A profissional L. O. foi credenciada pela Secretaria Municipal de Saúde para prestar serviços de psicologia no Centro de Atenção Psicossocial. Documentos relacionados à contratação foram publicados no sistema público do TCM/BA. O problema é que a Prefeitura anexou documentos pessoais da psicóloga sem nenhuma proteção ou anonimização.
Entre as informações tornadas públicas estão o número completo do cartão bancário com data de validade e código de segurança, dados bancários completos incluindo instituição financeira, agência e conta corrente, CPF, RG com foto e impressão digital, endereço residencial completo, certidão de nascimento com dados de filiação, diplomas, certificados acadêmicos e histórico escolar com todas as notas, carteira profissional do Conselho Federal de Psicologia e data de nascimento. Por questões de segurança, esta matéria não divulga números de contratos ou processos específicos para evitar que pessoas mal-intencionadas localizem facilmente os documentos expostos.
O Grupo Adicc, acredita que a profissional provavelmente sequer foi comunicada pela Prefeitura sobre a divulgação não autorizada de suas informações. A exposição de dados financeiros completos representa um risco concreto e imediato. Pessoas mal-intencionadas podem utilizar essas informações para realizar compras fraudulentas, abrir contas em nome da vítima, solicitar empréstimos ou aplicar outros tipos de golpes financeiros. O acesso ao endereço residencial e documentos pessoais amplia ainda mais a vulnerabilidade da profissional.
A denúncia aponta violações aos artigos 6º, 46º e 48º da LGPD. O artigo 6º estabelece os princípios básicos do tratamento de dados, incluindo a necessidade de finalidade adequada e segurança. O artigo 46º trata das medidas de segurança técnicas e administrativas para proteção dos dados. O artigo 48º determina que o controlador deve comunicar à ANPD e ao titular incidentes de segurança que possam acarretar risco ou dano relevante. No caso específico, a Prefeitura de Morro do Chapéu, gestão da prefeita Juliana Pereira Araújo Leal, não anonimizou dados pessoais em documentos destinados à publicação oficial, expôs dados financeiros sensíveis sem nenhuma justificativa legal e aparentemente não comunicou a titular sobre a exposição de suas informações.
A anonimização consiste na utilização de técnicas para retirar a possibilidade de identificação de uma pessoa a partir de seus dados. Em processos de contratação pública, órgãos governamentais podem publicar informações sobre contratos, mas devem ocultar dados pessoais sensíveis que não sejam essenciais para a transparência do processo. No caso da psicóloga de Morro do Chapéu, seria suficiente divulgar o objeto da contratação, o valor, certificados, capacidade técnica e outros. Não havia nenhuma necessidade de tornar públicos documentos como RG, certidão de nascimento, histórico escolar, e principalmente dados bancários e de cartão de crédito/débito.
A exposição representa uma falha básica de gestão de dados pessoais e coloca em risco a segurança financeira e pessoal de uma servidora contratada. A denúncia demonstra falta de capacitação de servidores públicos municipais sobre as obrigações estabelecidas pela LGPD e os riscos reais para cidadãos quando essas normas são descumpridas.
Nota: A própria profissional afetada pode desconhecer que seus dados sensíveis estão acessíveis publicamente na internet, impedindo-a de tomar medidas de proteção imediatas.
