RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS – RIPD – Módulo Pesquisa Pública do SEI – Consulta Pública
Resumo executivo
RIPD – Módulo Pesquisa Pública do SEI | TRE/CE
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) do Módulo Pesquisa Pública do Sistema Eletrônico de Informações (SEI), elaborado pela Assessoria de Segurança da Informação do Tribunal Regional Eleitoral do Ceará (ASEGI/TRE-CE), constitui uma boa prática estruturada de governança de dados e gestão de riscos à privacidade. O documento formaliza a análise sistemática dos riscos decorrentes da disponibilização pública irrestrita de processos e documentos administrativos a cidadãos, empresas e instituições externas, sem exigência de autenticação prévia.
Trata-se de instrumento jurídico e técnico obrigatório nos termos do art. 38 da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), que o exige sempre que operações de tratamento puderem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. O RIPD está estruturado sobre metodologia qualitativo-quantitativa alinhada às orientações da Autoridade Nacional de Proteção de Dados (ANPD), integrando ainda os princípios da Lei de Acesso à Informação (LAI — Lei nº 12.527/2011) e os referenciais normativos internacionais de segurança da informação.
Sob a perspectiva da ISO/IEC 27001:2022, o RIPD expressa, na prática, a execução das cláusulas 6.1.2 (Avaliação de riscos de segurança da informação) e 6.1.3 (Tratamento de riscos), inserindo-se como componente central do Sistema de Gestão de Segurança da Informação (SGSI) da organização. A identificação, análise e avaliação dos dezesseis eventos de risco mapeados — com seus ativos, ameaças, vulnerabilidades e impactos — segue o processo iterativo preconizado pela ISO/IEC 27005:2022, que orienta a gestão de riscos de segurança da informação de forma proporcional ao contexto organizacional e à natureza dos dados tratados.
O problema que resolve
A Pesquisa Pública do SEI foi concebida para promover transparência ativa e publicidade administrativa, valores constitucionais legítimos. O problema central, contudo, reside na ausência de distinção operacional entre publicidade do processo e exposição irrestrita do inteiro teor dos documentos. Sem critérios documentados de revisão prévia, qualquer servidor pode inadvertidamente tornar pública informação que contém CPF, dados bancários, dados pessoais sensíveis ou informações de titulares em situação de vulnerabilidade — crianças, idosos, vítimas, denunciantes e testemunhas.
O risco não é hipotético: a própria documentação oficial do SEI/ColaboraGov alerta que documentos públicos contendo dados pessoais devem ter seu nível de acesso imediatamente alterado para restrito, evidenciando que o problema de classificação indevida é recorrente e estrutural. Além disso, a ausência de mecanismos anti-scraping, captchas, bloqueios de indexação e fluxos céleres de correção agrava a exposição, pois, uma vez publicado o dado, sua propagação por motores de busca e sistemas automatizados torna-se praticamente irreversível.
Do ponto de vista da ISO/IEC 27002:2023, esta lacuna dialoga diretamente com o Controle 5.34 (Privacidade e proteção de informações de identificação pessoal), com o 8.11 (Mascaramento de dados), com o 8.12 (Prevenção de vazamento de dados — DLP) e com o 8.16 (Atividades de monitoramento). A inexistência de tais controles implantados eleva o risco residual da operação e compromete a postura de conformidade do órgão perante a LGPD e a ANPD.
Propósito principal
O propósito do RIPD é duplo: garantir que a transparência ativa do TRE/CE se realize dentro dos limites impostos pelos princípios da LGPD — finalidade, adequação, necessidade, segurança, prevenção e responsabilização — e orientar a alta gestão, os usuários classificadores e a equipe de TI sobre as medidas técnicas e administrativas que devem ser implementadas antes da ampla disponibilização dos documentos.
O documento não busca restringir o acesso à informação, mas sim assegurar que a publicidade se exerça de forma proporcional: onde o inteiro teor for desnecessário à transparência, devem ser adotados meios menos intrusivos, como metadados públicos, versões saneadas ou extratos resumidos.
Resultados e impacto
O RIPD mapeou 16 eventos de risco, sendo 7 classificados como Alto (score entre 150 e 225), incluindo exposição de dados sensíveis, dados de titulares vulneráveis, ausência de fluxo de comunicação de incidentes à ANPD e falha de classificação por usuários internos. Com a implementação dos controles sugeridos, estruturados como medidas preventivas, corretivas, detectivas e de governança, o risco residual da maioria dos cenários migra para patamar Baixo (25–50), com exceção do risco R9 (scraping e indexação externa), que permanece Moderado (100) por depender parcialmente de atores externos ao controle do órgão.
O impacto institucional desta boa prática é abrangente. No plano jurídico, equipa o TRE/CE com a documentação exigida pelo art. 38 da LGPD e pelas orientações da ANPD, reduzindo a exposição à responsabilização administrativa. No plano operacional, o plano de implementação estabelece onze medidas prioritárias com prazos de 0 a 90 dias, responsáveis designados e indicadores mensuráveis de desempenho. No plano cultural, o RIPD institucionaliza a revisão humana obrigatória, o treinamento periódico dos classificadores e a trilha de accountability para cada decisão de publicidade — transformando a proteção de dados de obrigação pontual em prática contínua de governança.
