes que custodiam informações da população.

Entre os diversos achados do TCU, o Acórdão aponta que 43% das organizações não utilizam criptografia para proteger os dados pessoais, 54%, não é capaz de comprovar que adotou medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, 72% das organizações não possuem sistema para registro de incidentes que envolvem violação de dados pessoais e que 75% não possuem sistema para registro das ações adotadas para solucionar tais incidentes.

“Mesmo após a vigência da LGPD, o Brasil tem sido vítima de graves ataques que resultaram no vazamento de dados pessoais”, diz o relatório, ao lembrar de casos que “retratam a existência de deficiências relacionadas à cibersegurança no país, o que afeta a privacidade, pois para prover proteção de dados pessoais são necessários investimentos em segurança da informação”. A conclusão é que “resta clara a necessidade de estimular a implantação da cultura de segurança da informação e de proteção de dados pessoais na Administração Pública Federal”.

O relatório aponta, ainda, que apenas 27% das organizações auditadas identificaram os locais onde todos os dados pessoais são hospedados. E 24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. “Cerca de uma em cada quatro organizações não possui a política, o que é grave, pois a segurança da informação é um dos pilares que viabilizam a proteção de dados pessoais”, avalia o TCU.

Segundo a auditoria, apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD, sendo que 49%, não produziu plano de ação, plano de projeto ou documento similar para direcionar tal iniciativa. Mais destacadamente, 51%, não conduziu iniciativa para identificar os operadores de dados – quem realiza o tratamento de dados pessoais em nome do controlador.

“O cenário é preocupante, pois a identificação dos operadores é um ponto chave para a efetividade da proteção dos dados pessoais, uma vez que realizam tratamento de dados em nome das organizações. Além disso, cumpre frisar que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir obrigações da legislação ou quando não seguirem instruções lícitas do controlador”, destaca o TCU.

 

  • Fonte: Convergência Digital
  • Imagem: FFreepik
  • 20 de junho de 2022