Tag: Dados Sensíveis

Publicado em por

ADEQUAÇÃO À LGPD: UM INVESTIMENTO ESTRATÉGICO PARA ORGANIZAÇÕES DA SOCIEDADE CIVIL

Às vésperas de completar cinco anos em vigor, a Lei Geral de Proteção de Dados (LGPD) ainda se impõe como um desafio expressivo para o Terceiro Setor. Fundações e associações que diariamente lidam com informações pessoais de beneficiários, voluntários e doadores precisam adotar uma postura proativa de conformidade. Não se trata apenas de atender a uma norma jurídica: trata-se de preservar a confiança, a reputação e a continuidade de projetos que impactam diretamente a sociedade.

Organizações que atuam junto a públicos em situação de vulnerabilidade coletam dados sensíveis em praticamente todas as suas atividades. Nesse contexto, a adequação à LGPD vai além da formalidade legal e deve ser encarada como compromisso ético e institucional. Garantir clareza na finalidade da coleta, solicitar consentimento de forma transparente e implementar mecanismos de segurança robustos são passos indispensáveis para proteger informações e preservar vínculos de confiança.

O impacto da não conformidade é severo. Além das sanções previstas na lei – que incluem advertências, multas proporcionais ao faturamento, bloqueio e até eliminação de dados – há riscos reputacionais que podem minar anos de trabalho. A perda de credibilidade diante de doadores e financiadores pode comprometer a captação de recursos e inviabilizar projetos. Em termos práticos, a suspensão do funcionamento de bancos de dados pode paralisar atividades essenciais.

É preciso compreender que a proteção de dados é parte da sustentabilidade institucional. Investir em mapeamento de informações, revisão de formulários, atualização de contratos, capacitação de equipes e implantação de políticas de segurança não é um luxo, mas um requisito de governança responsável. A conformidade com a LGPD consolida a imagem de uma organização séria e comprometida com aqueles que dela dependem.

Respeitar e cuidar dos dados pessoais não é apenas atender a uma lei, mas reforçar a missão social e fortalecer a relação com a comunidade. Para o Terceiro Setor, estar em conformidade é, antes de tudo, garantir que a própria razão de existir — servir à sociedade — não seja colocada em risco.

Publicado em por

LGPD E SEGURANÇA DIGITAL: QUANDO A OMISSÃO EMPRESARIAL SE TRANSFORMA EM INDENIZAÇÃO

O Superior Tribunal de Justiça fixou entendimento relevante ao reconhecer que a exposição de dados pessoais sensíveis, ainda que sem prova de prejuízo concreto ao consumidor, configura por si só violação indenizável. Trata-se de um marco para a proteção da privacidade no país, especialmente após a entrada em vigor da Lei Geral de Proteção de Dados.

O processo teve origem em um ataque cibernético que atingiu uma seguradora e resultou na divulgação de informações fiscais, bancárias e de saúde de seus clientes. A comunicação do incidente foi feita de maneira vaga, sem explicitar os riscos efetivos nem os impactos sofridos pelos titulares. Soma-se a isso o fato de a empresa não ter comprovado a adoção de mecanismos eficazes de segurança ou de prevenção, o que pesou de forma significativa na avaliação judicial.

Na decisão, ficou assentado que a simples exposição de dados sensíveis gera risco à integridade, segurança e privacidade das pessoas. Reconheceu-se também que a responsabilidade da empresa é objetiva: não depende da demonstração de culpa direta. Assim, o dano moral passa a ser presumido, dispensando do consumidor o ônus de comprovar consequências materiais. Quando não há demonstração de protocolos de segurança adequados e de resposta efetiva ao incidente, o dever de indenizar se impõe.

Esse entendimento projeta efeitos diretos sobre a postura das empresas. Mais do que uma obrigação legal, a proteção de dados passa a ser vista como um ativo estratégico. É indispensável investir em segurança da informação, estruturar planos de resposta a incidentes, manter registros que comprovem conformidade com a lei e comunicar de maneira clara e transparente os titulares afetados em situações de violação.

Ignorar essas medidas pode significar não apenas a imposição de indenizações e multas, mas também danos irreparáveis à reputação da marca. O recado é inequívoco: a gestão responsável de dados pessoais deixou de ser opcional e se tornou parte da própria sobrevivência empresarial em um ambiente cada vez mais exposto a riscos digitais.

Publicado em por

BIOMETRIA E LGPD: DESAFIOS REGULATÓRIOS E RESPONSABILIDADES NO USO DE DADOS SENSÍVEIS

O tratamento de dados biométricos — que envolve impressões digitais, reconhecimento facial e de íris, geometrias corporais, padrões de voz e até traços comportamentais como a forma de digitar ou caminhar — está no centro do debate regulatório brasileiro. A discussão é indispensável para apoiar futuras normas da Autoridade Nacional de Proteção de Dados (ANPD), especialmente diante da digitalização acelerada e do avanço de práticas de fraude cada vez mais sofisticadas.

Um dos pontos sensíveis está na autenticação segura. Com o vazamento massivo de dados cadastrais e a utilização de inteligência artificial por grupos criminosos, a possibilidade de simulação de identidade tornou-se mais concreta. Surge, então, a questão: como assegurar que a pessoa, no ambiente digital, é de fato quem afirma ser?

