Tag: ANPD

Publicado em por

CPF NA HORA DA COMPRA: DIREITOS E LIMITES NA EXIGÊNCIA DO DADO

É comum, ao efetuar uma compra, ser questionado sobre o número do CPF. Entretanto, a solicitação desse dado pessoal só é permitida quando existir uma finalidade legítima, clara e previamente informada ao consumidor, conforme previsto no Código de Defesa do Consumidor (CDC) e na Lei Geral de Proteção de Dados (LGPD).

A LGPD estabelece que qualquer coleta de dados pessoais precisa estar amparada por consentimento ou por hipótese legal que justifique o tratamento. Assim, o fornecedor deve informar por que precisa do CPF, de que forma utilizará essa informação e quais medidas de segurança adota para protegê-la.

Há situações em que o fornecimento do CPF é indispensável, como:

  • emissão de nota fiscal nominal;
  • compras parceladas ou a prazo, que exigem consulta a órgãos de proteção ao crédito;
  • entrega de produtos adquiridos online, para viabilizar a execução do contrato;
  • participação em programas de fidelidade ou cashback, mediante consentimento.

Por outro lado, exigir o CPF para compras à vista sem nota fiscal nominal ou como condição para entrar em estabelecimentos físicos é prática abusiva. O consumidor pode, inclusive, solicitar à empresa informações sobre quais dados mantém, para que finalidade são utilizados, com quem são compartilhados e requerer a exclusão ou restrição de uso para fins de publicidade ou venda de informações.

Empresas que tratam dados pessoais de forma indevida estão sujeitas a sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), além de medidas previstas no CDC. A legislação protege o consumidor contra condutas que violem princípios como a boa-fé, a transparência e o direito à informação.

Em caso de irregularidades, o consumidor pode recorrer aos Procons e à ANPD para apuração e eventual responsabilização do fornecedor.

Publicado em por

PROTEÇÃO DE DADOS NO BRASIL: COMO AS EMPRESAS DEVEM SE ADAPTAR À LGPD

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor com o objetivo de assegurar privacidade e segurança no tratamento de informações pessoais, tanto no meio físico quanto no ambiente digital. No contexto corporativo, empresas de todos os portes, independentemente do segmento de atuação, estão sujeitas à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) sempre que realizam operações envolvendo dados pessoais no Brasil ou ofereçam produtos e serviços a indivíduos localizados no país.

A legislação se aplica de forma ampla: não importa se se trata de uma grande corporação, uma microempresa ou até mesmo um profissional autônomo. Sempre que houver coleta, armazenamento, compartilhamento ou qualquer outra forma de utilização de dados pessoais, há a obrigação de cumprir as disposições da LGPD.

Entre as bases legais previstas, destacam-se o consentimento do titular, o cumprimento de obrigações legais ou regulatórias, a execução de políticas públicas, a realização de estudos por órgãos de pesquisa, a formalização ou execução de contratos, o exercício regular de direitos, a proteção da vida e da saúde, o legítimo interesse e a proteção do crédito.

A adequação à lei deve ser conduzida de maneira personalizada, considerando o porte, o ramo de atividade e a complexidade do tratamento de dados realizado pela organização. O processo geralmente envolve etapas como mapeamento e classificação dos dados tratados, revisão e elaboração de contratos e termos específicos, atualização de políticas de privacidade, treinamentos voltados a colaboradores e gestores, nomeação de encarregado pelo tratamento de dados (DPO), implementação de medidas técnicas de segurança da informação, criptografia, controles de acesso e definição de protocolos para resposta a incidentes. Trata-se de uma prática contínua, que exige monitoramento e revisões periódicas.

O descumprimento da LGPD pode gerar consequências administrativas e judiciais. Entre as sanções aplicáveis pela ANPD estão advertências, multas que podem alcançar até 2% do faturamento da empresa, e até a suspensão das atividades de tratamento de dados. Além disso, a não conformidade pode motivar ações judiciais individuais ou coletivas, movidas por titulares de dados, órgãos de defesa do consumidor e Ministério Público.

As principais demandas de adequação identificadas nas empresas incluem a atualização de contratos com cláusulas específicas de proteção de dados, a criação ou revisão de políticas de privacidade para websites e aplicativos, a definição de procedimentos internos para gestão de incidentes e a capacitação de equipes. Em especial, micro e pequenas empresas têm buscado soluções adaptadas à sua realidade financeira e operacional, de forma a cumprir a lei sem comprometer a continuidade de suas atividades.

