Tag: Privacidade

Publicado em por

A EVOLUÇÃO DO DIREITO DIGITAL E A DEFESA DA PRIVACIDADE NO MUNDO TECNOLÓGICO

Na atual era digital, a proteção da privacidade se tornou um tema de grande relevância para o Direito. Com a utilização extensiva de dados pessoais por organizações, governos e até dispositivos conectados, como os da Internet das Coisas (IoT), a questão da proteção de dados deixou de ser uma simples questão técnica e passou a ser reconhecida como um direito fundamental dos indivíduos.

A legislação evoluiu significativamente, com a criação de leis como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na Europa. Essas normativas estabeleceram novos parâmetros sobre como as empresas devem tratar as informações pessoais, impondo obrigações de consentimento, acesso, exclusão e até a portabilidade de dados. O Direito Digital tem se adaptado para garantir maior transparência, segurança e responsabilidade no uso dessas informações.

A proteção dos dados pessoais foi reconhecida como um direito autônomo, reforçando a necessidade de um controle cuidadoso sobre o uso de tecnologias como algoritmos, inteligência artificial e grandes volumes de dados (big data). A inovação tecnológica deve, portanto, caminhar lado a lado com a preservação da dignidade da pessoa humana.

Entretanto, o avanço rápido das tecnologias digitais traz desafios para a regulamentação. O uso de tecnologias como biometria, reconhecimento facial, criptografia e a aplicação de IA em decisões automáticas exige um acompanhamento regulatório constante, para prevenir abusos e discriminação, além de proteger a privacidade e evitar o vazamento de dados.

O papel do profissional do Direito Digital vai além da interpretação das normas. É fundamental que este entenda o funcionamento das tecnologias, dialogando com especialistas de outras áreas, como TI, para garantir que a privacidade seja tratada de maneira central. A proteção de dados não deve ser vista apenas como uma questão individual, mas como um pilar essencial para a confiança nas relações sociais e econômicas de uma sociedade cada vez mais conectada.

Publicado em por

COMO FRAUDES DIGITAIS ESTÃO TESTANDO OS LIMITES DA BIOMETRIA FACIAL

Diversos golpes vêm expondo fragilidades nos sistemas de autenticação por reconhecimento facial, utilizados tanto em plataformas públicas quanto privadas. Um exemplo disso foi a prisão de pessoas acusadas de burlar a verificação de identidade facial no acesso ao portal gov.br. Segundo as investigações, os fraudadores modificavam a própria aparência ou usavam artifícios digitais para simular rostos reais, conseguindo invadir contas de usuários e movimentar valores ligados ao Banco Central e ao INSS. Estima-se que milhares de acessos indevidos tenham ocorrido dessa forma.

A biometria facial, apesar de prática e amplamente adotada, exige camadas adicionais de proteção para ser segura. Esse tipo de identificação não se baseia em fotos simples, mas sim em padrões matemáticos extraídos de características do rosto – como distância entre os olhos, formato da mandíbula, entre outros pontos. Mesmo assim, quando implementada de forma simplificada, pode ser enganada por técnicas de manipulação visual, gravações em vídeo ou mesmo imagens geradas por inteligência artificial.

Por isso, sistemas que dependem apenas do rosto do usuário para liberar acesso a dados ou dinheiro precisam ser revistos com urgência. Não basta ser rápido ou conveniente; é necessário garantir que o processo seja confiável. O ideal é que a autenticação não dependa apenas da biometria, mas combine ao menos dois métodos diferentes – por exemplo, um código secreto e um dispositivo físico como o celular, além do reconhecimento facial.

Outro ponto que merece atenção é a responsabilidade das empresas e órgãos que utilizam esses sistemas. A legislação brasileira já trata dados biométricos como informações sensíveis, protegidas pela Lei Geral de Proteção de Dados (LGPD). Quando uma tecnologia falha e permite acessos indevidos, é justo esperar que a organização que a implementou arque com as consequências. Não se pode repassar ao usuário o custo de uma escolha mal feita na segurança digital.

Para operações que envolvem movimentações financeiras ou acesso a informações confidenciais, é possível ainda adicionar camadas robustas de autenticação, como o uso de Certificado Digital, que exige não apenas um dispositivo, mas também uma senha. Essa solução oferece segurança elevada e ainda possui validade jurídica reconhecida.

Por fim, vale lembrar que nenhum sistema será totalmente eficiente sem a colaboração das pessoas. A proteção de dados também passa por atitudes simples, como não enviar documentos ou selfies por redes sociais, desconfiar de mensagens de origem duvidosa e ter atenção redobrada com chamadas de vídeo não solicitadas. Muitos golpes exploram justamente a confiança e a distração do usuário para obter imagens do rosto ou outras informações valiosas.

