Publicado em Deixe um comentário

A IMPORTÂNCIA DO CONTROLE DE TERCEIROS NA PROTEÇÃO DE DADOS CORPORATIVOS

O relatório Global Cybersecurity Outlook 2024, divulgado pelo World Economic Forum em janeiro, indicou que 41% das organizações afetadas por incidentes de segurança no último ano atribuíram a causa a terceiros. Um estudo paralelo da Security Scorecard, “Close encounters of the third (and fourth) party kind”, publicado também em janeiro de 2023, encontrou que 98% das organizações mantêm relações com ao menos um terceiro que sofreu uma violação de segurança nos últimos dois anos. Ademais, revelou que para cada fornecedor direto, as empresas têm, em média, 60 a 90 conexões indiretas.

Esses dados sublinham a importância de uma gestão de riscos cibernéticos mais robusta e consciente, especialmente em relação a terceiros e parceiros de negócios. No âmbito da Lei Geral de Proteção de Dados (LGPD) no Brasil, essa preocupação se acentua, pois os fornecedores que manuseiam dados pessoais em nome das empresas são igualmente responsáveis pela segurança e pelo tratamento adequado dessas informações. Falhas nesse processo podem levar a sanções legais e a consequências negativas para a reputação das empresas envolvidas.

Considerando o cenário brasileiro, um relatório da Trend Micro de 2023 posicionou o Brasil como o segundo país com maior número de ataques cibernéticos, destacando a relevância deste desafio. Foram registradas 85,6 bilhões de ameaças bloqueadas somente no primeiro semestre, o que evidencia a vulnerabilidade das organizações nacionais a ataques que podem paralisar suas operações, como os de ransomware.

É importante que as organizações desenvolvam e implementem estratégias de cibersegurança que incluam uma avaliação rigorosa dos riscos associados a terceiros. Isso envolve não apenas a adoção de práticas de segurança informatizadas adequadas, mas também a garantia de que os parceiros e fornecedores adotem medidas similares para proteger os dados pessoais tratados em nome das empresas contratantes.

A segurança dos dados e a proteção contra riscos cibernéticos exigem uma abordagem integrada e estratégica, que vá além do cumprimento de requisitos legais e envolva todas as partes da cadeia de suprimentos digital. A prevenção de riscos e a adoção de controles de segurança eficazes são essenciais para a sustentabilidade e a resiliência organizacional em um ambiente digital cada vez mais complexo e regulado.

Publicado em Deixe um comentário

ESTRATÉGIAS DE ANONIMIZAÇÃO PARA COMPLIANCE E LIBERDADE DE USO

A transformação de dados pessoais em anônimos é uma etapa crítica para atender às exigências impostas por regulamentos e princípios éticos, econômicos, estruturais e legais. Esta prática se tornou um componente indispensável nas estratégias de conformidade, especialmente sob as diretrizes de proteção de dados. Anonimizar dados serve como uma ponte vital, permitindo a transição de informações pessoais para um domínio onde podem ser livremente utilizadas, garantindo uma maior liberdade na manipulação de dados sem infringir as normas de privacidade.

Com a promulgação de leis de proteção de dados, empresas e organizações enfrentam o desafio de reavaliar suas operações de análise de dados. Estas legislações enfatizam a importância de limitar o uso de informações ao mínimo necessário para cumprir objetivos específicos, condenando o acúmulo de dados sem finalidades explícitas. Neste cenário, a anonimização emerge como uma solução essencial, permitindo a continuidade do uso de dados analíticos enquanto se mantém em conformidade com as restrições legais.

Entretanto, a implementação efetiva dessa técnica encontra obstáculos. A legislação apresenta disposições fragmentadas sobre o assunto, há uma carência de estudos acadêmicos detalhados e, até o momento, falta orientação regulatória clara sobre as melhores práticas de anonimização. Isso cria um ambiente de incerteza para aqueles que buscam se alinhar às exigências da legislação de proteção de dados.

Apesar desses desafios, a aplicação da anonimização é não apenas viável, mas também recomendável. Ela requer uma compreensão de que o processo de tornar os dados anônimos é, em si, uma forma de tratamento de dados, exigindo conformidade com as normas de proteção de dados até que a anonimização seja concluída. Além disso, é necessário reconhecer que a eficácia da anonimização depende do contexto e da capacidade de reversão, o que significa que as técnicas utilizadas devem ser periodicamente revisadas para garantir que continuem sendo eficazes à luz de novas tecnologias e métodos de análise.