Sob a ótica da ISO/IEC 27005:2022, o RIPD incorpora o tratamento de riscos por meio de controles proporcionados ao nível de risco identificado, com previsão de reavaliação anual do documento e monitoramento trimestral do risco residual de scraping, consolidando o ciclo PDCA (Plan-Do-Check-Act) exigido pelo SGSI nos termos da ISO/IEC 27001:2022, cláusula 10 (Melhoria contínua).
Em síntese, este RIPD representa a convergência entre o direito fundamental à proteção de dados, a transparência administrativa e a maturidade em segurança da informação — traduzida em governança documentada, controles auditáveis e responsabilidades claramente distribuídas entre todos os atores envolvidos no ciclo de vida dos documentos públicos do TRE/CE
Motivação e Justificativa
O Tribunal Regional Eleitoral do Ceará (TRE/CE) opera sob dupla exigência normativa que define o campo de tensão central deste RIPD: o dever de transparência ativa, imposto pela Lei de Acesso à Informação (LAI — Lei nº 12.527/2011), e o dever de proteção de dados pessoais, exigido pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
O instrumento que materializa esse conflito é o módulo Pesquisa Pública do SEI, que permite a qualquer cidadão consultar processos e documentos categorizados como públicos sem autenticação prévia. Essa amplitude de acesso é, simultaneamente, a expressão máxima da transparência administrativa e o principal vetor de vulnerabilidade à exposição indevida de dados pessoais. Sob a ótica da ISO/IEC 27001:2022 (cláusula 4 — Contexto da organização), esse cenário representa o ponto de convergência entre exigências conflitantes de partes interessadas internas — servidores, gestores, magistrados — e externas — cidadãos, ANPD e órgãos de controle — sobre o mesmo ativo informacional: o documento administrativo público.
Problemas de Gestão que Motivaram o RIPD
Equivalência indevida entre processo público e documento integralmente público. O primeiro e mais crítico problema é a ausência de distinção operacional entre a classificação do processo como público e a autorização tácita para expor o inteiro teor de todos os seus documentos. A marcação “público” no SEI não filtra automaticamente conteúdos sensíveis — CPF, dados bancários, assinaturas, e-mails pessoais e até dados sensíveis como informações de saúde ou situação financeira podem estar presentes em documentos cujo processo foi classificado como público. Nos termos da ISO/IEC 27005:2022 (seção 6), essa é uma vulnerabilidade sistêmica de processo: a ausência de controle preventivo na etapa de disponibilização cria uma janela de exposição proporcional ao volume e à diversidade temática dos processos do órgão.
Dependência da revisão humana sem padronização formal. A documentação oficial do SEI/ColaboraGov reconhece que a revisão do nível de acesso é essencial e que a responsabilidade do usuário interno é solidária ao receber o processo. Contudo, sem checklist formalizado, norma interna específica e treinamento estruturado, essa responsabilidade é exercida de forma heterogênea e altamente suscetível a erro humano. O risco R5 do RIPD — falha da unidade receptora em revisar o nível de acesso — foi classificado como Alto (score 150). A ISO/IEC 27002:2023, nos Controles 5.2 (Termos e condições de emprego) e 6.3 (Conscientização e treinamento em segurança da informação), aponta precisamente essa lacuna: sem capacitação contínua e responsabilidades formalmente atribuídas, os controles humanos tornam-se o elo mais frágil da cadeia de proteção.
Inexistência de controles técnicos contra reuso automatizado. A Pesquisa Pública opera sem confirmação documentada de mecanismos anti-scraping, captchas, políticas de indexação restrita ou monitoramento de coleta massiva. Essa lacuna é crítica: uma vez indexado por um motor de busca ou capturado por um robô de coleta, o dado pessoal persiste em caches e repositórios de terceiros independentemente de qualquer correção posterior no sistema de origem — tornando a contenção do dano virtualmente impossível. O risco R9 recebeu score Alto (150) e permaneceu Moderado (100) mesmo após os controles propostos, por depender de atores externos ao controle direto do TRE/CE. A ISO/IEC 27002:2023 endereça essa dimensão nos Controles 8.12 (Prevenção de vazamento de dados — DLP) e 8.16 (Atividades de monitoramento).
Ausência de ciclo de vida documental para dados pessoais públicos. O art. 16 da LGPD determina a eliminação dos dados pessoais após o término do tratamento. Sem tabela de temporalidade por classe documental e sem fluxo formalizado de eliminação ou anonimização, documentos continuam publicamente acessíveis muito além da finalidade que justificou sua publicidade original — configurando potencial violação ao princípio da necessidade (art. 6º, III, LGPD). A ISO/IEC 27002:2023, no Controle 8.10 (Exclusão de informações), reforça que dados sem finalidade vigente devem ser eliminados de forma segura e rastreável.
