De CPF a endereço expostos: órgãos públicos do CE ferem LGPD e divulgam dados pessoais de cearenses
Listas de processos seletivos e de benefícios sociais são principais documentos que “vazam” informações
Uma busca simples na internet pode levar a dados pessoais de diversos cearenses. Expostos em listas de processos seletivos, benefícios sociais e outros serviços, os nomes completos, RGs, CPFs e até endereços de milhares de pessoas se tornam públicos em páginas oficiais, sem a anonimização prevista pela Lei Geral de Proteção de Dados (LGPD).
Levantamento feito pelo Diário do Nordeste em site de buscas comum resultou em mais de uma dezena de documentos hospedados nos sites de secretarias do Governo do Estado do Ceará e de outros órgãos públicos, informando dados pessoais de cearenses.
Veja também
Entre as Pastas cujos sites têm essas informações publicadas estão as Secretarias do Meio Ambiente e Mudança do Clima (Sema), da Saúde (Sesa), da Educação (Seduc), da Proteção Social (SPS) e do Planejamento e Gestão (Seplag); além do Tribunal de Contas do Estado (TCE).
Nas listas encontradas pela reportagem, estão publicados os seguintes dados:
- Sema: cidade, nome completo, Número de Identificação Social (NIS), idade e CPF;
- Sesa: nome completo, data de nascimento e CPF;
- Seduc: nome completo, CPF, RG, data de nascimento;
- SPS: cidade, nome completo, NIS e CPF;
- Seplag: nome completo, CPF e cidade;
- TCE: nome completo, CPF e cidade.
A LGPD (lei nº 13.709) foi sancionada em 2018 e entrou em vigor de forma integral em 2020. Ela determina a garantia da segurança de dados pessoais, como CPF e RG; e sensíveis, como cadastro biométrico e facial, e a “anonimização” destes quando a publicação for necessária.
Pela lei, as instituições devem utilizar “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
João Rafael Furtado, presidente da Comissão sobre a Lei Geral de Proteção de Dados da OAB Ceará, explica que, “caso não haja consentimento do titular ou não esteja enquadrado em alguma exceção prevista na lei”, os órgãos públicos ferem a legislação ao publicarem listas com dados pessoais, acessíveis de forma pública.
A princípio, toda e qualquer informação pode ser divulgada, desde que haja consentimento do titular do dado, por escrito, expresso. Há dados que não precisam de consentimento, de legítimo interesse da empresa, relacionados à segurança pública. A LGPD estabelece essas restrições.
A lei não é aplicada se o tratamento dos dados pessoais for realizado:
- Por pessoa natural para fins exclusivamente particulares e não econômicos;
- Para fins exclusivamente jornalísticos, artísticos ou acadêmicos (garantida, quando possível, a anonimização);
- Para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Prejuízos de dados expostos
Quem tem os dados pessoais vazados ou publicados sem autorização está suscetível a “inúmeros prejuízos, desde a importunação — e todos sabemos disso, porque recebemos ligações de telemarketing — até fraudes por uso de dados de cartão de crédito e CPF”, como destaca Rafael.
Wendell Rodrigues, professor do Instituto Federal de Educação, Ciência e Tecnologia do Ceará (IFCE) e pesquisador do Laboratório de Inovação Tecnológica (LIT/IFCE), reforça a ideia-chave de que “os dados pertencem ao cidadão, à pessoa física”, e que, uma vez fornecidos a um órgão ou empresa, devem ser resguardados.
No momento em que a pessoa preenche um formulário, por exemplo, a empresa está assumindo a responsabilidade conjunta sobre os dados. Quando esses dados caem na mão de pessoas mal intencionadas, é perigoso.
O especialista aponta, entre os possíveis danos, crimes de falsidade ideológica, compras indevidas e até o uso do nome da vítima como “laranja” em operações fraudulentas. “Tudo o que for decorrente disso, desde que devidamente comprovado, a empresa vai responder”, sublinha Wendell.
O Diário do Nordeste questionou os órgãos sobre a infração.
Em nota, o TCE informou que “tem, entre seus compromissos, o aprimoramento constante dos mecanismos de governança e a gestão responsável dos dados”, e que desde a sanção da LGPD adota providências para adequação “como projeto estratégico do órgão”, designando grupo de trabalho específico para o fim.
O tribunal destaca ainda que criou um hotsite, no portal institucional, com informações relacionadas à LGPD, “ampliando a transparência ao cidadão”.
Em relação ao documento com dados pessoais encontrado pela reportagem, publicado pelo TCE em 2015 e mantido online, o órgão informou que “segue as diretrizes adotadas pelo Tribunal de Contas da União (TCU), referência para os demais tribunais de contas”.