Importante também é a identificação dos limites da anonimização, que podem ser categorizados em termos de suas características intrínsecas, a relação com outros dados disponíveis e os desafios éticos e legais associados ao seu uso. Estas considerações sublinham a importância de uma escolha informada e consciente dos riscos ao optar pela anonimização.

A compreensão aprofundada e a aplicação cuidadosa dessa técnica beneficiam todos os envolvidos. Para os indivíduos, oferece uma camada adicional de proteção de privacidade. Para as entidades que processam dados, fornece uma ferramenta que possibilita o uso inovador e legal das informações. E para a sociedade, fomenta um debate vital sobre as práticas éticas na utilização de dados.

Portanto, a anonimização representa uma abordagem estratégica essencial na era da proteção de dados, facilitando a inovação e o avanço tecnológico de maneira responsável e conforme às exigências legais e éticas.

Publicado em Deixe um comentário

EMPRESAS FRENTE A DESAFIOS JUDICIAIS POR FRAUDES ELETRÔNICAS

Em um ambiente digital cada vez mais complexo, a importância da segurança online é enfatizada pelo Dia Internacional da Internet Segura, comemorado em 6 de fevereiro. Um estudo realizado pela Deep Legal, uma empresa especializada em inteligência de dados e gestão preditiva, destaca um dado preocupante: em 60% dos processos judiciais relacionados a fraudes eletrônicas, as empresas são responsabilizadas, ao menos em parte, por danos sofridos pelos clientes devido a esses golpes.

A análise, baseada em 10.000 casos judiciais brasileiros, aponta que o setor financeiro, de telecomunicações e de varejo são os mais afetados por reclamações de consumidores relacionadas a fraudes digitais. Utilizando técnicas de Legal Analytics, a Deep Legal conseguiu mapear as principais tendências e decisões judiciais, oferecendo uma perspectiva valiosa sobre a responsabilização das empresas nesses casos.

Apesar de os consumidores frequentemente compartilharem seus dados, as empresas têm a responsabilidade de informá-los sobre potenciais golpes envolvendo suas marcas. A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil, impõe penalidades severas às empresas que negligenciam a segurança dos dados dos clientes.

O aumento significativo dos casos de estelionato digital, que cresceram 65,1% em 2022 em comparação com o ano anterior, segundo o Anuário Brasileiro de Segurança Pública 2023, sublinha a necessidade urgente de medidas de proteção eficazes. As penalidades previstas pela LGPD incluem advertências, multas de até R$50 milhões, publicização da infração e, em casos mais graves, suspensão ou bloqueio das bases de dados.

A Deep Legal se apresenta como uma ferramenta inovadora para empresas e escritórios jurídicos, oferecendo soluções baseadas em inteligência artificial e gestão preditiva que transformam dados judiciais em insights estratégicos. O objetivo é auxiliar na gestão de volumes judiciais, permitindo uma tomada de decisão mais informada e estratégica, ao mesmo tempo em que se antecipa tendências e se minimiza riscos legais.

Publicado em Deixe um comentário

ENTENDENDO O MAPA DE TEMAS PRIORITÁRIOS DA AUTORIDADE NACIONAL

A Autoridade Nacional de Proteção de Dados, responsável pela proteção de dados pessoais e pela aplicação da legislação específica de proteção de dados no Brasil, revelou recentemente seu Mapa de Temas Prioritários. Este documento é um plano de ação estratégico que define as áreas prioritárias para os próximos dois anos, sendo crucial para as empresas que buscam se adequar às normas de proteção de dados e melhorar suas práticas de cibersegurança.

O plano estabelece quatro eixos de atuação. O primeiro se concentra nos direitos dos titulares de dados, com ações de fiscalização voltadas para o tratamento de dados por entidades governamentais, plataformas digitais, e setores financeiro e de telecomunicações. Esta iniciativa inclui a colaboração com outras instituições reguladoras, prevendo uma série de atividades de fiscalização para este ano.

O segundo eixo aborda a proteção de dados pessoais de crianças e adolescentes no ambiente digital. Aqui, o foco é assegurar que os direitos deste grupo sejam salvaguardados, com medidas específicas para verificar o consentimento e a idade em plataformas digitais. As ações planejadas começarão no segundo semestre deste ano e se estenderão até 2025.