Lacunas nos procedimentos de resposta a incidentes. A Resolução CD/ANPD nº 15/2024 impõe prazos rigorosos: 3 dias úteis para comunicação preliminar e 20 dias corridos para o relatório complementar de incidente. O risco R13 — ausência de fluxo de comunicação à ANPD — foi classificado como Alto (score 150). A ISO/IEC 27001:2022 (cláusula 6.1.3) e a ISO/IEC 27002:2023 (Controles 5.24 e 5.26 — planejamento e resposta a incidentes) convergem com a exigência regulatória: planos de resposta devem ser documentados e atribuídos a responsáveis antes que o incidente ocorra, não reativamente após sua materialização.
Por que esta Boa Prática se faz Necessária
Cinco fatores estruturais tornam o RIPD não apenas recomendável, mas juridicamente obrigatório e operacionalmente indispensável.
O volume e a sensibilidade dos dados em circulação abrangem servidores, magistrados, fornecedores, cidadãos peticionantes, testemunhas e terceiros em situação de vulnerabilidade — categorias cujos dados podem alcançar natureza sensível conforme a matéria tratada.
A irreversibilidade do dano distingue este risco de falhas internas convencionais: a exposição pública na internet produz efeitos que persistem indefinidamente após a correção da origem, tornando a prevenção o único controle verdadeiramente eficaz.
A obrigação legal expressa é inequívoca: o art. 38 da LGPD c/c as orientações da ANPD impõem ao controlador público a elaboração do RIPD sempre que o tratamento puder gerar riscos às liberdades civis. A natureza da Pesquisa Pública — acesso indeterminado, sem autenticação, com possibilidade de cópia e indexação — enquadra-se nessa hipótese sem margem interpretativa.
A responsabilização institucional crescente traduz-se em risco concreto: com a consolidação do arcabouço sancionatório da ANPD, a ausência de RIPD deixou de ser lacuna documental para se tornar vetor de responsabilização administrativa, reputacional e civil.
Por fim, o RIPD representa uma oportunidade de inovação em governança: ao sistematizar critérios de classificação, distribuir responsabilidades em matriz formal e instituir indicadores de desempenho com revisão anual, transforma uma obrigação normativa em ativo estratégico de maturidade institucional — alinhando o TRE/CE às melhores práticas da ISO/IEC 27005:2022 e aos controles de privacidade da ISO/IEC 27002:2023.
O que verdadeiramente diferencia esta iniciativa é a recusa em tratar a proteção de dados como burocracia paralela à atividade administrativa. O RIPD do Módulo Pesquisa Pública do SEI demonstra que transparência e privacidade não são valores antagônicos, mas dimensões complementares de uma governança pública madura — e que a conformidade com a LGPD, longe de restringir o acesso à informação, é o que confere legitimidade sustentável à publicidade administrativa.
Ao integrar rigor jurídico, metodologia internacional de gestão de riscos e instrumentos práticos de governança em um único documento coerente, auditável e orientado a resultados, o TRE/CE posiciona esta boa prática como referência replicável para órgãos públicos que enfrentam o mesmo dilema — e como evidência concreta de que maturidade em segurança da informação e respeito aos direitos fundamentais dos titulares são, ao mesmo tempo, obrigação legal e vantagem institucional.
Contexto e Alcance
A prática foi criada pela Assessoria de Segurança da Informação, um relatório de impacto específico para documentos gerados no SEI, e aplicável à justiça eleitoral do estado do Ceará (TRE/CE)
Todos os usuários da Justiça Eleitoral do Ceará.
Todos os usuários da Justiça Eleitoral do Ceará.
Em todo do estado do Ceará.
Resultados e Impacto
A prática teve como objetivo central avaliar a conformidade da Pesquisa Pública do SEI com a LGPD e a LAI, especialmente quanto à divulgação de processos e documentos ao público externo. Como resultado, foi elaborado um novo RIPD, que concluiu ser legítima a finalidade de transparência ativa, mas vedou a premissa de que a classificação de um processo como público autorize, automaticamente, a exposição irrestrita do inteiro teor dos documentos, sem análise prévia, filtros e critérios de proporcionalidade.
Outro objetivo específico foi mapear a operação de tratamento e identificar os pontos críticos de exposição de dados pessoais. Esse resultado foi alcançado com a descrição das etapas do fluxo, desde a produção e classificação do documento até sua disponibilização na Pesquisa Pública, consulta externa e eventual reclassificação, permitindo visualizar de forma objetiva onde estão os maiores riscos de desconformidade.
Como vários órgãos utilizam o SEI, a análise pode ser replicada, pois é o mesmo sistema com as mesmas regras nacionais.
Perfeitamente adaptável. O tratamento de dados pessoais no SEI segue o mesmo padrão nacional.
Tem que ter no mínimo uma analise constante dos cenários, pois a realidade muda e com ela os riscos. Há necessidade de um responsável da alta administração patrocinando.
Sem dados disponíveis
Informações complementares
Uso da Lei Geral de Proteção de dados pessoais (LGPD)
Uso das boas práticas como as ISOs 27001, 27005 e 27701.
Uso das diretivas da Lei de Acesso à Informação (LAI)