Tag: Privacidade

Publicado em por

O DIREITO AO ESQUECIMENTO NO BRASIL: ENTRE A PROTEÇÃO DA PRIVACIDADE E A LIBERDADE DE INFORMAÇÃO

O direito ao esquecimento é um conceito que suscita discussões profundas no contexto legal, pois envolve a ponderação entre a proteção da privacidade e da dignidade da pessoa e a garantia da liberdade de expressão. Embora não esteja expressamente consagrado na Constituição Federal brasileira, muitos o consideram um direito de personalidade. Isso levanta a questão de se um ex-presidiário, por exemplo, poderia requerer a exclusão de informações sobre seu crime do domínio público na internet.

A constante relembrança de eventos prejudiciais pela sociedade pode afetar a honra, a moral e a dignidade da pessoa. No Brasil, tribunais de menor instância já reconheceram a aplicabilidade desse conceito em casos específicos, embora o país tenha sido criticado por não reconhecer de forma mais ampla o direito ao esquecimento.

No entanto, a última instância judicial brasileira considerou o direito ao esquecimento incompatível com a Constituição, argumentando que o texto constitucional não permite a restrição do exercício de outros direitos fundamentais. Em situações em que há conflito entre o direito do indivíduo afetado pela divulgação prejudicial e o direito à liberdade de expressão, a decisão deve ser baseada na análise do caso concreto e na ponderação dos princípios constitucionais envolvidos.

O direito ao esquecimento pode ser visto como uma ferramenta para limitar a divulgação indesejada de informações do passado, desde que essas informações não sejam mais relevantes para o interesse público atual. Portanto, ao julgar casos desse tipo, é fundamental considerar a relevância social do evento, garantir que a liberdade de imprensa seja exercida com responsabilidade e proteger a intimidade de maneira eficaz.

Uma audiência pública realizada pelo Supremo Tribunal Federal em junho de 2017 gerou três posições diferentes sobre o direito ao esquecimento. No entanto, o STF decidiu que esse direito é incompatível com o sistema normativo brasileiro, deixando lacunas e não declarando sua inexistência de forma definitiva.

O debate sobre o direito ao esquecimento envolve o equilíbrio delicado entre direitos constitucionais, exigindo a conciliação dos princípios com base nas circunstâncias específicas de cada caso.

Publicado em por

INSTITUTO SIGILO LANÇA PORTAL PARA BENEFICIÁRIOS DO AUXÍLIO BRASIL AFETADOS POR VAZAMENTO DE DADOS

O Instituto Sigilo, oficialmente conhecido como o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, lançou um novo portal voltado para a verificação de informações dos beneficiários do programa Auxílio Brasil, que foi extinto. Este portal permite que os beneficiários verifiquem se suas informações pessoais foram comprometidas e se têm direito a receber compensações.

O Instituto Sigilo iniciou uma ação judicial em relação ao vazamento de informações, alegando que os dados de cerca de 4 milhões de pessoas que receberam o Auxílio Brasil em 2022 foram divulgados de maneira indevida. Essas informações envolvem dados de cidadãos de mais de 4 mil municípios. Segundo o Ministério Público Federal, essas informações foram compartilhadas ilegalmente com correspondentes bancários, que as utilizaram para oferecer empréstimos e outros produtos financeiros. Em setembro, a 1ª Vara Cível Federal de São Paulo aceitou o pedido do Instituto Sigilo e determinou o pagamento de R$ 15 mil a título de danos morais a cada pessoa afetada.

As entidades responsáveis pelos pagamentos incluem a União, a Caixa Econômica Federal, a Dataprev e a ANPD (Autoridade Nacional de Proteção de Dados). No entanto, a Caixa Econômica Federal recorreu da decisão, como anunciado em comunicado oficial. A Caixa nega veementemente o vazamento dos dados e assegura que não encontrou falhas em sua gestão de informações, garantindo a integridade de seus dados e a segurança dos sistemas do Cadastro Único, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Para verificar sua situação, os beneficiários podem acessar o portal em sigilo.org.br e selecionar a opção “Conferir se tenho direito”, localizada no início da página. É necessário fornecer informações pessoais, como nome completo, e-mail, CPF e número de telefone, além de aceitar os termos de privacidade e uso do site. É importante observar que a consulta informa se a pessoa está incluída na base de dados supostamente comprometida e se é elegível para receber uma compensação. No entanto, isso não implica em um pagamento imediato, pois o processo ainda não foi finalizado. O objetivo principal do portal é informar às pessoas se têm direito a compensações, permitindo que manifestem seu interesse no processo.