Publicado em por

MODERNIZAÇÃO ADMINISTRATIVA E LGPD: O PAPEL DOS DECRETOS FEDERAIS NA ESTRUTURAÇÃO DO ESTADO DIGITAL

A digitalização do Estado brasileiro alcançou um novo patamar com a publicação dos Decretos Federais nº 12.561 e nº 12.564, ambos de julho de 2025. Mais do que acelerar o uso de meios eletrônicos na administração pública, essas normas consolidam um modelo de governança digital ancorado na biometria — classificada pela Lei Geral de Proteção de Dados (LGPD) como dado pessoal sensível —, estabelecendo diretrizes que conciliam eficiência, segurança jurídica e proteção de direitos fundamentais.

Na prática, os decretos estruturam medidas para modernizar processos relacionados a benefícios previdenciários e operações de crédito consignado, ao mesmo tempo em que delimitam salvaguardas robustas contra riscos como fraudes, vazamentos e práticas discriminatórias, sempre com a atuação supervisora da Autoridade Nacional de Proteção de Dados (ANPD).

Bases interoperáveis e transição gradual

O Decreto nº 12.561/2025 instituiu a verificação biométrica como requisito para concessão de benefícios previdenciários, adotando a Carteira de Identidade Nacional (CIN) como referência principal para a identificação dos cidadãos. Em lugar de uma transição abrupta, a norma previu uma arquitetura de interoperabilidade regulada, coordenada pela Secretaria de Governo Digital, capaz de assegurar padronização e rastreabilidade no tratamento de dados sensíveis.

Reconhecendo os limites de cobertura da CIN no momento atual, o decreto autorizou o uso de registros transitórios — como CNH, dados da Polícia Federal e do TSE —, de forma a evitar exclusão de cidadãos e descontinuidades no acesso aos serviços. Essa abordagem evidencia um olhar pragmático, ao permitir que cada órgão implemente fluxos próprios de coleta e validação biométrica conforme sua realidade operacional.

Formalização digital com consentimento qualificado

Já o Decreto nº 12.564/2025 regulamenta a formalização digital do crédito consignado, estabelecendo como requisito a realização de prova de vida biométrica e o registro de consentimento explícito e auditável do trabalhador. O objetivo é garantir que o titular detenha o controle efetivo sobre seus dados, protegendo-o contra fraudes e operações não autorizadas.

Embora a norma se baseie na exigência de consentimento, é juridicamente viável considerar, em determinados contextos, o uso das hipóteses legais do art. 11, II, “a” ou “g” da LGPD, que dispensam o consentimento quando o tratamento for necessário ao cumprimento de obrigação legal ou à prevenção de fraudes. A adoção dessas bases depende, contudo, de uma análise criteriosa que respeite os direitos previstos no art. 9º da lei e leve em conta eventuais riscos à liberdade individual do titular.

A norma também exige a produção de evidências técnicas que comprovem autoria e integridade do ato, como gravações em vídeo com movimentos específicos para atestar a vitalidade do cidadão. Esse tipo de comprovação já é utilizado em plataformas públicas, como o sistema Gov.br, e reforça a confiabilidade dos serviços digitais voltados a populações mais vulneráveis, como aposentados e pensionistas.

Supervisão regulatória e proteção preventiva

A atuação da ANPD está posicionada como elemento estruturante desse processo. Com base na LGPD, a autoridade dispõe de instrumentos para acompanhar, orientar e intervir sempre que houver indícios de riscos aos direitos dos titulares. Seu Radar Tecnológico, publicado em 2024, identificou pontos críticos no uso da biometria, como a possibilidade de desvio de finalidade e os impactos da irrevogabilidade dos dados em caso de vazamento ou erro.

A previsão de relatórios de impacto, recomendações técnicas e auditoria contínua, conforme os artigos 4º, §3º, 38 e 55-J, XIII da LGPD, permite à ANPD exercer um papel de vigilância ativa. Com isso, promove-se uma cultura de responsabilização no uso de tecnologias de identificação, reduzindo assimetrias entre o Estado e o cidadão.

Tecnologia a serviço da inclusão e da cidadania

A digitalização biométrica não está imune a desafios sociais. Grupos como idosos, moradores de áreas remotas e pessoas com restrições de acesso à tecnologia podem encontrar barreiras no uso de sistemas digitais de identificação. Por essa razão, os decretos incorporaram mecanismos de inclusão, com a manutenção de alternativas técnicas e fluxos híbridos enquanto a CIN ainda não se torna universal.

