O tratamento de dados pessoais pela CGU destina-se ao exercício de suas competências legais, bem como para o tratamento e uso compartilhado de dados necessários ao acompanhamento, monitoramento e execução de políticas públicas. 

A Controladoria-Geral da União (CGU) é o órgão de controle interno do Governo Federal responsável por realizar atividades relacionadas à defesa do patrimônio público e ao incremento da transparência da gestão, por meio de ações de auditoria pública, correição, prevenção e combate à corrupção e ouvidoria. 

A CGU também deve exercer, como Órgão Central, a supervisão técnica dos órgãos e entidades que compõem o Sistema de Controle Interno, do Sistema de Correição e do Sistema de Ouvidoria do Poder Executivo Federal, prestando a orientação normativa necessária. De acordo com a Lei nº 13.844, de 2019, que estabelece, entre outros, a organização básica dos órgãos da Presidência da República e dos Ministérios, constituem áreas de competência da Controladoria-Geral da União: 

I - providências necessárias à defesa do patrimônio público, ao controle interno, à auditoria pública, à correição, à prevenção e ao combate à corrupção, às atividades de ouvidoria e ao incremento da transparência da gestão no âmbito da administração pública federal; 

II - decisão preliminar acerca de representações ou denúncias fundamentadas recebidas e indicação das providências cabíveis; 

III - instauração de procedimentos e processos administrativos a seu cargo, com a constituição de comissões, e requisição de instauração daqueles injustificadamente retardados pela autoridade responsável; 

IV - acompanhamento de procedimentos e processos administrativos em curso em órgãos ou entidades da administração pública federal; 

V - realização de inspeções e avocação de procedimentos e processos em curso na administração pública federal, para exame de sua regularidade, e proposição de providências ou correção de falhas; 

VI - efetivação ou promoção da declaração da nulidade de procedimento ou processo administrativo em curso ou já julgado por qualquer autoridade do Poder Executivo federal e, se for o caso, da apuração imediata e regular dos fatos envolvidos nos autos e na nulidade declarada; 

VII - requisição de dados, de informações e de documentos relativos a procedimentos e processos administrativos já arquivados por autoridade da administração pública federal; 

VIII - requisição a órgão ou a entidade da administração pública federal de informações e de documentos necessários a seus trabalhos ou a suas atividades; 

IX - requisição a órgãos ou a entidades da administração pública federal de servidores ou de empregados necessários à constituição de comissões, inclusive das referidas no inciso III do caput deste artigo, e de qualquer servidor ou empregado indispensável à instrução de processo ou procedimento; 

X - proposição de medidas legislativas ou administrativas e sugestão de ações para evitar a repetição de irregularidades constatadas; 

XI - recebimento de reclamações relativas à prestação de serviços públicos em geral e à apuração do exercício negligente de cargo, emprego ou função na administração pública federal, quando não houver disposição legal que atribua essas competências específicas a outros órgãos; 

XII - coordenação e gestão do Sistema de Controle Interno do Poder Executivo federal; e 

XIII - execução das atividades de controladoria no âmbito da administração pública federal. 

Além da Lei nº 13.844, de 2018, outros diplomas legais também estabelecem competências à CGU, dentre os quais a Lei nº 10.180, de 2001, e a Lei nº 12.527, de 2011. O modo como são exercidas tais atribuições é definido por meio do Decreto nº 11.102 de 2022, que, no Capítulo I do seu Anexo I, discorre sobre as competências dos órgãos de assistência direta e imediata ao Ministro de Estado da Controladoria-Geral da União e dos órgãos singulares desta pasta. Ainda, convém ressaltar que, no exercício de sua função administrativa, a CGU: 

I - realiza o tratamento de dados pessoais para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual faz parte; 

II - realiza o tratamento de dados pessoais de servidores e colaboradores no âmbito das atividades de gestão de pessoal; e 

III - realiza o tratamento de dados pessoais de titulares para o controle de acesso a instalações físicas da CGU.