É importante destacar que a compensação não é garantida, uma vez que o Instituto Sigilo não é responsável pelos pagamentos. Caso a decisão de compensação seja mantida, cada beneficiário cujos dados foram expostos terá que buscar a execução da sentença ao final do processo, com a assistência de um advogado.

O Instituto Sigilo não divulgou publicamente como obteve acesso à suposta base de dados vazados, embora afirme que as informações coincidem com as dos brasileiros cadastrados no site. Segundo o site, 471 mil pessoas têm direito à compensação. A organização planeja entrar em contato com a Ordem dos Advogados do Brasil (OAB) para cadastrar advogados em todo o país, a fim de fornecer assistência aos associados do instituto para receber as compensações. Devido às diversas opções de recursos legais disponíveis, o resultado da ação é incerto, e um pagamento representaria um precedente único no país.

Publicado em por

A ASCENSÃO DA INTELIGÊNCIA ARTIFICIAL NAS ELEIÇÕES BRASILEIRAS: BENEFÍCIOS E DESAFIOS

Nos últimos anos, a Inteligência Artificial (IA) emergiu como uma ferramenta de grande poder e impacto em diversos setores. Sua promessa de revolucionar a forma como vivemos, trabalhamos e nos relacionamos é inegável. Nesse contexto, torna-se evidente que a inteligência artificial está transformando substancialmente a condução das campanhas políticas e a interação dos eleitores com os candidatos, estando destinada a desempenhar um papel crucial nas eleições de 2024.

As redes sociais desempenham um papel de destaque nas últimas eleições no Brasil, impulsionadas por algoritmos sofisticados e a capacidade de análise de grandes volumes de dados, habilitados pela inteligência artificial. Essa revolução está alterando a maneira de conduzir campanhas políticas, exigindo profissionais altamente capacitados que compreendam profundamente o funcionamento dessa nova ferramenta.

Uma das áreas mais impactadas pela inteligência artificial é a segmentação de eleitores. Através da análise de dados demográficos, comportamentais e históricos, os partidos políticos agora podem direcionar suas mensagens de forma altamente precisa, adaptando-as aos interesses específicos de diversos grupos de eleitores. Esse enfoque personalizado gera campanhas mais atraentes e persuasivas.

Entre as diversas aplicações da inteligência artificial em campanhas eleitorais, a análise de dados do eleitorado se destaca. Essa análise permite uma compreensão profunda dos perfis e preferências dos eleitores, possibilitando a identificação de tendências e interesses da sociedade. Isso, por sua vez, ajuda a traçar estratégias de campanha mais eficazes, sempre alinhadas com as principais demandas da população.

Entretanto, é fundamental ressaltar os desafios éticos e de privacidade que surgem com o uso da inteligência artificial nas eleições. O acesso a grandes volumes de dados deve respeitar as regulamentações legais, em conformidade com a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). O manuseio de informações requer cuidados rigorosos para garantir a proteção da privacidade dos eleitores e prevenir abusos que possam comprometer a integridade do processo eleitoral.

O uso da inteligência artificial nas eleições tem gerado debates intensos, preocupando especialistas e as autoridades eleitorais. A fiscalização adequada dessa nova ferramenta é um desafio adicional. A coleta e o processamento de dados exigem supervisão criteriosa para garantir a privacidade dos cidadãos e a transparência do processo. Vale destacar que o uso indevido dessas tecnologias pode configurar abuso de poder, resultando na cassação do registro ou diploma dos candidatos beneficiados por tais práticas.

