Tag: Gestão de Riscos

Publicado em por

A RESPONSABILIDADE PELA PROTEÇÃO DE DADOS E OS RISCOS À CONTINUIDADE EMPRESARIAL

Nos últimos anos, o Brasil tem testemunhado um aumento significativo nos incidentes de vazamento de dados, afetando organizações de diversos portes e segmentos. Embora frequentemente associados a grandes corporações, esses episódios também impactam severamente pequenas e médias empresas, podendo, em casos extremos, levá-las ao encerramento de suas atividades.

Impactos Financeiros e Reputacionais

O vazamento de informações sensíveis acarreta consequências financeiras expressivas. Estudos indicam que empresas brasileiras chegam a perder, em média, R$ 6,75 milhões por violação de dados. Além das perdas financeiras diretas, há danos reputacionais que podem afastar clientes e parceiros comerciais, comprometendo a continuidade do negócio.

Sanções Legais e Responsabilização Civil

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece sanções rigorosas para infrações relacionadas ao tratamento inadequado de dados pessoais. As penalidades incluem:

  • Multa simples de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;
  • Multa diária, observando o limite total mencionado;
  • Publicização da infração, após devidamente apurada;
  • Bloqueio ou eliminação dos dados pessoais relacionados à infração;
  • Suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento dos dados pessoais;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além das sanções administrativas, as empresas podem ser responsabilizadas civilmente por danos causados aos titulares dos dados. No entanto, conforme entendimento do Superior Tribunal de Justiça (STJ), é necessário comprovar o efetivo prejuízo para pleitear indenização por danos morais em casos de vazamento de dados pessoais não sensíveis.

Causas Comuns e Medidas Preventivas

Muitos vazamentos resultam de falhas internas, como uso de senhas fracas, ausência de políticas de segurança e treinamento inadequado de funcionários. Medidas preventivas incluem:

  • Implementação de políticas de segurança da informação claras e eficazes;
  • Treinamento contínuo dos colaboradores sobre boas práticas de proteção de dados;
  • Utilização de tecnologias de proteção, como criptografia e sistemas de detecção de intrusões;
  • Realização de auditorias regulares para identificar e corrigir vulnerabilidades.

A proteção de dados deve ser encarada como uma prioridade estratégica pelas empresas brasileiras. A negligência nesse aspecto não apenas expõe a organização a sanções legais e perdas financeiras, mas também compromete sua reputação e sustentabilidade no mercado. Investir em segurança da informação é investir na longevidade e no sucesso do negócio.

Publicado em por

POR QUE O CONSENTIMENTO NEM SEMPRE É A MELHOR ESCOLHA NA LGPD

No cotidiano das empresas ainda é comum a ideia de que a simples obtenção de uma assinatura, seja ela física ou eletrônica, representa um passaporte para o uso legítimo de dados pessoais. Esse entendimento, embora recorrente, está desalinhado com a realidade jurídica estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD não se resume ao consentimento. Aliás, essa é apenas uma das dez bases legais que autorizam o tratamento de dados. O problema surge quando o consentimento é utilizado como se fosse a única opção ou a mais segura. O que muitos ignoram é que essa base legal pode ser revogada a qualquer momento pelo titular dos dados, o que pode tornar instável o tratamento de informações no âmbito contratual, comercial ou operacional da empresa.

Para atividades corriqueiras do mundo empresarial, como emissão de notas fiscais, envio de cobranças, execução de contrato ou proteção do crédito, o consentimento nem sequer é necessário. Nessas hipóteses, a base legal adequada costuma ser a execução do contrato ou o cumprimento de obrigação legal ou regulatória. Isso significa que, ainda que o titular revogue um eventual consentimento, o tratamento continuará sendo legítimo, desde que amparado por outra base.

Outro equívoco comum é imaginar que o consentimento confere à empresa liberdade irrestrita sobre os dados coletados. A verdade é que, mesmo com autorização expressa, a empresa deve observar os princípios da finalidade, necessidade, transparência e segurança. O tratamento não pode ser abusivo, desproporcional ou sem justificativa.

Assim, é fundamental que o empresário compreenda que o uso adequado da base legal depende da natureza da atividade, dos dados envolvidos e do propósito do tratamento. Optar pela base incorreta pode comprometer a conformidade da empresa com a LGPD e fragilizar sua posição em caso de fiscalização, litígios ou incidentes de segurança.

A LGPD exige mais que uma assinatura. Exige boa-fé, coerência e responsabilidade jurídica. E isso começa pela escolha consciente da base legal mais apropriada para cada situação.