Sem prejuízo do tratamento não alcançado pelo escopo da Lei nº 13.709, de 2018, identifica-se como bases preponderantes para o tratamento de dados pessoais no âmbito da CGU o disposto nos incisos II e III do art. 7º da Lei nº 13.709, de 2018:  

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 

[...] 

II - para o cumprimento de obrigação legal ou regulatória pelo controlador; 

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; 

Excepcionalmente a CGU trata dados pessoais por meio de consentimento do titular, previsto no art. 7º,I. 

No âmbito do ordenamento jurídico brasileiro, há uma série de normativos que dispõem sobre o acesso à informação, bem como salvaguardas aos respectivos dados, os quais são observados pela CGU no exercício de suas funções. Primeiramente, destaca-se a Lei nº 12.527, de 2011, que regula o acesso a informações previsto na Constituição Federal, particularmente no inciso XXXIII do art. 5º (todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado), no inciso II do § 3º do art. 37 (o acesso dos usuários a registros administrativos e a informações sobre atos de governo, observado o disposto no art. 5º, X e XXXIII) e no § 2º do art. 216 (cabem à administração pública, na forma da lei, a gestão da documentação governamental e as providências para franquear sua consulta a quantos dela necessitem). 

Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes: 

I - observância da publicidade como preceito geral e do sigilo como exceção; 

II - divulgação de informações de interesse público, independentemente de solicitações; 

III - utilização de meios de comunicação viabilizados pela tecnologia da informação; 

IV - fomento ao desenvolvimento da cultura de transparência na administração pública; e 

V - desenvolvimento do controle social da administração pública. 

A referida Lei estabelece normas gerais para o acesso e o tratamento de dados pessoais produzidos ou acumulados em bases públicas. Relativamente à parcela de dados pessoais que afetem à intimidade, vida privada, honra e imagem das pessoas, bem como suas liberdades e garantias individuais, a lei dispõe que: (grifos adicionados) 

I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e 

II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. 

Cabe destacar que a restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância. A Lei nº 12.527, de 2011, é regulamentada no âmbito do Poder Executivo federal pelo Decreto nº 7.724, de 2012, que estabeleceu os procedimentos relacionados ao acesso de terceiros a dados pessoais, condicionado ao consentimento e assinatura de termo de responsabilidade, bem como os procedimentos para declaração de interesse público para recuperação de fatos históricos. 

Quanto às normas procedimentais que regem o tratamento de dados pessoais no âmbito da CGU ou que referem de forma explícita protocolos a serem seguidos, cabe destacar: 

• Decreto nº 11.266, de 2022: altera o Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

• Portaria nº 1.335, de 2018, que regulamenta os procedimentos relativos ao acesso e ao tratamento de documentos e informações no âmbito da CGU;
• Portaria nº 1.037, de 2019, que aprova a “Orientação Prática: Relatório de Auditoria”, que estabelece diretrizes relativas à elaboração e apresentação dos relatórios de auditoria produzidos no âmbito da Secretaria Federal de Controle Interno e das Controladorias-Regionais da União nos Estados;
• Portaria nº 2.458, de 2019, que estabelece as diretrizes sobre o acesso e a utilização do Sistema Macros;
• Portaria nº 2.105, de 2020, que dispõe sobre a forma e o procedimento de expedição de certidões no âmbito da Controladoria-Geral da União;
• Portaria nº 2.348, de 2020, que institui o serviço de informações ao cidadão da CGU, de que trata o inciso I do art. 9º da Lei nº 12.527, de 18 de novembro de 2011; e
• Portaria CGU nº 581, de 2021, que estabelece orientações para o exercício das competências das unidades do Sistema de Ouvidoria do Poder Executivo federal, instituído pelo Decreto nº 9.492, de 2018, dispõe sobre o recebimento do relato de irregularidades de que trata o caput do art. 4º-A da Lei nº 13.608, de 2018, no âmbito do Poder Executivo federal, e dá outras providências.