Funções da biometria no ecossistema digital

A biometria já desempenha papel central em diferentes áreas:

  • Autenticação em serviços digitais;
  • Controle de acesso físico e lógico em empresas e sistemas críticos;
  • Prevenção e detecção de fraudes, principalmente em abertura de contas, concessão de crédito, validação de identidade e transações eletrônicas.

Ainda assim, não se trata de uma solução isenta de riscos. Enquanto senhas podem ser alteradas, dados como rosto, íris e impressões digitais não podem ser substituídos. Isso amplia a responsabilidade das organizações que utilizam tais recursos.

Pontos que devem orientar a futura regulação

A atuação normativa da ANPD deverá enfrentar questões relevantes, entre elas:

  1. Segurança e prevenção a fraudes: reforçar a proteção sem criar vulnerabilidades adicionais ou discriminações sistêmicas.
  2. Biometria comportamental e tradicional: delimitar critérios distintos entre dados físicos (digital, íris, face) e dados de comportamento (voz, digitação, postura).
  3. Hipóteses legais de tratamento: analisar contextos em que o consentimento não seja adequado como base jurídica.
  4. LGPD e prevenção à fraude: estabelecer parâmetros claros para a aplicação do art. 11, II, “g”.
  5. Reconhecimento facial: projetar mecanismos confiáveis, reduzindo falsos positivos e negativos.
  6. Riscos de violação: definir requisitos técnicos e organizacionais obrigatórios para mitigar vazamentos e fraudes de identidade.
  7. Negativa do titular: determinar em que situações a recusa em fornecer biometria pode resultar em limitações proporcionais e transparentes.

Biometria e setores regulados

Alguns segmentos já exigem identificação biométrica, como o de apostas. A Lei Geral de Proteção de Dados reconhece tais dados como sensíveis, mas admite seu uso para prevenção à fraude e proteção dos próprios titulares.

Diante disso, a biometria pode ser aliada da segurança digital, desde que empregada com rigor técnico, transparência e respeito aos direitos fundamentais. Cabe às empresas adotar práticas sólidas de governança e proteção da informação, não apenas para resguardar as pessoas, mas também para reduzir seus riscos jurídicos.

Publicado em por

PROTEÇÃO DE DADOS NO COTIDIANO: COMO EMPRESAS E ÓRGÃOS PÚBLICOS ENFRENTAM A APLICAÇÃO DA LGPD

A Lei Geral de Proteção de Dados (LGPD) completa cinco anos em vigor, mas sua efetiva implementação ainda caminha de forma desigual no Brasil, sobretudo no contexto municipal. Apesar de avanços institucionais e do aumento expressivo de decisões judiciais que citam a legislação — mais de 15 mil apenas na edição mais recente do painel nacional que acompanha o tema — a realidade prática indica que muitas empresas e órgãos públicos ainda operam em níveis variados de maturidade.

Uma das principais barreiras para a consolidação da cultura de proteção de dados é a percepção de que as sanções administrativas ainda não são plenamente aplicadas, o que gera a falsa sensação de que o cumprimento da norma pode ser postergado sem consequências imediatas. Entretanto, o aumento da judicialização e da exigência contratual por conformidade com a LGPD vêm sinalizando mudanças importantes.

Empresas de menor porte, especialmente em cidades de médio e pequeno porte, enfrentam dificuldades maiores. Muitas ainda não conseguem atender de forma plena às exigências, seja por desconhecimento técnico, seja por limitações orçamentárias. Ainda assim, a adaptação avança, sobretudo em setores mais regulados, como saúde, educação e financeiro.

No setor privado, práticas como coleta de dados sem informação clara sobre a finalidade, ausência de consentimento para envio de comunicações, e exposição indevida de informações sensíveis continuam ocorrendo. Tais práticas, além de representar risco jurídico e financeiro, impactam diretamente na reputação institucional e na confiança de clientes e colaboradores.

No setor público, as exigências legais impõem a implementação de medidas efetivas de segurança e governança. A coleta e tratamento de dados sensíveis pela administração municipal ou por órgãos vinculados requer não apenas adequações técnicas, mas também revisão de procedimentos, capacitação de servidores e controle dos fluxos internos.

Entre os riscos associados ao descumprimento da LGPD estão: perda de contratos com empresas que exigem conformidade, judicialização por parte de titulares de dados e sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Mais do que isso, há um impacto direto sobre a credibilidade da organização.

Boas práticas recomendadas incluem a revisão de contratos, registro e mapeamento dos fluxos de dados, uso de ambientes seguros, descarte adequado de documentos, anonimização de dados sempre que possível e limitação de acesso conforme o perfil do usuário. Além disso, é essencial que qualquer coleta de dados seja acompanhada de transparência e fundamentação legal.

Duas experiências relatadas ilustram caminhos distintos nesse processo. Uma empresa do setor de tecnologia, atuante no desenvolvimento de softwares de gestão, reforçou seu sistema de proteção de dados com treinamentos periódicos, limitação da coleta de informações e revisão de sistemas. O fortalecimento da cultura de segurança foi um dos pilares dessa transformação.

Por outro lado, um hospital de médio porte enfrentou desafios adicionais. Apesar dos avanços na organização de dados, nas rotinas de recepção e nas práticas de identificação de pacientes, a permanência de processos baseados em papel ainda é um obstáculo. A ausência de sistema de assinatura eletrônica validado e a obrigatoriedade legal de guarda de prontuários por mais de duas décadas exigem investimentos que ainda não foram implementados.