Publicado em por

COMO PROTEGER OS DADOS DA SUA EMPRESA COM ATITUDES SIMPLES E EFICAZES

A segurança dos dados deixou de ser apenas um cuidado técnico. Hoje, ela é parte essencial da gestão responsável e da confiança dos seus clientes. Empresas de todos os tamanhos, em qualquer setor, lidam com informações valiosas que não podem cair em mãos erradas. Por isso, separamos três atitudes simples que ajudam a proteger os dados e manter sua empresa segura e em conformidade com a lei.

Tenha controle sobre quem acessa o quê
Nem todos os colaboradores precisam acessar todos os dados da empresa. Defina níveis de acesso conforme a função de cada um. Isso reduz o risco de vazamentos e facilita a identificação de problemas quando eles acontecem. Sistemas com autenticação por senha e permissões bem configuradas já fazem uma grande diferença.

Evite dados em planilhas soltas
Planilhas espalhadas em computadores, pen drives ou e-mails são um convite ao erro e à exposição de dados. Use plataformas seguras para armazenar e compartilhar informações, com registro de acessos e backups automáticos. Assim, você mantém tudo organizado e protegido contra perdas ou acessos indevidos.

Treine sua equipe para reconhecer golpes
Boa parte dos ataques começam com um simples e-mail ou mensagem falsa. Por isso, oriente seus colaboradores a desconfiar de links estranhos, remetentes desconhecidos e pedidos urgentes que envolvam informações sensíveis. Pequenos cuidados no dia a dia evitam grandes prejuízos.

Adotar essas atitudes é mais simples do que parece e evita dores de cabeça no futuro. Segurança da informação não é apenas tecnologia: é também cultura e responsabilidade no trato com os dados.

Proteger sua empresa começa com atitudes conscientes.

Publicado em por

OS IMPACTOS DA PERDA DE DADOS POR FALHAS EM BACKUP

A adoção de rotinas de backup é amplamente reconhecida como uma das práticas mais importantes para a continuidade dos negócios. No entanto, mesmo com essa consciência, muitas organizações negligenciam etapas essenciais que garantiriam a eficácia desses procedimentos. O resultado é a perda de dados valiosos e, não raramente, a interrupção total das operações por períodos indeterminados.

Os dados são, para as empresas modernas, o que os registros contábeis eram para os antigos comerciantes: o registro da existência, da história e das possibilidades de continuidade. Quando um sistema falha e o backup não está devidamente configurado ou validado, essas informações podem simplesmente desaparecer. Arquivos financeiros, contratos, cadastros de clientes, históricos médicos ou jurídicos. Tudo pode se perder com um clique, uma falha elétrica ou um ataque cibernético.

É comum que as organizações apenas descubram a ineficiência de suas rotinas de backup no momento em que precisam restaurar informações. Nessa hora, percebem que o último backup válido foi feito há meses, ou que os arquivos estavam corrompidos, ou ainda que a restauração não contempla todos os dados necessários. O impacto pode ser devastador. Atrasos em entregas, interrupção de serviços essenciais, perdas contratuais, danos à reputação e, em alguns casos, a inviabilidade do próprio negócio.

Além da perda direta de dados, há também um efeito nos processos e nas pessoas. Equipes paralisadas, clientes insatisfeitos e a insegurança instalada em todos os níveis da organização. A recuperação, quando possível, exige tempo, recursos técnicos e financeiros. E muitas vezes esses recursos não estão disponíveis com a agilidade necessária.

Por isso, investir em soluções confiáveis de backup, automatizar rotinas, testar periodicamente a integridade dos arquivos e contar com uma política clara de segurança da informação não são apenas boas práticas. São medidas que protegem o que há de mais sensível em qualquer operação. Ignorar esses cuidados é o mesmo que deixar aberta uma porta por onde tudo pode escapar sem aviso.

A verdadeira prevenção está em garantir que o sistema funcione quando for exigido. No campo da gestão de riscos, não há espaço para suposições. Quando o erro se materializa, o tempo para reagir já é curto e o prejuízo, muitas vezes, não tem retorno.

Publicado em por

A RESPONSABILIDADE DE CONTROLADORES E OPERADORES NO TRATAMENTO DE DADOS

Desde que entrou em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) passou a demandar um olhar mais atento das empresas em relação ao tratamento de informações de seus clientes, usuários e colaboradores. No entanto, um ponto ainda gera dúvidas ou é frequentemente negligenciado: a responsabilidade compartilhada entre os diversos agentes que participam do tratamento de dados, especialmente entre controladores e operadores.