Como procedimentos internos destinados à proteção e segurança da informação, o que engloba os tratamentos dos dados pessoais, a CGU possui em seus sistemas internos o controle e registro de acesso individualizado, incluindo a definição de perfis específicos, a exigência de login e senha do usuário para acesso às estações de trabalho, realização de logs de consultas, monitoramento de operações realizadas nos bancos de dados e execução de backups rotineiramente. 

No atendimento direto ao cidadão, a CGU tem o procedimento de não manter documento físico. Após o seu recebimento, em atendimento presencial, os dados são inseridos diretamente no sistema pertinente e o documento original é devolvido ao titular. Para proteção da identidade e dos elementos de identificação dos manifestantes, a CGU observa as disposições da Lei nº 13.460, de 2017, que é regulamentada pelos Decretos nº 9.492, de 2018, e nº 10.153, de 2019, bem como pela Portaria nº 581, de 2021.

Nome e dados cadastrais dos manifestantes são compartilhados nos seguintes casos: 

1. Manifestações (à exceção de denúncias) com as áreas internas de gestão ou com órgãos competentes não integrantes aos Sistemas de Ouvidorias Federais - SISOUV, quando necessário ao tratamento da manifestação, conforme previsto no Art. 13., inciso XII, do Decreto nº 11.102, de 2022. 

2. Com as áreas de apuração, em se tratando de denúncias, quando necessário à elucidação dos fatos relatados na denúncia e mediante solicitação destas; e 

3. Com as outras unidades do SISOUV, em se tratando de denúncias, mediante consentimento prévio do denunciante. 

A pseudonimização de dados pessoais é adotada pela CGU no caso de denúncias, de modo que se impeça a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. 

A identificação do denunciado, quando existente, é compartilhada com unidades correcionais dos órgãos, nos casos em que não é feita a apuração direta pela CGU, tendo em vista a necessidade de identificação do autor e da suposta irregularidade para a apuração dos fatos, nos termos do art. 51, inciso II, da Lei nº 13.844/2019, art. 16, incisos VII e VIII do Decreto nº11.102/2022, art. 4º, inciso XI, do Decreto nº 5.480, de 2005, art. 50, inciso V e art. 11 da IN CGU 14/2018. 

Ainda sobre as práticas da CGU, vale lembrar que o cuidado com os dados pessoais já vinha sendo observado em decorrência de legislações anteriores, a exemplo da Lei de Acesso à Informação, Lei nº 12.527, de 2011, e de seu Decreto regulamentador, nº 7.724, de 2012, já citados anteriormente. Esses normativos já se preocupavam com a guarda de informações pessoais dos agentes públicos ou privados, dando-os restrição de acesso. 

Nesse sentido, a CGU desenvolveu um trabalho de capacitação e orientação dos seus servidores para resguardar esses dados, a exemplo da elaboração do Guia para tratamento de informações com restrição de acesso no SEI/CGU e o Manual de Boas Práticas do SEI. 

Nas ações de auditoria interna, a CGU conta com procedimentos específicos voltados para a proteção de dados pessoais, conforme explicita o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo federal e a “Orientação Prática: Relatório de Auditoria”. 

Por fim, a CGU emprega o uso de APIs (sigla em inglês de “Application Programming Interface”, que significa “Interface de Programação de Aplicativos”), o qual provê a integração entre os sistemas e proporciona maior segurança durante a troca de informações, além de aumentar a performance dos mesmos.

O compartilhamento de dados pessoais inclui qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e tratamento compartilhado de base de dados pessoais de dados pessoais (art. 5º, XVI, da Lei 13.709/2018 - Lei Geral de Proteção de dados Pessoais).  