Portanto, é inegável a presença crescente da inteligência artificial nas eleições brasileiras, trazendo consigo tanto benefícios quanto desafios. É essencial estabelecer um equilíbrio entre a exploração das vantagens tecnológicas e a proteção dos valores democráticos fundamentais, bem como o cumprimento da legislação eleitoral. A fiscalização contínua e efetiva é crucial para assegurar que a inteligência artificial continue aprimorando o processo eleitoral no Brasil e que seu uso seja pautado na ética, no respeito à democracia e no fomento ao debate de ideias.

Publicado em por

SENACON NOTIFICA RAIADROGASIL POR USO DE DADOS DE CLIENTES EM PUBLICIDADE

A Secretaria Nacional do Consumidor (Senacon), órgão vinculado ao Ministério da Justiça e Segurança Pública, emitiu uma notificação à empresa RaiaDrogasil, solicitando esclarecimentos acerca do uso de dados pessoais de seus clientes. A notificação tem como base uma reportagem do UOL, publicada em setembro, que revelou que a rede de farmácias criou uma empresa chamada RD Ads, destinada a comercializar informações dos consumidores com anunciantes.

Nesse processo, os anunciantes contatam a RD Ads, especificam o público que desejam atingir e a empresa realiza consultas no extenso banco de dados da RaiaDrogasil. Isso permite que anúncios sejam direcionados a pessoas com base em seus perfis de consumo, não apenas no site da farmácia, mas também em plataformas de redes sociais e no YouTube. Vale ressaltar que a base de dados da RaiaDrogasil abrange até 15 anos de informações de cerca de 48 milhões de indivíduos, o que corresponde a um em cada cinco brasileiros. Tais dados incluem informações sensíveis, revelando históricos de saúde e comportamentos pessoais, o que levanta preocupações em relação à sua utilização.

A Senacon expressa a sensibilidade desses dados devido ao potencial uso que poderia levar à discriminação, o que é proibido pela legislação e violaria os direitos fundamentais de liberdade e igualdade estabelecidos na Constituição.

A notificação à RaiaDrogasil foi assinada por Wadih Damous, Secretário Nacional do Consumidor. Até o momento, a RaiaDrogasil ainda não confirmou o recebimento da notificação, mas quando o fizer, terá um prazo de dez dias para apresentar sua resposta. A Senacon formulou onze perguntas e solicitou documentos comprobatórios. Algumas das questões levantadas incluem se os consumidores deram consentimento para o uso de seus dados pessoais em ações de publicidade e propaganda, tanto pela empresa quanto por terceiros.

A política de privacidade da RaiaDrogasil em vigor até a publicação da reportagem não fazia menção à monetização dos dados para fins de publicidade de terceiros. Além disso, a Senacon indagou sobre a relação entre a RD Ads e o grupo RaiaDrogasil, bem como sobre o modelo de negócios da RD Ads. Conforme um comunicado aos investidores da RaiaDrogasil, a empresa criou a RD Ads em novembro de 2021, com o principal objetivo de monetizar os dados junto às indústrias e agências de publicidade, conectando marcas aos clientes mais relevantes.

Publicado em por

VIOLAÇÕES À PRIVACIDADE DOS CONSUMIDORES EM FARMÁCIAS: UMA ANÁLISE DO DECON

No período de 10 e 11 de julho do corrente ano, a equipe do Departamento de Proteção e Defesa do Consumidor (Decon) promoveu uma operação de fiscalização que envolveu a visita a 11 farmácias. Durante essa diligência, constatou-se que oito desses estabelecimentos estavam solicitando informações pessoais dos clientes de maneira inadequada, não fornecendo de forma clara, precisa e ostensiva as informações relacionadas ao tratamento desses dados.

O Decon entende que essa conduta viola a Lei Geral de Proteção de Dados Pessoais e desrespeita os direitos dos consumidores estabelecidos no Código de Defesa do Consumidor (CDC). Nos locais autuados, observou-se que a solicitação de dados pessoais estava geralmente associada a programas de fidelidade e descontos. Para aderir a esses benefícios, os consumidores eram obrigados a fornecer seus dados pessoais, em especial o CPF.