A LGPD define o controlador como a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já o operador é quem realiza o tratamento em nome do controlador, mediante suas instruções. Essa divisão, no entanto, não representa uma separação rígida de responsabilidades. Ao contrário, a legislação estabelece que ambos respondem pelos danos causados a terceiros quando não observam a legislação ou não garantem a segurança adequada das informações tratadas.

É nesse ponto que entra a corresponsabilidade. Quando uma empresa contrata um prestador de serviços que lida com dados pessoais em seu nome — como um sistema de gestão, uma consultoria de marketing ou um fornecedor de TI —, ela continua responsável por assegurar que esse parceiro cumpra a LGPD. A empresa deve adotar critérios técnicos e jurídicos na escolha de seus operadores e manter uma relação contratual clara, com cláusulas específicas sobre proteção de dados, obrigações de confidencialidade e medidas de segurança.

Por outro lado, os operadores também têm deveres próprios. Não basta alegar que estão apenas seguindo ordens do controlador. Eles devem adotar boas práticas, registrar suas atividades, manter canais de comunicação sobre incidentes e demonstrar que atuam com diligência. A falha de um operador, se relacionada ao tratamento de dados, pode recair diretamente sobre o controlador — e vice-versa.

A relação entre controladores e operadores deve ser construída com base na transparência, cooperação e responsabilidade mútua. Isso inclui auditorias, avaliações de impacto, treinamentos conjuntos e uma cultura organizacional que valorize a proteção de dados como parte integrante da atividade empresarial.

A LGPD não é um tema isolado de departamentos jurídicos ou de tecnologia. É um compromisso coletivo, que ultrapassa os limites formais da empresa e alcança toda a cadeia de parceiros. Tratar dados com respeito e responsabilidade não é apenas um dever legal, mas um sinal de maturidade nas relações comerciais e de cuidado com as pessoas cujas informações estão sob nossa guarda.

Se os dados são compartilhados, a responsabilidade também deve ser. Essa é uma premissa que precisa estar presente em cada contrato, em cada processo e, sobretudo, em cada decisão de negócios.

Publicado em por

COMO A LGPD PROTEGE A REPUTAÇÃO DO SEU NEGÓCIO?

Quando se fala em Lei Geral de Proteção de Dados (LGPD), a maior parte das pessoas e empresas associa o tema, quase que imediatamente, à possibilidade de aplicação de multas. De fato, a sanção financeira é uma das formas previstas para garantir o cumprimento da lei. Mas o real problema quase nunca está no valor da penalidade. Ele costuma começar bem antes: na ausência de uma cultura organizacional voltada à proteção de dados e na falta de ações preventivas.

A LGPD não foi criada apenas para punir. Ela estabelece princípios e regras para que o tratamento de dados pessoais seja feito de maneira ética, segura e transparente. Quando esses fundamentos são ignorados, o risco não é apenas jurídico — é também reputacional. Basta uma notícia sobre o vazamento de dados ou o uso indevido de informações sensíveis para abalar a confiança de clientes, parceiros e até investidores.

A reputação de uma empresa é construída ao longo de anos, mas pode ser comprometida em minutos. Por isso, investir em medidas preventivas, como mapeamento de dados, revisão de contratos com fornecedores, capacitação de equipes e implementação de boas práticas de segurança da informação, não é apenas uma exigência legal. É uma demonstração de responsabilidade e respeito com aqueles que confiam suas informações à organização.

Empresas que se antecipam e tratam a proteção de dados como parte da sua rotina demonstram maturidade institucional. Não esperam a autuação da Autoridade Nacional de Proteção de Dados (ANPD) para agir. Entendem que a integridade das informações pessoais está diretamente ligada à sua imagem no mercado.

A LGPD é uma oportunidade para revisar processos internos, fortalecer a confiança dos consumidores e evitar desgastes que, muitas vezes, são muito mais onerosos do que qualquer multa.

Publicado em por

VOCÊ CONHECE OS DADOS QUE SUA EMPRESA TRATA? TRATAMENTO DE DADOS SENSÍVEIS EXIGE ATENÇÃO E PODE GERAR PENALIDADES

A rotina de qualquer empresa envolve, de maneira direta ou indireta, o tratamento de dados pessoais. Informações como nome, telefone e endereço são frequentemente armazenadas em cadastros e sistemas internos. No entanto, há um conjunto específico de dados que exige atenção diferenciada: os chamados dados pessoais sensíveis.

