RESUMO

rdp

Revista Direito Público

Rev. Dir. Publico

2236-1766

Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa

10.11117/rdp.v20i107.7477

Dossiê Temático - Concorrência e Plataformas Digitais

DE OLHO NA PRIVACIDADE: UM COMPARATIVO DO GRAU DE ADERÊNCIA DOS TRIBUNAIS DE CONTAS À LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

WITH AN EYE ON PRIVACY: A COMPARATIVE OF THE DEGREE OF ADHERENCE OF COURTS OF ACCOUNTS TO THE GENERAL LAW ON PROTECTION OF PERSONAL DATA

0009-0005-2477-4208

HOLDEFER

DIONATA LUIS

0000-0002-8285-0732

CASTRO

PAULO ALEXANDRE BATISTA DE

0000-0002-9298-4822

VAZ

ALEXANDER CAMBRAIA NASCIMENTO

Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa

Brasília

Brasil Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) (Brasília, DF, Brasil)

Dionata Luis Holdefer| E-mail: dionata@gmail.com

Mestre em Direito pelo Centro Universitário Eurípedes de Marília (Univem) e em Administração Pública pela Escola de Gestão, Economia e Negócios do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (Egen/IDP). Graduado em Direito pela Escola de Direito de Brasília do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (EDB/IDP) e em Administração pela Universidade do Sul de Santa Catarina (Unisul). Atua como Auditor de Controle Externo no Tribunal de Contas do Distrito Federal.

Paulo Alexandre Batista de Castro| E-mail: paulo.castro@idp.edu.br

Doutor em Ciência Política pela Universidade de Brasília. Possui graduação em Ciência Política e mestrado em Estudos Comparados sobre as Américas pela mesma universidade. Foi consultor de políticas públicas no Instituto de Pesquisa Econômica Aplicada (IPEA), na Secretaria de Direitos Humanos da Presidência da República e no Ministério da Justiça, onde também atuou como Coordenador-Geral na Secretaria Nacional do Consumidor. Entre 2017 e 2018 foi Research Fellow na American University, Washington D.C. Atualmente, é Coordenador-Adjunto do Mestrado Profissional em Administração Pública do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e professor do Mestrado Profissional em Direito, Justiça e Desenvolvimento (IDP/SP).

Alexander Cambraia Nascimento Vaz| E-mail: cambraia04@gmail.com

Doutor e Mestre em Ciência Política (UFMG). Já atuou em chefia/liderança junto a Organizações, como o Instituto de Pesquisa Econômica Aplicada (IPEA), a Secretaria Nacional de Avaliação e Gestão da Informação (SAGI/MDSA), a Secretaria de Estado de Desenvolvimento Social de Minas Gerais (SEDESE-MG), a Organização dos Estados Americanos (OEA), o Programa das Nações Unidas para o Desenvolvimento (PNUD), dentre outras.

0 0 2024

Jul-Oct 2023

20 107 699 725 28 09 2023 11 10 2023

Este é um artigo publicado em acesso aberto (Open Access) sob a licença Creative Commons Attribution Non-Commercial, que permite uso, distribuição e reprodução em qualquer meio, sem restrições desde que sem fins comerciais e que o trabalho original seja corretamente citado.

RESUMO

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2020, tornou-se crucial que os órgãos públicos se adaptem às novas regras e garantam a segurança e privacidade das informações pessoais de cidadãos. Nesse contexto, este artigo tem como objetivo analisar o grau de aderência dos Tribunais de Contas à LGPD. Para isso, foi realizada uma pesquisa e análise bibliográfica e documental, coletando informações em sites oficiais das 33 (trinta e três) Cortes de Contas brasileiras. A pesquisa tem abordagem qualitativa e foram empregados os métodos descritivo e analítico. Os resultados revelam que, apesar de alguns Tribunais de Contas estarem em conformidade quase integral com a LGPD, muitos ainda carecem de medidas efetivas de proteção de dados pessoais, demonstrando a necessidade de aprimoramento das políticas de proteção de dados nos órgãos públicos. Os achados deste estudo podem ser úteis para gestores públicos e tomadores de decisão no sentido de aprimorar as políticas de proteção de dados pessoais, garantindo maior segurança e transparência no uso de informações pessoais por essas instituições.

ABSTRACT

With the entry into force of the Brazilian General Data Protection Law (LGPD) in 2020, it has become crucial for public bodies to adapt to the new rules and guarantee the security and privacy of citizens' personal information. In this context, this article aims to analyze the degree of adherence of the Courts of Auditors to the LGPD. For this, documentary research was carried out, collecting information on the official websites of the 33 (thirty-three) Brazilian Courts of Accounts. For the research, exploratory and analytical methods were used, with data collection being carried out through documentary and bibliographic means. The results reveal that, although some Courts of Auditors are almost fully compliant with the LGPD, many still lack effective measures to protect personal data, demonstrating the need to improve data protection policies in public bodies. The findings of this study can be useful for public managers and decision-makers to improve personal data protection policies, ensuring greater security and transparency in the use of personal information by these institutions.

Palavras-chave privacidade proteção de dados pessoais LGPD Tribunais de Contas

Keywords privacy protection of personal data LGPD Courts of Accounts

INTRODUÇÃO

O uso crescente de tecnologias da informação e comunicação e a popularização da internet têm aumentado exponencialmente o volume de dados pessoais gerados, tratados, armazenados e compartilhados. Para proteger a privacidade dos indivíduos e regular o uso dessas informações, diversos países têm implementado leis específicas de proteção de dados pessoais.

No Brasil, após anos de discussão, foi promulgada a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei n.º 13.709, de 14 de agosto de 2018). A lei tem como finalidade regulamentar o tratamento de dados pessoais visando à proteção da dignidade da pessoa humana e ao livre desenvolvimento da personalidade. Ela estabelece uma série de normas em relação à coleta, uso, armazenamento e compartilhamento de informações pessoais a serem cumpridas pelos responsáveis pelo tratamento desses dados, incluindo o Poder Público.

Segundo a LGPD, o termo "Poder Público" é definido de maneira abrangente e inclui órgãos e entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três poderes (Executivo, Legislativo e Judiciário), além dos Tribunais de Contas e do Ministério Público. Desse modo, as atividades de tratamento de dados pessoais realizadas por essas entidades públicas devem seguir as disposições da LGPD, com exceção das situações expressamente previstas na lei.

Como detentores de uma grande quantidade de informações pessoais, os órgãos públicos têm a responsabilidade de proteger esses dados contra acessos indevidos e/ou usos ilegais. Além disso, a regulamentação permite o desenvolvimento de um ambiente confiável e transparente para o compartilhamento de informações entre as entidades públicas e a sociedade. Ademais, a proteção de dados pessoais é um direito fundamental expressamente reconhecido pela Constituição Federal de 1988 (Emenda Constitucional n.º 115/2022).

Assim, o problema de pesquisa examinado neste artigo surge a partir da seguinte indagação: quais medidas para a adequação à LGPD já foram adotadas formalmente pelos 33 (trinta e três) tribunais de contas brasileiros?

E como objetivo, o estudo centra-se em explorar os aspectos da proteção de dados pessoais pelo setor público e apresentar um comparativo do grau de aderência dos tribunais de contas à Lei Geral de Proteção de Dados Pessoais.

