Por temerem a aplicação de pesadas sanções, inclusive pecuniárias (que podem chegar a 2% do faturamento, limitado a R$50 milhões por infração), as grandes empresas privadas introduziram em suas realidades os conceitos e princípios trazidos pela Lei Geral de Proteção de Dados (LGPD) e já realizam, inclusive, a revisão dos procedimentos de compliance.
No entanto, a situação no setor público é totalmente diferente. A maioria dos órgãos públicos, mesmo após 05 anos da sanção presidencial da LGPD, sequer iniciou o mapeamento inicial dos dados pessoais que realizam tratamento ou, apenas, adotaram singelas alterações em relação ao setor de tecnologia da Informação conforme cirurgicamente foi apontado no Acórdão no 1384/2022 – TCU- Plenário, que concluiu que uma em cada quatro das organizações públicas federais ainda não possui Política de Segurança da Informação, sendo que, a ampla maioria delas, 77% (31% não identificaram e 46% identificaram parcialmente), não identificou todas as categorias de titulares de dados pessoais tratados. Apenas 33% das organizações analisadas conduziram análise de riscos e, somente 18% das organizações possuíam Política de Proteção de Dados Pessoais ou documento similar.
Contudo, a revolução digital tão anunciada pelo setor público trouxe consigo, não apenas avanços tecnológicos, mas também novos desafios e responsabilidades. A aplicação da LGPD tornou-se um fator crítico para garantir a privacidade, segurança e confiança dos cidadãos.
O Compliance Digital se desenvolve na conformidade com leis, regulamentos e diretrizes que regem a proteção de dados, cibersegurança e privacidade em ambientes digitais, com fundamento em regras da LGPD e, dentre outras, normas como a ISO 27001, bem como diretrizes estabelecidas pela Autoridade Nacional de Proteção de Dados e por órgãos regulatórios.
No setor público, onde a coleta e o tratamento de dados são inerentes à prestação de serviços, o compliance digital desempenha um papel crucial. Seu objetivo é mitigar riscos de violações de dados, assegurar a transparência e promover a responsabilidade dos órgãos governamentais em relação aos fluxos de dados pessoais.
Neste contexto, a LGPD atribuiu responsabilidade direta e objetiva aos órgãos públicos pelo tratamento adequado dos dados pessoais. Isso envolve, no mínimo, a nomeação de um Encarregado de Proteção de Dados (DPO) e a capacidade de prestar contas em caso de incidentes.