A Lei Geral de Proteção de Dados (LGPD) define como sensíveis as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que, se mal utilizados ou expostos, podem causar discriminação ou prejuízos significativos ao titular.

A responsabilidade da empresa que coleta e trata esse tipo de dado é mais rigorosa. A legislação impõe não apenas a necessidade de consentimento específico e destacado para esse tratamento, como também exige medidas técnicas e organizacionais capazes de garantir a segurança dessas informações.

Não se trata de burocracia: é uma questão de respeito ao direito do outro, de ética e também de proteção jurídica. Empresas que negligenciam a coleta e o tratamento de dados sensíveis podem ser alvo de fiscalizações, responder a processos administrativos e judiciais e, mais do que isso, sofrer sanções que vão desde advertências até multas que podem alcançar até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração.

Um ponto importante, muitas vezes ignorado, é a ausência de clareza sobre quais dados estão sendo coletados e com que finalidade. O simples fato de a empresa não saber exatamente o que armazena já configura risco. Ter um mapeamento claro, com base legal definida, política de privacidade atualizada e contratos com fornecedores adequados à LGPD, é o mínimo esperado de qualquer organização que deseja agir com responsabilidade.

A proteção de dados não se resume a tecnologia. Envolve governança, processos bem definidos e cultura organizacional. O que está em jogo é a confiança dos seus clientes, parceiros e colaboradores – confiança essa que se constrói com transparência e respeito.

Publicado em por

A COMUNICAÇÃO COMO PILAR DA GOVERNANÇA EM PRIVACIDADE DE DADOS

A comunicação da efetividade de um programa de privacidade exige mais do que apresentar relatórios técnicos ou exibir normas internas. Trata-se de transmitir, com clareza e consistência, que os compromissos com a proteção de dados pessoais são reais, contínuos e mensuráveis. Essa comunicação deve alcançar tanto os públicos internos quanto os externos, fortalecendo a confiança e o engajamento com a organização.

Para isso, o primeiro passo é traduzir os resultados alcançados em indicadores compreensíveis, que demonstrem o funcionamento prático do programa. Exemplos incluem a redução de incidentes de segurança, o tempo médio de resposta a solicitações de titulares e a atualização periódica de políticas e treinamentos. Tais dados devem ser apresentados de forma acessível, sem abrir mão da precisão técnica.

A linguagem utilizada deve ser direta, transparente e alinhada aos valores da organização. Não basta afirmar que se cumpre a Lei Geral de Proteção de Dados Pessoais (LGPD); é necessário mostrar como isso ocorre na prática: quais processos foram ajustados, quais tecnologias foram adotadas, quais terceiros foram auditados e como os riscos foram mitigados.

Outro ponto relevante é valorizar o protagonismo das pessoas envolvidas. A efetividade de um programa de privacidade está diretamente ligada à cultura organizacional. Comunicar que colaboradores de diferentes áreas participaram de treinamentos, reportaram riscos ou sugeriram melhorias é uma maneira eficaz de demonstrar que a proteção de dados está incorporada ao cotidiano da instituição.

Além disso, é recomendável manter canais abertos e acessíveis para os titulares de dados. A clareza nas respostas, a empatia no atendimento e a disposição para revisar processos comunicam, por si sós, que a empresa não apenas cumpre obrigações legais, mas respeita direitos fundamentais.

É importante que a comunicação seja contínua. Um programa de privacidade não é uma conquista pontual, mas um compromisso permanente. Relatórios periódicos, campanhas educativas internas, informativos aos parceiros e atualizações no site institucional reforçam essa mensagem.

Publicado em por

POLÍTICA DE PRIVACIDADE COPIADA DA INTERNET: UMA PRÁTICA COMUM QUE NÃO ATENDE À LGPD

Muitas empresas, especialmente as de pequeno e médio porte, ainda tratam documentos como contratos e políticas internas com certo desleixo. Na tentativa de economizar tempo e dinheiro, optam por copiar modelos prontos da internet, com leves adaptações, acreditando estarem protegidas juridicamente. No entanto, essa prática tem se mostrado não apenas arriscada, mas onerosa a médio e longo prazo.

A política de privacidade é um exemplo recorrente. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), tornou-se necessário demonstrar que os dados pessoais tratados pela empresa estão protegidos e que o titular está devidamente informado sobre seus direitos. Copiar uma política de privacidade sem considerar a realidade do negócio, os fluxos de dados envolvidos e os riscos específicos da atividade exercida é um erro que pode comprometer toda a estratégia de conformidade da organização.