Essa escolha não é apenas operacional, mas ética: o acesso a direitos não pode depender exclusivamente da adequação tecnológica do indivíduo. Ao permitir caminhos alternativos e preservar o consentimento como elemento documentado, o modelo adotado assegura protagonismo ao cidadão no processo de autenticação, tornando-o parte ativa na proteção de seus dados.

Transparência e confiabilidade como pilares da transformação

A confiança nos serviços públicos digitais exige mais do que usabilidade: depende de infraestrutura segura, processos auditáveis e transparência institucional. Os decretos exigem a geração de logs, autenticação multifatorial e confirmação humana para decisões críticas, mitigando erros e responsabilizando eventuais falhas de sistemas automatizados.

Casos anteriores, como o de uma identificação incorreta por reconhecimento facial em 2019 no estado do Rio de Janeiro, servem como referência para a construção de um modelo que privilegia a rastreabilidade e a governança técnica. Aprender com erros passados é um passo essencial para consolidar a confiança pública nas ferramentas do Estado Digital.

Os marcos normativos de 2025 mostram que a digitalização da máquina pública pode ser conduzida de forma equilibrada, aliando inovação tecnológica à responsabilidade institucional. Ao estruturar a interoperabilidade biométrica em bases legais, auditáveis e inclusivas, o país dá um passo importante rumo à consolidação de um modelo de Estado digital centrado no cidadão, tecnicamente consistente e atento aos limites da proteção de dados.

Ainda existem pontos de atenção, como o reforço da cibersegurança e o combate a eventuais distorções de acesso. Mas o caminho regulatório agora delineado oferece parâmetros claros para o desenvolvimento de soluções digitais legítimas, seguras e socialmente responsáveis.

Publicado em por

LGPD COMPLETA SETE ANOS: UM MARCO LEGAL AINDA EM CONSTRUÇÃO DIANTE DOS RISCOS DIGITAIS NO BRASIL

Completando sete anos desde sua sanção, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) representa uma das iniciativas mais relevantes no campo dos direitos fundamentais no Brasil contemporâneo. Inspirada em modelos internacionais, como o regulamento europeu, a LGPD foi concebida para garantir transparência, privacidade e segurança no tratamento de dados pessoais. No entanto, a realidade brasileira evidencia a persistência de desafios substanciais para sua consolidação como instrumento eficaz de proteção.

Entre os principais entraves está a frequência com que dados pessoais vêm sendo expostos. De janeiro a julho de 2024, o número de vazamentos registrados por órgãos federais superou o acumulado dos três anos anteriores. O volume impressiona e revela um ambiente onde estruturas públicas e privadas ainda operam com fragilidades técnicas e gerenciais graves. No mesmo período, registros de fraudes eletrônicas demonstram que o cidadão segue desprotegido diante de esquemas cada vez mais sofisticados de engenharia social.

Os dados, no entanto, não se limitam a números frios. Eles expressam o cotidiano de milhões de pessoas que veem suas informações trafegarem sem consentimento, muitas vezes sem saber como ou por quem estão sendo utilizadas. Isso reforça a necessidade de que a aplicação da LGPD ultrapasse o campo normativo e alcance efetividade prática, o que pressupõe uma atuação mais estruturada do órgão regulador e um compromisso político com a proteção de dados como direito fundamental.

Outro ponto que merece atenção é o avanço das tecnologias de vigilância em espaços públicos, especialmente aquelas baseadas em reconhecimento facial. A ausência de regulamentação específica para o uso dessas ferramentas, associada à baixa transparência sobre seus critérios de funcionamento, tem gerado preocupação. Há evidências de que determinados grupos populacionais são impactados de forma desproporcional por essas tecnologias, o que exige não apenas controle técnico, mas também reflexões éticas e sociais mais profundas.

Ao mesmo tempo, tramitam no Congresso propostas legislativas que visam disciplinar o uso de dados em investigações criminais. Uma delas, de ampla repercussão, abre a possibilidade de acesso a bases privadas sem salvaguardas mínimas de proteção, o que suscita dúvidas sobre sua compatibilidade com princípios constitucionais. A ausência de debate público qualificado sobre esses projetos também indica uma lacuna preocupante entre o avanço tecnológico e a deliberação democrática.