O terceiro eixo foca no uso da inteligência artificial em sistemas de reconhecimento facial e no tratamento de dados pessoais, identificando riscos e assegurando a conformidade com a legislação de proteção de dados. A fiscalização será intensificada, especialmente em áreas de acesso público.

Finalmente, o quarto eixo se dedica à raspagem e agregação de dados, onde a autoridade planeja realizar atividades de fiscalização e estabelecer diretrizes para garantir que tais práticas estejam em conformidade com a legislação vigente, com ações previstas para começar no próximo ano.

Especialistas em cibersegurança enfatizam a importância dos investimentos em segurança digital como uma medida preventiva face às diretrizes estabelecidas. Recomenda-se que as empresas implementem ferramentas robustas de segurança para o tratamento adequado de dados e prevenção de vazamentos. Além disso, destacam a importância de ampliar as abordagens de segurança e a conscientização dos funcionários, dado o aumento de ataques de sequestro e roubo de dados.

Para complementar, a capacitação dos funcionários é vista como um elemento essencial na estratégia de cibersegurança. A formação e o aperfeiçoamento contínuo em segurança digital são fundamentais para fortalecer as defesas contra ameaças cibernéticas.

Em resumo, as diretrizes da Autoridade Nacional de Proteção de Dados representam um marco importante para as empresas no Brasil. Elas devem estar atentas e preparadas para se adaptar a estas novas exigências, investindo tanto em tecnologia de segurança quanto na capacitação de seus colaboradores.

Publicado em Deixe um comentário

ENTENDENDO A LGPD E SUAS IMPLICAÇÕES PARA 2024

A Lei Geral de Proteção de Dados (LGPD) no Brasil, em vigor desde 2020, tem se tornado um tema de crescente relevância, especialmente após o ano de 2022, marcado por incidentes significativos de vazamento de dados pessoais e ataques de phishing. Este cenário colocou o Brasil como um dos países mais afetados globalmente, ocupando a quarta posição em número de usuários com informações violadas no segundo trimestre de 2022, conforme relatório da Surfshark, uma empresa líder em segurança cibernética.

À medida que avançamos para 2024, torna-se fundamental que indivíduos estejam cada vez mais vigilantes com relação à segurança de suas senhas e informações pessoais. A ameaça de transações não autorizadas utilizando dados roubados é uma realidade palpável. Do mesmo modo, as empresas devem intensificar a implementação e conformidade com os sistemas de governança em privacidade de dados. O não cumprimento dessas normativas pode resultar em penalidades severas, incluindo multas que podem alcançar até 2% do faturamento da empresa.

A conformidade com a LGPD e a implementação de programas de privacidade de dados transcenderam a esfera da vantagem competitiva e tornaram-se uma necessidade de compliance. Fornecedores que não aderem a estas práticas estão, cada vez mais, sendo preteridos no mercado. Assim, a adoção de práticas de governança em privacidade de dados tornou-se obrigatória para as empresas, sob pena de enfrentarem sanções e multas.

Para as pessoas físicas, a LGPD representa uma proteção ampla dos dados pessoais, que vão além do CPF, abrangendo qualquer informação relacionada ao titular do dado. É fundamental que os titulares dos dados estejam cientes das empresas que acessam suas informações e como elas são utilizadas. A lei exige transparência nesse processo, e os titulares têm o direito de questionar o uso, finalidade e destino de seus dados. Além disso, eles têm direitos claros sob a LGPD, incluindo o consentimento para o uso de seus dados, a revogação desse consentimento, a atualização de suas informações e o acesso ao fluxo de dados. Em casos de danos por incidentes de dados pessoais, os consumidores podem buscar reparação junto aos órgãos competentes.

Para as empresas, a LGPD exige uma gestão cuidadosa dos dados pessoais. O mapeamento do fluxo de dados dentro da organização, conhecido como Data Mapping, é essencial. As empresas devem estabelecer sistemas de rastreamento e controle, adotando políticas de gestão de segurança robustas, parte de um Compliance de Proteção de Dados ou Governança em Privacidade. A Autoridade Nacional de Proteção de Dados (ANPD) tem mecanismos para receber denúncias de violações de dados e outras petições dos titulares, garantindo que o desvio no uso desses dados seja investigado e penalizado, quando necessário.