Mesmo com dados digitalizados, a falta de validação eletrônica impõe a impressão de documentos, prolongando a dependência do papel. O hospital, entretanto, já planeja a adoção de soluções tecnológicas até 2026, priorizando a digitalização segura e a conformidade com a LGPD.

A consolidação da proteção de dados como prática institucional passa, portanto, por uma mudança de cultura, não apenas por ajustes pontuais. Proteger informações pessoais exige mais do que adequações técnicas — demanda comprometimento, responsabilidade e compreensão da importância desse direito no ambiente organizacional.

Publicado em por

LGPD COMPLETA SETE ANOS: UM MARCO LEGAL AINDA EM CONSTRUÇÃO DIANTE DOS RISCOS DIGITAIS NO BRASIL

Completando sete anos desde sua sanção, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) representa uma das iniciativas mais relevantes no campo dos direitos fundamentais no Brasil contemporâneo. Inspirada em modelos internacionais, como o regulamento europeu, a LGPD foi concebida para garantir transparência, privacidade e segurança no tratamento de dados pessoais. No entanto, a realidade brasileira evidencia a persistência de desafios substanciais para sua consolidação como instrumento eficaz de proteção.

Entre os principais entraves está a frequência com que dados pessoais vêm sendo expostos. De janeiro a julho de 2024, o número de vazamentos registrados por órgãos federais superou o acumulado dos três anos anteriores. O volume impressiona e revela um ambiente onde estruturas públicas e privadas ainda operam com fragilidades técnicas e gerenciais graves. No mesmo período, registros de fraudes eletrônicas demonstram que o cidadão segue desprotegido diante de esquemas cada vez mais sofisticados de engenharia social.

Os dados, no entanto, não se limitam a números frios. Eles expressam o cotidiano de milhões de pessoas que veem suas informações trafegarem sem consentimento, muitas vezes sem saber como ou por quem estão sendo utilizadas. Isso reforça a necessidade de que a aplicação da LGPD ultrapasse o campo normativo e alcance efetividade prática, o que pressupõe uma atuação mais estruturada do órgão regulador e um compromisso político com a proteção de dados como direito fundamental.

Outro ponto que merece atenção é o avanço das tecnologias de vigilância em espaços públicos, especialmente aquelas baseadas em reconhecimento facial. A ausência de regulamentação específica para o uso dessas ferramentas, associada à baixa transparência sobre seus critérios de funcionamento, tem gerado preocupação. Há evidências de que determinados grupos populacionais são impactados de forma desproporcional por essas tecnologias, o que exige não apenas controle técnico, mas também reflexões éticas e sociais mais profundas.

Ao mesmo tempo, tramitam no Congresso propostas legislativas que visam disciplinar o uso de dados em investigações criminais. Uma delas, de ampla repercussão, abre a possibilidade de acesso a bases privadas sem salvaguardas mínimas de proteção, o que suscita dúvidas sobre sua compatibilidade com princípios constitucionais. A ausência de debate público qualificado sobre esses projetos também indica uma lacuna preocupante entre o avanço tecnológico e a deliberação democrática.

Apesar das dificuldades, é possível identificar esforços importantes. A publicação de resoluções normativas pela autoridade nacional, exigindo a comunicação de incidentes em prazo definido, fortalece a cultura de responsabilidade. Estudos técnicos sobre biometria, inteligência artificial e proteção de dados de crianças e adolescentes apontam para uma agenda regulatória que se alinha a práticas internacionais. Ao mesmo tempo, iniciativas de organizações sociais contribuem para ampliar o debate e fomentar a educação digital.

Mas os progressos institucionais só se sustentam quando acompanhados pela participação ativa da sociedade. O domínio técnico da lei precisa ser traduzido em consciência popular. O Brasil exige não apenas normas, mas também uma cultura de proteção de dados que permita ao cidadão exercer seu direito à privacidade de forma plena, segura e informada.

Ao completar sete anos, a LGPD exige mais do que celebração. Requer vigilância crítica, investimento em estruturas de fiscalização, compromisso público com os direitos informacionais e, sobretudo, educação digital como política de Estado. O respeito aos dados pessoais é uma extensão da dignidade humana, e o caminho para sua efetiva proteção ainda está em construção.

Publicado em por

CINCO SINAIS DE QUE A SUA EMPRESA ESTÁ EXPOSTA A RISCOS DIGITAIS

Vazamentos de credenciais se tornaram ocorrências frequentes nos noticiários de segurança digital. Informações como o comprometimento de milhares de contas em grandes plataformas já não surpreendem os profissionais da área. Esses eventos reiteram a necessidade de que empresas adotem políticas consistentes de segurança da informação, voltadas à prevenção de riscos, resposta a incidentes e alinhamento com as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD).

Ainda é comum a ideia equivocada de que proteção digital é um tema exclusivo de grandes corporações. No entanto, estatísticas apontam que pequenas empresas, escritórios de advocacia e prestadores de serviços também estão entre os alvos frequentes de ataques cibernéticos. É indispensável investir em práticas acessíveis e eficazes, como autenticação de múltiplos fatores, rotinas automatizadas de backup, capacitação contínua dos colaboradores e revisões periódicas dos processos internos. Mais do que um dever legal, a conformidade com a LGPD representa um novo padrão de relacionamento com clientes e parceiros, baseado na transparência e na responsabilidade.

