A atuação dos Tribunais de Contas no processo de adequação à LGPD de seus jurisdicionados

Como entidades autônomas de controle externo, os Tribunais de Contas são reconhecidos por desempenhar uma atribuição fundamental na supervisão da administração pública, assegurando a transparência e eficiência na gestão dos recursos públicos.

No âmbito do Estado de Mato Grosso, 543 (quinhentas e quarenta e três) organizações estão sujeitas ao controle e à fiscalização do Tribunal de Contas do Estado de Mato Grosso (TCE-MT).

Nessa toada, no desempenho de suas atribuições constitucionais, legais e regimentais, particularmente no contexto das atividades de controle externo, as Cortes de Contas conduzem análises abrangentes de uma quantidade significativa de elementos de informação que contém, evidentemente, dados pessoais (e sensíveis) assim definidos na Lei 13.709, de 14 de agosto de 2018, também conhecida por Lei Geral de Proteção de Dados (LGPD).

Aliás, não se olvide que em razão da Emenda Constitucional 115, de 10 de fevereiro de 2022, a proteção aos dados pessoais foi alçada à categoria de direito fundamental, nos termos do artigo 5º, inciso LXXIX[i].

Em breve linhas, a esfera de jurisdição do TCE-MT engloba qualquer entidade, seja ela de natureza física ou jurídica, de caráter público ou privado, que esteja envolvida na utilização, arrecadação, custódia, gestão ou administração de recursos financeiros, bens e valores públicos pertencentes aos poderes do Estado e aos municípios de Mato Grosso. Portanto, a complexidade e o volume de informações insertas nas competências do TCE-MT são desafiadores.

De fato, com o propósito de orientar a gestão pública na conformidade com as normas regulatórias, identificar eventuais irregularidades e monitorar a aplicação eficiente e eficaz dos recursos públicos, o TCE-MT trata dados pessoais inseridos em documentos, contratos, termos licitatórios, informações de natureza pessoal, aspectos financeiros, contábeis e patrimoniais, dentre outros papéis de trabalho.

Para além disso, os Tribunais de Contas também exercem função pedagógica, a promover a disseminação de conhecimentos sobre a administração pública e incentivando cultura organizacional, boas práticas de gestão e governança, a incluir aqui, dentre estas, as de dados, inclusive os pessoais.

Nesse contexto, o TCE-MT editou diversos atos normativos que regulam o tratamento de informações e dados pessoais no âmbito de sua atuação, dos quais destacam-se a Instrução Normativa n.º 8 de 2023, que instituiu a Política de Governança de Tecnologia da Informação, que, dentre seus anexos, previu a Política de Governança de Dados Pessoais (anexo 3) e as Resoluções Normativas n.º 8 de 2022, que instituiu a Política de Segurança de Informação e a nº 22 de 2023, que tratou da Política de Privacidade e Proteção de Dados[ii].

No biênio 2022-2023, através da Escola Superior de Contas de Mato Grosso, o TCE-MT promoveu a realização de capacitações e palestras orientativas sobre a LGPD no serviço público mediante a participação de autoridades nacionais sobre o tema.

Conseguinte, analisar o nível de aderência de seus entes fiscalizados/jurisdicionados à LGPD é inafastável, pois, nas ações de tratamento que envolvem estas informações (seja na coleta, no compartilhamento, no uso e na exclusão, por exemplo), o direito à proteção de dados pessoais precisa estar assegurado por ambas as partes: ente fiscalizador e fiscalizado.

Pode-se dizer que há uma espécie de due diligence entre o ente jurisdicional e o jurisdicionado, um mecanismo de controle inserto nas boas práticas previstas no artigo 50 da LGPD.

Tanto o é que o Tribunais de Contas da União, mediante a relatoria do Min. Augusto Nardes, por meio do Acordão n.º 1384/2022- TCU-Plenário, recomendou aos entes da Administração Direta e Indireta da União, a adoção de uma miríade de medidas de conformidade à LGPD e às boas práticas recomendadas pela ABNT NBR ISO/IEC 27701:2019[iii].

Os apontamentos abrangeram a necessidade de edição de atos normativos e guias correlatos ao tratamento de dados pessoais aplicáveis às organizações, como Políticas de Privacidade e Proteção de Dados, Políticas de Classificação da Informação, Plano de Capacitações temáticas à Proteção de Dados Pessoais.

Cita-se ainda implementação de mecanismos para atendimento dos direitos dos titulares, implementação de procedimentos internos mais céleres (fast track) e controles simplificados para o uso compartilhado de dados pessoais no âmbito de atuação da Administração Direta e para o compartilhamento de dados pessoais com terceiros, com organizações públicas não integrantes da pessoa da União e entidades privadas, além de adequações contratuais entre controladores e operadores de forma a estabelecer papéis e responsabilidades relacionados à proteção de dados pessoais.

