Recentemente o Tribunal de Contas da União fez auditoria em uma série de órgãos públicos para avaliar se os meios disponibilizados aos servidores e gestores do Poder Executivo Federal são adequados para equilibrar a transparência das informações públicas e a proteção de dados pessoais. 

O pano de fundo dessa situação está no fato de que nos últimos anos, a interpretação equivocada de que a LGPD impede o acesso a informações de interesse público foi muito utilizada por órgãos governamentais. O entendimento de que LAI e LGPD são complementares já foi reforçado pela própria Controladoria Geral da União (CGU) (Enunciado 4/2022), tem enunciado publicado nas X Jornada de Direito Civil (Enunciado 688) e a ANPD já manifestou o entendimento no caso da divulgação dos microdados do Inep (Nota Técnica nº 46/2022)

Por conta disso, a análise do TCU visou avaliar os meios disponíveis aos servidores para ver como a transparência e proteção de dados estavam sendo observadas. A análise do TCU mostrou que uma série situações poderiam levar a uma situação de aplicação errônea da LAI e LGPD nos órgãos avaliados, são elas: 

• Desequilíbrio nas normas e orientações sobre proteção de dados e acesso à informação
• Falta de padronização em técnicas de anonimização
• Capacitação desbalanceada sobre LAI e LGPD
• Falta de empoderamento e  atuação conjunta entre encarregados da LGPD e autoridades de monitoramento da LAI
• Lacunas no controle interno dos órgãos
• Problemas no Sistema Fala.BR

Abaixo resumimos cada um destes pontos

1. Desequilíbrio nas normas e orientações sobre proteção de dados e acesso à informação

As normas internas dos órgãos auditados (ANEEL, Banco Central, Ministério da Fazenda, Ministério da Saúde e Receita Federal) priorizam a proteção de dados em detrimento da transparência, sem integração adequada entre os temas.

Até quem tinha diretrizes para “Transparency by Design” (transparência desde a concepção), como  o Banco Central, precisaria expandir  esse tipo de iniciativa.

2. Falta de padronização em técnicas de anonimização

O TCU entendeu que há insuficiência no uso de técnicas como anonimização e tarjamento para proteger dados pessoais sem comprometer a transparência.

A análise das amostras de pedidos negados pelos órgãos fiscalizados mostrou que uma quantidade relevante de pedidos de acesso poderiam ser atendidos com essas técnicas, mas foram negados.

1. Capacitação desbalanceada sobre LAI e LGPD

As ações de capacitação focam mais na LGPD do que na LAI, com poucas iniciativas que abordam os dois temas conjuntamente. A análise do TCU também revelou que servidores relataram falta de treinamentos integrados das duas leis, mostrando na prática como elas deveriam ser aplicadas. 

Embora a Controladoria-Geral da União tenha promovida algumas capacitações sobre LAI e LGPD de forma integrada, o TCU entendeu que talvez elas não tenham sido suficientes para capacitar os servidores no tema. 

2. Falta de empoderamento e  atuação conjunta entre encarregados da LGPD e autoridades de monitoramento da LAI

A partir da análise, verificou-se que em alguns casos o encarregado pela LGPD não executava suas funções em colaboração com a autoridade de monitoramento da LAI nos órgãos. Isso poderia levar à construção de orientações que focassem exclusivamente na proteção de dados ou na LAI.  Em alguns órgãos como o Ministério da Saúde, a auditoria mostrou que há pouca colaboração entre esses atores, gerando insegurança jurídica. 

Além disso, a auditoria considerou importante que tanto o encarregado de proteção de dados quanto a autoridade de monitoramento da LAI participassem de instâncias colegiadas de temas relacionados à governança de dados e a gestão de informações. Essa medida seria importante para que o órgão pudesse ouvir esses atores e tomar decisões com base na expertise deles. 