Para avaliar se a organização está exposta a riscos, é possível seguir cinco passos iniciais:

  1. Controle de acesso aos dados: verifique se apenas pessoas autorizadas, com funções específicas, têm acesso a informações sensíveis. A ausência de critérios claros de permissão é um fator de vulnerabilidade.
  2. Políticas internas sobre o uso de dados: empresas que não possuem diretrizes formais para coleta, armazenamento e tratamento de dados estão mais sujeitas a falhas. Documentos institucionais, treinamentos regulares e fluxos bem definidos são indicadores positivos de maturidade.
  3. Backups atualizados e testados: é importante manter cópias de segurança periódicas e verificar se essas cópias são funcionais. A falta de testes reduz a efetividade da recuperação em caso de incidente.
  4. Treinamento da equipe sobre segurança digital: colaboradores desinformados representam um risco direto à integridade dos dados. Capacitações sobre engenharia social, senhas seguras e boas práticas digitais devem fazer parte da rotina.
  5. Responsável técnico pela governança em privacidade: a ausência de uma pessoa ou equipe encarregada de mapear riscos e responder a incidentes indica desorganização. Ter um encarregado ou comitê dedicado é essencial para assegurar a conformidade.

Ao identificar lacunas, o ideal é iniciar por medidas práticas de rápida implementação. Nomear um responsável interno pelo programa de proteção de dados, ainda que de forma inicial, é um passo estratégico. Em seguida, deve-se elaborar uma política objetiva e acessível sobre o uso de informações na empresa. A revisão de permissões e a ativação de autenticação em dois fatores são ações simples, com impacto significativo na redução de riscos.

Buscar orientação especializada e promover a educação contínua das equipes são elementos que fortalecem a cultura organizacional e favorecem o amadurecimento da governança em dados pessoais. A proteção da informação passou a ser requisito essencial para empresas que desejam manter sua reputação, sua operação e a confiança de seus públicos de interesse. Não se trata de uma formalidade, mas de um compromisso concreto com a integridade e a responsabilidade digital.

Publicado em por

A INFORMALIDADE NO TRATAMENTO DE DADOS FACIAIS EM CONDOMÍNIOS

O uso de reconhecimento facial para controle de acesso em condomínios residenciais tem se tornado uma prática amplamente adotada no Brasil, mas sua implementação tem ocorrido sem o devido cuidado com os direitos dos titulares e com pouca ou nenhuma transparência no tratamento dos dados coletados. Estimativas apontam para a existência de aproximadamente um milhão de condomínios utilizando essa tecnologia, abrangendo inclusive dados de crianças, sem garantias adequadas de segurança, controle e fiscalização.

A coleta de dados como imagem do rosto, CPF, unidade residencial e registros de acesso diário configura um tratamento de dados pessoais sensíveis, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD). Apesar disso, o que se observa é uma informalidade generalizada: em muitos casos, o envio das imagens ocorre por aplicativos de mensagens, sem qualquer protocolo seguro, e os pedidos de exclusão de dados são tratados de forma verbal ou por simples mensagens eletrônicas, sem registros formais que comprovem o cumprimento da solicitação.

A responsabilidade legal sobre esse tratamento recai sobre os próprios condomínios, na figura do síndico, que, por vezes, delega à empresa fornecedora do sistema a guarda e o controle das informações sem qualquer supervisão adequada. Não é raro que as empresas mantenham os dados mesmo após a saída do morador, em desconformidade com os princípios da finalidade, necessidade e segurança previstos na LGPD.

A ausência de regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD) agrava a situação. Ainda que o órgão reconheça os desafios desse tipo de uso, não há até o momento regras claras sobre tempo de armazenamento, exigências técnicas de segurança ou medidas mínimas de transparência que os condomínios e prestadoras devam seguir. A fiscalização, por ora, depende exclusivamente de denúncias formais, sem atuação proativa por parte da Autoridade.

Essa lacuna regulatória se reflete diretamente no risco de exposição de dados pessoais. Há registros de vazamentos que envolvem dados completos de moradores, incluindo suas imagens faciais, divulgados em fóruns clandestinos da internet. Há também relatos de fraudes envolvendo o uso indevido de biometrias faciais para acesso a sistemas governamentais e obtenção de crédito fraudulento.

O reconhecimento facial, ao transformar o rosto em uma “chave” biométrica, exige um nível elevado de segurança, pois, diferentemente de uma senha, essa informação não pode ser modificada em caso de violação. Mesmo assim, muitos sistemas instalados em condomínios operam com o nível de segurança mais básico, propensos a falsos positivos e vulnerabilidades, o que compromete não apenas a eficácia do controle de acesso, mas também a integridade do tratamento dos dados.

A cadeia de responsabilidades entre o condomínio, as empresas que fornecem os equipamentos e aquelas que armazenam os dados é, em geral, mal definida. Em muitos contratos, não há exigência de relatórios técnicos, protocolos de exclusão de dados ou auditorias regulares. Esse vazio contratual e técnico abre espaço para práticas arriscadas e, muitas vezes, contrárias à lei.