Entretanto, no momento da coleta dessas informações pelos atendentes, os consumidores não eram devidamente informados sobre como esses dados seriam tratados. O Decon, portanto, tomará as medidas necessárias para investigar a extensão desse tratamento de dados e possíveis compartilhamentos indevidos das informações pessoais coletadas.

As empresas autuadas receberam intimações referentes a essa decisão no dia 19 deste mês. A partir dessa data, inicia-se o prazo para o pagamento da multa ou para a apresentação de recurso à Junta Recursal do Decon (Jurdecon).

Publicado em por

IOT E O DIREITO: NAVEGANDO PELOS DESAFIOS JURÍDICOS DA ERA CONECTADA

A Internet das Coisas (IoT) tem rapidamente transformado a maneira como vivemos, integrando tecnologia em muitos aspectos de nossas vidas cotidianas. A IoT oferece inúmeras vantagens, como maior eficiência, automação e aprimoramento da qualidade de vida, mas ao mesmo tempo apresenta complexos desafios legais que não podem ser negligenciados.

A proteção da privacidade dos usuários é, sem dúvida, um dos principais desafios. Com dispositivos IoT constantemente coletando e compartilhando dados pessoais, a preocupação com o uso inadequado dessas informações é legítima. Uma regulamentação sólida e eficaz é essencial para garantir a privacidade individual e o controle sobre os próprios dados.

Outro ponto crítico é a segurança dos dispositivos conectados. A interconexão de objetos introduz novos riscos, como acesso não autorizado e ameaças cibernéticas. É imperativo que as empresas que desenvolvem esses dispositivos adotem medidas de segurança robustas e que haja legislação estabelecendo padrões mínimos de segurança.

A questão da responsabilidade civil também é digna de atenção. Com a IoT, dispositivos conectados podem causar danos a terceiros, seja por falhas de segurança, mau funcionamento ou ações autônomas do dispositivo. Nesses casos, é fundamental definir quem será responsabilizado pelos danos e como a reparação será efetuada.

A proteção de dados é uma preocupação constante. Dada a quantidade de informações coletadas pelos dispositivos IoT, regras claras sobre coleta, armazenamento e compartilhamento de dados são essenciais. A Lei Geral de Proteção de Dados (LGPD) representa um marco importante nesse contexto, estabelecendo diretrizes para o uso responsável de dados pessoais.

Diante desses desafios, é importante que o direito evolua em paralelo ao avanço tecnológico. Uma legislação atualizada e eficaz é necessária para garantir a proteção dos direitos individuais e o desenvolvimento seguro e responsável da IoT.

A IoT traz consigo uma série de complexos desafios legais que requerem atenção cuidadosa. A proteção da privacidade, a segurança dos dispositivos, a questão da responsabilidade civil e a proteção de dados são questões críticas que exigem uma regulamentação sólida e eficaz, garantindo um progresso seguro e responsável na área da IoT.

Publicado em por

DECATHLON E BLUENOVE AFETADAS POR VAZAMENTO DE DADOS: PROTEGENDO A PRIVACIDADE DOS FUNCIONÁRIOS

No dia 7 de setembro de 2023, veio à tona a notícia de um significativo vazamento de dados que afetou cerca de 8.000 funcionários da Decathlon, uma gigante do setor de artigos esportivos. A descoberta desse vazamento ocorreu por meio de um post em um fórum ilegal da chamada deep web.

O vazamento em questão incluiu um banco de dados considerável, com um tamanho de 61 MB, que alegadamente estava vinculado à Decathlon. Dentro desse banco de dados, estavam informações pessoais sensíveis, como nomes completos, nomes de usuário, números de telefone, endereços de e-mail e até detalhes sobre os países e cidades de residência dos funcionários afetados. Além disso, informações ainda mais sensíveis, como tokens de autenticação e até mesmo fotografias, também foram comprometidas.

A gravidade do vazamento de dados não se limitou apenas à Decathlon, pois também impactou outra empresa, a Bluenove, especializada em tecnologia e consultoria. A Bluenove confirmou que cópias duplicadas desse banco de dados comprometido estão circulando em fóruns da deep web, o que amplia ainda mais a preocupação em relação à segurança dos dados.