3. Lacunas no controle interno

As áreas de controle interno dos órgãos avaliados  não fiscalizavam adequadamente os riscos relacionados à transparência e proteção de dados. No caso em questão, nenhuma das organizações avaliadas tiveram ações que trataram especificamente o cumprimento da LAI e LGPD

Essa ausência de avaliação pode ter aumentado a probabilidade de desconhecimento dos riscos e impactos de não se assegurar um nível adequado de proteção de dados pessoais bem como da transparência de informações públicas.

4. Problemas no Sistema Fala.BR

30,8% dos pedidos de acesso são classificados como “restritos”. A análise de uma amostra deles mostrou que boa parte foi classificada de maneira errônea, uma vez que não foram encontradas justificativas para classificar esses pedidos como restritos. Dos órgãos analisados, somente o Ministério da Fazendo tem uma taxa de pedidos erroneamente classificados como restritos abaixo dos 50%.

Recomendações 

Com a conclusão da análise, o TCU sugeriu uma série de medidas para a Controladoria Geral da União e aos órgãos fiscalizados, são elas

Medidas para a  CGU:

• Elaborar orientações integradas sobre transparência e proteção de dados 
• Oferta de capacitações adequadas, a melhoria da atuação conjunta do encarregado de dados e da autoridade de monitoramento da LAI, a ampliação das ações do sistema de controle interno governamental e o aperfeiçoamento do sistema Fala.BR. 

Medidas para os órgãos fiscalizados:

• Produzir orientações complementares à CGU e promover capacitações; 
• Produzir orientações complementares à CGU e ANPD sobre anonimização e tarjamento de dados.
• (Aneel e Ministério da Saúde) Ampliar a produção de inventários de dados e relatórios de impacto.
• (Ministério da Fazenda): incluir o encarregado de dados e o da LAI em colegiados com poder de decisão sobre a governança de dados e designar autoridade de monitoramento da LAI em cada secretaria com características de órgãos especializados. 
• (Ministério da Saúde): incluir o encarregado de dados e o da LAI em colegiados com poder de decisão sobre a governança de dados e atribuir ao encarregado da LGPD área interna especialmente estruturada e recursos para esse fim. 

Se capacitar em LAI e LGPD é urgente! 

A análise do TCU só reforça o entendimento que há tempos defendemos: LGPD e LAI são normas complementares, cada uma descrevendo formas e procedimentos que facilitem tanto a divulgação de informações de interesse público bem como a proteção de dados pessoais dos titulares. O maior exemplo disso é o da anonimização e tarjamento de documentos, uma medida simples e prevista pela LGPD pode proporcionar o equilíbrio entre proteção de dados e transparência, promovendo a abertura de dados sem prejudicar ou diminuir os níveis de proteção de dados e de privacidade.

As recomendações do TCU focam bastante em como o estado atual dos órgãos ainda depende de capacitação adequada, e harmonização de práticas como a anonimização dos dados de documentos públicos e da classificação de pedidos de acesso a informações como restrito. Também são um sinal de alerta para órgãos públicos sobre a forma como tem conduzido o acesso à transparência pública.

Tudo isso mostra que mais do que uma mera conformidade regulatória, a utilização adequada da LGPD e da LAI pode ser um instrumento de civilidade e democracia, abrindo dados que são relevantes a todos sem expor ninguém a risco desnecessário. 

É esse tipo de transformação que a Data Privacy Brasil visa promover. Com seu histórico de atuação e aprendizado, a Data tem uma posição de destaque para endereçar as oportunidades e desafios da implementação da proteção de dados no setor público. Tudo isso a partir de um debate tecnicamente qualificado. Algumas conquistas que tivemos nos últimos anos demonstram isso.

Só em 2024, realizamos uma série de cursos especializados, formando mais de 150 alunos e acumulando mais de 300 horas de formação em temas como proteção de dados, segurança da informação e inteligência artificial. Tivemos o privilégio de colaborar com instituições importantes como o SERPRO, a Autoridade Nacional de Proteção de Dados (ANPD) e o Senado, dentre outros órgãos. 

Proteção de Dados no Poder Público

A Data Privacy Brasil realizou duas edições de um curso específico sobre proteção de dados no poder público, abordando temas como o regramento do uso de dados pelo poder público na LGPD, boas práticas de compartilhamento, intersecção entre Lei de Acesso à Informação e proteção de dados pessoais e boas práticas no uso e contratação de tecnologias pelo Poder Público.