A segurança digital começa com boas práticas tecnológicas, mas depende igualmente da postura de quem está do outro lado da tela.

Publicado em por

RECONHECIMENTO FACIAL NOS ESTÁDIOS: COMO FUNCIONA O USO DA BIOMETRIA FACIAL EM EVENTOS ESPORTIVOS

A exigência de sistemas de reconhecimento facial em estádios com capacidade superior a 20 mil pessoas já é uma realidade no Brasil, conforme previsto na Lei Geral do Esporte. Essa exigência tem como principal objetivo o controle de acesso e o reforço da segurança nas arenas esportivas. Os torcedores que se dirigem a esses espaços devem compreender como esse tipo de tecnologia atua e como seus dados pessoais serão tratados pelas organizações responsáveis.

A norma impõe que as arenas instalem uma estrutura de monitoramento eficiente, incluindo uma central de controle equipada para processar imagens e informações coletadas por câmeras instaladas em locais estratégicos. A ideia é evitar episódios de violência, identificar possíveis foragidos ou pessoas com restrições judiciais e garantir que apenas quem estiver autorizado possa ingressar no local.

Além do aspecto preventivo, essa tecnologia contribui para a gestão do evento esportivo, proporcionando mais fluidez na entrada dos torcedores e otimizando o tempo de deslocamento interno, sem contato físico excessivo.

Como a tecnologia de reconhecimento facial opera

A base do sistema consiste na captação da imagem facial de cada indivíduo por meio de câmeras. Essa imagem é processada por um software que identifica padrões específicos, como distância entre olhos, contornos da face e outras características únicas. Com base nessas informações, o sistema compara os dados com registros armazenados em bancos de dados previamente alimentados com fotos de pessoas com restrições de acesso ou envolvidas em ocorrências anteriores.

A tecnologia pode ser utilizada não apenas nos acessos principais, mas também nas arquibancadas, pontos de circulação e setores internos, a fim de manter o controle sobre comportamentos suspeitos ou situações de risco. Caso uma imagem coletada corresponda a um registro de bloqueio, a equipe de segurança é imediatamente notificada para intervir.

Responsabilidade no uso da imagem dos torcedores

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece que a imagem facial coletada nesses processos é considerada dado sensível, ou seja, demanda um cuidado redobrado por parte dos responsáveis pelo tratamento da informação.

O uso dessa imagem deve estar restrito a finalidades bem delimitadas, como segurança, controle de entrada e cumprimento de determinações legais. Não é permitido utilizar os dados para campanhas de marketing, envio de publicidade, nem tampouco repassar as informações a terceiros, salvo por força de lei ou ordem judicial.

É essencial, também, que os registros sejam mantidos apenas pelo período necessário para atingir o propósito justificado. Qualquer armazenamento sem justificativa válida poderá ser considerado tratamento indevido.

Como garantir que o torcedor se sinta protegido

Para que o público confie no uso da tecnologia, é indispensável que os estádios adotem práticas transparentes. Isso inclui fornecer informações claras sobre como o sistema funciona, para que serve, quem terá acesso às imagens, e por quanto tempo os dados serão mantidos. Essas informações devem estar disponíveis nos sites oficiais dos eventos ou das arenas e também de forma visível nos acessos ao estádio.

É recomendável que exista uma política de privacidade bem estruturada, indicando como os dados são armazenados, protegidos e eventualmente descartados. Além disso, medidas como autenticação por senha, sistemas criptografados e capacitação das equipes responsáveis pelo manuseio das imagens são essenciais para evitar usos indevidos.

Caso ocorra algum incidente envolvendo vazamento ou acesso não autorizado, o responsável pelo tratamento das informações deverá notificar a Autoridade Nacional de Proteção de Dados e os titulares impactados, conforme prevê a legislação.

O que pode mudar no futuro

À medida que essas tecnologias se desenvolvem, é provável que o seu uso vá além da simples identificação de indivíduos. Ferramentas baseadas em imagens faciais podem, por exemplo, ser programadas para detectar padrões de comportamento, reações emocionais e outras características complexas do público. Isso exige um compromisso ainda maior com a governança e a responsabilidade na coleta e uso dessas informações.

Quando aplicadas com respeito à privacidade, essas ferramentas podem transformar a experiência nos estádios, oferecendo mais tranquilidade, acessos fluidos e eventos organizados. O sucesso dessa estratégia, no entanto, depende de uma implementação ética, transparente e em conformidade com a legislação vigente sobre proteção de dados.

