O artigo explora os vazamentos de dados em órgãos públicos e seu impacto na integridade e na imagem institucional. Com o avanço das normas de proteção de dados, garantir a conformidade tornou-se um desafio crescente para o setor público.

A temática da integridade vem ganhando força no âmbito público há alguns anos, especialmente pelo prisma do combate à corrupção. Não se trata de um movimento brasileiro, ao contrário, internacionalmente percebe-se a integridade como uma forma de promover o direito à boa administração pública (Oliveira, 2024).

Segundo a OCDE (2017), a criação de regras de conformidade mais rígidas e o aumento de controles possui limitação frente à intencionalidade do agente que, por vezes, está influenciado por ambientes tolerantes à não priorização do interesse público. Assim, é imperioso que as instituições públicas constituam programas de integridade, que se consubstanciam em um "conjunto de princípios, normas, procedimentos e mecanismos de prevenção, detecção e remediação de práticas de corrupção e fraude, de irregularidades, ilícitos e outros desvios éticos e de conduta, de violação ou desrespeito a direitos, valores e princípios que impactem a confiança, a credibilidade e a reputação institucional" - art. 2º, I, do decreto 9.203/17 (Brasil, 2017).

A definição trazida pelo decreto supracitado permite inferir que a ideia de integridade é diversa da ideia de que cumprir as disposições legais é o suficiente. O conceito destaca que os programas devem conter ações que previnam, não somente práticas de corrupção, mas também toda violação ou desrespeito a direitos que repercutam negativamente sobre a imagem das instituições públicas e sobre a confiança que os cidadãos depositam nelas.

A conceituação apresentada em norma não se afasta do que se observa na literatura. Vieira (apud AMÂNCIO et al., 2024) define a integridade como "'um bem comum, responsável por proteger o poder social confiado ao governo' (p. 3) e destaca a atuação da sociedade civil para a proteção da integridade pública - ponto corroborado por Roberts (2024), ao defender que esse conceito não deve se limitar à 'má conduta por parte de funcionários de carreira e nomeados políticos' (p. 15)".

Os programas de integridade devem partir, então, do mapeamento de riscos, das vulnerabilidades que possam favorecer ou facilitar as ocorrências violadoras. Após, os riscos devem ser avaliados conforme probabilidade de ocorrência e o impacto que poderão gerar para a organização. Conforme os índices encontrados deverão ser propostas medidas de controle para que não se tornem fatos (Brasil. CGU, 2019).

As medidas tomadas pelos gestores podem ser de variados tipos, tais como: regulamentos, capacitações, sensibilizações, medidas técnicas em geral. A escolha de cada ação dependerá da gravidade do risco enfrentado, bem como da capacidade de efetivação das medidas pelo ente público. Os atos práticos deverão compor um plano¹, que deverá ser acompanhado por uma instância especificada, bem como sofrer revisões (Brasil. CGU, 2019).

O plano deve ser dinâmico, e congregar mudanças de rumo conforme os riscos a que a organização esteja sujeita naquele período de tempo estipulado no documento.

Neste sentido, é possível argumentar que diversas temáticas atuais podem e devem pertencer aos programas de integridade, tais quais: combate ao assédio moral, sexual e à discriminação, proteção de dados/privacidade, etc. Temas estes que estão relacionados à proteção de direitos fundamentais e suas violações irão repercutir, de forma severa, sobre a credibilidade e a reputação institucional.

Às pessoas jurídicas é conferida a tutela da imagem. Imagem que pode ser concebida como imagem-retrato, quando guarda os traços típicos da fisionomia - art. 5°, inciso X, da Constituição Federal (Brasil, 1988), ou compreendida como imagem-atributo, conceituação ligada à boa-reputação, à imagem que aquela pessoa tem na sociedade - art. 5°, inciso V, da Constituição Federal (Silva Neto, 2006). Ambas as perspectivas, podem experimentar ofensas.

A matiz "atributo" (Silva Neto, 2006) da imagem, que "está diretamente atrelada à credibilidade da pessoa na sociedade" (Ferraz Junior, 1992), ao seu prestígio, à entrega do seu valor, para a qual foi criada, corre sério risco de sofrer abalo quando vinculada a episódios que revelem falhas nos mecanismos de controle e de integridade.