Finalmente, é recomendável que as organizações dediquem os primeiros meses de 2024 para revisar, aprimorar e fornecer treinamentos relacionados à privacidade de dados. O objetivo da LGPD não é restringir o uso de dados pessoais, mas sim assegurar que sejam utilizados para fins legítimos e seguros.

Publicado em Deixe um comentário

IMPLEMENTANDO UMA CULTURA DE PRIVACIDADE SOB A LEI GERAL DE PROTEÇÃO DE DADOS

A Lei Geral de Proteção de Dados do Brasil (LGPD), estabelecida pela Lei nº 13.709/18, estipula em seu artigo 50 uma diretriz importante para controladores e operadores de dados. Esta legislação exige que tais agentes estabeleçam “regras de boas práticas e de governança” que não apenas atendam aos direitos dos titulares de dados, mas também assegurem a implementação de padrões técnicos eficazes para a salvaguarda desses dados. Isso inclui a realização de ações educativas, a implementação de mecanismos de supervisão e a mitigação de riscos, entre outras práticas relevantes ao tratamento de dados pessoais.

Além disso, o parágrafo segundo do mesmo artigo da LGPD enfatiza a importância de que o controlador (e idealmente o operador também) implemente um programa de governança em privacidade. Este programa deve incorporar requisitos mínimos, como a demonstração do compromisso do controlador com a adoção de políticas internas e práticas adequadas para a proteção de dados, cobrindo todos os dados pessoais sob sua posse. É imperativo que o programa seja adaptado às particularidades da estrutura, escala e volume das operações da entidade, além de levar em conta a sensibilidade dos dados processados. Também é essencial estabelecer políticas e salvaguardas baseadas em uma avaliação de risco e impacto, mantendo a transparência para estabelecer uma relação de confiança com os titulares dos dados, integrando o programa à estrutura de governança corporativa da entidade, criando um plano de resposta a incidentes e garantindo sua constante atualização, como exemplificado pelo ciclo PDCA (planejar, fazer, verificar e agir).

No entanto, mais do que simplesmente cumprir um mandato legal, o programa de governança em privacidade deve fomentar uma cultura de proteção de dados dentro da organização, demonstrando à sociedade que há um comprometimento real com a privacidade. Isso deve refletir os princípios de boa-fé, transparência, responsabilização e prestação de contas, conforme estabelecido no artigo 6º da LGPD.

Para iniciar a implementação de um programa eficaz de governança em privacidade, é essencial que a organização elabore e divulgue uma declaração de missão ou visão relacionada à privacidade. Esta declaração deve comunicar de forma sucinta e clara o compromisso da organização com a privacidade, servindo como uma diretriz e um elemento-chave para o estabelecimento de um programa de privacidade que esteja alinhado com as realidades e expectativas da organização, dos titulares de dados e de todos os stakeholders.

A declaração de missão deve evidenciar por que a privacidade é um valor fundamental para a organização, estabelecendo sua posição sobre o tema. Ela deve articular, em poucas frases claras e concisas, o propósito e os ideais da organização em relação à privacidade.

Em suma, a declaração de missão deve refletir a aspiração da organização em relação à privacidade, definindo um objetivo claro a ser perseguido por meio de ações concretas para construir uma relação de confiança com os titulares dos dados.

Por último, é importante enfatizar que o programa de governança em privacidade é também necessário para entidades do setor público. A declaração da missão de privacidade, que pode ser integrada à Política de Privacidade, é fundamental para desenvolver uma cultura de privacidade e proteção de dados no setor público. Assim, o direito fundamental à proteção de dados pessoais, agora reconhecido na Constituição Brasileira através da Emenda Constitucional nº 115 de 2022, será respeitado em todas as organizações, sejam elas públicas ou privadas.

Publicado em Deixe um comentário

COMO A LGPD É ATENDIDA PELA REMOTE BY HOME AGENT

A implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil trouxe mudanças significativas na forma como as empresas devem tratar os dados pessoais, especialmente no contexto do trabalho remoto. Como especialista no assunto, é importante enfatizar que a LGPD, vigente desde setembro de 2020, se aplica universalmente a todas as modalidades de trabalho, incluindo o home office. Este fato destaca a necessidade de uma gestão cuidadosa e conforme à lei para evitar riscos e prejuízos.

