TCU: Plataforma do INCRA viola a LGPD e expõe dados sensíveis
O Tribunal de Contas da União apontou uma série de falhas na plataforma digital do Instituto Nacional de Colonização e Reforma Agrária (Incra), com destaque para o baixo grau de maturidade dos sistemas de controle de acesso, com a exposição de dados sensíveis e possível violação da Lei Geral de Proteção de Dados.
A Plataforma de Governança Territorial é um sistema informatizado gerido pela Coordenação-Geral de Monitoramento e Avaliação de Gestão do Incra, desenvolvida para substituir e unificar os diversos sistemas do órgão, com adoção de uma única base de dados integrada e de alta confiabilidade, para fins de auditoria e controle gerencial.
A auditoria operacional do TCU avaliou os serviços digitais oferecidos na Plataforma, especialmente em relação aos requisitos de segurança da informação previstos na Lei Geral de Proteção de Dados Pessoais (LGPD) e os princípios e diretrizes do Governo Digital (Lei 14.129/2021).
“A auditoria constatou as seguintes deficiências: a) baixo grau de maturidade dos sistemas de controle de acesso, com a exposição de dados sensíveis e possível violação da LGPD; b) baixo grau de adesão aos princípios de desburocratização previstos na Lei 14.129/2021, resultando em atraso dos processos de análise; c) morosidade no desenvolvimento do serviço digital “Ingresso de Famílias no Programa Nacional de Reforma Agrária (PNRA)”, persistindo na prática de seleção manual de beneficiários, em contrariedade aos princípios de eficiência, eficácia, efetividade e economicidade; e d) ausência de estratégias para disseminação da utilização da plataforma digital pela população beneficiária”, diz o TCU.
Em relação aos acessos não autorizados, a falta de atividade permanente, normatizada e coordenada pelo Incra gera risco de acessos indevidos a informações sensíveis. Isso também permite a inserção de dados por pessoas não devidamente autorizadas, rompendo o princípio de integridade das bases de dados, violando o art. 46 da Lei Geral de Proteção de Dados Pessoais.
Sobre a ausência de controles adequados nos sistemas legados, o TCU destacou a importância de que todos os sistemas do Incra estejam integrados ao login único do Governo Federal, implementando uma forma de acesso único aos sistemas, com redução de oportunidades de acessos indevidos ou inserção de dados incompletos ou incorretos.
Em decorrência da auditoria, o Tribunal emitiu uma série de determinações ao Incra, a exemplo de que o órgão: formalize e coloque em prática política de controle de acessos; implante controle de acesso efetivo, por meio do login único do gov.br; e adote medidas com vistas a obter os documentos ou informações oficiais necessárias à prestação dos serviços públicos digitais.
