Quase um terço das organizações federais ainda não tomou as medidas básicas necessárias para se adequar à Lei Geral de Proteção de Dados (LGPD). Ao todo, 109 organizações estão bem atrasadas no tocante à lei.
A informação é de uma recente auditoria do Tribunal de Contas da União (TCU). O ministro Walton Alencar Rodrigues foi o relator do processo TC 009.980/2024-5. O material mostra que 161 das 387 organizações federais auditadas sequer possuem plano de capacitação. O relatório aponta a necessidade urgente de melhorias e adequações nos procedimentos dessas instituições.
Outro dado que chama atenção é que 146 organizações (37,7%) não elaboraram nenhuma política de privacidade. Ademais, 90, ou seja, 23,3% não implementaram medidas para atender os direitos básicos dos titulares.
Questionário da LGPD
Durante a fiscalização, os 387 órgãos foram submetidos a um questionário que investigou nove aspectos fundamentais da aplicação da LGPD:
- Preparação;
- Contexto organizacional;
- Liderança;
- Capacitação;
- Conformidade do tratamento;
- Direitos do titular;
- Compartilhamento de dados pessoais;
- Violação de dados;
- Medidas de proteção.
As consequências
Os resultados mostram que a falta de atenção a esses pontos pode resultar em um verdadeiro caos na proteção dos dados, expondo as pessoas a riscos desnecessários. A pesquisa mostra que a inação de tantas organizações federais não é apenas uma questão burocrática; ela coloca em xeque a segurança das informações pessoais de milhões de brasileiros.
Entre os principais dados encontrados na auditoria, estão:
Em contrapartida, para tentar reverter o problema, o TCU fez uma série de recomendações às organizações auditadas. Aos chamados Órgãos Governantes Superiores (OGS), foi recomendada a implementação de acompanhamento e incentivo ao desenvolvimento da maturidade das entidades sob sua supervisão. São considerados OGS:
- Conselho Nacional de Justiça (CNJ);
- Conselho Nacional do Ministério Público (CNMP);
- Secretaria de Governo Digital e Secretaria de Coordenação e Governança das Empresas Estatais, ambas ligadas ao Ministério da Gestão e da Inovação em Serviços Públicos (MGI).
Nesse ínterim, o foco da ação está na implementação de controles, especialmente nas áreas mais deficitárias apontadas na auditoria.
Ademais, o Tribunal determinou a correção de falhas graves identificadas em determinados órgãos, como a ausência de PSI, a nomeação do encarregado de tratamento de dados e a comunicação padronizada dos incidentes à ANPD. O Tribunal também ordenou que a Controladoria Geral da União (CGU) e os OGS orientem as organizações sobre a importância de harmonizarem a LGPD com a Lei de Acesso à Informação (Lei 12.527/2011). Em síntese, a ideia é estabelecer critérios transparentes para eventuais negativas de acesso e indicar de forma objetiva quais dados estão sob proteção, as razões pelas quais sua divulgação violaria a LGPD e quais medidas foram examinadas para viabilizar o acesso à informação.
O significado
De acordo com Edgard Dolata, advogado, especialista em LGPD, sócio da Legal Comply e professor convidado em programas de educação executiva, quando o próprio Estado, que deveria servir de exemplo, desrespeita a norma, cria-se um precedente perigoso. “Com efeito, isso compromete a segurança jurídica e desestimula empresas que investem tempo e recursos para garantir conformidade”, afirma.
Nesse sentido, vale destacar que somente em 2024 foram registradas mais de 3,2 mil denúncias relacionadas a tratamentos irregulares de dados pessoais, um aumento de 27% em relação ao ano anterior. Os dados são da Autoridade Nacional de Proteção de Dados (ANPD). E, embora a maioria dos casos envolva empresas privadas, Edgard Dolata alerta que o poder público também está sujeito a sanções e precisa adotar práticas robustas de governança de dados.
Responsabilidade
Para Dolata, a situação expõe uma fragilidade estrutural. Trata-se da ausência de mecanismos claros de fiscalização e responsabilização quando a violação parte de órgãos governamentais. “A LGPD vale para todos. Não existe imunidade institucional. O tratamento responsável dos dados é um ativo de confiança e reputação, e qualquer exceção mina a credibilidade da lei”, reforça.
A controvérsia também abre espaço para reflexões sobre compliance e cultura de proteção de dados nas empresas. Segundo levantamento da Serasa Experian, 60% das médias e grandes empresas brasileiras ainda enfrentam dificuldades para mapear o ciclo completo de vida dos dados que tratam, desde a coleta até a exclusão. A falha, que já é arriscada no setor privado, ganha outra dimensão quando parte do poder público.
Para o especialista, o dado da Serasa deve servir como um alerta para que organizações de todos os tamanhos e setores reforcem seus controles internos e assegurem a rastreabilidade de cada operação que envolva dados pessoais. “A mensagem é clara: mapear, justificar e proteger dados não é opcional, e a responsabilidade começa pelo exemplo”, ressalta.
E, por fim, Edgard Dolata, ressalta que, em se tratando de legislação, o exemplo deve vir do setor público, uma vez que a falta de penalizações enfraquece a autoridade da lei. “Tratar dados pessoais de forma responsável também diz respeito à confiança, tanto interna quanto externa. O Brasil precisa desenvolver mecanismos de fiscalização equilibrados e eficazes, enquanto o setor privado deve se firmar como modelo de integridade e proteção de dados”, conclui.
CONAREC 2025
O maior congresso de Customer Experience do mundo terá um palco dedicado exclusivamente aos temas de defesa do consumidor. No CONAREC 2025, lideranças e especialistas discutirão as pautas mais urgentes no palco da Era do Diálogo: judicialização, litigância predatória, Código de Defesa do Consumidor, LGPD e muito mais. Garanta já a sua participação!