É importante destacar que a autenticidade do banco de dados recentemente compartilhado foi confirmada por meio de verificações adicionais. No entanto, vale mencionar que as amostras dos dados do vazamento original não estão mais disponíveis, devido a políticas de retenção ou outras circunstâncias.

Este incidente ilustra mais uma vez a crescente importância da segurança de dados e da necessidade de empresas e organizações tomarem medidas rigorosas para proteger as informações pessoais de seus funcionários e clientes. Além disso, a disseminação desses dados sensíveis na deep web ressalta os desafios crescentes em lidar com ameaças cibernéticas e a importância de ações proativas para prevenir vazamentos de dados.

Publicado em por

CORA, A FINTECH PARA PMES, RESISTE A ATAQUE DE HACKERS E REFORÇA SEGURANÇA

A fintech Cora, uma instituição bancária digital especializada em atender pequenas e médias empresas, recentemente enfrentou um incidente de segurança. A empresa se tornou alvo de um ataque cibernético, no qual hackers conseguiram acessar as contas de 38 correntistas, resultando em um prejuízo total de R$ 600 mil.

De acordo com informações obtidas pelo Pipeline, um e-mail do CEO e fundador da Cora, Igor Senra, revelou detalhes do incidente. Senra classificou as ações dos hackers como um “ataque de força bruta”. No decorrer desse ataque, os invasores conseguiram efetuar logins em cerca de 100 contas, sendo que transações efetivas ocorreram em 38 delas. Vale destacar que esse número representa apenas 0,003% da base de clientes da fintech, a qual abrange aproximadamente 1 milhão de usuários.

Senra, no e-mail datado de 6 de outubro, assegurou que a Cora se comprometeria a reembolsar todos os clientes afetados, utilizando recursos próprios da fintech. No entanto, até o dia 14, um cliente da Cora relatou ao Pipeline que ainda não havia recebido o reembolso. A empresa posteriormente reafirmou, em 16 de outubro, que todos os clientes afetados haviam sido ressarcidos.

No comunicado, o CEO enfatizou que os dados dos clientes não foram comprometidos, o que foi um dos fatores determinantes para a avaliação da empresa, que considerou o incidente de segurança como tendo baixa relevância. Essa análise levou em conta a proporção de usuários afetados e a resolução dos problemas de segurança envolvendo o sistema de transferências financeiras Pix.

A Cora anunciou ainda que, após o incidente, tomou diversas medidas para reforçar seus controles internos, incluindo a implementação de etapas adicionais de validação e a inclusão de um novo parceiro fundamental no fluxo de autenticação.

A empresa enfatizou a importância de os usuários serem extremamente cautelosos ao compartilhar seus dados e ao realizar transações bancárias. Ela lembrou que o Banco Central recomenda que as senhas utilizadas em bancos e instituições financeiras sejam únicas e exclusivas para cada instituição.

Vale destacar que a Cora conta com acionistas renomados, como Kaszek Ventures, Tiger Global, Tencent, Greenoak, QED Investors e Ribbit Capital. No ano anterior, a fintech reportou um prejuízo de R$ 131,7 milhões.

Publicado em por

BIOMETRIA FACIAL: ENTRE A MODERNIZAÇÃO E A PROTEÇÃO DA PRIVACIDADE EM GRANDES EVENTOS

O Projeto de Lei nº 2.745/2023, recentemente aprovado pela Comissão de Segurança Pública da Câmara dos Deputados, traça diretrizes necessárias para a implementação de sistemas de reconhecimento facial em estádios de futebol. Este avanço na tecnologia biométrica está transformando a forma como abordamos segurança e controle de acesso, não apenas em eventos esportivos, mas também em diversos setores, incluindo condomínios.