Tem-se observado, com certa regularidade, a divulgação de notícias reverberando situações que envolvem o Poder Público e a violação ao direito fundamental de proteção aos dados pessoais. Infelizmente, os órgãos públicos estão, inclusive, entre as entidades mais sancionados pela ANPD - Autoridade Nacional de Proteção de Dados².

As dificuldades envolvendo a Administração Pública e a proteção de dados pessoais já foi percebida pelo TCU. Em 2022, o acórdão 1.384/22 - TCU - plenário, destacou a existência de grave risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal, após a realização de auditoria realizada em 382 organizações públicas Federais sobre a adequação à LGPD³ (TCU, 2022).

Em um caso envolvendo importante autarquia Federal, o relatório de instrução⁴ (ANPD, 2024b) elaborado pela ANPD, narra que "a entidade pública autuada identificou aumento no número de consultas a dados sem justificativa operacional ou de negócio aparente. Os acessos teriam origem em uma rede autorizada, por órgão da administração pública, e com utilização de credenciais de acesso válidas, concedidas por meio de convênio" (ANPD, 2024b, p. 3). Foram realizadas três vezes mais consultas em seus sistemas do que o ocorrido no mês seguinte.

Verifica-se tratar-se de incidente de segurança, evento adverso, confirmado e relacionado à violação na segurança de dados pessoais, atinente ao acesso não autorizado, sob a forma de tratamento de dados inadequada (ou ilícita), que acarreta sérios riscos aos direitos dos titulares. Embora não se saiba exatamente sobre as consequências específicas, os riscos podem ser: destruição, perda, alteração, além do uso para fins diversos, como golpes, falsidade ideológica, entre outros (ANPD, 2022)

O órgão efetuou a comunicação preliminar voluntária à ANPD que, por sua vez, exigiu-lhe quatro providências: esclarecimentos a respeito da atuação do agente de tratamento notificante, formulário de incidente de segurança com informações complementares, relatório técnico de tratamento do incidente, e comunicação aos titulares a respeito da possível violação do sigilo dos dados (ANPD, 2024b).

As medidas exigidas pela Autoridade são essenciais para conferir transparência sobre o incidente, bem como para futuras apurações. Cabe ao controlador demonstrar as providências tomadas quanto ao incidente de forma que possam ser avaliadas, especialmente sob o ponto de vista técnico, inclusive quanto à suficiência de atuação. O formulário de incidentes busca, justamente, compreender a proporção do ocorrido, requerendo informações (que tipo específico de incidente ocorreu, que dados foram atingidos, como eles foram afetados, categoria de titulares, prováveis consequências e impactos, medidas de segurança anteriores, entre outros) sobre o que aconteceu, quando e quem tomou conhecimento.

Especificamente sobre a comunicação aos titulares de dados, o formulário aborda a forma de cientificá-los, bem como se a comunicação engloba, além do uso de linguagem clara: "1. resumo e data de ocorrência do incidente; 2. descrição dos dados pessoais afetados; 3. riscos e consequências aos titulares de dados; 4. medidas tomadas e recomendadas para mitigar seus efeitos, se cabíveis; 5. dados de contato do controlador para obtenção de informações adicionais sobre o incidente" (ANPD, 2024c). De tais requisitos evidencia-se um compromisso com a integridade, no sentido de garantir ao conjunto de titulares e a própria sociedade que deposita confiança naquele órgão, a verdade sobre o tema, bem como possíveis repercussões na vida dos atingidos.

Reforça, assim, que a integridade deve ser um ideal "que vai além da simples aderência a regras e regulamentos e, ao mesmo tempo, como um processo dinâmico e com múltiplos atores, que demanda um compromisso contínuo de todos os envolvidos com a atividade pública" (AMÂNCIO et al., 2024, p. 5-6).