Para assegurar a conformidade com a LGPD no ambiente de trabalho remoto, as empresas devem adotar uma série de práticas e ferramentas específicas. Isso inclui a utilização de equipamentos seguros, com software de proteção cibernética, políticas claras de privacidade e proteção de dados, treinamento adequado para os funcionários, garantia de segurança na conexão de internet e nos dispositivos utilizados, bem como a implementação de métodos de criptografia e autenticação robustos. Além disso, é crucial limitar o acesso a dados confidenciais e estabelecer procedimentos de segurança e privacidade de dados para lidar com potenciais incidentes de segurança no home office.

Uma das plataformas que exemplifica a conformidade com a LGPD no trabalho remoto é a Remote by Home Agent. Esta solução foi desenvolvida com foco na proteção de dados e privacidade, oferecendo funcionalidades avançadas de segurança, como autenticação e reconhecimento facial, garantindo que apenas usuários autorizados acessem o sistema. A plataforma também se destaca pela capacidade de monitorar a utilização pelos colaboradores, identificando atividades suspeitas ou comportamentos de risco. Além disso, permite limitar o acesso dos funcionários a sites e programas necessários para suas funções e gera relatórios detalhados sobre a utilização da plataforma, auxiliando na tomada de decisões.

Uma funcionalidade interessante da Remote by Home Agent é a gravação de tela, adaptada para atender à LGPD. Com o recurso que desfoca telas que contêm dados sensíveis, é possível utilizar a gravação de tela para a gestão de equipes, mantendo a conformidade e protegendo a privacidade dos dados dos clientes.

Em resumo, Remote by Home Agent não apenas facilita o gerenciamento de equipes em home office, mas também assegura que a LGPD seja respeitada, garantindo a privacidade e a segurança dos dados. Isso demonstra que é possível manter um alto nível de produtividade e eficiência no trabalho remoto, enquanto se cumpre rigorosamente com as exigências da legislação de proteção de dados.

Publicado em Deixe um comentário

CASO DE INDENIZAÇÃO REVELA IMPORTÂNCIA DO CONSENTIMENTO NA LGPD

Em um recente julgamento no 1º Juizado Especial Cível de Brasília, Distrito Federal, um caso notável envolvendo a Lei Geral de Proteção de Dados (LGPD) veio à tona, destacando a importância da privacidade e do consentimento no uso de dados pessoais. Uma construtora foi condenada a pagar indenização por danos morais no valor de R$ 1.000 a um cliente, após a utilização indevida de seus dados pessoais em um processo judicial.

O cerne da questão girou em torno do uso não autorizado de informações pessoais de um comprador de imóvel pela construtora, em um litígio contra um condomínio construído pela própria empresa. A construtora, em sua estratégia legal, tentou suscitar dúvidas sobre a imparcialidade de uma perita, usando os dados do cliente sem o seu consentimento. Embora a tentativa de questionar a suspeição da perita não tenha prosseguido, o fato dos dados terem sido expostos em um processo público sem autorização foi o ponto central da violação.

A defesa do consumidor argumentou que tal exposição, realizada unicamente para defender os interesses da construtora, constituiu uma clara violação da LGPD. Especificamente, foi apontada a transgressão do artigo 6º, inciso II, da lei, que trata do tratamento de dados pessoais sem o consentimento do titular.

A juíza responsável pelo caso, ao analisar as nuances, enfatizou que a ação da construtora representou um tratamento inadequado dos dados do cliente, realizado exclusivamente para benefício da empresa. Ela sublinhou que, se a construtora desejava usar os dados fornecidos para a compra e venda de imóveis em um contexto fora do original, deveria ter obtido o consentimento informado e fundamentado dos titulares dos dados para a apresentação dessas informações em um contexto judicial público, conforme estabelecido no artigo 7º, inciso I, da LGPD.

O caso sublinha a necessidade de empresas estarem vigilantes e respeitosas em relação à privacidade e ao consentimento dos dados de seus clientes, particularmente em contextos legais. A decisão é um marco importante na aplicação da LGPD no Brasil, reforçando os direitos dos consumidores e as obrigações das empresas no tratamento de dados pessoais. A ação foi conduzida por um advogado de um reconhecido escritório de advocacia, que representou o cliente lesado nessa situação.