Publicado em por

O QUE DIZ A LEI SOBRE O USO DOS SEUS DADOS PELAS INTELIGÊNCIAS ARTIFICIAIS

A difusão das plataformas de inteligência artificial generativa tem transformado significativamente a interação dos usuários com as tecnologias digitais. Desde sua adoção em larga escala, modelos como o ChatGPT, desenvolvidos por empresas americanas, destacam-se pela capacidade de fornecer respostas coerentes e precisas, conquistando rapidamente usuários em diversas regiões, incluindo o Brasil.

Por outro lado, modelos provenientes da China chamaram a atenção inicialmente por sua eficiência técnica, mas também geraram debates relacionados à transferência de dados pessoais para servidores localizados naquele país, levantando questionamentos sobre privacidade e segurança da informação.

O debate sobre regulação e proteção de dados envolvendo essas tecnologias está em constante desenvolvimento. Assim, a reação do público e dos órgãos reguladores varia conforme a origem da plataforma e as práticas adotadas. Independentemente dessas diferenças, é fundamental observar com atenção qualquer transferência de dados pessoais para fora do território nacional, considerando o destino das informações e o cumprimento das normas aplicáveis.

Essa discussão envolve não apenas aspectos regulatórios, mas também questões relacionadas à geopolítica e à regulação do fluxo internacional de dados. Dado que os conflitos entre grandes potências ultrapassam a esfera das normas de proteção de dados, o foco desta análise será restrito à regulação da transferência internacional de dados pessoais, tema relevante para todas as plataformas de inteligência artificial generativa acessíveis no Brasil.

No ordenamento jurídico brasileiro, a transferência de dados pessoais para outros países está submetida à Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Os artigos 33 a 36 estabelecem que esse tipo de transferência só pode ocorrer mediante cumprimento de condições específicas previstas na legislação, como a existência de decisão de adequação da autoridade reguladora, consentimento expresso do titular ou a utilização de cláusulas contratuais padrão aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Em agosto de 2024, a ANPD publicou norma regulamentadora detalhando procedimentos para reconhecimento de países e organismos considerados adequados, assim como para a disponibilização de cláusulas-padrão e avaliação de outras ferramentas regulatórias. Entretanto, mecanismos de transferência previstos na lei que não dependam de regulamentação continuam vigentes, desde que cumpram os requisitos legais.

Cabe destacar que a regulamentação diferencia a coleta internacional de dados, quando a empresa obtém os dados diretamente em outro país, da transferência internacional, que ocorre quando um controlador envia dados sob sua posse para o exterior.

Os sistemas de inteligência artificial generativa mencionados encontram-se sob a vigência da LGPD, o que impõe às empresas responsáveis a observância dos princípios e regras, principalmente quanto à transparência sobre os tratamentos realizados.

Dessa forma, é esperado que os termos de uso e, principalmente, as políticas de privacidade informem claramente quais mecanismos legais fundamentam as transferências internacionais de dados pessoais, conforme o princípio da transparência previsto na legislação brasileira.

Por meio de um estudo recente realizado em parceria com um centro de tecnologia e sociedade, foram avaliadas as práticas de transparência de diversas plataformas de inteligência artificial generativa. A pesquisa identificou que a maioria dos serviços não fornece informações claras sobre os mecanismos utilizados para transferência internacional de dados, tampouco detalha os países que recebem essas informações.

Um exemplo elucidativo é o modelo chinês que, conforme sua política de privacidade, não esclarece adequadamente quais dados pessoais são enviados a servidores locais ou retransmitidos para outras regiões, o que tem gerado questionamentos regulatórios e notificação por autoridades internacionais.

No mesmo sentido, a plataforma americana, embora utilize servidores em território norte-americano para transferência de dados, não tem enfrentado o mesmo grau de questionamento público. Sua política de privacidade também deixa lacunas em relação à explicitação dos mecanismos adotados para a transferência internacional.

Importa mencionar que, ao contrário da China, os Estados Unidos não dispõem de legislação federal específica sobre proteção de dados pessoais nem de autoridade reguladora dedicada ao tema, o que reflete em dificuldades para a celebração e manutenção de acordos internacionais de proteção, como evidenciado por decisões recentes de tribunais europeus.

Os acordos em vigor entre Estados Unidos e União Europeia não têm validade para o Brasil, o que reforça a necessidade de observância rigorosa da legislação nacional para todas as transferências internacionais de dados.

Ao analisar as demais plataformas avaliadas, verifica-se que o quadro de insuficiência de transparência e conformidade regulatória é generalizado, independentemente do país de origem.

