Com o avanço das negociações do atual governo federal para privatizar o Serpro (Serviço Federal de Processamento de Dados) e a Dataprev (Empresa de Tecnologia e Informações da Previdência), torna-se mais necessário aprimorar o controle externo para avaliar os riscos à proteção de dados pessoais. As duas empresas detêm quantidade relevante de dados sensíveis sobre a administração pública e sobre todos os cidadãos brasileiros.
Nesse sentido, a Secretaria de Fiscalização de Tecnologia da Informação (SEFTI) do Tribunal de Contas da União (TCU) instaurou uma auditoria operacional com objetivo de elaborar um diagnóstico sobre os controles implementados pelas organizações públicas federais para adequação à Lei Geral de Proteção de Dados (LGPD), bem como induzir essas organizações a conduzirem iniciativas para cumprir a legislação.
Além do risco à segurança dos dados da população, há ainda os riscos comerciais com queda da reputação brasileira junto aos órgãos internacionais. Enquanto o processo de venda das estatais ainda está sob análise governamental, a Organização para Cooperação e Desenvolvimento Econômico (OCDE) sinalizou preocupação com a venda das estatais, considerando a possibilidade de os titulares perderem o controle sobre os seus dados pessoais em decorrência da privatização.
Até dezembro de 2020, a auditoria do TCU analisará os atos e processos de diversos órgãos e instituições como a Câmara dos Deputados, o Conselho Nacional de Justiça (CNJ), o Conselho Nacional do Ministério Público (CNMP), o Gabinete de Segurança Institucional (GSI), o Senado Federal e o próprio TCU.
Também as informações sobre a Autoridade Nacional de Proteção de Dados (ANPD) estarão na mira dos auditores do TCU, na medida em que a instituição está submetida à jurisdição da Corte de Contas, na condição de órgão da administração pública federal.
Chamam atenção dois dos critérios adotados pela Secretaria de Fiscalização de Tecnologia da Informação do TCU para motivar a instauração da auditoria operacional. Um deles envolve os potenciais impactos causados pela divulgação imprópria de dados pessoais, como ações judiciais com consequentes danos ao erário. O outro é a perda de oportunidades comerciais por países que não proveem mecanismos de proteção de dados pessoais.
Vale lembrar que o vazamento de dados pessoais tem demandado judicialmente a União. Em caso amplamente noticiado, com suposto vazamento de dados fiscais de um famoso jogador de futebol, discute-se a responsabilidade da União (Receita Federal) pela guarda das informações pessoais e as consequências pecuniárias pela reparação de danos materiais e morais. Recentemente, a invasão do sistema do Superior Tribunal de Justiça (STJ) também motivou debates sobre a aplicação da LGPD contra o órgão. O tema coloca na pauta urgente do dia, portanto, o controle sobre o risco envolvido na proteção dos dados dos administrados.
Quanto à oportunidade de negócios, é fundamental que se estabeleça uma cultura de proteção de dados. Os países que garantem um ambiente seguro angariam operações econômicas estáveis, respaldadas pela confiança e higidez nas informações. A União Europeia, por exemplo, recomenda que as empresas do bloco econômico só transfiram dados para os países que tenham níveis de proteção equivalentes.
É legítima, portanto, a preocupação do TCU. Ainda que a LGPD não esteja completamente em vigor (as sanções aplicáveis ao descumprimento da Lei só terão vigência a partir de agosto de 2021), é necessário que os órgãos da administração pública se movimentem para estabelecer e lapidar os mecanismos de proteção dos dados dos administrados.
*Maria Augusta Rost, advogada e árbitra, é mestre em direito pela Universidade de Brasília (UnB), integrante do Comitê Brasileiro de Arbitragem e autora do livro A arbitragem como política pública
*Alessandra Ferreira dos Santos, bacharela em direito pela Universidade de Brasília (UnB) e advogada do Barretto & Rost Advogados