Apesar das dificuldades, é possível identificar esforços importantes. A publicação de resoluções normativas pela autoridade nacional, exigindo a comunicação de incidentes em prazo definido, fortalece a cultura de responsabilidade. Estudos técnicos sobre biometria, inteligência artificial e proteção de dados de crianças e adolescentes apontam para uma agenda regulatória que se alinha a práticas internacionais. Ao mesmo tempo, iniciativas de organizações sociais contribuem para ampliar o debate e fomentar a educação digital.

Mas os progressos institucionais só se sustentam quando acompanhados pela participação ativa da sociedade. O domínio técnico da lei precisa ser traduzido em consciência popular. O Brasil exige não apenas normas, mas também uma cultura de proteção de dados que permita ao cidadão exercer seu direito à privacidade de forma plena, segura e informada.

Ao completar sete anos, a LGPD exige mais do que celebração. Requer vigilância crítica, investimento em estruturas de fiscalização, compromisso público com os direitos informacionais e, sobretudo, educação digital como política de Estado. O respeito aos dados pessoais é uma extensão da dignidade humana, e o caminho para sua efetiva proteção ainda está em construção.

Publicado em por

SEUS DADOS FORAM EXPOSTOS? SAIBA COMO REAGIR E PROTEGER SEUS DIREITOS

No início de julho, uma falha grave em uma empresa responsável por conectar instituições financeiras ao sistema Pix resultou em um ataque cibernético que desviou cerca de R$ 1 bilhão. O incidente comprometeu contas de liquidação junto ao Banco Central, revelando fragilidades técnicas significativas na base que sustenta o sistema de pagamentos brasileiro.

Apesar de o ataque ter se concentrado em contas operacionais entre instituições, os efeitos podem ultrapassar os limites técnicos. Falhas dessa natureza, se não forem devidamente contidas e comunicadas, geram instabilidade nos serviços, interrupções em operações financeiras e, sobretudo, riscos de exposição de dados que, utilizados de forma indevida, podem resultar em fraudes ao consumidor final.

A legislação brasileira é clara ao estabelecer a responsabilidade das empresas que tratam dados pessoais. A Lei Geral de Proteção de Dados (LGPD) determina que, havendo qualquer incidente de segurança, o controlador deve informar a Autoridade Nacional de Proteção de Dados (ANPD) sem demora. Dependendo da gravidade, também deve ser feita uma comunicação pública, de forma ampla e transparente, com medidas efetivas para contenção e mitigação dos danos.

Além disso, o titular dos dados tem o direito de saber como suas informações foram utilizadas e se houve falha na proteção. Pode, inclusive, solicitar esclarecimentos sobre o incidente, requerer cópia dos dados tratados e pedir revisão de decisões automatizadas com base nesses dados.

Ainda que o Poder Judiciário reconheça a gravidade dos vazamentos, o entendimento atual do Superior Tribunal de Justiça exige a comprovação de dano concreto para eventual indenização. Ou seja, não basta que os dados tenham sido expostos: é necessário demonstrar que houve prejuízo material ou moral diretamente relacionado ao incidente.

Caso o titular identifique que seus dados foram usados de forma indevida, ele pode exigir explicações da empresa, protocolar reclamação junto à ANPD e, se for o caso, recorrer ao Judiciário.

Mesmo que o impacto direto aos clientes ainda não tenha sido constatado, a obrigação de informar e agir com diligência permanece. Empresas e instituições financeiras devem reforçar seus protocolos de segurança, revisar suas práticas e manter vigilância constante. A confiança do cidadão depende não apenas da eficácia dos sistemas tecnológicos, mas da postura ética e preventiva de quem os opera. Quando esse compromisso falha, é sempre o consumidor que arca com as consequências.

Publicado em por

ADOÇÃO DA LGPD IMPULSIONA VOLUME DE DECISÕES JUDICIAIS NO BRASIL

Entre outubro de 2023 e outubro de 2024, o número de decisões judiciais envolvendo a Lei Geral de Proteção de Dados praticamente dobrou no Brasil, saltando de 7.503 para 15.921. Em um terço desses casos, a LGPD foi tratada como questão central, evidenciando o amadurecimento da discussão jurídica sobre proteção de dados no país.