De acordo com o texto aprovado, a adoção de sistemas de reconhecimento facial nos estádios será opcional, ficando a cargo das entidades públicas e privadas responsáveis pelo evento a decisão de utilizá-lo. Importante destacar que o tratamento e o compartilhamento dos dados biométricos devem estar em conformidade com a Lei Geral de Proteção de Dados (LGPD). Além disso, o uso de reconhecimento facial não será permitido em áreas onde a privacidade dos torcedores ou jogadores deve ser preservada, como banheiros, vestiários e refeitórios.

Sob a perspectiva da Lei de Proteção de Dados Pessoais (LPDG), é essencial compreender a implementação dessa tecnologia e o tratamento das informações dos indivíduos. Há um debate em curso, especialmente sobre a possibilidade de substituição completa de métodos tradicionais.

Tomando como exemplo o Allianz Parque, o registro facial se tornou obrigatório para a compra de ingressos e acesso ao estádio, inclusive para crianças e adolescentes, eliminando a opção de compra física. O Idec (Instituto de Defesa do Consumidor) argumenta que é desproporcional impor o uso exclusivo de dados biométricos como meio de acesso, defendendo a disponibilização de alternativas.

A agilidade na entrada em eventos esportivos e condomínios é uma das principais vantagens do reconhecimento facial, além do combate ao cambismo e o aumento da segurança, particularmente na identificação de responsáveis por atos de vandalismo e crimes. Entretanto, questões éticas e relacionadas à proteção de dados pessoais surgem, dado que os dados biométricos são considerados sensíveis, exigindo o consentimento livre e expresso dos usuários.

Um ponto importante a ser considerado é que os algoritmos de inteligência artificial não possuem sensibilidade humana e podem aprender de maneira equivocada a partir de dados mal coletados ou mal interpretados. Isso pode levar a análises preconceituosas ou imprecisas, ressaltando a importância de garantir que suspeitos não sejam apontados unicamente com base em características físicas.

Embora a tecnologia prometa modernizar e aprimorar o acesso em estádios de futebol, eventos esportivos e condomínios, as organizações responsáveis devem assegurar que as informações faciais coletadas sejam tratadas de maneira ética e segura. O consentimento explícito das pessoas, a transparência sobre o uso dos dados e a consideração de alternativas para aqueles que não desejam compartilhar seus dados são passos essenciais para garantir que a tecnologia beneficie a todos, sem comprometer a privacidade e a segurança.

Publicado em por

RESILIÊNCIA DIGITAL NO VAREJO: ESTRATÉGIAS ESSENCIAIS CONTRA ATAQUES CIBERNÉTICOS

A crescente digitalização do mundo moderno representa uma notável transformação em vários setores, e o varejo não é exceção. Essa mudança trouxe consigo uma série de benefícios, mas também aumentou a necessidade de proteção contra os crescentes ataques cibernéticos, que podem ter um impacto devastador nas empresas do setor. À medida que o varejo, tanto físico quanto online, avança na digitalização de suas operações, integra sistemas complexos e coleta uma vasta quantidade de dados dos clientes, a importância de adotar medidas para garantir a segurança dessa infraestrutura e preservar a privacidade dos dados se torna cada vez mais evidente.

Estudos indicam que o varejo é um dos alvos mais visados pelos hackers, pois informações como dados de cartões de crédito e outras informações bancárias são altamente valorizadas por cibercriminosos. Os ataques de phishing, que buscam enganar os funcionários para obter acesso a informações sensíveis, são particularmente comuns. Além disso, ataques de ransomware, nos quais os sistemas da empresa são sequestrados e os dados são criptografados, exigindo um resgate para sua liberação, estão no topo da lista de riscos que podem paralisar as operações. Os sistemas de ponto de venda (POS) também são frequentemente alvos de hackers, que exploram brechas nos leitores de cartão para acessar informações confidenciais.

Nesse cenário desafiador, é fundamental adotar várias iniciativas para reduzir as chances de ataques cibernéticos. A implementação de práticas de segurança robustas, como a criptografia, desempenha um papel importante para garantir que informações valiosas não caiam nas mãos erradas. Além disso, soluções de segurança, como firewalls de última geração, oferecem proteção ao realizar controles que impedem invasões na rede do varejo e estabelecem políticas de acesso para aplicativos e usuários. A segmentação de rede, o monitoramento de tráfego suspeito e a atualização regular dos sistemas também são iniciativas necessárias para proteger esses pontos críticos.