Desse modo, o estudo foi conduzido por meio de uma pesquisa documental. A metodologia envolveu a análise de documentos públicos e informações disponíveis nas páginas eletrônicas oficiais dos órgãos, como normas internas de proteção de dados, cursos ministrados aos servidores, relatórios de transparência, pedidos de acesso à informação etc.

A coleta e análise dos dados foram realizadas de forma sistemática e criteriosa, com o intuito de verificar as diferenças e similaridades entre as políticas e práticas de proteção de dados adotadas pelas Cortes de Contas pesquisadas. O resultado da pesquisa pode ser utilizado para comparar o grau de aderência dos Tribunais de Contas, bem como detectar possíveis lacunas e identificar boas práticas.

O artigo está estruturado em quatro seções, distribuídas na seguinte ordem: (i) referencial teórico, onde foram apresentados os principais conceitos utilizados na pesquisa; (ii) metodologia, onde consta o detalhamento de sua operacionalização; (iii) resultados e discussões, onde consta o resultado da pesquisa e um quadro comparativo dos Tribunais de Contas; e (iv) conclusão, onde foram retomados os resultados e apontadas as possibilidades de pesquisas futuras que podem aprofundar ainda mais as evidências do objeto de estudo

1. REFERENCIAL TEÓRICO

O amplo desenvolvimento da informática e o surgimento de novas tecnologias nas últimas décadas acelerou o risco de violação das liberdades individuais, notadamente no que se refere à intimidade e à vida privada. A economia movida a dados expandiu-se muito rapidamente a partir da comoditização de dados pessoais dos usuários e da violação desses dados de forma maciça. Priorizaram-se a inovação e as vantagens dos agentes econômicos, sob o fundamento de perigoso trade-off entre os direitos dos titulares de dados e eficiências econômicas (FRAZÃO, 2020).

Esse processo oportunizou diversos questionamentos relativos ao direito de privacidade e aos limites para a detenção, uso e exploração de dados pessoais pelo Estado, e, mais recentemente, por agentes privados (SYLVESTRE, 2013).

Embora o direito à privacidade reste qualificado como um direito fundamental, a necessidade de funcionalização da proteção da privacidade — sobretudo na era pós-industrial — fez surgiu uma nova disciplina: a proteção de dados pessoais. Há, dessa forma, uma ruptura com a ordem conceitual que limitava a privacidade a uma tutela de índole patrimonialista, com o estabelecimento de institutos que permitem a efetiva tutela dos interesses da pessoa (DONEDA, 2021).

Nos últimos 40 anos, a proteção de dados pessoais ganhou força, sendo erigido à categoria dos direitos fundamentais. Nesse sentido,

Dado pessoal é o dado relacionado a um indivíduo identificado ou identificável, entendendo-se por identificado o indivíduo que já é conhecido; e por identificável a pessoa que pode ser conhecida diretamente pelo próprio possuidor dos respectivos dados, ou indiretamente mediante recursos e meios à disposição de terceiros, sem que seja necessário o dispêndio de tempo, custo ou esforço exagerado

(VIEIRA, 2007, p. 283).

A proteção de dados pessoais, em apertada síntese, parte do direito à privacidade, mas modifica e aprofunda os seus termos (DONEDA, 2021). Ela estabelece como regra o controle do cidadão sobre as suas próprias informações (governança de dados pessoais), tanto em relação ao Estado — que inicialmente era o grande detentor de dados pessoais da população — quanto em face de agentes privados, que, hodiernamente, têm tratado um infindável volume de dados pessoais (PINHEIRO, 2021).

A pertinência da regulação estatal reside na distinta relevância que os dados assumiram nas dinâmicas sociais modernas — a Sociedade da Informação —, o que justifica a tutela estatal. A evolução tecnológica impactou diretamente as relações sociais, econômicas e políticas, com desmaterialização do formato até então conhecido e algoritimização da vida cotidiana.

A Lei Geral de Proteção de Dados Pessoais entrou em vigor no dia 18/09/20204 e elevou o Brasil em termos reputacionais ao alinhá-lo ao “standard mundial da proteção de dados”, conforme apontam Maldonado e Blum (2019, p. 16), inserindo-o no amplo rol de países que disciplinaram em suas legislações as questões relativas à privacidade e à proteção de dados pessoais. De acordo com informações da Organização das Nações Unidas, no continente americano apenas Venezuela, Guiana, Guatemala, Belize, Cuba e Haiti não aprovaram marcos legais sobre a matéria.

Figura 01 Legislação sobre proteção de dados e privacidade no mundo Fonte: Conferência das Nações Unidas sobre Comércio e Desenvolvimento (2022)5.

Neste cenário, a LGPD surge como uma tentativa do Estado de proteger os dados das pessoas naturais que estão sendo utilizados — de maneira desautorizada — como insumo por empresas de diversos setores. Há, assim, a imposição de diversas restrições ao tratamento de dados, o que tira o Brasil de uma situação de “terra sem lei” nesta matéria e prestigia a privacidade e a intimidade do ser humano (COTS; OLIVEIRA, 2019). Para tanto, ela prevê dispositivos que sugerem uma grande mudança na atual cultura de (coleta) de dados, pois estabelecem limites e critérios ao tratamento de dados pessoais.

Conforme disciplinado em seu art. 1º, caput, a LGPD é aplicável a todo tipo de tratamento de dados pessoais, inclusive nos meios digitais — o que pode parecer redundante, pois, atualmente, grande parte dos tratamentos de dados pessoais se dá justamente por canais digitais, mas que revela o caráter abrangente da norma —, por pessoa natural ou por pessoa jurídica de direito público ou privado. Deste modo, os órgãos e entidades públicas também deverão, em alguma medida, disciplinar a proteção de dados pessoais e harmonizá-la às suas atividades cotidianas.

Referidas medidas podem ter início, por exemplo, com a aprovação de um ato normativo para internalizar a LGPD (medida mínima) ou então para instituir uma verdadeira política de proteção de dados pessoais envolvendo todas as unidades, servidores e membros da instituição. O tratamento de dados pessoais no âmbito da Administração Pública deverá ser realizado para o atendimento de sua finalidade pública, desde que cumpridas duas exigências (art. 23 da LGPD):

a) informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; e b) indicar um encarregado quando realizarem operações de tratamento de dados pessoais

(BRASIL, 2018).

Além disso, é possível o compartilhamento interno de dados, ou seja, o compartilhamento no âmbito da própria administração pública, desde que seja com o objetivo de viabilizar a execução de políticas públicas, a prestação de serviços públicos, a descentralização da atividade pública e a disseminação e ao acesso das informações pelo público em geral (art. 25 da LGPD).

Nesse contexto, o Conselho Nacional de Justiça - CNJ editou a Recomendação CNJ nº 73, de 20 de agosto de 20206, por meio da qual aconselhou aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e de ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados Pessoais.

Já no âmbito do Ministério Público, o Conselho Nacional do Ministério Público - CNMP discute proposta de Resolução para instituir a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais do Ministério Público brasileiro7.

Não obstante, ao contrário do que ocorre no Poder Judiciário e no Ministério Público brasileiro8, não há atualmente um órgão nacional/unificado com atribuição para o controle administrativo dos 33 (trinta e três) tribunais de contas brasileiros e de seus serviços auxiliares, embora existam propostas legislativas em trâmite no Congresso Nacional para a criação de um Conselho Nacional dos Tribunais de Contas9.