A Controladoria-Geral da União (CGU), atuando em conformidade com Lei Geral de Proteção de Dados Pessoais - LGPD, tem acesso ou compartilha dados pessoais com órgãos e entidades públicas e com entidades privadas. Neste último caso, com previsão de instrumentos contratuais, em rigorosa observância do art. 23, inciso I e das hipóteses do art. 7º, II e III, da Lei 13.709, de 2018, no cumprimento de suas competências legais previstas no art. 51 da Lei nº 13.844, de 2019 e do art. 1º do Anexo do Decreto nº 11.102, de 2022 e por meio de procedimentos e controles de segurança da informação estabelecidos pela Portaria nº 587, de 2021, que estabelece a Política de Segurança da Informação da CGU, alinhada às recomendações das normas ABNT NBR ISO 27001, 27002, 27701 e normas complementares.  

Hipóteses de compartilhamento: 

1. para o cumprimento de obrigação legal ou regulatória pelo controlador;  
2. para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e 
3. para o compartilhamento de dados necessários à prevenção e à repressão de fraudes e irregularidades. 

Excepcionalmente a CGU pode vir a tratar dados pessoais por meio de consentimento do titular, previsto no art. 7º, I, quando não forem aplicáveis as hipóteses relativas à finalidade pública. 

Previsão legal: 

O compartilhamento de dados pessoais será realizado para o cumprimento das competências legais da Controladoria Geral da União e em atendimento a suas finalidades específicas, nos termos do artigo 51 da Lei nº 13.844/2019, que estabelece a organização básica dos órgãos da Presidência da República e dos Ministérios, bem como do art. 1º do Anexo I do Decreto nº 11.102/2022, que aprova a estrutura regimental da CGU:  

Lei nº 13.844/2019 

Art. 51. Constituem áreas de competência da Controladoria-Geral da União: 

I - providências necessárias à defesa do patrimônio público, ao controle interno, à auditoria pública, à correição, à prevenção e ao combate à corrupção, às atividades de ouvidoria e ao incremento da transparência da gestão no âmbito da administração pública federal; 

II - decisão preliminar acerca de representações ou denúncias fundamentadas recebidas e indicação das providências cabíveis; 

III - instauração de procedimentos e processos administrativos a seu cargo, com a constituição de comissões, e requisição de instauração daqueles injustificadamente retardados pela autoridade responsável; 

IV - acompanhamento de procedimentos e processos administrativos em curso em órgãos ou entidades da administração pública federal; 

V - realização de inspeções e avocação de procedimentos e processos em curso na administração pública federal, para exame de sua regularidade, e proposição de providências ou correção de falhas; 

VI - efetivação ou promoção da declaração da nulidade de procedimento ou processo administrativo em curso ou já julgado por qualquer autoridade do Poder Executivo federal e, se for o caso, da apuração imediata e regular dos fatos envolvidos nos autos e na nulidade declarada; 

VII - requisição de dados, de informações e de documentos relativos a procedimentos e processos administrativos já arquivados por autoridade da administração pública federal;  

VIII - requisição a órgão ou a entidade da administração pública federal de informações e de documentos necessários a seus trabalhos ou a suas atividades;        (Regulamento) 

IX - requisição a órgãos ou a entidades da administração pública federal de servidores ou de empregados necessários à constituição de comissões, inclusive das referidas no inciso III do caput deste artigo, e de qualquer servidor ou empregado indispensável à instrução de processo ou procedimento; 

X - proposição de medidas legislativas ou administrativas e sugestão de ações para evitar a repetição de irregularidades constatadas; 

XI - recebimento de reclamações relativas à prestação de serviços públicos em geral e à apuração do exercício negligente de cargo, emprego ou função na administração pública federal, quando não houver disposição legal que atribua essas competências específicas a outros órgãos; 

XII - coordenação e gestão do Sistema de Controle Interno do Poder Executivo federal; e 

XIII - execução das atividades de controladoria no âmbito da administração pública federal. 