Para acompanhar a expansão dos negócios e a criação de filiais, é essencial investir em comunicação segura entre a matriz e as lojas, por meio de redes definidas por software (SD-WAN). Essas redes integram diversos recursos de segurança avançada em uma única solução, como filtro de conteúdo web, proteção avançada contra ameaças e sistema de prevenção de intrusão.

A entrada em vigor da LGPD representou uma mudança significativa na maneira como os varejistas lidam com os dados pessoais de seus clientes. Para cumprir essa legislação e evitar penalidades, é necessário que o setor adote políticas de segurança sólidas e promova a conscientização e o treinamento dos colaboradores sobre como lidar com a segurança cibernética. Funcionários bem treinados são essenciais para reconhecer diferentes tipos de ataques, aplicar práticas seguras em suas atividades e iniciar protocolos predefinidos caso suspeitem de uma invasão nos sistemas.

Dada a crescente magnitude das ameaças cibernéticas, ter um plano de resposta a incidentes cibernéticos bem definido é de extrema importância. Esse plano deve conter um conjunto estruturado de procedimentos e diretrizes que a empresa deve seguir para identificar e gerenciar incidentes, minimizando os danos causados por eles. A partir desse plano, podem ser implementadas iniciativas para recuperar os sistemas e dados afetados rapidamente, permitindo que as operações voltem à normalidade o mais breve possível.

Além de se preparar para os desafios atuais, as organizações precisam estar atentas às tendências emergentes em cibersegurança. O campo da cibersegurança está em constante evolução, e o varejo deve estar vigilante quanto a essas mudanças. A evolução das soluções de segurança é uma resposta direta à crescente complexidade e amplitude das ameaças cibernéticas, bem como ao rápido crescimento dos negócios. Esse cenário de constante evolução não mostra sinais de desaceleração.

Em um mundo cada vez mais interconectado, a segurança cibernética transcende a esfera técnica e se torna uma estratégia fundamental para proteger a reputação da empresa e a confiança dos clientes. A implementação de medidas eficazes fortalece não apenas a proteção dos dados, mas também a resiliência da organização diante das ameaças em constante expansão e cada vez mais sofisticadas.

Casos recentes de sérios ataques cibernéticos a redes varejistas resultaram em prejuízos financeiros significativos, deixando claro que a cibersegurança não deve ser negligenciada pelo setor. Ao adotar as melhores práticas e tecnologias disponíveis, mantendo políticas e sistemas atualizados, o varejo está investindo não apenas em um presente mais seguro, mas também no futuro sustentável de seus negócios.

Publicado em por

DPIA NA LGPD: O PAPEL FUNDAMENTAL DO RELATÓRIO DE IMPACTO NA LGPD

No contexto da Lei Geral de Proteção de Dados (LGPD), o Relatório de Impacto à Proteção de Dados (RIPD), conhecido como DPIA (Data Protection Impact Assessment), emerge como um documento importante. Este relatório descreve os processos de tratamento de dados pessoais que podem representar um alto risco para a garantia dos princípios fundamentais de proteção de dados. Embora não seja obrigatório para todas as empresas, a elaboração do RIPD revela-se uma ferramenta altamente benéfica na adaptação das organizações à LGPD e na promoção de uma cultura corporativa alinhada às exigências atuais do mercado, especialmente no que diz respeito à proteção de dados sensíveis.

Além de fomentar a transparência das empresas com os titulares dos dados, o RIPD oferece uma preparação essencial para eventuais incidentes de segurança. Isso é possível por meio de um procedimento pré-estabelecido de mitigação de danos, delineado no relatório. O DPIA deve ser elaborado pelo controlador, ou seja, a entidade responsável pelas decisões referentes ao tratamento de dados pessoais, desde a coleta até a eliminação.