Assim, cada Corte de Contas atua de maneira independente no que tange às questões administrativas, processuais, orçamentárias e correcionais. E, por esta razão, deve mobilizar equipe administrativa para adotar as providências cabíveis para tutelar os dados pessoais que tratam no exercício de seu mister público.

No curso da atividade fiscalizatória — conduzida por meio de auditorias, inspeções, representações, análise de denúncias etc. —, os servidores e membros do Tribunal de Contas têm contato com diversos dados pessoais para a extração de informações. Além disso, no próprio desenvolvimento das atividades internas e funções administrativas, o órgão lida com dados de servidores, membros e funcionários terceirizados, como, por exemplo, os assentamentos funcionais, cadastros pessoais, declaração de imposto de renda, contratos de limpeza e vigilância, prontuários médicos arquivados na Divisão de Saúde etc.

Dessarte, considerando que a atuação dos órgãos se revela como um trabalho de verificação (fiscalização) da atuação de pessoas, órgãos e entidades públicas e privadas, mediante a comparação dos atos por eles praticados frente ao padrão de comportamento esperado, os dados tratados estão em alguma medida categorizados como “dados pessoais” ou “dados pessoais sensíveis”, nos termos da recente Lei Geral de Proteção de Dados Pessoais10.

Assim, entende-se oportuna a avaliação do grau de aderência dos órgãos integrantes do Sistema Tribunal de Contas à LGPD, com o registro das convergências e divergências no processo de adequação. Os resultados da pesquisa podem, portanto, servir como um guia para gestores públicos que buscam aprimorar as políticas de proteção de dados em suas instituições.

2. METODOLOGIA

Existem vários métodos que podem ser utilizados para a obtenção de informação e dados. No percurso metodológico desta pesquisa, fez-se um levantamento diagnóstico das medidas formalmente adotadas pelos tribunais de contas brasileiros para a implementação da Lei Geral de Proteção de Dados Pessoais.

Desta forma, quanto à abordagem, a pesquisa é qualitativa, pois baseia-se em fenômenos únicos e inseparáveis de seu contexto. Segundo Creswell (2004), a pesquisa qualitativa é um conjunto de práticas que transformam o mundo visível em dados representativos, incluindo notas, entrevistas, fotografias, registros e lembretes. Os pesquisadores qualitativos buscam entender um fenômeno em seu contexto natural.

No tocante à epistemologia, a implementação da LGPD no âmbito dos tribunais de contas foi analisada de forma positivista, ou seja, da maneira como ela se concretizou (a “realidade dada”). Todavia, a interação dos atores institucionais foi apreciada de forma interpretativista, ou seja, em uma perspectiva voltada à compreensão dos fenômenos.

Em todas as etapas, utilizou-se, predominantemente, como fontes de pesquisa, a literatura nacional a respeito do tema, constituída por livros, artigos científicos, dissertações e teses de doutorado, bem como do exame da legislação aplicável; embora tenham sido utilizados outros documentos para a compreensão geral da matéria, como reportagens de jornal, relatórios de pesquisa, documentos oficiais e estatísticas dos tribunais de contas.

Neste palmilhar, o problema de pesquisa examinado neste artigo surge a partir da seguinte indagação: quais medidas para a adequação à LGPD já foram adotadas formalmente pelos 33 (trinta e três) tribunais de contas brasileiros?

Assim, considerando que a pesquisa com abordagem qualitativa não requer necessariamente a indicação de uma hipótese11 — no estrito sentido técnico do termo, ou seja, de uma afirmação que precisa ser testada e comprovada/refutada, o que se amolda às pesquisas com abordagem quantitativa —, o pesquisador optou por formular uma resposta inicial, ou seja, uma sugestão do que poderia ser encontrado, mas despida do parâmetro objetivista típico da hipótese. De acordo com Rodrigues e Grubba a(s) hipótese(s) nas pesquisas qualitativas corresponde(m) às respostas iniciais (conjecturas) e, por isso, são chamadas de expectativas (RODRIGUES; GRUBBA, 2023).

Nesse contexto, apontou-se como resposta inicial a sugestão de que o processo de adequação à Lei Geral de Proteção de Dados Pessoais está sendo implementado de maneira paulatina pelos tribunais de contas, de sorte que, com base nas características dos órgãos (orçamento, estrutura de pessoal, investimento em tecnologia etc.), é provável que determinados órgãos estejam em um estágio mais avançado de maturação da norma do que outros.

Assim, considerando a similaridade na forma de atuação e funcionamento entre órgãos integrantes do Sistema Tribunal de Contas12, é possível, a partir da experiência dos órgãos congêneres, observar as boas práticas e acelerar o processo de adequação dos tribunais de contas à Lei Geral de Proteção de Dados Pessoais.

2.1 ETAPA PREPARATÓRIA À PESQUISA

Após a elaboração do referencial teórico e valendo-se da Lei de Acesso à Informação, o pesquisador entrou em contato com a ouvidoria dos 33 (trinta e três) tribunais de contas brasileiros e, no dia 11 de agosto de 2021, encaminhou a seguinte solicitação aos órgãos de controle externo:

Com fundamento na Lei de Acesso à Informação (Lei nº 12.527/2011) e com o intuito de instruir pesquisa acadêmica, solicito deste Tribunal de Contas as seguintes informações:

O tribunal de contas já regulamentou internamente (com a edição de Resolução, Portaria ou outro Ato Normativo) a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)? Se a resposta for positiva, favor indicar e, se possível, encaminhar o ato normativo.

Caso não tenha regulamentado, há algum processo administrativo em trâmite ou grupo de trabalho oficialmente formado para a regulamentação da LGPD no âmbito do tribunal de contas?

Tendo em vista a pesquisa acadêmica em curso, caso este pesquisador precise formular questionamentos diretamente à equipe/comitê ou ao servidor responsável pela LGPD no tribunal de contas, há alguma forma específica/direta de contato (e-mail ou telefone)?

Por gentileza, informar o número de protocolo relativo a esta solicitação.

Dos 30 tribunais de contas que responderam à solicitação, apenas 8 informaram já ter, naquele momento, implementado medidas para internalizar a Lei Geral de Proteção de Dados Pessoais (Distrito Federal, Maranhão, Mato Grosso do Sul, Paraíba, Piauí, Rio Grande do Sul, Rondônia e o Município de São Paulo).

A seguir, apresenta-se um compilado com os dados relativos aos órgãos que responderam (tempestivamente ou não) à solicitação. Nota-se, de pronto, que três tribunais de contas não responderam à solicitação formulada pelo canal de ouvidoria — Alagoas, Amapá e Amazonas. Em pesquisa complementar, averiguou-se que estes órgãos não adotaram nenhuma medida para internalizar a LGPD.