Diante disso, algumas associações têm orientado síndicos a incluir nos contratos cláusulas que obriguem a apresentação periódica de relatórios sobre a gestão dos dados, contendo o fluxo de tratamento, medidas de segurança, histórico de acessos e incidentes, além de delimitar o tempo de guarda das informações. Essa prática, aprovada em assembleia, pode ser um primeiro passo em direção a uma governança mais responsável.

A situação atual exige que os condomínios e os profissionais envolvidos comecem a tratar a biometria facial com a seriedade que o tema exige. A proteção da identidade biométrica não pode ser baseada apenas na confiança informal entre síndico e prestadora de serviço, mas em protocolos claros, medidas de segurança auditáveis e, sobretudo, no respeito à legislação vigente.

Publicado em por

COMO PROTEGER OS DADOS NA ÁREA DA SAÚDE EM TEMPOS DE DIGITALIZAÇÃO

A digitalização dos serviços de saúde avançou de forma significativa nos últimos anos, sobretudo após a pandemia de Covid-19. Hospitais, clínicas e operadoras de planos passaram a adotar soluções tecnológicas que otimizam o atendimento, melhoram a gestão e ampliam a capacidade de armazenamento e análise de dados. Entretanto, esse avanço também expôs o setor a um volume maior de riscos cibernéticos, tornando indispensável uma abordagem estratégica e integrada de proteção de dados.

Estudos internacionais apontam que o setor de saúde está entre os mais visados por agentes maliciosos. Em 2023, houve um aumento expressivo nas tentativas de invasão digital a instituições da área, superando 60% de crescimento em comparação com o ano anterior. No Brasil, o impacto é igualmente relevante: dados indicam que o custo médio de um incidente de segurança em organizações de saúde ultrapassou os R$10 milhões em 2024, colocando o país entre os mais afetados globalmente.

Esse quadro demonstra que não se trata apenas de investir em ferramentas tecnológicas isoladas. A segurança da informação deve ser compreendida como um componente da qualidade assistencial e da continuidade operacional. Isso exige o envolvimento coordenado de pessoas, processos e políticas internas, que precisam estar alinhadas a práticas reconhecidas e atualizadas.

Capacitar as equipes constantemente, revisar fluxos operacionais e estabelecer políticas claras são medidas que fortalecem a resiliência institucional. Recursos como autenticação multifator, criptografia de dados em trânsito e em repouso, segmentação de redes e utilização de sistemas de detecção e resposta a incidentes são apenas parte de um conjunto mais amplo de estratégias necessárias.

Para apoiar esse processo, documentos técnicos consolidados oferecem orientações valiosas. A publicação norte-americana NIST Special Publication 800-66, Revision 2, por exemplo, fornece diretrizes para implementar controles eficazes voltados à proteção de informações de saúde eletrônicas. Já o NIST Cybersecurity Framework 2.0, lançado em 2024, organiza a abordagem de segurança em cinco funções: Identificar, Proteger, Detectar, Responder e Recuperar — permitindo que organizações desenvolvam políticas estruturadas para gestão de riscos cibernéticos.

A proposta de tornar obrigatórias práticas como autenticação multifator, criptografia de dados e segmentação de redes por órgãos internacionais reforça o movimento por um padrão mais rigoroso de proteção, especialmente em áreas que tratam dados sensíveis.

Nesse contexto, a combinação entre tecnologia, capacitação contínua e governança bem definida constitui um pilar essencial para preservar a confidencialidade, integridade e disponibilidade das informações. Instituições de saúde que adotam essa abordagem integrada estão mais preparadas para enfrentar incidentes, mitigar impactos e manter a confiança dos pacientes e parceiros institucionais. A segurança da informação, portanto, deve ser tratada como parte da estratégia organizacional, e não apenas como uma exigência técnica.

Publicado em por

DESAFIOS DO BRASIL DIANTE DOS CRIMES DIGITAIS E DA SEGURANÇA CIBERNÉTICA

O Brasil permanece entre os países mais atingidos por ameaças virtuais em escala global. Dados recentes revelam mais de 700 milhões de ataques cibernéticos ao longo de 2023, o equivalente a quase 1.400 por minuto. Uma dessas ofensivas resultou no vazamento de mais de 16 bilhões de senhas e credenciais de acesso, conforme levantamento internacional. Paralelamente, a realidade nas ruas também expõe outro risco: mais de 100 celulares são furtados ou roubados a cada hora no país, o que abre caminho para acessos indevidos a contas bancárias e outros serviços digitais.

A vulnerabilidade estrutural do Brasil diante dos crimes digitais envolve todas as esferas do poder público. A União, responsável pela condução de políticas de proteção de dados e defesa cibernética, ainda encontra dificuldades para estabelecer alianças robustas, tanto em âmbito nacional quanto internacional. Faltam ações articuladas e investimentos capazes de fortalecer a segurança das redes governamentais, militares, financeiras e de serviços essenciais.

No âmbito legislativo, a lentidão em atualizar a regulação do espaço digital compromete a resposta institucional. A legislação que rege a internet no Brasil, embora pioneira à época de sua aprovação, já se mostra desatualizada diante dos novos métodos de ataque e manipulação digital. Propostas para criminalizar práticas modernas como o uso malicioso de inteligência artificial – casos de deep fake e deep nude – ainda tramitam sem definição. A ausência de uma legislação consolidada sobre o Direito Digital afeta diretamente a atuação dos demais poderes.