A controvérsia jogou luz quanto à cientificação do titular de dados sobre a ocorrência. O órgão público negou-se a realizar a referida comunicação por entendê-la como discricionária, sob o argumento de que, diante da impossibilidade de identificar exatamente a relação de titulares atendidos, a divulgação ampla do incidente cibernético abalaria a relação estabelecida ao longo de décadas com o órgão, e poderia gerar pânico e desconfiança em todo o contingente de atendidos pelos seus serviços (ANPD, 2024b), o que, por conseguinte, poderia provocar uma sobrecarga de seus canais de atendimento em busca de informações que o órgão não seria capaz de absorver.

Não obstante à Autoridade Nacional tenha entendido as justificativas do órgão como de interesse público secundário⁵ (ANPD, 2024b) e determinado a comunicação aos titulares de dados, a questão ganhou escala e atingiu os meios jornalísticos especializados⁶ e os jurídicos⁷. Em outros termos, milhares de pessoas, atingidas ou não pelo incidente, tomaram conhecimento do ocorrido e, especialmente, do fato de que o controlador não realizou a comunicação aos titulares, mesmo após reiterada determinação da ANPD. Nesta altura, até mesmo especulações sobre a confiabilidade do órgão foram levantadas⁸.

De todo este contexto ressai questão importante, qual seja, as implicações destes acontecimentos e a relação com a integridade da instituição. Como dito anteriormente, falar em integridade não significa tratar apenas de combate à corrupção, não é somente isso que descredibiliza um órgão frente à comunidade, conforme elucida o conceito já citado pelo decreto 9.203/17: "detecção e remediação de práticas (...) outros desvios éticos e de conduta, de violação ou desrespeito a direitos, valores e princípios que impactem a confiança, a credibilidade e a reputação institucional" (Brasil, 2017). 

A promulgação da LGPD - Lei Geral de Proteção de Dados Pessoais, tornou obrigatório para as instituições públicas e privadas o dever de garantir a privacidade e a segurança dos dados pessoais que administram. A lei não só impõe desafios operacionais, mas também testa a capacidade das instituições de adotarem práticas éticas e transparentes essenciais para manter a confiança pública e assegurar uma gestão responsável. A própria legislação, ao citar como seus fundamentos a autodeterminação informativa, "livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania" (Brasil, 2018) faz esse destaque e expõe preocupação com o respeito máximo ao cidadão, titular de dados pessoais, que com a Administração Pública relaciona-se.

No mesmo sentido, na seção que menciona boas práticas e governança, a lei incentiva que os controladores e/ou operadores, de forma individual ou coletivamente, insiram em seu processo de governança (envolvendo os aspectos da liderança, estratégia e controle) ações para garantir a gestão adequada de dados pessoais, que envolvem o comprometimento explícito e que vise "estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular" (art. 50 I, alínea e).

A interseção e/ou inclusão deve ser percebida pela ótica dos riscos. A gestão de riscos é o conjunto de atividades coordenadas para dirigir e controlar a organização no que se refere a riscos que, por sua vez, são possibilidades de ocorrência de eventos que venha a ter impacto no cumprimento dos objetivos, sejam eles de um processo, programa e outros (Brasil. CGU, 2016). De forma mais específica, existe a gestão de riscos à integridade (Brasil. CGU, 2019) que pretende identificar e tratar "vulnerabilidade que pode favorecer ou facilitar a ocorrência de práticas de corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta" que podem comprometer os objetivos organizacionais (art. 2º, II da portaria CGU 57/19), dentre eles, é possível indicar a relação de confiança com o cidadão e o respeito e promoção dos direitos fundamentais. Portanto, são riscos à integridade o uso indevido ou manipulação de dados, com as possibilidades de alteração indevida e a restrição de publicidade (Nascimento, 2019), por exemplo. Lembrando que a Constituição Federal expressamente prevê o direito à proteção dos dados pessoais como direito fundamental.

Sob esta abordagem, observa-se o Plano de Integridade do TRT da 6ª Região que prevê a proteção de dados pessoais com foco em ações de prevenção (item 3.2), quais sejam, cursos e a trabalhos de comunicação e sensibilização, conforme item 5 (TRT-6, 2024).

Ao refletir sobre essas questões, reforça-se que o conceito de integridade também está sujeito à atualização constante frente às mudanças sociais e tecnológicas.