O curso contou com alunos de todos os setores, mas especialmente de profissionais e servidores de órgãos públicos, como o Ministério Público do Espírito Santo, Tribunal de Contas da União, Banco Nacional de Desenvolvimento Econômico e Social, prefeituras e Defensorias Públicas.

Formação para o Senado Federal

O Senado Federal é um órgão com um papel essencial: a promoção das ações legislativas, bem como da expansão da participação pública e democrática e acesso à informação. Na formação feita ao Senado, não só oferecemos um estudo amplo do campo da proteção de dados como também visamos desenvolver habilidades de implementação de direitos no design das aplicações do órgão, com formação específica em Privacy by Design. 

As equipes que se formaram conosco desenvolveram soluções em design para funcionalidades já oferecidas pelo Senado, como o próprio E-Cidadania. Com o Senado, foi possível mostrar como a proteção de dados facilita a tomada de decisões técnicas na criação de funcionalidades, aperfeiçoamento das interfaces já disponíveis aos cidadãos e o acesso à informação. Abaixo deixamos alguns exemplos de mapeamento e análise executados pelo Senado:

Projeto de pesquisa “Transparência, Democracia e Proteção de Dados”

O projeto “Transparência, Democracia e Proteção de Dados” surgiu a partir da necessidade prática da Data em combater o uso instrumental da Lei Geral de Proteção de Dados Pessoais para restringir o acesso a informações de notório interesse coletivo no Brasil.

Como produto do projeto, publicamos, juntamente com o InternetLab, o relatório “DivulgaCandContas e proteção de dados nas eleições: contribuições ao Superior Tribunal Eleitoral”. O documento versa sobre a audiência pública convocada pelo TSE em julho de 2022, que teve como objetivo debater a adequação do DivulgaCandContas—plataforma de divulgação de dados de candidaturas—à Lei Geral de Proteção de Dados (LGPD).

O relatório sintetiza toda a argumentação apresentada durante a audiência, estruturada a partir das questões colocadas pelo próprio TSE. Seu objetivo principal é estabelecer os melhores parâmetros para garantir o direito à privacidade dos candidatos, sem comprometer o direito de acesso à informação por parte dos cidadãos.

Também publicamos, junto com a Open Knowledge Brasil, o relatório “Workshop LGPD e microdados: avançando em metodologias para avaliar riscos e garantir a transparência”.Para sua elaboração, reunimos representantes de diversos setores—governo, setor privado, academia, jornalistas e terceiro setor—para discutir a viabilização de uma política de dados abertos que assegure, simultaneamente, o direito à proteção de dados pessoais dos cidadãos.

As discussões tiveram como pano de fundo a retirada do ar, pelo INEP, de bases de microdados, como a série histórica do Censo da Educação Básica e do ENEM. As principais informações e documentos foram compilados no relatório, que agora pode orientar pesquisas e a tomada de decisões em casos similares, garantindo que a proteção de dados pessoais e a transparência pública caminhem em harmonia.

Venha se capacitar com a Data!

A capacitação contínua dos servidores é essencial para garantir conformidade e eficiência no tratamento de dados públicos e pessoais.

Com o PPD, nossos alunos são capazes de enxergar os fluxos de dados pessoais no mundo real, compreender os desafios que eles geram e desenvolver soluções eficazes para mitigação de riscos e é claro, como outras normas interagem com a LGPD. No poder público isso significa, dentre outras coisas, entender LAI e LGPD de forma integrada. 

Nosso método progressivo e baseado na prática é composto de aulas interativas e atividades dinâmicas, culminando em uma atividade final inspirada em casos reais. Na atividade final, você enfrentará um cenário realista no setor público que exige a aplicação do conhecimento adquirido para diagnosticar riscos e construir soluções em proteção de dados e transparência pública.

Conheça o Curso Privacidade e Proteção de Dados: Teoria e Prática