O Judiciário, por sua vez, atua de forma reativa, e encontra barreiras na aplicação de normas antigas a crimes modernos. A jurisprudência relacionada a delitos virtuais ainda é limitada, o que dificulta o enfrentamento jurídico adequado a condutas que envolvem redes de cibercriminosos, fraudes internacionais e cooperação transnacional. Os tribunais, especialmente os superiores, têm enfrentado dificuldades para consolidar entendimentos uniformes em temas que envolvem tecnologias emergentes.

Essa defasagem institucional se reflete na posição do Brasil nos rankings mundiais de ataques digitais. A cada ano, o país figura entre os principais alvos da criminalidade eletrônica, uma posição que expõe a fragilidade de suas defesas virtuais.

Empresas privadas, órgãos públicos, instituições financeiras e operadoras de infraestrutura crítica são alvos preferenciais de grupos criminosos organizados que operam por meio da exploração de vulnerabilidades humanas e técnicas. Muitos ataques ocorrem através da engenharia social, uma estratégia que visa manipular o comportamento de colaboradores despreparados ou desatentos.

Os impactos são diversos: interrupções em sistemas, exclusão de dados, prejuízos financeiros e até mesmo o comprometimento de processos judiciais e administrativos. A perda de informações essenciais ou a adulteração de documentos eletrônicos pode gerar efeitos devastadores para a administração da justiça e para a confiança nas instituições.

Embora algumas iniciativas tenham sido adotadas, como a criação de comitês de segurança da informação no âmbito do Poder Judiciário, a resposta institucional ainda é insuficiente. A velocidade com que ocorrem os ataques exige uma resposta coordenada e imediata.

Há uma lacuna educacional relevante. A ausência de uma política pública de educação digital consistente impede que a população reconheça os riscos e saiba como se proteger. É necessário investir em programas permanentes de conscientização em escolas, empresas e repartições públicas. A proteção contra o crime cibernético começa pela informação e passa pela capacitação contínua dos profissionais que atuam em setores estratégicos.

É indispensável avançar em formação técnica, auditoria constante dos sistemas, testes de intrusão controlados e melhorias na arquitetura de segurança das redes. O país precisa fortalecer suas defesas institucionais para que não continue exposto e vulnerável a ofensivas que, além de prejudicarem a vida das pessoas, abalam a estrutura e a confiabilidade do Estado brasileiro.

Publicado em por

RECONHECIMENTO FACIAL NOS ESTÁDIOS: COMO FUNCIONA O USO DA BIOMETRIA FACIAL EM EVENTOS ESPORTIVOS

A exigência de sistemas de reconhecimento facial em estádios com capacidade superior a 20 mil pessoas já é uma realidade no Brasil, conforme previsto na Lei Geral do Esporte. Essa exigência tem como principal objetivo o controle de acesso e o reforço da segurança nas arenas esportivas. Os torcedores que se dirigem a esses espaços devem compreender como esse tipo de tecnologia atua e como seus dados pessoais serão tratados pelas organizações responsáveis.

A norma impõe que as arenas instalem uma estrutura de monitoramento eficiente, incluindo uma central de controle equipada para processar imagens e informações coletadas por câmeras instaladas em locais estratégicos. A ideia é evitar episódios de violência, identificar possíveis foragidos ou pessoas com restrições judiciais e garantir que apenas quem estiver autorizado possa ingressar no local.

Além do aspecto preventivo, essa tecnologia contribui para a gestão do evento esportivo, proporcionando mais fluidez na entrada dos torcedores e otimizando o tempo de deslocamento interno, sem contato físico excessivo.

Como a tecnologia de reconhecimento facial opera

A base do sistema consiste na captação da imagem facial de cada indivíduo por meio de câmeras. Essa imagem é processada por um software que identifica padrões específicos, como distância entre olhos, contornos da face e outras características únicas. Com base nessas informações, o sistema compara os dados com registros armazenados em bancos de dados previamente alimentados com fotos de pessoas com restrições de acesso ou envolvidas em ocorrências anteriores.

A tecnologia pode ser utilizada não apenas nos acessos principais, mas também nas arquibancadas, pontos de circulação e setores internos, a fim de manter o controle sobre comportamentos suspeitos ou situações de risco. Caso uma imagem coletada corresponda a um registro de bloqueio, a equipe de segurança é imediatamente notificada para intervir.

Responsabilidade no uso da imagem dos torcedores

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece que a imagem facial coletada nesses processos é considerada dado sensível, ou seja, demanda um cuidado redobrado por parte dos responsáveis pelo tratamento da informação.

O uso dessa imagem deve estar restrito a finalidades bem delimitadas, como segurança, controle de entrada e cumprimento de determinações legais. Não é permitido utilizar os dados para campanhas de marketing, envio de publicidade, nem tampouco repassar as informações a terceiros, salvo por força de lei ou ordem judicial.

É essencial, também, que os registros sejam mantidos apenas pelo período necessário para atingir o propósito justificado. Qualquer armazenamento sem justificativa válida poderá ser considerado tratamento indevido.