Quadro 01 Respostas recebidas em razão da solicitação inicial

Tribunal de Contas	Situação atual	Perspectiva
TCE-AC - Acre	Não regulamentou	Não há medida em curso
TCE-BA - Bahia	Não regulamentou	Adotou medidas administrativas, como, por exemplo, nomear um servidor como encarregado de dados. Não pretende regulamentar a matéria no curto prazo.
TCM-BA - Bahia	Não regulamentou	Nomeação do comitê ocorrerá em breve (mas sem indicação de data).
TCE-CE - Ceará	Não regulamentou	Instituído GT em 27/04/2021
TCDF - Distrito Federal	Resolução nº 347/2021	-
TCE-ES - Espírito Santo	Não regulamentou	Minuta de Resolução em análise
TCE-GO - Goiás	Não regulamentou	Instituído GT em 13/08/2021
TCM-GO - Goiás	Não regulamentou	Ordem de Serviço para ser publicada em breve
TCE-MA - Maranhão	Resolução nº 354/2021	-
TCE-MT - Mato Grosso	Não regulamentou	O órgão contratou consultoria e está fazendo levantamento interno. Não prestou informações complementares.
TCE-MS - Mato Grosso do Sul	Resolução nº 142/2021	-
TCE-MG - Minas Gerais	Não regulamentou	Adotou medidas administrativas, como, por exemplo, nomear uma servidora como encarregada de dados. Não pretende regulamentar a matéria no curto prazo.
TCE-PA - Pará	Não regulamentou	Adotou medidas administrativas, como, por exemplo, nomear o servidor como encarregado de dados.
TCM-PA - Pará	Não regulamentou	Algumas medidas estão em curso, mas nada em concreto.
TCE-PB - Paraíba	Resolução Administrativa nº 07/2021	-
TCE-PR - Paraná	Não regulamentou	Instituída comissão em 06/08/2021. Não foram adotadas medidas adicionais.
TCE-PE - Pernambuco	Não regulamentou	Algumas medidas estão em curso, mas nada em concreto.
TCE-PI - Piauí	Regulamentou parcialmente	Resoluções nºs 13/2021 e 14/2021
TCE-RJ - Rio de Janeiro	Não regulamentou	Comissão instituída em 28/05/2021
TCM-RJ - Município do Rio de Janeiro	Não regulamentou	Algumas medidas administrativas foram adotadas, como, por exemplo, instituir Comitê Gestor da LGPD. Porém, não há regulamentação.
TCE-RN - Rio Grande do Norte	Não regulamentou	Instituída comissão em 27/04/2021. Nenhuma outra medida foi adotada.
TCE-RS - Rio Grande do Sul	Resolução nº 1.137/2021	-
TCE-RO - Rondônia	Resolução nº 330/2020	-
TCE-RR - Roraima	Não regulamentou	Comissão instituída em 01/08/2021. Nenhuma outra medida foi adotada.
TCE-SC - Santa Catarina	Não regulamentou	Comitê instituído em 24/07/2020. Nenhuma outra medida foi adotada.
TCE-SP - São Paulo	Não regulamentou	Processo administrativo instaurado, com comissão oficialmente instituída.
TCM-SP - Município de São Paulo	Instrução nº 01/2020 (Aprovada pela Resolução nº 01/2020) e Portaria nº 043/2021	-
TCE-SE - Sergipe	Não regulamentou	Deu início às discussões sobre LGPD, mas sem qualquer avanço concreto.
TCE-TO - Tocantins	Não regulamentou	GT instituído pela Portaria nº 276/2021. Não há nenhuma informação oficial sobre o andamento dos trabalhos.
União - TCU	Não regulamentou	-

Fonte: elaboração própria a partir dos dados coletados na pesquisa (2022).

A partir das respostas obtidas, analisou-se de maneira preliminar as normas publicadas e as medidas que foram adotadas. Nesse exame, verificou-se que os tribunais de contas não têm atuado de maneira uniforme na regulamentação da matéria, sendo possível identificar iniciativas isoladas que poderiam ser replicadas à realidade dos demais órgãos, notadamente sob a forma de uma política de proteção de dados pessoais.

Além disso, foi possível perceber em determinadas situações um descompasso entre a informação prestada pela Ouvidoria e a realidade concreta enfrentada pelos órgãos, o que pode ter origem em ruído interno de comunicação. Com efeito, a análise preliminar revelou que o número de tribunais de contas que já adotaram medidas concretas para a regulamentação da matéria poderia ser maior do que aquele verificado em agosto de 2021.

Deste modo, definiu-se que o caminho metodologicamente adequado para a compreensão das medidas positivas e experiências negativas vivenciadas por órgãos integrantes do Sistema Tribunal de Contas seria a realização de uma investigação pelo pesquisador a partir de documentos e publicações oficiais de todos as 33 (trinta e três) Cortes de Contas. Assim, foram definidas as variáveis e estabelecido um roteiro de pesquisa, conforme detalhado a seguir.

2.2 ROTEIRO DE PESQUISA

No período compreendido entre os dias 15 e 22 de janeiro de 2022, o pesquisador realizou pesquisa e coleta de dados junto aos 33 (trinta e três) tribunais de contas. Essa etapa foi definida com o escopo de extrair e relacionar informações oficiais sobre medidas formalmente adotadas pelos órgãos.

Assim, a partir do somatório das informações prestadas voluntariamente em agosto de 2021 e da pesquisa realizada unilateralmente em janeiro de 2022, foi possível concretizar uma avaliação mais segura deste processo de adequação dos tribunais de contas à Lei nº 13.709/2018 (LGPD). Com o objetivo de uniformizar a pesquisa e ser possível a comparação entre os órgãos, adotou-se, em todos os casos, o seguinte roteiro de pesquisa:

Quadro 02 Roteiro de pesquisa

Roteiro de pesquisa
1	Acessar o site oficial da instituição e pesquisar no campo de busca os termos “proteção de dados”, “dados pessoais”, “LGPD” e “privacidade”.
2	Pesquisar as normas internas do órgão — resoluções, instruções normativas, portarias, orientações normativas etc. — pelos termos “proteção de dados”, “dados pessoais”, “LGPD” e “privacidade”.
3	Acessar e consultar as informações das Escolas de Contas ou unidades responsáveis pela qualificação dos servidores e membros da instituição pelos termos “proteção de dados”, “dados pessoais”, “LGPD” e “privacidade”.
4	Pesquisar as publicações oficiais dos tribunais de contas nos Diários Oficiais pelos termos “proteção de dados”, “dados pessoais”, “LGPD” e “privacidade”, delimitando o período de consulta entre 14 de agosto de 2018 (data da publicação da LGPD) e 15 de janeiro de 2022 (início/recorte da pesquisa aplicada).

Fonte: elaboração própria (2022).