Por mais que algumas dessas tecnologias ainda não recebam ampla atenção do público, o tema da proteção de dados merece constante monitoramento pelas autoridades brasileiras. A percepção pública acerca da segurança das informações parece estar mais relacionada a fatores culturais e políticos do que a uma avaliação técnica aprofundada.

A preocupação com a coleta e transferência internacional de dados pessoais não é nova. Desde o final do século passado, temas ligados ao controle de dados financeiros e, atualmente, ao uso intensivo de informações pessoais em dispositivos móveis, evidenciam a relevância da proteção de dados.

A inovação tecnológica amplifica o alcance do monitoramento, aumentando a exposição dos titulares a riscos relacionados à privacidade e à segurança, especialmente em um contexto de compartilhamento internacional de informações entre empresas privadas e entes governamentais.

Diante disso, é fundamental que a sociedade e os órgãos reguladores no Brasil mantenham atenção contínua sobre todas as plataformas tecnológicas operantes no país, exigindo cumprimento rigoroso das normas de proteção de dados pessoais. É importante evitar julgamentos baseados apenas na origem geográfica das empresas ou em sua popularidade, priorizando critérios técnicos e legais para assegurar a proteção dos direitos dos titulares.

Publicado em por

10 PONTOS PARA SABER SE SUA EMPRESA ESTÁ EM CONFORMIDADE COM A LGPD

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) representa um marco importante para a governança de dados no Brasil. Mais do que uma exigência legal, estar em conformidade é uma demonstração de respeito às pessoas, aos parceiros comerciais e à própria sustentabilidade do negócio.

Empresários que buscam adequar suas operações devem, antes de tudo, compreender que a proteção de dados não se limita a um documento ou uma política, mas sim a um conjunto de práticas, processos e responsabilidades permanentes.

A seguir, apresentamos 10 pontos que indicam se sua empresa está alinhada às exigências da LGPD:

  1. Mapeamento de dados realizado
    A empresa conhece quais dados pessoais coleta, por qual motivo, onde estão armazenados, quem tem acesso e com quem são compartilhados.
  2. Bases legais bem definidas
    Cada atividade de tratamento de dados está devidamente respaldada em uma das bases legais previstas na LGPD, seja para execução de contratos, cumprimento de obrigação legal ou legítimo interesse, entre outras.
  3. Políticas internas implementadas
    Existe um conjunto de políticas e normas claras, que orientam colaboradores sobre como tratar dados pessoais, incluindo diretrizes sobre segurança da informação, privacidade e acesso.
  4. Consentimento tratado de forma adequada
    Nos casos em que o consentimento é necessário, ele é obtido de forma livre, informada e inequívoca, sendo possível ao titular revogá-lo a qualquer tempo.
  5. Treinamento e conscientização dos colaboradores
    Os colaboradores são capacitados periodicamente, entendendo seus deveres no tratamento de dados e as implicações jurídicas e operacionais envolvidas.
  6. Gestão de riscos e segurança da informação ativa
    A empresa adota medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos, perdas e qualquer forma de uso indevido.
  7. Canal de atendimento ao titular de dados estruturado
    Há um canal eficiente para que os titulares possam exercer seus direitos, como acesso, correção, portabilidade, eliminação ou informações sobre o tratamento de seus dados.
  8. Nomeação de um encarregado (DPO)
    Existe uma pessoa designada, interna ou terceirizada, que atua como ponto de contato entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
  9. Gerenciamento de contratos com terceiros e fornecedores
    Os contratos firmados com parceiros e fornecedores preveem cláusulas específicas sobre privacidade e proteção de dados, garantindo que todos os envolvidos cumpram a legislação.
  10. Plano de resposta a incidentes implementado
    A empresa possui procedimentos claros para identificar, tratar e comunicar eventuais incidentes de segurança, incluindo, quando necessário, a notificação à ANPD e aos titulares afetados.

Empresas que observam esses pontos não apenas reduzem riscos jurídicos e financeiros, como também fortalecem sua reputação no mercado. A conformidade com a LGPD reflete um compromisso ético com a privacidade e com a proteção das informações que circulam na rotina empresarial.

Publicado em por

MONITORAMENTO DE COLABORADORES: O QUE PODE E O QUE NÃO PODE SEGUNDO A LGPD E A CLT

A relação de trabalho pressupõe não apenas a prestação de serviços, mas também a observância de direitos e deveres recíprocos. Nesse contexto, é natural que as empresas adotem mecanismos para acompanhar as atividades de seus colaboradores. Entretanto, a adoção dessas práticas precisa estar em consonância com os limites legais estabelecidos pela Consolidação das Leis do Trabalho (CLT) e pela Lei Geral de Proteção de Dados Pessoais (LGPD).