§ 1º À Controladoria-Geral da União, no exercício de suas competências, cumpre dar andamento às representações ou às denúncias fundamentadas que receber, relativas a lesão ou ameaça de lesão ao patrimônio público, e velar por seu integral deslinde. 

§ 2º À Controladoria-Geral da União, sempre que constatar omissão da autoridade competente, cumpre requisitar a instauração de sindicância, procedimentos e processos administrativos e avocar aqueles já em curso perante órgão ou entidade da administração pública federal, com vistas à correção do andamento, inclusive por meio da aplicação da penalidade administrativa cabível. 

§ 3º À Controladoria-Geral da União, na hipótese a que se refere o § 2º deste artigo, compete instaurar sindicância ou processo administrativo ou, conforme o caso, representar à autoridade competente para apurar a omissão das autoridades responsáveis. 

§ 4º A Controladoria-Geral da União encaminhará à Advocacia-Geral da União os casos que configurarem improbidade administrativa e aqueles que recomendarem a indisponibilidade de bens, o ressarcimento ao erário e outras providências a cargo da Advocacia-Geral da União e provocará, sempre que necessário, a atuação do Tribunal de Contas da União, da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia, dos órgãos do Sistema de Controle Interno do Poder Executivo federal e, quando houver indícios de responsabilidade penal, da Polícia Federal do Ministério da Justiça e Segurança Pública e do Ministério Público Federal, inclusive quanto a representações ou denúncias manifestamente caluniosas. 

§ 5º Os procedimentos e os processos administrativos de instauração e avocação facultados à Controladoria-Geral da União incluem aqueles de que tratam o Título V da Lei nº 8.112, de 11 de dezembro de 1990, o Capítulo V da Lei nº 8.429, de 2 de junho de 1992, o Capítulo IV da Lei nº 12.846, de 1º de agosto de 2013, e outros a serem desenvolvidos ou já em curso em órgão ou entidade da administração pública federal, desde que relacionados a lesão ou a ameaça de lesão ao patrimônio público. 

§ 6º Os titulares dos órgãos do Sistema de Controle Interno do Poder Executivo federal cientificarão o Ministro de Estado da Controladoria-Geral da União acerca de irregularidades que, registradas em seus relatórios, tratem de atos ou fatos atribuíveis a agentes da administração pública federal e das quais tenha resultado ou possa resultar prejuízo ao erário de valor superior ao limite fixado pelo Tribunal de Contas da União para efeito da tomada de contas especial elaborada de forma simplificada. 

§ 7º Para fins do disposto no § 6º deste artigo, os órgãos e as entidades da administração pública federal ficam obrigados a atender, no prazo indicado, às requisições e às solicitações do Ministro de Estado da Controladoria-Geral da União e a comunicar-lhe a instauração de sindicância ou processo administrativo, bem como o seu resultado. (...)  

Decreto nº 11.102/2022 

ANEXO I 

ESTRUTURA REGIMENTAL DA CONTROLADORIA-GERAL DA UNIÃO 

CAPÍTULO I 

DA NATUREZA E DA COMPETÊNCIA 

Art. 1º A Controladoria-Geral da União, órgão central do Sistema de Controle Interno do Poder Executivo Federal, do Sistema de Correição do Poder Executivo Federal, do Sistema de Ouvidoria do Poder Executivo Federal e do Sistema de Integridade Pública do Poder Executivo Federal, tem como áreas de competência os seguintes assuntos: 

I - adoção das providências necessárias à defesa do patrimônio público, ao controle interno, à auditoria pública, à correição, à prevenção e ao combate à corrupção, à promoção da política nacional de governo aberto, às atividades de ouvidoria e ao incremento da transparência e da integridade da gestão no âmbito do Poder Executivo federal; 

II - decisão preliminar sobre representações ou denúncias fundamentadas que receber, com indicação das providências cabíveis; 