Os dados obtidos foram armazenados e utilizados para responder às 18 (dezoito) perguntas/variáveis que orientaram a pesquisa. As variáveis tiveram origem em 3 (três) fontes: i) diagnóstico de maturidade de privacidade para adequação à LGPD proposto pelo Ministério da Economia13; ii) medidas estabelecidas pelo CNJ para o processo de adequação do Poder Judiciário à LGPD14; e iii) experiência prática do pesquisador na atividade de controle externo nos últimos 10 (dez) anos. Elas encontram-se compiladas no quadro a seguir:

Quadro 03 Perguntas/Variáveis que orientaram a pesquisa aplicada

Pergunta		Respostas Possíveis
O Tribunal de Contas regulamentou internamente a Lei Geral de Proteção de Dados Pessoais (Resolução, Provimento, Portaria etc.)?		- Sim
		- Não
		-
		Parcialmente
Caso tenha regulamentado, indique quais itens abaixo estão previstos na norma:
	i) O objetivo da proteção de dados no Tribunal de Contas
	ii) Os princípios que orientam a proteção de dados no Tribunal de Contas
	iii) Os requisitos para a proteção de dados no Tribunal de Contas	- Sim
	iv) Os agentes envolvidos com a proteção de dados no Tribunal de Contas	- Não
	v) O direito dos titulares dos dados pessoais	(por subitem)
	vi) A finalidade da proteção de dados no Tribunal de Contas
	vii) As definições conceituais necessárias para aproximar a nova legislação dos servidores/membros/usuários que serão por ela alcançados
	viii) A anonimização dos dados pessoais que permanecem em poder do Tribunal de Contas após o término do tratamento.
O Tribunal de Contas instituiu formalmente o Comitê Gestor de Proteção de Dados (CGPD) ou um Grupo de Trabalho com atribuições equivalentes?		- Sim
		- Não
		-
		Parcialmente
No que diz respeito à organização do Comitê Gestor de Proteção de Dados (CGPD) ou do Grupo de Trabalho com atribuições equivalentes, o Tribunal de Contas:		- Sim
	i) Previu expressamente a competência do CGPD	- Não
	ii) Previu a frequência com que o CGPD deve se reunir	-
	iii) Previu a composição do CGPD com membros de formação multidisciplinar e/ou origem multisetorial	Parcialmente
		(por subitem)
Na regulamentação interna da LGPD há uma definição clara das atribuições de cada agente responsável pelo tratamento de dados no âmbito do Tribunal de Contas (encarregado de dados; operador; comitê; etc.)?		- Sim
		- Não
		-
		Parcialmente
O Tribunal de Contas definiu quem é o controlador responsável pelo tratamento de dados pessoais?		- Sim, o Presidente do Tribunal de Contas
		- Sim, o próprio Tribunal de Contas
		- Não
		- Outro
		(especifique)
O Tribunal de Contas designou o encarregado para o tratamento de dados pessoais (DPO)?		- Sim
		- Não
O encarregado é servidor da área de Tecnologia da Informação do Tribunal de Contas?		- Sim
		- Não
		- Não
		aplicável
O Tribunal de Contas disponibiliza um site (ou uma página específica de seu site oficial) com informações sobre a aplicação da LGPD?
	i) Disponibiliza um site com informações sobre a aplicação da LGPD	- Sim
	ii) O site prevê os requisitos para o tratamento legítimo de dados	- Não
	iii) O site prevê as obrigações do controlador e os direitos dos titulares dos dados pessoais	- Parcialmente
	iv) Consta do site a identidade e as informações de contato do encarregado pela proteção de dados pessoais	(por subitem)
	v) Consta do site um formulário ou sistema para atendimento às requisições e/ou reclamações apresentadas por parte dos titulares dos dados pessoais
O Tribunal de Contas fornece um canal direto (formulário eletrônico, e-mail, telefone etc.) para o envio de denúncias e alertas sobre a ocorrência de irregularidades relativas à LGDP (ex: denúncia de possíveis vazamentos de dados e falhas de segurança)?		- Sim
		- Não
O Tribunal de Contas já organizou algum evento, programa de formação, capacitação ou conscientização sobre segurança da informação e proteção de dados, destinado a conselheiros, procuradores, servidores, estagiários e/ou trabalhadores terceirizados?		- Sim
		- Não
		-
		Parcialmente
Há o envolvimento direto de algum membro (Conselheiro ou Conselheiro-Substituto) do Tribunal de Contas com a questão relativa à proteção de dados no órgão?		- Sim
		- Não
A qual unidade administrativa do órgão (do ponto de vista organizacional) está vinculado/subordinado o tratamento de dados no Tribunal?		- Presidência
		- Ouvidoria
		-
		Corregedoria
		- Nenhuma
		- Outra
		(especifique)
O Tribunal de Contas estabeleceu orientações mínimas sobre o compartilhamento de dados pessoais com órgãos/entidades do setor público e/ou com entes do setor privado?		- Sim
		- Não
Foi elaborada uma Política de Proteção de Dados Pessoais (ou de Política de Governança de Dados e Segurança da Informação) que contenha plano de resposta a incidentes (plano de contingência), bem como a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços?		- Sim
	i) Há uma Política de Proteção de Dados Pessoais?	- Não
	ii) Há uma Política de Governança de Dados e Segurança da Informação?	-
	iii) Foi definido um plano de resposta a incidentes envolvendo dados pessoais (plano de contingência)?	Parcialmente
	iv) Foi previsto a adoção de mecanismos para a tutela da privacidade desde o início do desenvolvimento de produtos, serviços, projetos, processos, práticas, tecnologias e infraestruturas (privacy by design)?	(por subitem)
O Tribunal de Contas elaborou ou já previu a elaboração de Relatório de Impacto à Privacidade de Dados Pessoais (RIPD)?		- Sim
	i) Já elaborou o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)	- Não
	ii) Previu em normativo a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD)	(por subitem)
O Tribunal de Contas, dentro dos limites de suas competências legais, adotou formalmente ações para não tratar e coletar de forma inadequada ou excessiva os dados pessoais dos cidadãos e tratar a mínima quantidade de dados necessários para atingir a finalidade legal desejada?		- Sim
	i) Prevê a adoção de medidas para não tratar e/ou coletar de forma inadequada ou excessiva os dados pessoais dos cidadãos	- Não
	ii) Prevê a adoção de medidas para tratar a mínima quantidade de dados necessários para atingir a finalidade legal desejada	(por subitem)

Fonte: elaboração própria (2022).

2.3 ÍNDICE FORMULADO PARA O COMPARATIVO DO PROCESSO DE ADEQUAÇÃO À LGPD

Com o objetivo de comparar o desempenho dos órgãos integrantes do Sistema Tribunal de Contas no processo de adequação à LGPD (benchmarking), elaborou-se um índice para avaliação/pontuação das medidas adotadas.

Registra-se que o índice não respeita uma isonomia entre os quesitos, pois há variação no grau de importância entre as variáveis pesquisadas. Além disso, adotou-se a expressão “importância” como representativa do grau de sofisticação demandado para a implementação da variável.

Assim, variáveis consideradas elementares à proteção de dados e de fácil implementação receberam peso maior no índice, ao passo que variáveis que exigem grande mobilização ou dispêndio de recursos dos órgãos, ou que não impactam diretamente a atuação protetiva do órgão, receberam peso menor no índice.

Além disso, optou-se pela menção expressa apenas dos órgãos que implementaram as medidas pesquisadas. Outrossim, a ausência de menção na coluna específica (implementação integral ou parcial) representa a inadequação formal do órgão em relação ao quesito apurado.

Desta forma, a partir de pontuações que variam de 0 a 4 (zero a quatro), a definição da pontuação para o nível de adequação em cada quesito se deu de maneira arbitrária pelo pesquisador, com base em sua experiência profissional e na percepção de importância de cada medida (elevada; média e baixa), posto que não há uma previsão oficial nesse sentido. A pontuação de cada item pesquisado foi informada na última coluna à direita do quadro 04.