O monitoramento no ambiente corporativo não é, por si só, proibido. Ao contrário, é permitido desde que seja realizado de forma transparente, legítima e proporcional. A própria CLT assegura ao empregador o poder diretivo, que abrange o direito de fiscalizar e orientar os serviços executados pelos empregados. No entanto, esse direito não é absoluto e deve respeitar os direitos fundamentais à intimidade, à privacidade e à dignidade da pessoa humana, protegidos tanto pela Constituição Federal quanto pela legislação trabalhista e pela LGPD.

A Lei Geral de Proteção de Dados impõe parâmetros claros para o tratamento de dados pessoais, inclusive no contexto laboral. O empregador deve informar de maneira clara quais dados serão coletados, para quais finalidades e por quanto tempo serão armazenados. O consentimento, embora não seja, na maioria dos casos, o fundamento adequado na relação de trabalho, dá lugar ao legítimo interesse do empregador, desde que este não sobreponha os direitos e liberdades dos titulares dos dados, ou seja, dos colaboradores.

Monitoramentos como rastreamento de e-mails corporativos, análise de acesso a sistemas internos, registros de ponto eletrônico, videomonitoramento em áreas comuns e controle de acesso físico são, em regra, admitidos. Contudo, é indispensável que essas medidas estejam descritas em documentos internos, como políticas de privacidade, termos de uso dos recursos tecnológicos e manuais de conduta.

Por outro lado, práticas que invadam a esfera da vida privada são consideradas abusivas e, portanto, ilícitas. É vedado, por exemplo, o monitoramento de conversas particulares, inclusive em dispositivos corporativos, se não houver uma política clara que informe os colaboradores sobre os limites de uso desses equipamentos. Monitoramento em banheiros, vestiários, áreas de descanso ou qualquer outro ambiente que comprometa a intimidade também é expressamente proibido.

O Poder Judiciário, tanto na esfera trabalhista quanto nas discussões relacionadas à proteção de dados, tem consolidado entendimento de que o monitoramento deve estar limitado às necessidades da atividade empresarial. Excessos são frequentemente combatidos com decisões que garantem indenizações por danos morais aos trabalhadores, além de possíveis sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD).

Sendo assim, o caminho seguro para as empresas é a adoção de uma cultura de conformidade. Isso inclui não apenas a formalização de normas internas, mas também a capacitação de lideranças e colaboradores sobre o uso adequado dos dados e dos recursos tecnológicos no ambiente de trabalho. O equilíbrio entre o legítimo interesse empresarial e os direitos dos colaboradores é a medida que assegura a sustentabilidade das relações de trabalho na era digital, protegendo tanto a empresa quanto seus profissionais.

Publicado em por

GESTÃO DE DADOS SENSÍVEIS NO RH: COMO PROTEGER SUA EMPRESA E SEUS COLABORADORES

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) trouxe uma transformação profunda na forma como empresas lidam com informações pessoais. No setor de Recursos Humanos, essa responsabilidade ganha ainda mais relevância, considerando que o departamento lida diariamente com dados que podem impactar diretamente a privacidade, a dignidade e os direitos dos colaboradores.

Entre esses dados, estão os chamados dados pessoais sensíveis, que exigem cuidados rigorosos, tanto na coleta quanto no armazenamento, uso e descarte. A correta gestão dessas informações não apenas preserva a segurança dos titulares, como também protege a empresa contra riscos legais, trabalhistas e reputacionais.

O que a LGPD entende como dados sensíveis

De acordo com a legislação, dados sensíveis são aqueles que revelam informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação sindical, dados referentes à saúde, vida sexual, informações genéticas ou biométricas quando vinculadas a uma pessoa natural.

No ambiente do RH, essa definição se materializa em diversos documentos e registros, como exames admissionais, prontuários ocupacionais, dados biométricos utilizados para controle de ponto, informações sobre dependentes para plano de saúde, entre outros. Tratá-los de forma inadequada pode gerar não apenas desconforto ou constrangimento, mas também sérios prejuízos legais e financeiros.

Bases legais para tratamento de dados sensíveis no RH

A LGPD estabelece que o tratamento de dados sensíveis deve ser fundamentado em hipóteses legais muito bem definidas, especialmente no artigo 11. No âmbito trabalhista, as principais são:

  • Cumprimento de obrigações legais ou regulatórias;
  • Execução de políticas públicas determinadas em lei;
  • Necessidade para a execução de contrato de trabalho ou de procedimentos preliminares;
  • Proteção da vida ou da integridade física do titular ou de terceiros;
  • Consentimento do titular, utilizado apenas quando nenhuma das outras bases se aplica.