III - instauração de procedimentos e processos administrativos a seu cargo, com a constituição de comissões, e requisição de instauração daqueles injustificadamente postergados pela autoridade responsável; 

IV - acompanhamento de procedimentos e processos administrativos em curso em órgãos ou entidades do Poder Executivo federal; 

V - realização de inspeções e avocação de procedimentos e de processos em curso no Poder Executivo federal, para o exame de sua regularidade e a proposição de providências ou a correção de falhas; 

VI - efetivação ou promoção da declaração de nulidade de procedimento ou processo administrativo, em curso ou já julgado por qualquer autoridade do Poder Executivo federal, e da apuração imediata e regular dos fatos envolvidos nos autos e na nulidade declarada, quando couber; 

VII - requisição de procedimentos e de processos administrativos julgados há menos de cinco anos ou já arquivados, contados da data do julgamento ou do arquivamento, no âmbito do Poder Executivo federal, para reexaminá-los e, se necessário, proferir nova decisão; 

VIII - requisição de dados, de informações e de documentos relativos a procedimentos e processos administrativos já arquivados por autoridade do Poder Executivo federal; 

IX - requisição de informações e de documentos a órgãos ou entidades do Poder Executivo federal, necessários ao desenvolvimento de seus trabalhos e atividades; 

X - requisição, a órgãos ou entidades do Poder Executivo federal, de servidores ou de empregados públicos necessários à constituição de comissões, incluídas aquelas a que se refere o inciso III, e de qualquer servidor ou empregado público indispensável à instrução do processo ou do procedimento; 

XI - proposição de medidas legislativas ou administrativas e sugestão de ações necessárias para evitar a repetição de irregularidades constatadas; 

XII - recebimento de manifestações de usuários de serviços públicos em geral e apuração do exercício negligente de cargo, de emprego ou de função no Poder Executivo federal, quando não houver disposição legal que atribua essas competências específicas a outros órgãos ou entidades; 

XIII - supervisão técnica e orientação normativa, na condição de órgão central dos Sistemas de Controle Interno, de Correição e de Ouvidoria dos órgãos da administração pública federal direta, das autarquias, das fundações públicas, das empresas públicas, das sociedades de economia mista e das demais entidades controladas direta ou indiretamente pela União; 

XIV - supervisão técnica e orientação normativa, na condição de órgão central do Sistema de Integridade Pública do Poder Executivo Federal, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional; 

XV - execução das atividades de controladoria no âmbito do Poder Executivo federal; e 

XVI - promoção e monitoramento da implementação da Lei nº 12.527, de 18 de novembro de 2011, observadas as competências dos demais órgãos e entidades. 

Procedimentos e boas práticas adotadas pela CGU no compartilhamento de dados pessoais:    

Nome e dados cadastrais dos manifestantes são compartilhados nos seguintes casos:  

1. Manifestações (à exceção de denúncias) com as áreas internas de gestão ou com órgãos competentes não integrantes aos Sistemas de Ouvidorias Federais - SISOUV, quando necessário ao tratamento da manifestação,  

2. Com as áreas de apuração, em se tratando de denúncias, quando necessário à elucidação dos fatos relatados na denúncia e mediante solicitação destas; e  

3. Com as outras unidades do SISOUV, em se tratando de denúncias, mediante consentimento prévio do denunciante.  

A pseudonimização de dados pessoais é adotada pela CGU no caso de denúncias, de modo que se impeça a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.  

 A identificação do denunciado, quando existente, é compartilhada com unidades correcionais dos órgãos, nos casos em que não é feita a apuração direta pela CGU, tendo em vista a necessidade de identificação do autor e da suposta irregularidade para a apuração dos fatos, nos termos do art. 51, inciso II, da Lei nº 13.844/2019, art. 16, incisos VII e VIII do Decreto nº11.102/2022, art. 4º, inciso XI, do Decreto nº 5.480/2005, art. 50, inciso V e art. 11 da IN CGU 14/2018.  