Quadro 04 Resultado da coleta de dados realizada

Item pesquisado	Resultado	Detalhamento	Pontuação
01) O Tribunal de Contas regulamentou internamente a Lei Geral de Proteção de Dados Pessoais (Resolução, Provimento, Portaria etc.)?	Regulamentação integral: 7 TCs	TCE-ES, TCE-MS, TCE-PA, TCE-PB, TCE-PE, TCE-RS e TCE-SC	4
	Regulamentação parcial: 4 TCs	TCM-BA, TCE-MG, TCM-SP e TCU	2
02) Caso tenha regulamentado, quais itens foram previstos na norma:	O objetivo da proteção de dados no Tribunal de Contas: 8 TCs	TCE-SC, TCE-RS, TCE-PE, TCE-PA, TCE-MG, TCE-MS, TCE-ES e TCM-BA	2
	Os princípios que orientam a proteção de dados no Tribunal de Contas: 6 TCs	TCE-SC, TCE-RS, TCE-PA, TCE-MG, TCE-MS e TCE-ES	2
	Os requisitos para a proteção de dados no Tribunal de Contas: 6 TCs	TCE-SC, TCE-PA, TCE-MG, TCE-MS, TCE-ES e TCM-BA	2
	Os agentes envolvidos com a proteção de dados no Tribunal de Contas: 11 TCs	TCE-ES, TCE-MS, TCE-PA, TCE-PB, TCE-PE, TCE-RS, TCE-SC, TCM-BA, TCE-MG, TCM-SP e TCU	2
	O direito dos titulares dos dados pessoais: 6 TCs	TCU, TCE-SC, TCE-RS, TCE-PA, TCE-ES e TCM-BA	2
	A finalidade da proteção de dados no Tribunal de Contas: 8 TCs	TCU, TCE-SC, TCE-RS, TCE-PA, TCE-MG, TCE-MS, TCE-ES e TCM-BA	2
	As definições conceituais necessárias para aproximar a nova legislação dos servidores/membros/usuários que serão por ela alcançados: 9 TCs	TCU, TCM-SP, TCE-SC, TCE-RS, TCE-PE, TCE-PA, TCE-MS, TCE-ES e TCM-BA	2
	A anonimização dos dados pessoais que permanecem em poder do Tribunal de Contas após o término do tratamento: 4 TCs	TCE-SC, TCE-RS, TCE-PA e TCE-ES	2
3) O Tribunal de Contas instituiu formalmente o Comitê Gestor de Proteção de Dados (CGPD) ou um Grupo de Trabalho com atribuições equivalentes?	Instituição do CGPD ou órgão equivalente: 13 TCs	TCE-TO, TCE-SE, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PB, TCE-PA, TCE-MG, TCE-MS, TCE-MA, TCE-ES e TCDF	4
	Instituição de unidade com atribuições que se assemelham parcialmente às do CGPD: 3 TCs	TCU, TCM-SP e TCM-RJ	2
4) No que diz respeito à organização do Comitê Gestor de Proteção de Dados (CGPD) ou do Grupo de Trabalho com atribuições equivalentes, o que foi previsto formalmente?	15 TCs previram expressamente a competência do CGPD;	TCU, TCE-TO, TCE-SE, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PB, TCE-PA, TCE-MG, TCE-MS, TCE-MA, TCE-ES e TCDF	2
	12 TCs previram a frequência com que o CGPD deve se reunir;	TCE-TO, TCE-SE, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PB, TCE-PA, TCE-MG, TCE-MS, TCE-MA e TCE-ES	2
	16 TCs previram a composição do Comitê com membros de formação técnica/acadêmica multidisciplinar e/ou origem multisetorial.	TCU, TCE-TO, TCE-SE, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCM-RJ, TCE-PB, TCE-PA, TCE-MG, TCE-MS, TCE-MA, TCE-ES e TCDF	2
5) Na regulamentação interna da LGPD há uma definição clara das atribuições de cada agente responsável pelo tratamento de dados no âmbito do Tribunal de Contas (encarregado de dados; operador; comitê; etc.)?	Dos 33 (trinta e três) órgãos pesquisados, apenas 9 (nove) Cortes de Contas definiram de maneira clara as atribuições de cada agente de tratamento.	TCU, TCE-TO, TCM-SP, TCE-SC, TCE-RS, TCE-PA, TCE-MS, TCE-ES e TCM-BA	2
6) O Tribunal de Contas definiu quem é o controlador responsável pelo tratamento de dados pessoais?	constatou-se que 10 (dez) cortes de contas definiram o próprio órgão como sendo o controlador; 1 (um) tribunal de contas — TCU — fixou a pessoa jurídica ao qual está vinculado (União); e outros 22 (vinte e dois) não fizeram qualquer definição.	TCU, TCM-SP, TCE-SP, TCE-SC, TCE-RS, TCE-PE, TCE-PB, TCE-PA, TCE-MS, TCE-ES e TCE-BA	1
7) O Tribunal de Contas designou o encarregado para o tratamento de dados pessoais (DPO)?	Sim: 15 Não: 18	TCU, TCE-TO, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCM-RJ, TCE-PI, TCE-PA, TCE-MG, TCE-MS, TCE-ES, TCE-BA e TCM-BA	4
8) O encarregado é servidor da área de Tecnologia da Informação do Tribunal de Contas?	Sim: 4. A pontuação é para quem NÃO.	TCU, TCM-SP, TCE-SP, TCE-RS, TCE-PI, TCE-MG, TCE-ES e TCE-BA	1
9) O Tribunal de Contas disponibiliza um site (ou uma página específica de seu site oficial) com informações sobre a aplicação da LGPD?	Constatou-se que 11 tribunais de contas disponibilizam um site (ou página específica de seu site oficial) com informações sobre a aplicação da LGPD	TCU, TCE-TO, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-PI, TCE-PA, TCE-ES, TCE-BA e TCM-BA.	1
	O site prevê os requisitos para o tratamento legítimo de dados: 9 TCs	TCU, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-PI, TCE-PA, TCE-ES e TCM-BA.	1
	O site prevê as obrigações do controlador e os direitos dos titulares dos dados pessoais: 7 TCs	TCU, TCM-SP, TCE-SC, TCE-RO, TCE-PI, TCE-PA, TCE-ES (Parcialmente) e TCM-BA.	1
	Consta do site a identidade e as informações de contato do encarregado pela proteção de dados pessoais: 11 TCs	TCU, TCE-TO, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-PI, TCE-PA, TCE-ES, TCE-BA e TCM-BA.	1
	Consta do site um formulário ou sistema para atendimento às requisições e/ou reclamações apresentadas por parte dos titulares dos dados pessoais: 8 TCs	TCU, TCE-TO, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-PI e TCE-ES.	1
10) O Tribunal de Contas fornece um canal direto (formulário eletrônico, e-mail, telefone etc.) para o envio de denúncias e alertas sobre a ocorrência de irregularidades relativas à LGDP (ex: denúncia de possíveis vazamentos de dados e falhas de segurança)?	Apenas 9 (nove) tribunais de contas fornecem alguma forma de contato para o envio de denúncias e alertas sobre a ocorrência de irregularidades relativas à LGPD.	TCU, TCE-TO, TCM-SP, TCE-SP, TCE-SC, TCE-RS, TCE-PI, TCE-ES e TCM-BA	2
11) O Tribunal de Contas já organizou algum evento, programa de formação, capacitação ou conscientização sobre segurança da informação e proteção de dados, destinado a conselheiros, procuradores, servidores, estagiários e/ou trabalhadores terceirizados?	30 tribunais de contas já organizaram algum tipo de evento educativo relacionado à LGPD	TCU, TCE-TO, TCE-SE, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCE-RN, TCM-RJ, TCE-RJ, TCE-PI, TCE-PE, TCE-PR, TCE-PB, TCM-PA, TCE-PA, TCE-MG, TCE-MS, TCE-MT, TCM-GO, TCE-GO, TCE-ES, TCDF, TCE-CE, TCE-AM, TCE-AC, TCE-AL, TCE-BA e TCM-BA	4
12) Há o envolvimento direto de algum membro (Conselheiro ou Conselheiro-Substituto) do Tribunal de Contas com a questão relativa à proteção de dados no órgão?	Apenas 4 (quatro) dos 33 (trinta e três) tribunais de contas previram o envolvimento direto de algum membro (Conselheiro ou Conselheiro-Substituto) com a matéria	TCE-TO, TCE-RO, TCE-PB e TCE-MT	2
13) A qual unidade administrativa do órgão (do ponto de vista organizacional) está vinculado/subordinado o tratamento de dados no Tribunal?	Presidência: 7 TCs	TCU, TCE-SE, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RN, TCM-RJ, TCE-PI, TCE-PB, TCM-PA, TCE-PA, TCE-MG, TCE-MS, TCE-MT, TCE-MA, TCE-ES, TCDF e TCE-BA	1
	Ouvidoria: 10 TCs
	Corregedoria: 1 TC
	Nenhuma: 14 TCs
	Núcleo de Compliance: 1 TC
14) O Tribunal de Contas estabeleceu orientações mínimas sobre o compartilhamento de dados pessoais com órgãos/entidades do setor público e/ou com entes do setor privado?	Apenas 7 TCs atenderam ao requisito.	TCU, TCE-SC, TCE-RO, TCE-PI, TCE-PB, TCE-PA e TCM-BA	2
15) Foi elaborada uma Política de Proteção de Dados Pessoais (ou de Política de Governança de Dados e Segurança da Informação) que contenha plano de resposta a incidentes (plano de contingência), bem como a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços?	Há uma Política de Proteção de Dados Pessoais: 7 TCs	TCE-SC, TCE-RO, TCE-RS, TCE-PB, TCE-PA, TCE-MG e TCE-ES	2
	Há uma Política de Governança de Dados e Segurança da Informação: 13 TCs	TCU, TCM-SP, TCE-SP, TCE-SC, TCE-RO, TCE-RS, TCE-RN, TCE-RJ, TCE-PE, TCE-PA, TCE-MG, TCDF e TCM-BA	2
	Foi definido um plano de resposta a incidentes envolvendo dados pessoais (plano de contingência): 2 TCs	TCU e TCE-RS	2
	Foi previsto a adoção de mecanismos para a tutela da privacidade desde o início do desenvolvimento de produtos, serviços, projetos, processos, práticas, tecnologias e infraestruturas (privacy by design): 11 TCs	TCU, TCM-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PI, TCE-PB, TCE-PA, TCE-MG, TCE-ES e TCM-BA	2
16) O Tribunal de Contas elaborou ou já previu a elaboração de Relatório de Impacto à Privacidade de Dados Pessoais (RIPD)?	Elaborou o RIPD: 2 TCs	TCU e TCE-SC	1
	Previu em normativo a elaboração do RIPD: 13 TCs	TCU, TCM-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PE, TCE-PB, TCE-PA, TCE-MS, TCE-MA, TCE-ES, TCDF e TCM-BA	1
17) O Tribunal de Contas, dentro dos limites de suas competências legais, adotou formalmente ações para não tratar e coletar de forma inadequada ou excessiva os dados pessoais dos cidadãos e tratar a mínima quantidade de dados necessários para atingir a finalidade legal desejada?	Prevê a adoção de medidas para não tratar e/ou coletar de forma inadequada ou excessiva os dados pessoais dos cidadãos: 11 TCs	TCU, TCM-SP, TCE-SC, TCE-RO, TCE-RS, TCE-PB, TCE-PA, TCE-MG, TCE-MA, TCE-ES e TCM-BA	1
	Prevê a adoção de medidas para tratar a mínima quantidade de dados necessários para atingir a finalidade legal desejada: 11 TCs		1
18) A proteção de dados pessoais consta do Planejamento Estratégico/Programa de Gestão do Tribunal de Contas?	No que diz respeito à gestão administrativa no plano estratégico, o que indica o envolvimento da cúpula (alta administração) dos órgãos, constatou-se a previsão de ações voltadas à proteção de dados pessoais em apenas 7 (sete) dos 33 (trinta e três) tribunais de contas.	TCU, TCE-SE, TCM-SP, TCE-SC, TCM-RJ, TCE-RJ e TCE-PB	2