Esse aumento pode ser atribuído a múltiplos fatores. A maior frequência de incidentes de segurança, como vazamentos de dados, tem levado titulares a buscar o Judiciário para a reparação de danos. Além disso, a atuação mais firme da Autoridade Nacional de Proteção de Dados tem impulsionado o cumprimento das normas legais e estimulado ações judiciais. A própria jurisprudência vem se consolidando, com decisões mais objetivas e previsíveis, o que encoraja novos litígios. Soma-se a isso uma população mais bem informada sobre seus direitos, especialmente no ambiente digital.

Os temas mais recorrentes nesses processos incluem indenizações por danos morais decorrentes de vazamento de dados, uso indevido de informações pessoais, campanhas publicitárias realizadas sem base legal válida, coleta e tratamento indevidos de dados biométricos em departamentos de recursos humanos, além de fraudes financeiras e golpes facilitados por falhas na proteção de dados.

Para as organizações, o caminho mais prudente é investir na prevenção. A revisão constante de processos internos, a capacitação adequada de profissionais responsáveis pela proteção de dados, a documentação de decisões e medidas adotadas, bem como o uso de tecnologias que apoiem a conformidade legal, são medidas que reduzem significativamente os riscos. A transparência com os titulares e a prontidão para auditorias externas também reforçam a confiança e podem evitar litígios.

A adoção de boas práticas jurídicas e tecnológicas não apenas reduz a exposição a processos, mas contribui para uma cultura organizacional mais comprometida com a ética digital e a responsabilidade no tratamento de dados pessoais.

Publicado em por

A INFORMALIDADE NO TRATAMENTO DE DADOS FACIAIS EM CONDOMÍNIOS

O uso de reconhecimento facial para controle de acesso em condomínios residenciais tem se tornado uma prática amplamente adotada no Brasil, mas sua implementação tem ocorrido sem o devido cuidado com os direitos dos titulares e com pouca ou nenhuma transparência no tratamento dos dados coletados. Estimativas apontam para a existência de aproximadamente um milhão de condomínios utilizando essa tecnologia, abrangendo inclusive dados de crianças, sem garantias adequadas de segurança, controle e fiscalização.

A coleta de dados como imagem do rosto, CPF, unidade residencial e registros de acesso diário configura um tratamento de dados pessoais sensíveis, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD). Apesar disso, o que se observa é uma informalidade generalizada: em muitos casos, o envio das imagens ocorre por aplicativos de mensagens, sem qualquer protocolo seguro, e os pedidos de exclusão de dados são tratados de forma verbal ou por simples mensagens eletrônicas, sem registros formais que comprovem o cumprimento da solicitação.

A responsabilidade legal sobre esse tratamento recai sobre os próprios condomínios, na figura do síndico, que, por vezes, delega à empresa fornecedora do sistema a guarda e o controle das informações sem qualquer supervisão adequada. Não é raro que as empresas mantenham os dados mesmo após a saída do morador, em desconformidade com os princípios da finalidade, necessidade e segurança previstos na LGPD.

A ausência de regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD) agrava a situação. Ainda que o órgão reconheça os desafios desse tipo de uso, não há até o momento regras claras sobre tempo de armazenamento, exigências técnicas de segurança ou medidas mínimas de transparência que os condomínios e prestadoras devam seguir. A fiscalização, por ora, depende exclusivamente de denúncias formais, sem atuação proativa por parte da Autoridade.

Essa lacuna regulatória se reflete diretamente no risco de exposição de dados pessoais. Há registros de vazamentos que envolvem dados completos de moradores, incluindo suas imagens faciais, divulgados em fóruns clandestinos da internet. Há também relatos de fraudes envolvendo o uso indevido de biometrias faciais para acesso a sistemas governamentais e obtenção de crédito fraudulento.

O reconhecimento facial, ao transformar o rosto em uma “chave” biométrica, exige um nível elevado de segurança, pois, diferentemente de uma senha, essa informação não pode ser modificada em caso de violação. Mesmo assim, muitos sistemas instalados em condomínios operam com o nível de segurança mais básico, propensos a falsos positivos e vulnerabilidades, o que compromete não apenas a eficácia do controle de acesso, mas também a integridade do tratamento dos dados.

A cadeia de responsabilidades entre o condomínio, as empresas que fornecem os equipamentos e aquelas que armazenam os dados é, em geral, mal definida. Em muitos contratos, não há exigência de relatórios técnicos, protocolos de exclusão de dados ou auditorias regulares. Esse vazio contratual e técnico abre espaço para práticas arriscadas e, muitas vezes, contrárias à lei.