Como garantir que o torcedor se sinta protegido

Para que o público confie no uso da tecnologia, é indispensável que os estádios adotem práticas transparentes. Isso inclui fornecer informações claras sobre como o sistema funciona, para que serve, quem terá acesso às imagens, e por quanto tempo os dados serão mantidos. Essas informações devem estar disponíveis nos sites oficiais dos eventos ou das arenas e também de forma visível nos acessos ao estádio.

É recomendável que exista uma política de privacidade bem estruturada, indicando como os dados são armazenados, protegidos e eventualmente descartados. Além disso, medidas como autenticação por senha, sistemas criptografados e capacitação das equipes responsáveis pelo manuseio das imagens são essenciais para evitar usos indevidos.

Caso ocorra algum incidente envolvendo vazamento ou acesso não autorizado, o responsável pelo tratamento das informações deverá notificar a Autoridade Nacional de Proteção de Dados e os titulares impactados, conforme prevê a legislação.

O que pode mudar no futuro

À medida que essas tecnologias se desenvolvem, é provável que o seu uso vá além da simples identificação de indivíduos. Ferramentas baseadas em imagens faciais podem, por exemplo, ser programadas para detectar padrões de comportamento, reações emocionais e outras características complexas do público. Isso exige um compromisso ainda maior com a governança e a responsabilidade na coleta e uso dessas informações.

Quando aplicadas com respeito à privacidade, essas ferramentas podem transformar a experiência nos estádios, oferecendo mais tranquilidade, acessos fluidos e eventos organizados. O sucesso dessa estratégia, no entanto, depende de uma implementação ética, transparente e em conformidade com a legislação vigente sobre proteção de dados.

Publicado em por

COMO O CLIQUE EM ‘ACEITO OS TERMOS’ PODE COMPROMETER SEUS DADOS

O clique no botão “Aceito os termos” se tornou uma ação rotineira na vida digital de muitos usuários. Plataformas de redes sociais, aplicativos e sites frequentemente solicitam esse tipo de consentimento sem que os usuários se preocupem em ler os termos e condições que aceitam. Esse comportamento está se tornando cada vez mais comum, principalmente entre os jovens. Embora as plataformas ofereçam contratos digitais, muitos não têm plena consciência do que estão autorizando, o que pode gerar consequências negativas, especialmente no que diz respeito à privacidade de dados.

A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, exige que o consentimento do usuário seja claro, informado e inequívoco. O que significa que os usuários devem entender exatamente que dados estão sendo coletados, qual será a finalidade do uso e com quem as informações serão compartilhadas. No entanto, na prática, esse padrão de consentimento ainda não é amplamente seguido. A Autoridade Nacional de Proteção de Dados (ANPD) tem identificado casos em que a aceitação é feita sem a devida transparência, o que caracteriza um consentimento viciado e coloca as empresas em risco de responsabilidade legal.

A maioria dos termos de uso e políticas de privacidade permite que as empresas coletem uma ampla gama de dados. Esses dados podem incluir informações sobre a localização do usuário, hábitos de navegação, interações em redes sociais, e até conteúdos compartilhados, como fotos, vídeos e áudios. Além disso, aplicativos modernos, especialmente aqueles que integram sistemas de inteligência artificial, costumam incluir cláusulas que permitem o uso de conteúdo publicado para treinar algoritmos, uma prática que muitas vezes não é devidamente destacada no meio de contratos extensos.

Com a introdução da inteligência artificial em diversas plataformas, o uso de dados dos usuários para treinar sistemas de IA se tornou uma prática cada vez mais comum. Em muitos casos, os contratos exigem o aceite de forma automática para que o usuário tenha acesso ao serviço. No entanto, ao aceitar essas condições, o usuário muitas vezes não percebe que está permitindo o uso de suas informações pessoais para finalidades que vão além da interação básica com o serviço.

A LGPD garante aos titulares de dados uma série de direitos, como saber quais informações estão sendo coletadas, corrigir dados errados, limitar o uso de suas informações ou até mesmo pedir a exclusão dos registros. Contudo, para que o usuário possa exercer esses direitos, ele precisa primeiro compreender o que está realmente aceitando ao clicar no botão de consentimento. Muitos especialistas orientam os usuários a procurarem versões resumidas dos termos de uso e políticas de privacidade, revisar as permissões de acesso nos dispositivos e evitar fazer login em sites e aplicativos de terceiros por meio de redes sociais.

Além disso, a revogação do consentimento, quando possível, é uma recomendação importante, principalmente quando a finalidade do uso dos dados muda ao longo do tempo. Embora algumas plataformas já ofereçam ferramentas de privacidade mais acessíveis, o desconhecimento sobre os direitos garantidos pela LGPD ainda é elevado, o que dificulta a plena conscientização dos usuários.

Diante disso, é essencial que os usuários sejam mais críticos e informados sobre os termos e condições aos quais estão aderindo. As empresas, por sua vez, devem garantir que seus contratos digitais sejam claros, acessíveis e verdadeiramente informativos, evitando cláusulas abusivas e o uso inadequado de dados. O consentimento do usuário não deve ser um simples procedimento burocrático, mas um processo transparente e consciente que respeite os direitos dos titulares de dados.

Publicado em por

GESTÃO DE DADOS SENSÍVEIS NO RH: COMO PROTEGER SUA EMPRESA E SEUS COLABORADORES

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) trouxe uma transformação profunda na forma como empresas lidam com informações pessoais. No setor de Recursos Humanos, essa responsabilidade ganha ainda mais relevância, considerando que o departamento lida diariamente com dados que podem impactar diretamente a privacidade, a dignidade e os direitos dos colaboradores.