Fonte: elaboração própria a partir dos dados coletados na pesquisa (2022)

3. RESULTADOS E DISCUSSÕES

Conforme mencionado alhures, o trabalho apresenta como produto um diagnóstico do grau de aderência dos órgãos integrantes do Sistema Tribunal de Contas à Lei nº 13.709/2018. Isso envolve, por exemplo, a instauração de comissões e/ou grupos de trabalho; a definição do controlador e a indicação do encarregado de proteção de dados; o desenvolvimento de ações de sensibilização; o fornecimento de capacitação aos servidores e membros; e/ou outras medidas adotadas pelos órgãos. Referido diagnóstico, abaixo condensado, representa uma “fotografia” da realidade encontrada nos tribunais de contas no período de 15 a 22 de janeiro de 2022.

3.1 COMPARATIVO DO PROCESSO DE ADEQUAÇÃO À LGPD ENTRE OS TCS

O gráfico abaixo representa o resultado individualizado dos 1.188 itens e subitens avaliados em relação aos 33 (trinta e três) tribunais de contas15. A pontuação máxima (100%) corresponde a 68 pontos. Registra-se o destaque conferido à média (22) e à mediana (16).

Por outro lado, o gráfico abaixo revela o desempenho dos órgãos de maneira comparada. Registra-se o destaque conferido à média (22) e à mediana (16). Neste ponto, destaca-se que o TCDF atingiu exatamente a pontuação correspondente à mediana, estando no ponto central entre os tribunais que avançaram significativamente e os que adotaram medidas tímidas no processo de adequação à LGPD. Para facilitar a compreensão, adotou-se as cores verde (acima da mediana); amarelo (mediana); e vermelho (abaixo da mediana).

Gráfico 01 Comparativo da pontuação obtida pelos órgãos no diagnóstico Fonte: elaboração própria (no software Power BI) a partir dos dados coletados na pesquisa.

Para facilitar a compreensão, adotou-se as cores verde (acima da mediana); amarelo (mediana); e vermelho (abaixo da mediana). Analisando as informações compiladas acima, nota-se, em relação aos itens pesquisados (e no recorte temporal aplicado), que os 5 (cinco) órgãos com melhor desempenho foram: TCE-SC, TCE-ES, TCE-PA, TCE-RS e TCU.

Analisando os dados de maneira regionalizada e adotando a pontuação como forma de representação do estágio em que se encontram os tribunais de contas no processo de adequação à LGPD, verifica-se um avanço maior nas regiões sul e sudeste. De mesma forma, nota-se uma grande concentração de tribunais de contas com pontuações baixas na região norte e nordeste, figurando o centro-oeste no centro da análise.