Já o Governo do Estado enviou nota única em nome de todas as Pastas, em que reforça que a LGPD “visa regular o tratamento de dados pessoais com o propósito fundamental de resguardar os direitos essenciais de liberdade, privacidade e o livre desenvolvimento da personalidade dos indivíduos”.
O governo destaca que o artigo 7º da legislação “delineia as circunstâncias nas quais tais dados podem ser tratados, incluindo, entre outras, o cumprimento de obrigações legais por parte da Administração Pública”.
“Além disso, a LGPD autoriza o tratamento e compartilhamento de dados quando necessários para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, bem como quando essenciais para atender aos interesses legítimos do responsável pelo tratamento, considerando a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”, acrescenta a nota.
A nota afirma ainda que “no processo de convergência à LGPD e objetivando um maior grau de adequação das medidas de proteção de dados pessoais, o Estado promoveu eventos de capacitação e adotou procedimentos que direcionam as boas práticas para a adequação interna”.
Por fim, a gestão estadual reitera que a LGPD “veio para proteger os cidadãos do uso indevido dos seus dados pessoais, por parte de empresas ou indivíduos com interesse escusos, e não para limitar a transparência das ações governamentais”.
Também questionamos a Autoridade Nacional de Proteção de Dados (ANPD), que regula a legislação no Brasil e recebe denúncias de quem se sentir lesado, sobre o assunto, para saber:
- Se e de que forma, ao divulgar essas informações, os órgãos estão ferindo a LGPD;
- Em relação aos documentos já publicados, uma vez que continuam online, o que deve ser feito;
- Se por se tratar de órgãos públicos, há sanções possíveis para essa situação.
Em nota, a ANPD pontuou que "a legislação a ser observada é a Lei de Acesso à Informação (LAI), que dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações previsto na Constituição Federal". Nesse caso, acrescenta, "quando o tratamento é realizado por órgão público, a regra é a transparência".
Por fim, a ANPD indicou que a reportagem contatasse os órgãos públicos diretamente "para entender como se dá o tratamento e publicização das informações".
O artigo 6º da LAI (lei nº 12.527/2011) pontua que "cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso".
Já o artigo 23 da LGPD reforça que o disposto nela "não dispensa as pessoas jurídicas de direito público de instituir as autoridades de que trata a Lei de Acesso à Informação".
Como órgãos devem se adequar
Wendell observa que a LGPD é uma legislação avançada, mas que “demora um tempo para refletir nas empresas”. “ Algumas já foram atrás dessa aderência, mas outras não ou só parcialmente. O fato é que a guarda dos dados ainda respeita pouco o que a lei diz”, lamenta o especialista
Seguir a LGPD, ele analisa, “é uma segurança para a empresa: caso haja uma falha de segurança, estará resguardada”.
Rafael, presidente da CLGPD da OAB, avalia que “a adequação à lei é complexa, porque mexe na própria estrutura cultural da empresa, como saber mapear todo o fluxo e educar os colaboradores de como os dados devem ser utilizados”.
O advogado lembra ainda que os dados tratados quando a lei ainda não se aplicava, “mas que continuam sendo utilizados”, devem ser adequados, a fim de mitigar os prejuízos que podem vir com a exposição.
“O vazamento é algo preocupante, previsto na ANPD como incidente de segurança”, frisa Rafael.
Para se adequarem à LGPD e protegerem os dados pessoais e sensíveis dos cidadãos, empresas e órgãos devem seguir um “roteiro”, como orienta João Rafael. “Primeiro, há necessidade de um diagnóstico de como o operador e controlador está tratando o dado, ver como o fluxo de dados está ocorrendo na empresa”, inicia.
“Depois, é feita a adequação à LGPD, adaptando os procedimentos internos e culturais da empresa. E isso passa pela aquisição de plataformas que auxiliam o operador a melhor tratar essas informações das pessoas que confiaram seus dados”, acrescenta, orientando que “a melhor coisa é procurar um profissional da área”.
O que fazer se meus dados vazarem
Empresas privadas e pessoas físicas que infringirem a LGPD estão sujeitas a “sanções pesadíssimas”, como informa o presidente da CLGPD, desde multa que pode chegar a R$ 50 milhões até o bloqueio temporário ou permanente do cadastro de dados.
“Quanto aos órgãos públicos”, esclarece o advogado, “não existe a possibilidade legal” de penalização. “Existe a obrigatoriedade de se adequarem, mas há esse ato se um órgão público poderia ou não ser sancionado por outro, que é a ANPD”, diz.
Veja também
João Rafael orienta que, caso o titular tenha um dado vazado, “a primeira coisa a fazer é entrar em contato com o operador do dado. Se não houver resposta, você pode abrir um processo administrativo com a ANPD”.
A autoridade nacional disponibiliza canais online para envio de petições ou denúncias relacionadas à LGPD. Os cidadãos devem ficar atentos ao fluxo a ser seguido, orientado pela própria ANPD.