Um relatório de auditoria do Tribunal de Contas do Estado do Rio Grande do Norte (TCE-RN) aponta um cenário de ampla não conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) nos órgãos da Administração Direta Estadual e na Prefeitura de Natal. A análise, que avaliou 64 órgãos jurisdicionados, indica que a maioria das instituições não alcançou sequer o nível inicial de adequação à legislação, o que expõe dados pessoais de milhares de cidadãos a riscos relacionados à privacidade e à segurança da informação.
De acordo com o estudo, a estrutura mínima exigida pela LGPD é pouco presente nas instituições avaliadas. Um dos principais achados é a ausência do Encarregado de Dados (DPO): cerca de 89% dos órgãos não formalizaram a nomeação do profissional responsável por gerenciar o tratamento de dados pessoais e atuar como canal de comunicação com os titulares e com a Autoridade Nacional de Proteção de Dados (ANPD).
O relatório também registra deficiências na formalização de normas internas. A maior parte dos órgãos não dispõe de Política de Classificação da Informação nem de diretrizes claras para o tratamento de dados pessoais. Soma-se a isso a falta de capacitação: mais de 70% das instituições não possuem planos de treinamento voltados à LGPD, o que compromete a aplicação correta da lei no cotidiano administrativo.
Outro ponto sensível diz respeito aos direitos dos titulares de dados. Aproximadamente 76% das entidades não possuem mecanismos para atender solicitações como acesso, correção ou anonimização de informações pessoais. Além disso, quase 91% não documentaram adequadamente as bases legais que autorizam o tratamento de dados, requisito central da legislação.
Recomendações
Diante do risco de incidentes de segurança e de sanções legais, o TCE-RN apresentou um conjunto de recomendações aos gestores públicos, entre elas:
- Estabelecer governança e liderança em proteção de dados, com a criação de uma estrutura formal, como Comitê de Governança de Dados ou Grupo de Trabalho, vinculada à alta administração;
- Formalizar políticas de segurança da informação, definindo regras para manuseio, armazenamento e descarte de dados pessoais;
- Nomear formalmente o Encarregado de Dados (DPO), assegurando autonomia, recursos e apoio institucional para o exercício da função;
- Implantar planos contínuos de capacitação para servidores, com foco na compreensão e aplicação da LGPD;
- Adotar controles técnicos de segurança, incluindo normas para mascaramento ou anonimização de dados e medidas para mitigar acessos não autorizados e incidentes.
Os auditores também apresentaram recomendações ao próprio Tribunal de Contas, como a inclusão permanente da conformidade com a LGPD no escopo das auditorias operacionais, a incorporação de ações de monitoramento no Plano Anual de Fiscalização e o fortalecimento da orientação técnica por meio da publicação de guias, modelos e notas técnicas. O relatório ainda sugere a ampliação de ações de capacitação para servidores dos órgãos jurisdicionados e o aprimoramento da formação dos auditores do TCE-RN na área de proteção de dados.
Segundo o Tribunal, o objetivo das recomendações é orientar os gestores na regularização das práticas e acompanhar a adoção das medidas propostas, reforçando a responsabilidade do poder público na proteção dos direitos fundamentais à privacidade.