Diante disso, algumas associações têm orientado síndicos a incluir nos contratos cláusulas que obriguem a apresentação periódica de relatórios sobre a gestão dos dados, contendo o fluxo de tratamento, medidas de segurança, histórico de acessos e incidentes, além de delimitar o tempo de guarda das informações. Essa prática, aprovada em assembleia, pode ser um primeiro passo em direção a uma governança mais responsável.

A situação atual exige que os condomínios e os profissionais envolvidos comecem a tratar a biometria facial com a seriedade que o tema exige. A proteção da identidade biométrica não pode ser baseada apenas na confiança informal entre síndico e prestadora de serviço, mas em protocolos claros, medidas de segurança auditáveis e, sobretudo, no respeito à legislação vigente.

Publicado em por

DADOS EXPOSTOS? ENTENDA SEUS DIREITOS E MEDIDAS POSSÍVEIS SEGUNDO A LGPD

Na última semana, veio a público um incidente de segurança que comprometeu uma fornecedora de tecnologia responsável pela integração de instituições financeiras ao sistema Pix. O ataque cibernético, que desviou valores expressivos de contas vinculadas ao Banco Central, revelou vulnerabilidades profundas nas engrenagens técnicas que sustentam o sistema financeiro nacional.

Diferentemente de falhas pontuais em aplicativos ou sistemas isolados, esse tipo de incidente atinge estruturas de infraestrutura que deveriam ser protegidas por padrões elevados de segurança, supervisão e governança. O acesso indevido ocorreu por meio de uma brecha explorada na integradora tecnológica, afetando diretamente contas utilizadas para liquidações financeiras entre instituições e o Banco Central.

Embora o impacto inicial tenha se concentrado em contas institucionais, é necessário reconhecer o potencial reflexo sobre usuários finais. Instabilidades em sistemas de pagamento, eventuais bloqueios operacionais e o possível comprometimento de dados transacionais são riscos que não podem ser descartados. Dados operacionais expostos, se não forem corretamente tratados após o incidente, podem ser utilizados de forma fraudulenta em outras esferas do sistema bancário.

Nessas situações, a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece obrigações objetivas para as organizações envolvidas. Entre elas, está o dever de comunicar prontamente à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência do incidente, além de, conforme a gravidade, informar os titulares e adotar medidas para mitigar os efeitos do vazamento.

A legislação assegura ainda ao titular o direito de acessar informações sobre o tratamento de seus dados e sobre o incidente ocorrido. É possível, por exemplo, solicitar detalhes sobre a extensão da exposição, os dados afetados e as medidas tomadas para correção e prevenção. O titular também pode solicitar cópias dos dados tratados e exigir revisão de decisões automatizadas que envolvam seus dados pessoais.

Caso haja indício de uso indevido dos dados — como fraudes bancárias, abertura de contas indevidas ou empréstimos não autorizados — o titular pode apresentar reclamação à ANPD e, se necessário, acionar o Poder Judiciário para buscar reparação. Contudo, decisões recentes do Superior Tribunal de Justiça indicam que a simples exposição dos dados, por si só, não gera o dever automático de indenização. É preciso comprovar um dano efetivo e o nexo com o incidente de segurança.

Diante disso, é recomendável que o cidadão que suspeita de envolvimento em um incidente de segurança:

  1. Solicite informações formais à instituição envolvida sobre a possível exposição de seus dados;
  2. Monitore movimentações bancárias e financeiras, com especial atenção a tentativas de fraude;
  3. Formalize reclamação junto à ANPD caso a empresa não forneça os esclarecimentos devidos;
  4. Em caso de dano material ou moral, avalie o ajuizamento de ação judicial com base nos direitos previstos pela LGPD.

A confiança no sistema financeiro digital repousa, em grande parte, na capacidade das instituições de prevenir, detectar e responder de forma transparente a situações como essa. O dever de proteger os dados dos cidadãos permanece, mesmo quando falham os mecanismos de segurança. E é justamente nesse ponto que os direitos do titular devem ser plenamente respeitados e exercidos.

Publicado em por

LGPD EM 2025: QUANDO A PROTEÇÃO DE DADOS SE TORNA PARTE DA ROTINA DOS NEGÓCIOS

Chegamos a um momento em que a proteção de dados deixou de ser um tema restrito ao departamento jurídico ou à área de tecnologia. Em 2025, a LGPD começa a ocupar um espaço mais orgânico nas rotinas das empresas, sendo percebida não apenas como uma obrigação legal, mas como um valor que fortalece a relação entre empresas e pessoas.