Entre esses dados, estão os chamados dados pessoais sensíveis, que exigem cuidados rigorosos, tanto na coleta quanto no armazenamento, uso e descarte. A correta gestão dessas informações não apenas preserva a segurança dos titulares, como também protege a empresa contra riscos legais, trabalhistas e reputacionais.

O que a LGPD entende como dados sensíveis

De acordo com a legislação, dados sensíveis são aqueles que revelam informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação sindical, dados referentes à saúde, vida sexual, informações genéticas ou biométricas quando vinculadas a uma pessoa natural.

No ambiente do RH, essa definição se materializa em diversos documentos e registros, como exames admissionais, prontuários ocupacionais, dados biométricos utilizados para controle de ponto, informações sobre dependentes para plano de saúde, entre outros. Tratá-los de forma inadequada pode gerar não apenas desconforto ou constrangimento, mas também sérios prejuízos legais e financeiros.

Bases legais para tratamento de dados sensíveis no RH

A LGPD estabelece que o tratamento de dados sensíveis deve ser fundamentado em hipóteses legais muito bem definidas, especialmente no artigo 11. No âmbito trabalhista, as principais são:

  • Cumprimento de obrigações legais ou regulatórias;
  • Execução de políticas públicas determinadas em lei;
  • Necessidade para a execução de contrato de trabalho ou de procedimentos preliminares;
  • Proteção da vida ou da integridade física do titular ou de terceiros;
  • Consentimento do titular, utilizado apenas quando nenhuma das outras bases se aplica.

O uso do consentimento deve ser tratado com cautela. Sempre que houver uma base legal mais robusta e aplicável, ela deve ser priorizada, evitando a dependência do consentimento, que pode ser revogado a qualquer momento.

Diretrizes para proteger dados sensíveis no RH

Uma gestão eficiente de dados sensíveis começa pela organização e controle das informações que transitam pelo setor de Recursos Humanos. Para isso, recomenda-se:

1. Mapeamento dos dados sensíveis
É indispensável identificar quais dados são coletados em cada etapa da jornada do colaborador, desde o processo seletivo até o desligamento. Esse mapeamento permite entender finalidades, riscos e obrigações associadas.

2. Controle rigoroso de acessos
O acesso a dados sensíveis deve ser restrito exclusivamente aos profissionais que, de fato, necessitam dessas informações para desempenhar suas funções. Adoção de controles como autenticação multifator, senhas robustas e restrição por perfil é fundamental.

3. Medidas técnicas de segurança
O uso de criptografia, armazenamento em servidores seguros, proteção contra malware, firewalls e monitoramento constante são práticas indispensáveis. Informações sensíveis jamais devem ser mantidas em dispositivos pessoais, planilhas abertas ou plataformas sem certificação de segurança.

4. Políticas internas claras e aplicáveis
A elaboração de uma Política de Proteção de Dados específica para o setor de RH é altamente recomendada. Essa política deve estabelecer diretrizes sobre coleta, uso, compartilhamento, armazenamento e descarte, além de contar com termos de confidencialidade assinados pelos responsáveis.

5. Gestão de consentimento, quando aplicável
Nos casos em que o consentimento for a base legal adequada, este deve ser obtido de forma expressa, específica, destacada e documentada. O titular deve ser informado sobre a finalidade do tratamento, tempo de retenção, possibilidade de revogação e seus direitos.

Armazenamento seguro e prazos de retenção

O armazenamento seguro de dados sensíveis envolve a utilização de plataformas com certificações como ISO 27001 ou SOC 2, além de servidores protegidos com criptografia em repouso e em trânsito, e sistemas com logs de acesso e backup automático.

Quanto aos prazos, algumas informações possuem retenção definida pela legislação trabalhista. Por exemplo, dados de saúde ocupacional devem ser mantidos por até 20 anos, conforme normas regulamentadoras como a NR 7 e a NR 9. Já currículos e exames admissionais de candidatos não contratados podem ser armazenados por períodos mais curtos, geralmente entre 6 a 12 meses, desde que fundamentados em uma base legal adequada.

Finalizada a necessidade ou obrigação legal, é indispensável promover o descarte seguro ou a anonimização dos dados, evitando o acúmulo indevido de informações sensíveis.

Consequências do descuido no tratamento de dados sensíveis

As sanções previstas na LGPD incluem multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além disso, há riscos de indenizações por danos morais, bloqueio de operações envolvendo dados, exigências de adequação impostas pela Autoridade Nacional de Proteção de Dados (ANPD) e impactos reputacionais que podem comprometer a confiança de colaboradores, clientes e parceiros.

A proteção de dados sensíveis é uma obrigação ética, legal e estratégica

Cuidar dos dados pessoais sensíveis no RH vai muito além do cumprimento da lei. É uma demonstração clara de respeito aos direitos dos colaboradores e de comprometimento com boas práticas corporativas.

Se sua empresa busca apoio para revisar os processos de tratamento de dados e implementar soluções jurídicas e tecnológicas alinhadas à LGPD, entre em contato com um de nossos especialistas. Estamos prontos para orientar sua organização na construção de uma cultura de privacidade, segurança e conformidade.