O uso do consentimento deve ser tratado com cautela. Sempre que houver uma base legal mais robusta e aplicável, ela deve ser priorizada, evitando a dependência do consentimento, que pode ser revogado a qualquer momento.

Diretrizes para proteger dados sensíveis no RH

Uma gestão eficiente de dados sensíveis começa pela organização e controle das informações que transitam pelo setor de Recursos Humanos. Para isso, recomenda-se:

1. Mapeamento dos dados sensíveis
É indispensável identificar quais dados são coletados em cada etapa da jornada do colaborador, desde o processo seletivo até o desligamento. Esse mapeamento permite entender finalidades, riscos e obrigações associadas.

2. Controle rigoroso de acessos
O acesso a dados sensíveis deve ser restrito exclusivamente aos profissionais que, de fato, necessitam dessas informações para desempenhar suas funções. Adoção de controles como autenticação multifator, senhas robustas e restrição por perfil é fundamental.

3. Medidas técnicas de segurança
O uso de criptografia, armazenamento em servidores seguros, proteção contra malware, firewalls e monitoramento constante são práticas indispensáveis. Informações sensíveis jamais devem ser mantidas em dispositivos pessoais, planilhas abertas ou plataformas sem certificação de segurança.

4. Políticas internas claras e aplicáveis
A elaboração de uma Política de Proteção de Dados específica para o setor de RH é altamente recomendada. Essa política deve estabelecer diretrizes sobre coleta, uso, compartilhamento, armazenamento e descarte, além de contar com termos de confidencialidade assinados pelos responsáveis.

5. Gestão de consentimento, quando aplicável
Nos casos em que o consentimento for a base legal adequada, este deve ser obtido de forma expressa, específica, destacada e documentada. O titular deve ser informado sobre a finalidade do tratamento, tempo de retenção, possibilidade de revogação e seus direitos.

Armazenamento seguro e prazos de retenção

O armazenamento seguro de dados sensíveis envolve a utilização de plataformas com certificações como ISO 27001 ou SOC 2, além de servidores protegidos com criptografia em repouso e em trânsito, e sistemas com logs de acesso e backup automático.

Quanto aos prazos, algumas informações possuem retenção definida pela legislação trabalhista. Por exemplo, dados de saúde ocupacional devem ser mantidos por até 20 anos, conforme normas regulamentadoras como a NR 7 e a NR 9. Já currículos e exames admissionais de candidatos não contratados podem ser armazenados por períodos mais curtos, geralmente entre 6 a 12 meses, desde que fundamentados em uma base legal adequada.

Finalizada a necessidade ou obrigação legal, é indispensável promover o descarte seguro ou a anonimização dos dados, evitando o acúmulo indevido de informações sensíveis.

Consequências do descuido no tratamento de dados sensíveis

As sanções previstas na LGPD incluem multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além disso, há riscos de indenizações por danos morais, bloqueio de operações envolvendo dados, exigências de adequação impostas pela Autoridade Nacional de Proteção de Dados (ANPD) e impactos reputacionais que podem comprometer a confiança de colaboradores, clientes e parceiros.

A proteção de dados sensíveis é uma obrigação ética, legal e estratégica

Cuidar dos dados pessoais sensíveis no RH vai muito além do cumprimento da lei. É uma demonstração clara de respeito aos direitos dos colaboradores e de comprometimento com boas práticas corporativas.

Se sua empresa busca apoio para revisar os processos de tratamento de dados e implementar soluções jurídicas e tecnológicas alinhadas à LGPD, entre em contato com um de nossos especialistas. Estamos prontos para orientar sua organização na construção de uma cultura de privacidade, segurança e conformidade.

Publicado em por

CONSEQUÊNCIAS LEGAIS DO USO INDEVIDO DE DADOS EM ESTRATÉGIAS DE MARKETING

Na pressa de cumprir metas ou aumentar engajamento, muitas empresas esquecem o básico: a vontade do cliente. O consentimento, que deveria ser claro e informado, vira só mais uma caixinha marcada por padrão. E é aí que começam os problemas.

Um e-commerce que envia e-mails marketing diários para quem apenas navegou no site, sem autorizar comunicações. Um formulário de cadastro que já vem com o “aceito receber ofertas” marcado automaticamente. Ou um sistema de CRM que compartilha dados de clientes com parceiros sem nunca ter deixado isso transparente. São práticas comuns, mas que podem custar caro.