Documentos jurídicos, quando redigidos de forma genérica, sem observar a natureza específica da empresa, sua estrutura interna e suas práticas operacionais, deixam lacunas importantes. Essas lacunas, por sua vez, podem ser exploradas em disputas judiciais, fiscalizações administrativas e até em situações simples do cotidiano empresarial, como uma rescisão contratual ou a apuração de responsabilidades em caso de incidente de segurança da informação.

Além disso, políticas internas, como códigos de conduta, termos de uso e regulamentos internos, não cumprem seu papel quando não dialogam com a cultura organizacional e não orientam de forma clara o comportamento esperado de colaboradores, prestadores de serviço e parceiros. É comum encontrar empresas com documentos que falam em tecnologias que não utilizam, em práticas que não realizam ou em obrigações que nunca são fiscalizadas. Isso enfraquece a governança interna e, pior, pode ser usado contra a própria empresa em litígios.

Investir na elaboração de documentos personalizados, construídos com base na realidade da empresa, é um cuidado que traz segurança jurídica, fortalece a imagem institucional e previne conflitos. Não se trata de uma formalidade excessiva, mas de um instrumento de organização, prevenção e responsabilidade.

A aparente economia em copiar um modelo pronto pode se transformar em prejuízo. Afinal, um contrato mal feito ou uma política copiada sem reflexão pode custar caro, seja em processos judiciais, seja em sanções administrativas, seja na perda de confiança de parceiros e clientes. O barato, nesse caso, tem preço alto.

Publicado em por

TREINAR SUA EQUIPE EM LGPD E CONTRATOS PODE REDUZIR PROCESSOS

A capacitação de equipes que lidam com dados pessoais e contratos é uma medida preventiva de grande relevância para qualquer organização. Quando os colaboradores compreendem as exigências da LGPD e os cuidados necessários na elaboração, análise e cumprimento de contratos, os riscos de falhas operacionais e demandas judiciais diminuem consideravelmente.

A maioria dos processos enfrentados por empresas decorre de desatenção a detalhes que poderiam ser evitados com orientação adequada. O uso indevido de dados, o descumprimento de cláusulas contratuais ou a ausência de formalidades legais são exemplos de situações que geram conflitos. Uma equipe bem treinada reconhece essas armadilhas antes que se concretizem.

Além da redução de riscos, o treinamento promove segurança jurídica e eficiência. As decisões passam a ser tomadas com base em critérios objetivos, alinhadas à legislação vigente e às boas práticas. Isso fortalece a reputação institucional e contribui para relações mais transparentes com clientes, fornecedores e parceiros.

O treinamento também tem um efeito prático sobre a rotina dos setores. Com conhecimento técnico, os colaboradores tornam-se mais autônomos, solucionando questões do dia a dia com mais agilidade e menor dependência de pareceres externos. Essa autonomia qualificada representa ganho de tempo, redução de custos e melhoria no fluxo de trabalho.

Adotar esse tipo de investimento é demonstrar compromisso com a legalidade e com a ética nas relações empresariais. É um caminho para evitar litígios, preservar vínculos contratuais e consolidar uma cultura organizacional orientada pela responsabilidade.

Treinar não é um custo, mas uma forma de proteger o negócio e garantir que ele cresça com estabilidade. É um investimento na tranquilidade futura e na solidez das operações do presente.

Publicado em por

RETENÇÃO DE DADOS: ENTENDA POR QUE RETER DADOS SEM NECESSIDADE PODE PREJUDICAR SUA EMPRESA

Em tempos de crescente atenção à privacidade e à proteção de dados pessoais, é notável a prática recorrente de empresas que mantêm, por longos períodos, dados de clientes, ex-colaboradores e parceiros comerciais, mesmo quando não há mais qualquer fundamento jurídico que justifique tal conservação. Trata-se de uma conduta que, além de desnecessária, contraria os princípios estabelecidos pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).

A LGPD é clara ao estabelecer que o tratamento de dados deve observar, entre outros, o princípio da necessidade, segundo o qual devem ser tratados apenas os dados estritamente necessários para a realização de finalidades legítimas e específicas. A manutenção indiscriminada de informações por tempo indefinido, sem respaldo legal ou regulatório, viola não apenas esse princípio, mas também o da finalidade e o do livre acesso, uma vez que o titular dos dados tem o direito de saber por quanto tempo e para quais fins suas informações estão sendo armazenadas.