A administração pública precisa se adaptar e evoluir para manter sua credibilidade, e isso inclui a adoção de medidas proativas que protejam os direitos dos cidadãos e garantam a transparência. Portanto, a interseção entre a integridade e a proteção de dados pessoais evidencia a necessidade de uma abordagem holística e proativa na gestão pública. A conformidade com a LGPD deve ser entendida como uma parte essencial da integridade institucional.

10 ANPD. Decisões em processos sancionadores. Publicações da ANPD, 2024a. Disponível aqui. Acesso em: 05 jan. 2025.

11 ANPD. Incidentes de segurança com dados pessoais, 2022. Página da Semana de Proteção de Dados de 2022. Disponível aqui. Acesso em 24 fev. 2025.

12 ANPD. Formulário de Comunicação de Incidente de Segurança com Dados Pessoais. Agentes de Tratamento: Comunicação de incidente de segurança, 2024c. Disponível aqui. Acesso em: 25 fev. 2025.

13 ANPD. Relatório de Instrução 1/24/CGF/ANPD. Publicações da ANPD, 2024b. Disponível aqui. Acesso em: 20 set. 2024.

14 BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil. Brasília, DF. Presidência da República. Disponível aqui. Acesso em: 20 set. 2024.

15 BRASIL. CGU. Instrução Normativa Conjunta MP/CGU 1 - Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal. Diário Oficial da União de 11/5/16, edição: 89, seção: 1. Disponível aqui. Acesso em Acesso em: 05 jan. 2025.

16 BRASIL. CGU. Portaria 57, de 4 de janeiro de 2019. Dispõe sobre a instituição de programas de integridade nos órgãos e entidades do Poder Executivo federal. Disponível aqui. Acesso em: 20 set. 2024.

17 BRASIL. Lei 13.709 de 14 de agosto de 2018, LGPD. Diário Oficial da União de 15/8/18, edição extra. Disponível aqui. Acesso em: 15 out. 2020.

18 NASCIMENTO, Liliane de Paiva. Riscos à Integridade na CGU: procedimentos e análises. Apresentação realizada para a Rede de Gestão de Integridade, Riscos e Controles Internos (Rede GIRC), com descrição dos procedimentos e análises da CGU, relacionadas aos riscos à integridade. 27 de março de 2019. Disponível aqui. Acesso em: 20 set. 2024.

19 OCDE. Recomendação da OCDE sobre Integridade Pública. Recomendação de 30 de novembro de 2017. Disponível aqui. Acesso em: 20 set. 2024.

20 OLIVEIRA, Rafael Carvalho Rezende. Integridade na administração pública: entre a expectativa e a realidade. 11 de março de 2024. Acesso em: 06 de abr. 2024.

21 PRADO NETO, José Barbosa. A responsabilidade por danos à imagem da administração pública: possibilidade de aplicação pelos tribunais de contas no Brasil. In: REGEN - Revista De Gestão, Economia e Negócios, v. 1, 1, 2021. Disponível aqui. Acesso em: 20 set. 2024.

22 STJ. Quais as Diferenças entre programa, projeto e plano de ação. In: Boletim Tome Nota, ed. 25, outubro de 2016. Disponível aqui. Acesso em: 24 fev. 2025.

23 STJ (2ª turma). Recurso Especial 1356260/SC. Administrativo. Improbidade administrativa. Contratação direta de empresa organizadora de concurso público, com fundamento no art. 24, ii, da lei de licitações. Valor do contrato administrativo inferior a R$ 8.000,00. Recebimento pela empresa contratada das taxas de inscrição do concurso, em montante superior ao permissivo da lei de licitações. Necessidade de prévio procedimento licitatório. Recorrente: MP/SC. Recorrido: Município de Ipumirim. Relator: Ministro Humberto Martins. Julgado em 07 de fev. 2013. Disponível aqui. Acesso em: 20 set. 2024.

24 TCU. TCU verifica risco alto à privacidade de dados pessoais coletados pelo governo. TCU/Imprensa, 2022. Disponível aqui. Acesso em: 20 set. 2024.

25 TRT-6. Resolução Administrativa TRT-6 27/24. Dispõe sobre o Plano de Integridade do Tribunal Regional do Trabalho da 6ª Região. Disponível aqui. Acesso em 06 jan. 2025.