E não só isso como também, a elaboração de Plano de Respostas à incidentes de ados pessoais, Políticas de Controle de Acessos, utilização de criptografia em seus banco de dados, matriz de avaliação de riscos, adoção de medidas de proteção de dados pessoais desde a fase de concepção até a fase de execução de processos e sistemas (Privacy by Design), incluindo a coleta de dados limitada ao que é estritamente necessário ao alcance do propósito definido (Privacy by Default) dentre outras, mas tudo a considerar as diretrizes estabelecidas na mencionada norma ISO[iv] e na LGPD.

Consequente, é certo que cabe aos Tribunais de Contas, num primeiro momento, orientar, capacitar e outrora demandar de seus jurisdicionados a necessária adequação destes à LGPD, pois isso, para além de demonstrar atendimento à norma regulatória de proteção de dados, evitará prejuízos (inclusive, patrimoniais) reflexos e decorrentes de eventuais reparações cíveis[v] e responsabilizações administrativas a que o controlador ou o operador de dados[vi] derem causa ante um incidente de segurança que envolva dados pessoais ocasionado por um terceiro ou até mesmo por violação regulatória propriamente dita, como enumerado na Seção I do Capítulo VIII, da LGPD.

Diga-se de passagem, que essa função proativa, orientativa e instrutiva dos Tribunais de Contas denota a modelagem de uma abordagem de controle externo mais moderna e eficiente, o que não afasta, todavia, a possibilidade da Corte de Contas impor, mediante prévia e instituída cominação normativa e após o devido processo legal, obrigações e condenações administrativas àqueles que, devidamente advertidos da necessidade de adequação, dolosamente, quedarem inertes ou fazerem ouvidos moucos às orientações do órgão de controle externo.

No ponto e nesta quadra temporal, é preciso que se reforce que as Cortes de Contas, de modo algum, usurparão a competência exclusiva da Autoridade Nacional de Proteção de Dados (ANPD) para a fiscalização e condução de procedimento administrativo próprio que visa o atendimento à LGPD, na forma do artigo 55-K, da Lei 13.709/2018.

Sobre a seriedade e complexidade do tema, recentemente o Supremo Tribunal Federal, no julgamento da ADI 6649/DF e ADPF 695/DF, de relatoria do Min. Gilmar Mendes, reconheceu, até mesmo, a possibilidade de responsabilização, em juízo próprio, por ato de improbidade, daquele que, dolosamente, não observar os preceitos da LGPD. Eis um trecho do Acordão:

(...) A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais (...) STF. Plenário. ADI 6649/DF e ADPF 695/DF, Rel. Min. Gilmar Mendes, julgados em 15/9/2022 (Info 1068).

Conclui-se, assim, que cabe aos Tribunais de Contas, órgãos de controle externo da Administração Pública, no exercício de suas atribuições, atuarem como agentes indutores de uma cultura de proteção de dados pessoais junto aos seus jurisdicionados, a contribuírem, a um só tempo, para uma gestão pública em conformidade regulatória, com o fortalecimento da confiança do cidadão nas instituições e para a assegurar o pleno respeito aos direitos fundamentais previstos em nossa Constituição. 

Referências

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 24 de janeiro de 2024.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 24 de janeiro de 2024.

BRASIL. Tribunal de Contas da União. TCU verifica risco alto à privacidade de dados pessoais coletados pelo governo. Disponível em: https://portal.tcu.gov.br/imprensa/noticias/tcu-verifica-risco-alto-a-privacidade-de-dados-pessoais-coletados-pelo-governo.htm. Acesso em: 24 de janeiro de 2024.

---------------------------------------------------------------------------------------------------------

 

---

Mais artigos de Jocimauro Bento do Carmo e Valteir Teobaldo Santan:

01/10/2024 - O papel orientador dos tribunais de contas na proteção dos direitos da pessoa idosa

29/08/2024 - A Importância da Conformidade à LGPD nas Instituições Públicas: Um Chamado à Ação

21/06/2024 - A Ironia de Brás Cubas e a Inteligência Artificial

15/02/2024 - A atuação dos Tribunais de Contas no processo de adequação à LGPD de seus jurisdicionados

Ver todos os artigos

Jocimauro Bento do Carmo e Valteir Teobaldo Santan

Jocimauro Bento do Carmo e mestrando em Função Social do Direito pela FADISP, técnico de Controle Externo e consultor técnico jurídico da Comissão Permanente de Infraestrutura, Tecnologia e Desestatização (COPITED) do TCE-MT. Valteir Teobaldo Santan é advogado, consultor, DPO SERPRO DataShield e encarregado de Dados do TCE-MT.