A LGPD exige que o consentimento seja livre, informado e inequívoco. Opt-ins mal configurados, com linguagem ambígua ou campos pré-marcados, podem ser considerados inválidos. Mais do que um erro técnico, isso representa uma violação ao direito do titular e pode gerar sanções administrativas e ações judiciais.

Em um caso recente, uma empresa foi acionada judicialmente após enviar mensagens automatizadas de WhatsApp com ofertas a uma pessoa que nunca autorizou esse tipo de contato. O número havia sido captado por meio de um lead comprado de terceiro, sem base legal. Resultado: indenização por dano moral e investigação pelo órgão regulador.

A automação de marketing é uma ferramenta valiosa. Mas, se usada sem respeito aos princípios da privacidade e do consentimento, transforma-se em um risco jurídico disfarçado de oportunidade comercial.

Publicado em por

REUTILIZAÇÃO DE DADOS PESSOAIS: O QUE SUA EMPRESA PRECISA CONSIDERAR ANTES DE UMA NOVA AÇÃO DE MARKETING

Quando uma empresa planeja uma nova campanha de marketing, é natural surgir a dúvida: é possível usar os dados dos clientes antigos? Afinal, essa base já está ali, pronta, com nome, e-mail, telefone e histórico de compras.

Mas há um ponto fundamental que precisa ser respeitado: a finalidade original para a qual esses dados foram coletados.

De acordo com a Lei Geral de Proteção de Dados (LGPD), toda coleta de informação pessoal deve estar atrelada a uma base legal. Se, no passado, o cliente autorizou o uso dos dados para uma finalidade específica — por exemplo, o envio de atualizações sobre o produto que comprou — essa autorização não se estende automaticamente a novas ações promocionais ou comerciais.

Ou seja, não é porque o cliente já comprou da sua empresa que ele autorizou futuras campanhas de marketing.

Nesse ponto, duas soluções podem ser consideradas:

  1. Obtenção de novo consentimento — Essa é a forma mais segura. A empresa entra em contato e explica, com clareza, que deseja utilizar os dados para novas comunicações, pedindo uma nova autorização.
  2. Revisão da base legal — Em alguns casos, pode ser possível utilizar outra base legal prevista na LGPD, como o legítimo interesse. No entanto, esse uso exige cautela, uma avaliação de impacto à privacidade (AIPD) e a certeza de que a comunicação será pertinente, proporcional e que o titular poderá se opor facilmente.

Mais do que uma exigência legal, respeitar a finalidade original dos dados é uma demonstração de profissionalismo e respeito ao cliente. Empresas que tratam a privacidade com seriedade constroem relacionamentos mais duradouros — e evitam problemas com a Autoridade Nacional de Proteção de Dados.

Antes de acionar aquele mailing antigo, revise os registros, verifique a base legal, e, se for o caso, solicite novo consentimento. Uma campanha bem estruturada começa pela base: o respeito aos dados pessoais.

Publicado em por

COMO EVITAR MULTAS COM AÇÕES SIMPLES DE ADEQUAÇÃO À LGPD

Com o avanço das tecnologias de comunicação, as empresas passaram a lidar diariamente com volumes expressivos de dados pessoais, o que, por sua vez, as tornou alvos frequentes de ataques virtuais. Golpes digitais, como o uso indevido de informações, fraudes em nome de terceiros e acessos indevidos aos sistemas, passaram a representar não apenas riscos operacionais, mas também implicações jurídicas relevantes.

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece obrigações claras às organizações quanto à segurança e ao tratamento responsável de dados. Empresas que falham nesse compromisso podem ser penalizadas com advertências, multas e até a suspensão de suas atividades relacionadas ao tratamento de dados. No entanto, muitas dessas consequências podem ser evitadas com ações simples de conformidade, acessíveis até mesmo para pequenas empresas.

O primeiro passo é mapear os dados pessoais que a empresa coleta, armazena, utiliza e compartilha. Essa prática permite identificar vulnerabilidades e corrigir procedimentos que exponham a organização a riscos desnecessários. A revisão de formulários, cadastros e contratos com clientes e fornecedores também é recomendada, a fim de assegurar que contenham cláusulas claras sobre o uso das informações coletadas.

Outra medida eficaz está na implementação de políticas internas de segurança da informação, adaptadas à realidade da empresa. Não se trata de um investimento oneroso: a conscientização dos colaboradores sobre boas práticas — como a verificação de e-mails suspeitos, o uso de senhas seguras e a proteção dos dispositivos — já contribui significativamente para a prevenção de incidentes.

Além disso, é importante manter registros atualizados sobre os procedimentos de proteção de dados, especialmente para demonstrar à Autoridade Nacional de Proteção de Dados (ANPD), em caso de fiscalização, que a empresa adota medidas de boa-fé e está comprometida com a conformidade legal.