Nesse sentido, considerando que o processo de adequação à LGPD pode ser custoso do ponto de vista financeiro/orçamentário aos órgãos — com deslocamento de equipe de servidores; parametrização de sistemas; revisão de contratos; fornecimento de capacitação; etc. —, comparou-se a pontuação média (por região) com a estimativa de receita dos estados para o exercício de 2021, pois o orçamento dos órgãos tem como base a arrecadação estimada para o período.

A LGPD foi promulgada no dia 14 de agosto de 2018. O texto original previa que ela entraria em vigor após 18 (dezoito) meses de sua publicação oficial. Todavia, a Lei nº 13.853/2019 (conversão da Medida Provisória nº 869/2018) alterou o prazo para 24 meses após sua publicação oficial, o que ocorreria no dia 16 de agosto de 2020. Contudo, houve a tentativa pelo Poder Executivo de novamente prorrogar a vigência da lei, desta vez para maio de 2021, conforme art. 4º da Medida Provisória nº 959/2020. A segunda prorrogação não foi acolhida pelo Senado Federal. Desta forma, a LGPD entrou efetivamente em vigor no dia 18/09/2020, data da publicação da Lei nº 14.058/2020 (conversão da Medida Provisória nº 959/2020). Entretanto, o capítulo relativo às sanções administrativas entrou em vigor somente a partir de 1º de agosto de 2021 em função da modificação introduzida pela Lei nº 14.010/2020. Atualmente, todas as disposições da LGPD estão em vigor e devem ser aplicadas pelos operadores.

Dados atualizados 4 fev. 2020. Disponível em: https://bit.ly/3kXDI24. Acesso em 21 jan. 2023.

O acesso à Recomendação CNJ nº 73, 20/08/2020, está disponível em: https://bit.ly/3HDN9gH

A Proposição nº 1.00415/2021-60, que trata da instituição de uma Política Nacional de Proteção de Dados Pessoais e do Sistema Nacional de Proteção de Dados Pessoais do Ministério Público brasileiro, pode ser consultada em: https://bit.ly/3JclmEf

O Conselho Nacional do Ministério Público (CNMP) exerce a fiscalização administrativa, financeira e disciplinar do Ministério Público no Brasil e de seus membros.

Cita-se, a título exemplificativo, as Propostas de Emenda à Constituição nº 30/2007 e 22/2017, que tratam da reforma o sistema de controle externo e da criação do Conselho Nacional dos Tribunais de Contas (CNTC).

A norma prevê que “dado pessoal” é toda e qualquer informação relacionada à pessoa natural identificada ou identificável. Por outro lado, “dado pessoal sensível” é um dado pessoal qualificado, ou seja, que diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, ou dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

“Por um vício de transposição de características da pesquisa científica para situações de iniciação à pesquisa e de elaboração de trabalhos (de conclusão) de curso, a grande maioria dos manuais e dos/as professores/as exige a presença da indicação de hipótese, quando da elaboração de qualquer projeto, mesmo quando ela não se justifique ou mesmo inexista” (RODRIGUES; GRUBBA, 2023, p. 294).

Em função do princípio constitucional da simetria — que determina um paralelismo entre as disposições constitucionais destinadas à União e aos demais entes federativos —, o modelo de controle externo previsto na Constituição Federal de 1988 tem aplicação obrigatória não apenas à União (Tribunal de Contas da União), mas também aos entes subnacionais (Estados, Municípios e Distrito Federal). Isso faz com que todos os órgãos integrantes do Sistema Tribunal de Contas atuem de maneira similar e possam, em determinadas situações, compartilhar experiências positivas/negativas, anseios, necessidades, problemas e soluções.

Disponível em: https://bit.ly/3t3W1Y6 Acesso em 6 jan. 2022.

Disponível em: https://bit.ly/3HEtgG7 Acesso em 7 jan. 2022.

As 18 (dezoito) perguntas iniciais se desdobraram em 36 (trinta e seis) avaliações, pois, conforme registrado no capítulo relativo à metodologia, determinadas questões envolviam diversos subitens. Deste modo, considerando que os itens e subitens foram avaliados de maneira individual para cada um dos 33 (trinta e três) tribunais de contas, tem-se o total de 1.188 avaliações.

REFERÊNCIAS

BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 5 jan. 2023.

BRASIL

Lei n.º 13.709, de 14 de agosto de 2018 Lei Geral de Proteção de Dados Pessoais (LGPD)

Brasília

2018 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

5 jan. 2023

COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais Comentada. 3ªed. São Paulo: Thomson Reuters Brasil, 2019.

COTS

Márcio

OLIVEIRA

Ricardo

Lei Geral de Proteção de Dados Pessoais Comentada 3ªed

São Paulo

Thomson Reuters Brasil

2019

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3ªed. São Paulo: Thomson Reuters Brasil, 2021.

DONEDA

Danilo

Da privacidade à proteção de dados pessoais: Fundamentos da Lei Geral de Proteção de Dados 3ªed.

São Paulo

Thomson Reuters Brasil

2021

FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de dados. In: FRAZÃO, Ana; OLIVA, Milena Donato; TEPEDINO, Gustavo (org.). Lei Geral de Proteção de Dados Pessoais: e suas repercussões no Direito brasileiro. 2ªed. São Paulo: Thomson Reuters Brasil, 2020. p. 99–129.

FRAZÃO

Ana

Objetivos e alcance da Lei Geral de Proteção de dados

FRAZÃO

Ana

OLIVA

Milena Donato

TEPEDINO

Gustavo

Lei Geral de Proteção de Dados Pessoais: e suas repercussões no Direito brasileiro 2ªed

São Paulo

Thomson Reuters Brasil

2020 99 129

MALDONADO, Viviane Nóbrega; BLUM, Renato Muller da Silva Opice. LGPD: Lei geral de proteção de dados comentada. São Paulo: Thomson Reuters Brasil, 2019.

MALDONADO

Viviane Nóbrega

BLUM

Renato Muller da Silva Opice

LGPD: Lei geral de proteção de dados comentada São Paulo

Thomson Reuters Brasil

2019

RODRIGUES, Horácio Wanderlei; GRUBBA, Leilane Serratine. Pesquisa Jurídica Aplicada. 1ª ed. Florianópolis: Habitus, 2023.

RODRIGUES

Horácio Wanderlei

GRUBBA

Leilane Serratine

Pesquisa Jurídica Aplicada 1ª ed.

Florianópolis

Habitus

2023

PINHEIRO, Patrícia Peck. Direito Digital. 7ªed. São Paulo: Editora Saraiva, 2021.

PINHEIRO

Patrícia Peck

Direito Digital 7ªed

São Paulo

Editora Saraiva

2021

SYLVESTRE, Fábio Zech. O direito fundamental à privacidade em face da administração pública: uma análise à luz da teoria geral dos direitos fundamentais. In: MIRANDA, Jorge (org.). Direitos fundamentais: uma perspectiva de futuro. São Paulo: Editora Atlas, 2013. p. 214–254.

SYLVESTRE

Fábio Zech

O direito fundamental à privacidade em face da administração pública: uma análise à luz da teoria geral dos direitos fundamentais

MIRANDA

Jorge

Direitos fundamentais: uma perspectiva de futuro São Paulo

Editora Atlas

2013 214 254