Ainda sobre as práticas da CGU, vale lembrar que o cuidado no tratamento de dados pessoais já vinha sendo observado em decorrência de legislações anteriores, a exemplo da Lei de Acesso à Informação, nº 12.527/2011, e de seu Decreto regulamentador, nº 7.724/2012, já citados anteriormente. Esses normativos já se preocupavam com a guarda de informações pessoais dos agentes públicos ou privados, dando-os restrição de acesso. 

Medidas de Segurança adotadas pela CGU: 

• publicação de Política de Segurança da Informação da CGU, pela Portaria nº 587/2021; 
• definição do Programa de Privacidade de dados como prioridade 1 no Planejamento estratégico da CGU; 
• estabelecimento de estrutura de governança, inclusive com a criação da Comissão Interna de Implementação da LGPD, 
• definição de competências e responsabilidades para a segurança da informação e para proteção da privacidade na CGU; 
• orientação permanente dos servidores no cumprimento da política de segurança da informação; 
• implantação de medidas de segurança física e patrimonial em relação à segurança da informação; 
• atualização e controle dos recursos computacionais autorizados ou homologados; 
• implantação de mecanismos de pseudonimização de dados pessoais e de restrição de acesso nos sistemas de gestão documental, com capacitação dos servidores para utilizar esses mecanismos a exemplo da elaboração do Guia para tratamento de informações com restrição de acesso no SEI/CGU e o Manual de Boas Práticas do SEI;  
• implantação de mecanismos de rastreabilidade, acompanhamento, controle e verificação de acessos e sigilos restritos a pessoas com necessidade de conhecer a informação, e de cada ação de tratamento dos dados, inclusive de cada evento de compartilhamento dos dados pessoais, no caso do Fala.BR;
• realização de inventário de tratamento de dados pessoais nos ativos da CGU;  
• avaliação e mitigação permanente dos riscos existentes nos ativos da CGU; 
• simulação de ciberataques para explorar eventuais vulnerabilidades do sistema e estruturas; 
• implantação de medidas de gestão de incidentes de segurança da informação.  

Contratos, convênios ou instrumentos congêneres:  

O compartilhamento de dados pessoais no âmbito da Administração Pública Federal Direta é realizado a partir do cumprimento de comandos legais e em observância à LGPD, sem necessidade, portanto, de contratos e convênios. Nestes casos, por tratarem de órgãos desprovidos de personalidade jurídica integrantes da União, observa-se uma desconcentração administrativa no desempenho das funções relacionadas ao tratamento de dados pessoais, conforme previsto no item 2.3. do Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. 

A CGU também realiza o compartilhamento de dados necessários ao desempenho de suas competências, observados os requisitos previstos na LGPD, por meio de contratos administrativos com empresas privadas, nos limites de suas cláusulas, e de acordos de cooperação com órgãos e entidades de outros poderes, instituições paraestatais e organizações sociais e organismos internacionais, observando cláusulas aderentes ao cumprimento da LGPD, a exemplo dos seguintes instrumentos: 

• Acordos de Cooperação com entes subnacionais que optaram por tornarem-se membros da Rede Nacional de Ouvidorias, nos termos da Instrução Normativa nº 3/2019. Esta norma define modalidades de adesão e organização da Rede Nacional de Ouvidorias de que trata o art. 24 A do Decreto nº 9.492/2018, e dispõe sobre o Programa de Fortalecimento das Ouvidorias, inclusive com termo de adesão e responsabilidades. Consulte aqui os membros da Rede Nacional de Ouvidorias.  
• Acordos de Cooperação n. 11/2020, com o Superior Tribunal de Justiça, que tem por objeto a cooperação técnica e o intercâmbio de dados, conhecimentos, informações e experiências, visando ao fortalecimento e à disseminação de mecanismos de participação social, controle social e avaliação social de políticas públicas e serviços públicos no âmbito do Programa de Fortalecimento das Ouvidorias.