Ao conservar cadastros de clientes inativos por anos, sem qualquer interação ou previsão contratual vigente, ou ainda ao manter históricos completos de ex-funcionários muito além dos prazos legais para defesa de direitos trabalhistas ou previdenciários, as organizações se expõem a riscos desnecessários. Vazamentos, acessos indevidos e o uso indevido de dados são eventos que se tornam mais prováveis à medida que os bancos de dados se avolumam, sem critério ou revisão periódica.

Mais do que uma obrigação legal, a revisão das práticas de retenção é um compromisso com o respeito à privacidade e à autodeterminação informativa dos indivíduos. A eliminação segura de dados cuja guarda não é mais justificada deve fazer parte das rotinas internas de governança das informações. O “guardar por precaução”, tão comum na cultura organizacional brasileira, precisa ser substituído por um olhar técnico, jurídico e ético.

Cabe, portanto, às empresas promoverem auditorias regulares, instituírem políticas claras de retenção e descarte, e capacitarem suas equipes para agir conforme a legislação. A retenção excessiva de dados não é sinal de zelo, mas de descuido. Em tempos de responsabilização administrativa, cível e até penal, o excesso pode custar caro. E não apenas em multas, mas sobretudo em confiança.

Publicado em por

TRÊS FALHAS COMUNS NA PROTEÇÃO DE DADOS QUE PODEM GERAR PARA MULTAS

A proteção de dados pessoais deixou de ser uma recomendação técnica para se tornar uma obrigação legal. Ainda assim, muitas empresas continuam negligenciando práticas básicas exigidas pela Lei Geral de Proteção de Dados (LGPD). O descuido, quase sempre motivado por uma falsa sensação de segurança ou por uma gestão despreparada, pode levar a sanções administrativas, processos judiciais e, principalmente, à perda da confiança dos clientes.

A seguir, destacamos três práticas frequentemente ignoradas pelas organizações — até que uma fiscalização ou incidente revele o erro.

1. Falta de registro das operações de tratamento de dados

Toda empresa que trata dados pessoais precisa manter um registro atualizado de suas atividades. Isso inclui saber quais dados são coletados, para qual finalidade, com quem são compartilhados e por quanto tempo são armazenados. Ainda que não seja exigido um software sofisticado, o mapeamento deve ser documentado e revisado periodicamente.

Um caso emblemático ocorreu em 2023, quando uma rede de clínicas odontológicas foi multada pela Autoridade Nacional de Proteção de Dados (ANPD) por não comprovar o mapeamento de dados de seus pacientes. A empresa alegou tratar apenas informações básicas, mas não conseguiu demonstrar controle sobre os dados armazenados, nem justificar o tempo de retenção.

2. Ausência de política clara de descarte de dados

Guardar dados “por precaução” é uma prática antiga e equivocada. A LGPD determina que os dados pessoais devem ser eliminados ao fim de seu tratamento, salvo obrigação legal ou regulatória que justifique sua conservação. Ainda assim, muitas empresas não possuem uma política clara de descarte ou anonimização.

Em 2022, uma loja virtual de médio porte foi notificada após uma violação de segurança expor dados de clientes inativos há mais de cinco anos. A investigação revelou que a empresa não realizava qualquer processo de descarte. O resultado foi um processo administrativo, retrabalho técnico e a perda de uma certificação ISO que a empresa havia conquistado meses antes.

3. Treinamento insuficiente (ou inexistente) dos colaboradores

Uma empresa pode investir em sistemas de segurança robustos, mas bastará um e-mail mal encaminhado ou um pendrive conectado indevidamente para comprometer todo o esforço. A falta de treinamento regular dos colaboradores é uma das principais falhas observadas pela ANPD.

Um banco de médio porte, em 2021, sofreu uma notificação após um funcionário compartilhar, por engano, uma planilha com dados bancários de clientes via e-mail externo. Embora o erro tenha sido humano, a ANPD entendeu que a instituição falhou ao não treinar sua equipe para lidar com dados pessoais de forma segura.

A proteção de dados exige responsabilidade contínua. Ignorar práticas básicas pode parecer inofensivo no dia a dia, mas se revela um erro dispendioso quando o problema já está instalado. Implementar boas práticas não é apenas uma medida de conformidade: é uma forma de demonstrar respeito pela privacidade e confiança do seu cliente. E isso, definitivamente, não se improvisa.