A Autoridade Nacional de Proteção de Dados (ANPD) já atua de forma mais firme e estruturada, trazendo um olhar atento para setores que lidam diretamente com dados sensíveis, como a área da saúde, os serviços financeiros e o mercado de tecnologia. Não se trata mais de ter documentos formais apenas para cumprir um protocolo; o que se espera agora é a demonstração prática de que a proteção dos dados faz parte das escolhas diárias da empresa.

Investir em segurança da informação, realizar análises sobre o impacto do uso de dados e criar uma cultura de responsabilidade interna são medidas que passaram a ser vistas como naturais, especialmente por aquelas empresas que compreendem a privacidade como um elemento essencial para manter a confiança de seus clientes e parceiros.

Por outro lado, a tecnologia avança a passos largos, e com ela surgem novos desafios. A inteligência artificial, por exemplo, já faz parte de muitas soluções que utilizamos no dia a dia, mas seu uso exige cuidado. Os algoritmos precisam ser mais transparentes, e as empresas, mais dispostas a explicar como as decisões automatizadas podem afetar a vida das pessoas. Esse é um tema que a própria ANPD tem buscado regulamentar, o que mostra uma preocupação legítima com a proteção dos direitos dos cidadãos.

As pequenas e médias empresas ainda enfrentam algumas dificuldades para atender às exigências da lei, e é natural que seja assim. Muitas vezes, faltam recursos ou orientação técnica adequada. No entanto, esse movimento de adequação tende a ganhar força com o apoio de soluções mais simples e acessíveis, desenvolvidas justamente para ajudar esse público a se adaptar sem comprometer o orçamento.

Além disso, novas formas de interação digital — como o metaverso, os dispositivos conectados à internet e o uso crescente de criptomoedas — trazem questões importantes sobre privacidade. Esses temas estão ganhando espaço nas conversas de quem pensa o futuro dos negócios. Cada vez mais, será necessário incluir a proteção de dados desde o início dos projetos, de forma que a preocupação com a privacidade acompanhe o desenvolvimento de novos produtos e serviços.

O mais interessante de tudo isso é perceber que os próprios consumidores estão mais atentos e informados. Hoje, as pessoas sabem o valor que seus dados têm e exigem que esse valor seja respeitado. As empresas que souberem conduzir essa relação com transparência e honestidade terão mais chances de criar vínculos duradouros e de fortalecer sua imagem no mercado.

Por fim, é importante lembrar que a proteção de dados é uma forma de demonstrar respeito pelas pessoas. E, nesse sentido, o Brasil tem a chance de se destacar internacionalmente, harmonizando suas regras com as melhores práticas já adotadas em outros países e atraindo investimentos que reconheçam esse compromisso.

A forma como cada empresa escolhe lidar com a privacidade será, um reflexo da sua visão de futuro e da sua responsabilidade social. E, diante de tudo isso, cabe uma reflexão simples, mas necessária: estamos, de fato, preparados para lidar com esse novo momento com a seriedade que ele exige?

Publicado em por

REGISTRO DE OPERAÇÃO DE DADOS: O QUE SUA EMPRESA MOSTRA PARA A ANPD SE FOR FISCALIZADA?

Pouca gente percebe, mas uma das obrigações mais concretas da LGPD é o registro das atividades de tratamento de dados pessoais — o chamado ROPA, sigla para Registro de Operações de Tratamento. Quando a Autoridade Nacional de Proteção de Dados bate à porta, é ele que mostra como a empresa lida, de fato, com as informações que coleta.

Esse registro funciona como um inventário detalhado de tudo o que é feito com os dados pessoais: quais são coletados, por qual motivo, onde são armazenados, quem tem acesso, com quem são compartilhados, quais medidas de segurança foram adotadas, por quanto tempo permanecem retidos e qual é a base legal que justifica cada operação.

Não se trata de burocracia, mas de transparência. O ROPA ajuda a empresa a entender seu próprio fluxo de dados, identificar riscos e evitar práticas que possam gerar autuações ou perdas de confiança. Em uma eventual fiscalização, é esse documento que será solicitado pela ANPD como primeiro passo para avaliar se a empresa cumpre a legislação.