A adequação à LGPD não deve ser vista como um investimento na reputação, na segurança e na continuidade dos negócios. Pequenas atitudes, como revisar os processos de coleta de dados, capacitar a equipe e manter canais de comunicação seguros, podem evitar prejuízos financeiros, danos à imagem da empresa e, principalmente, proteger os direitos dos titulares de dados.

Publicado em por

A POLÍTICA DE PRIVACIDADE COMO INSTRUMENTO DE TRANSPARÊNCIA ORGANIZACIONAL

A Política de Privacidade é, muitas vezes, tratada como um item obrigatório para constar no rodapé do site da empresa. No entanto, sua função vai muito além de atender à formalidade: trata-se de um documento que deve refletir a forma como a organização se relaciona com os dados pessoais que coleta, utiliza, compartilha e armazena.

É comum encontrarmos políticas repletas de termos jurídicos, genéricos e pouco acessíveis. Esse tipo de redação pode até satisfazer a análise de um advogado, mas não atende ao principal interessado: o titular dos dados. A Lei Geral de Proteção de Dados Pessoais (LGPD) é clara ao exigir que as informações sejam prestadas de forma simples, acessível e adequada ao público-alvo. Se a política não é compreendida por quem a lê, ela falha no seu objetivo principal.

Por isso, a primeira pergunta que qualquer empresa deveria se fazer é: nós mesmos conseguimos entender a nossa política? Ela está escrita para facilitar a vida do consumidor ou para demonstrar tecnicidade? Clareza, coerência e objetividade são valores que devem conduzir a redação desse documento.

Além disso, limitar a política ao ambiente digital é um erro comum. As práticas de privacidade devem ser aplicadas em todas as interações com dados pessoais: no atendimento presencial, em contratos físicos, em comunicações por telefone e até mesmo nas rotinas internas dos colaboradores. Transparência não é apenas uma exigência legal — é uma demonstração de respeito com quem confia seus dados à sua empresa.

Políticas genéricas ou desatualizadas transmitem uma mensagem de desorganização. Mais do que cumprir uma norma, é preciso demonstrar alinhamento entre discurso e prática. Uma boa política de privacidade comunica valores, reforça a confiança e torna a organização mais preparada para lidar com as responsabilidades que envolvem o tratamento de dados.

Revisar esse documento com regularidade, adaptá-lo à realidade operacional da empresa e garantir que ele seja acessível a todos os públicos é um compromisso com a transparência.

Publicado em por

POR QUE O CONSENTIMENTO NEM SEMPRE É A MELHOR ESCOLHA NA LGPD

No cotidiano das empresas ainda é comum a ideia de que a simples obtenção de uma assinatura, seja ela física ou eletrônica, representa um passaporte para o uso legítimo de dados pessoais. Esse entendimento, embora recorrente, está desalinhado com a realidade jurídica estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD não se resume ao consentimento. Aliás, essa é apenas uma das dez bases legais que autorizam o tratamento de dados. O problema surge quando o consentimento é utilizado como se fosse a única opção ou a mais segura. O que muitos ignoram é que essa base legal pode ser revogada a qualquer momento pelo titular dos dados, o que pode tornar instável o tratamento de informações no âmbito contratual, comercial ou operacional da empresa.

Para atividades corriqueiras do mundo empresarial, como emissão de notas fiscais, envio de cobranças, execução de contrato ou proteção do crédito, o consentimento nem sequer é necessário. Nessas hipóteses, a base legal adequada costuma ser a execução do contrato ou o cumprimento de obrigação legal ou regulatória. Isso significa que, ainda que o titular revogue um eventual consentimento, o tratamento continuará sendo legítimo, desde que amparado por outra base.

Outro equívoco comum é imaginar que o consentimento confere à empresa liberdade irrestrita sobre os dados coletados. A verdade é que, mesmo com autorização expressa, a empresa deve observar os princípios da finalidade, necessidade, transparência e segurança. O tratamento não pode ser abusivo, desproporcional ou sem justificativa.

Assim, é fundamental que o empresário compreenda que o uso adequado da base legal depende da natureza da atividade, dos dados envolvidos e do propósito do tratamento. Optar pela base incorreta pode comprometer a conformidade da empresa com a LGPD e fragilizar sua posição em caso de fiscalização, litígios ou incidentes de segurança.

A LGPD exige mais que uma assinatura. Exige boa-fé, coerência e responsabilidade jurídica. E isso começa pela escolha consciente da base legal mais apropriada para cada situação.