Publicado em Deixe um comentário

CONHEÇA SEUS DIREITOS NO CASO DO VAZAMENTO DE DADOS PESSOAIS

O Instituto SIGILO (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação) recentemente lançou um portal com o objetivo de permitir o cadastro daqueles que desejam receber informações sobre uma Ação Civil Pública relacionada a um grande vazamento de dados envolvendo uma empresa de crédito. O portal, acessível por meio de um determinado endereço na web, servirá como fonte de atualizações sobre o caso e possibilitará que as pessoas assinem uma petição que será incluída no processo legal.

Com base em informações veiculadas na mídia, alega-se que a empresa em questão teria comercializado as informações pessoais de um grande número de cidadãos. O Instituto iniciou a ação legal, solicitando, entre outras coisas, uma indenização em dinheiro para cada indivíduo afetado.

Posteriormente, por iniciativa de um órgão público, o Ministério Público passou a ser coautor da ação e propôs um aumento na indenização solicitada às vítimas.

De acordo com as informações usadas para fundamentar o pedido, a empresa estaria envolvida na divulgação de dados que revelam os hábitos das pessoas, como seu comportamento de consumo online, histórico de compras, endereços de e-mail, informações de Previdência Social, renda, dados fiscais, e até mesmo a possível exposição de informações de cartões de crédito e débito.

Em resposta à ação do Ministério Público, a empresa emitiu um comunicado afirmando que “demonstrou, de forma detalhada, a ausência de invasão em seus sistemas e de qualquer indício de que o suposto vazamento tenha origem em suas bases de dados. Esses resultados foram também validados por um instituto de perícias após uma análise e revisão abrangentes, cujo parecer técnico foi entregue às autoridades competentes.”

Publicado em Deixe um comentário

O EMBATE ENTRE EMPRESAS DE TECNOLOGIA E A RECEITA FEDERAL

A Receita Federal emitiu, pela primeira vez, uma decisão negando o direito a créditos de PIS e Cofins relacionados aos gastos com a implementação da Lei Geral de Proteção de Dados (LGPD) para uma empresa do setor de tecnologia. A Solução de Consulta da Coordenação-Geral de Tributação (Cosit) nº 307, publicada em 14 de dezembro, estabelece um entendimento restritivo, alegando que tais despesas não estão diretamente associadas à atividade-fim da empresa.

No regime de apuração não cumulativa das contribuições, caso esse direito fosse reconhecido, a empresa poderia obter créditos de 9,25% sobre os valores gastos com a LGPD. Pequenas e médias empresas têm desembolsado entre R$ 50 mil e R$ 800 mil anualmente para atender às exigências da LGPD, enquanto as grandes empresas chegam a investir entre R$ 1 milhão e R$ 5 milhões, de acordo com estimativas da PwC Brasil.

A empresa que solicitou a consulta argumentou que, de acordo com uma decisão da 1ª Seção do Superior Tribunal de Justiça (STJ) em 2018, tudo que for imprescindível para o desenvolvimento da atividade econômica deve ser considerado insumo e, portanto, apto a gerar créditos. No entanto, a Receita Federal sustenta que os gastos com a implementação da LGPD são despesas, não custos, pois estão ligados à proteção de dados dos clientes e não ao processo de prestação de serviços.

O embate sobre o direito aos créditos de PIS e Cofins em relação aos gastos com a LGPD já está em discussão no Judiciário. Até agora, a maioria das decisões nos Tribunais Regionais Federais tem sido desfavorável aos contribuintes, com apenas uma decisão conhecida do TRF da 2ª Região reconhecendo esse direito.

Além do Judiciário, a questão também pode ser definida no Legislativo por meio do Projeto de Lei nº 4, de 2022, que propõe alterações na legislação para expressamente permitir que esses gastos gerem crédito. Esse possível desfecho legislativo teria uma abrangência mais ampla para todos os contribuintes.

Um especialista destaca a falta de segurança para os contribuintes no âmbito judicial, considerando a possibilidade de revisão das decisões pelo Supremo Tribunal Federal. Um advogado discorda do posicionamento da Receita Federal, argumentando que os gastos com a LGPD estão intrinsecamente ligados à atividade das empresas do setor, sendo essenciais para evitar penalidades legais relacionadas ao tratamento de dados dos clientes.