É importante ressaltar que a Agência Nacional de Proteção de Dados (ANPD) pode exigir o RIPD em situações específicas, como operações de tratamento voltadas para segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais. Isso se aplica também quando o tratamento se fundamenta no interesse legítimo, abrangendo agentes do Poder Público e controladores em geral. Além dessas situações, o DPIA pode ser requerido para cumprir o princípio da responsabilização e prestação de contas, garantindo segurança e prevenção por meio da implementação de um programa de governança em privacidade.

Até o momento, a LGPD e os regulamentos da ANPD não estabelecem requisitos essenciais para a elaboração e conteúdo obrigatório do RIPD. Nesse sentido, recomenda-se a elaboração do DPIA antes do início do tratamento de dados pessoais, permitindo a antecipada avaliação dos riscos associados a esse tratamento. Essa abordagem oferece ao controlador a capacidade de identificar a probabilidade de cada fator de risco e seu impacto nas liberdades e direitos fundamentais dos titulares, possibilitando a implementação de medidas de mitigação específicas para cada cenário.

Caso o tratamento já tenha iniciado sem a elaboração do DPIA, é altamente recomendado que o mesmo seja elaborado assim que for identificado um tratamento de alto risco para os princípios gerais de proteção de dados e as liberdades civis e direitos fundamentais dos titulares de dados. Embora a ANPD ainda não tenha fornecido orientações específicas sobre o conteúdo mínimo do RIPD, é possível basear-se nas recomendações do Grupo de Trabalho Artigo 29 da União Europeia, um órgão consultivo especializado em proteção de dados pessoais. Esse grupo indica que o RIPD deve conter uma descrição sistemática das operações de tratamento previstas, o objetivo do tratamento e uma avaliação detalhada da necessidade, proporcionalidade e das medidas previstas em relação aos riscos associados, garantias, medidas de segurança e procedimentos para garantir a conformidade com a legislação de proteção de dados. O RIPD deve ser suficientemente detalhado para garantir uma compreensão ampla do modo de tratamento de dados e seus possíveis riscos, tanto para o controlador quanto para a ANPD.

Publicado em por

VIOLAÇÃO DA LGPD: ANPD SANCIONA IAMSPE COM ADVERTÊNCIAS E MEDIDAS CORRETIVAS

No último dia 6 de outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) concluiu um processo sancionatório contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) por violação da LGPD. Neste caso, a violação se relacionou à falha do IAMSPE em manter sistemas seguros para o armazenamento e tratamento adequado dos dados pessoais de milhões de servidores públicos e seus dependentes, configurando uma espécie de engenharia social que levou a erros por parte dos usuários, expondo seus dados pessoais, em violação ao artigo 49 da LGPD.

Conforme estabelece o artigo 49 da Lei 13.709/2018, os sistemas utilizados para o tratamento de dados pessoais devem atender a requisitos de segurança, boas práticas, governança e princípios gerais da lei, bem como outras normas regulamentares.

Além disso, o IAMSPE foi considerado responsável por um incidente de segurança no qual não comunicou de forma clara, adequada e tempestiva os titulares dos dados sobre quais dados pessoais poderiam ter sido comprometidos, infringindo o artigo 48 da LGPD, que estabelece os requisitos mínimos para uma comunicação eficaz de incidentes de segurança, tanto para a ANPD quanto para os titulares dos dados.

Diante dessas infrações, a ANPD aplicou ao IAMSPE advertências e apontou medidas corretivas, conforme despacho publicado no Diário Oficial da União. Isso reforça a importância para todas as organizações, sejam públicas ou privadas, de cumprir integralmente as disposições da LGPD. A ANPD tem demonstrado seu empenho em finalizar os processos e aplicar as sanções necessárias diante das violações, ressaltando a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas.

É importante que os contadores informem a seus clientes sobre a importância de se adequar à LGPD, buscando profissionais qualificados para realizar os procedimentos exigidos. Vale destacar que a cópia de políticas de privacidade ou a oferta de informações genéricas é ineficaz e pode configurar crime, conforme o artigo 184 do Código Penal. A adequação à LGPD é um assunto de extrema seriedade, e qualquer abordagem genérica é insuficiente.