Empresas que tratam dados de forma estruturada, mesmo sem porte grande ou atividade digital intensa, devem manter esse registro sempre atualizado. Seja por meio de planilhas, softwares específicos ou ferramentas de gestão de privacidade, o importante é garantir que a documentação reflita a realidade.

Ter um ROPA bem elaborado não é só uma obrigação legal. É uma prova de responsabilidade diante de clientes, parceiros e da própria equipe. Quando feito com clareza, ele não apenas prepara a empresa para uma eventual fiscalização, mas também para decisões mais seguras no uso de dados.

Publicado em por

CAPTAÇÃO DE LEADS SEM CONSENTIMENTO: IMPLICAÇÕES LEGAIS PARA EMPRESAS E PROFISSIONAIS

A prática de adquirir bases de dados sem origem legítima ou captar leads sem o devido consentimento pode parecer, à primeira vista, uma forma rápida de alcançar resultados comerciais. Contudo, essa aparente vantagem esconde riscos jurídicos sérios e cada vez mais concretos.

Empresas que compram listas de contatos ou utilizam formulários online sem informar, de forma clara e transparente, como os dados serão tratados, se expõem a dois tipos de consequências: a responsabilização civil por parte dos titulares dos dados e a sanção administrativa por violação à Lei Geral de Proteção de Dados (LGPD).

Do ponto de vista do consumidor, o uso indevido de seus dados pode gerar danos morais e materiais. Há decisões judiciais que reconhecem o direito à indenização em casos nos quais a pessoa sequer sabia que seus dados estavam sendo comercializados ou utilizados por terceiros. Basta uma ligação fora de hora ou um e-mail marketing insistente para dar início a uma ação judicial.

Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) já vem aplicando multas e advertências a empresas que desrespeitam os princípios da boa-fé, da finalidade e da transparência previstos na LGPD. A ausência de base legal válida para a coleta e o uso de informações pessoais – como o consentimento ou o legítimo interesse devidamente documentado – é suficiente para caracterizar infração.

Investir em práticas seguras e éticas de captação de leads, com documentos de privacidade claros, sistemas de registro de consentimento e revisão dos fluxos internos de tratamento de dados, não é apenas uma questão de conformidade: é respeito ao cliente e proteção à reputação da própria empresa.

Publicado em por

3 DOCUMENTOS QUE NÃO PODEM FALTAR EM UMA INVESTIGAÇÃO DE DADOS

A atuação preventiva das empresas frente à Lei Geral de Proteção de Dados Pessoais (LGPD) vai além da elaboração de políticas e termos formais. Ela se revela, sobretudo, na capacidade de responder, com clareza e agilidade, a eventuais fiscalizações da Autoridade Nacional de Proteção de Dados (ANPD) ou do Ministério Público, especialmente quando há apuração de um incidente de segurança envolvendo dados pessoais.

Três elementos são frequentemente solicitados nesses processos de apuração: o registro das atividades de tratamento, a evidência do consentimento obtido do titular e o histórico de acessos aos dados pessoais. Cada um deles carrega implicações práticas e exige estrutura adequada para ser apresentado, quando requisitado.

Registro de tratamento
O controlador deve manter registro atualizado das operações de tratamento realizadas. Esse documento permite identificar quais dados são tratados, para qual finalidade, por quem, com que base legal e por quanto tempo. Não se trata de mera formalidade: é uma exigência prevista no artigo 37 da LGPD, e sua ausência pode ser interpretada como negligência na governança de dados.

Evidência de consentimento
Sempre que a base legal utilizada for o consentimento do titular, é indispensável comprovar que ele foi obtido de forma livre, informada e inequívoca. Isso implica em manter arquivadas as telas, documentos ou sistemas que demonstrem o momento da coleta, o conteúdo da autorização concedida e a possibilidade de revogação. A falta desse registro pode comprometer toda a operação de tratamento envolvida.

Histórico de acesso aos dados
A rastreabilidade do acesso às informações pessoais é um indicativo de controle interno. A ANPD e o Ministério Público têm buscado entender quem teve acesso aos dados, quando e para quê. Sistemas com logs de acesso auditáveis, integrados a mecanismos de autenticação, reforçam a transparência e a responsabilidade sobre o tratamento dos dados.

É fundamental garantir organização documental, clareza nos fluxos internos e domínio sobre o ciclo de vida dos dados. Mais do que cumprir uma obrigação legal, manter esses controles acessíveis e atualizados é demonstrar respeito aos titulares e responsabilidade perante as autoridades.