Tag: Proteção de dados

Publicado em por

COMO FRAUDES DIGITAIS ESTÃO TESTANDO OS LIMITES DA BIOMETRIA FACIAL

Diversos golpes vêm expondo fragilidades nos sistemas de autenticação por reconhecimento facial, utilizados tanto em plataformas públicas quanto privadas. Um exemplo disso foi a prisão de pessoas acusadas de burlar a verificação de identidade facial no acesso ao portal gov.br. Segundo as investigações, os fraudadores modificavam a própria aparência ou usavam artifícios digitais para simular rostos reais, conseguindo invadir contas de usuários e movimentar valores ligados ao Banco Central e ao INSS. Estima-se que milhares de acessos indevidos tenham ocorrido dessa forma.

A biometria facial, apesar de prática e amplamente adotada, exige camadas adicionais de proteção para ser segura. Esse tipo de identificação não se baseia em fotos simples, mas sim em padrões matemáticos extraídos de características do rosto – como distância entre os olhos, formato da mandíbula, entre outros pontos. Mesmo assim, quando implementada de forma simplificada, pode ser enganada por técnicas de manipulação visual, gravações em vídeo ou mesmo imagens geradas por inteligência artificial.

Por isso, sistemas que dependem apenas do rosto do usuário para liberar acesso a dados ou dinheiro precisam ser revistos com urgência. Não basta ser rápido ou conveniente; é necessário garantir que o processo seja confiável. O ideal é que a autenticação não dependa apenas da biometria, mas combine ao menos dois métodos diferentes – por exemplo, um código secreto e um dispositivo físico como o celular, além do reconhecimento facial.

Outro ponto que merece atenção é a responsabilidade das empresas e órgãos que utilizam esses sistemas. A legislação brasileira já trata dados biométricos como informações sensíveis, protegidas pela Lei Geral de Proteção de Dados (LGPD). Quando uma tecnologia falha e permite acessos indevidos, é justo esperar que a organização que a implementou arque com as consequências. Não se pode repassar ao usuário o custo de uma escolha mal feita na segurança digital.

Para operações que envolvem movimentações financeiras ou acesso a informações confidenciais, é possível ainda adicionar camadas robustas de autenticação, como o uso de Certificado Digital, que exige não apenas um dispositivo, mas também uma senha. Essa solução oferece segurança elevada e ainda possui validade jurídica reconhecida.

Por fim, vale lembrar que nenhum sistema será totalmente eficiente sem a colaboração das pessoas. A proteção de dados também passa por atitudes simples, como não enviar documentos ou selfies por redes sociais, desconfiar de mensagens de origem duvidosa e ter atenção redobrada com chamadas de vídeo não solicitadas. Muitos golpes exploram justamente a confiança e a distração do usuário para obter imagens do rosto ou outras informações valiosas.

A segurança digital começa com boas práticas tecnológicas, mas depende igualmente da postura de quem está do outro lado da tela.

Publicado em por

RECONHECIMENTO FACIAL NOS ESTÁDIOS: COMO FUNCIONA O USO DA BIOMETRIA FACIAL EM EVENTOS ESPORTIVOS

A exigência de sistemas de reconhecimento facial em estádios com capacidade superior a 20 mil pessoas já é uma realidade no Brasil, conforme previsto na Lei Geral do Esporte. Essa exigência tem como principal objetivo o controle de acesso e o reforço da segurança nas arenas esportivas. Os torcedores que se dirigem a esses espaços devem compreender como esse tipo de tecnologia atua e como seus dados pessoais serão tratados pelas organizações responsáveis.

A norma impõe que as arenas instalem uma estrutura de monitoramento eficiente, incluindo uma central de controle equipada para processar imagens e informações coletadas por câmeras instaladas em locais estratégicos. A ideia é evitar episódios de violência, identificar possíveis foragidos ou pessoas com restrições judiciais e garantir que apenas quem estiver autorizado possa ingressar no local.

Além do aspecto preventivo, essa tecnologia contribui para a gestão do evento esportivo, proporcionando mais fluidez na entrada dos torcedores e otimizando o tempo de deslocamento interno, sem contato físico excessivo.

Como a tecnologia de reconhecimento facial opera

A base do sistema consiste na captação da imagem facial de cada indivíduo por meio de câmeras. Essa imagem é processada por um software que identifica padrões específicos, como distância entre olhos, contornos da face e outras características únicas. Com base nessas informações, o sistema compara os dados com registros armazenados em bancos de dados previamente alimentados com fotos de pessoas com restrições de acesso ou envolvidas em ocorrências anteriores.

A tecnologia pode ser utilizada não apenas nos acessos principais, mas também nas arquibancadas, pontos de circulação e setores internos, a fim de manter o controle sobre comportamentos suspeitos ou situações de risco. Caso uma imagem coletada corresponda a um registro de bloqueio, a equipe de segurança é imediatamente notificada para intervir.

Responsabilidade no uso da imagem dos torcedores

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece que a imagem facial coletada nesses processos é considerada dado sensível, ou seja, demanda um cuidado redobrado por parte dos responsáveis pelo tratamento da informação.

O uso dessa imagem deve estar restrito a finalidades bem delimitadas, como segurança, controle de entrada e cumprimento de determinações legais. Não é permitido utilizar os dados para campanhas de marketing, envio de publicidade, nem tampouco repassar as informações a terceiros, salvo por força de lei ou ordem judicial.

É essencial, também, que os registros sejam mantidos apenas pelo período necessário para atingir o propósito justificado. Qualquer armazenamento sem justificativa válida poderá ser considerado tratamento indevido.

Como garantir que o torcedor se sinta protegido

Para que o público confie no uso da tecnologia, é indispensável que os estádios adotem práticas transparentes. Isso inclui fornecer informações claras sobre como o sistema funciona, para que serve, quem terá acesso às imagens, e por quanto tempo os dados serão mantidos. Essas informações devem estar disponíveis nos sites oficiais dos eventos ou das arenas e também de forma visível nos acessos ao estádio.

É recomendável que exista uma política de privacidade bem estruturada, indicando como os dados são armazenados, protegidos e eventualmente descartados. Além disso, medidas como autenticação por senha, sistemas criptografados e capacitação das equipes responsáveis pelo manuseio das imagens são essenciais para evitar usos indevidos.

Caso ocorra algum incidente envolvendo vazamento ou acesso não autorizado, o responsável pelo tratamento das informações deverá notificar a Autoridade Nacional de Proteção de Dados e os titulares impactados, conforme prevê a legislação.

O que pode mudar no futuro

À medida que essas tecnologias se desenvolvem, é provável que o seu uso vá além da simples identificação de indivíduos. Ferramentas baseadas em imagens faciais podem, por exemplo, ser programadas para detectar padrões de comportamento, reações emocionais e outras características complexas do público. Isso exige um compromisso ainda maior com a governança e a responsabilidade na coleta e uso dessas informações.

Quando aplicadas com respeito à privacidade, essas ferramentas podem transformar a experiência nos estádios, oferecendo mais tranquilidade, acessos fluidos e eventos organizados. O sucesso dessa estratégia, no entanto, depende de uma implementação ética, transparente e em conformidade com a legislação vigente sobre proteção de dados.

Publicado em por

O QUE DIZ A LEI SOBRE O USO DOS SEUS DADOS PELAS INTELIGÊNCIAS ARTIFICIAIS

A difusão das plataformas de inteligência artificial generativa tem transformado significativamente a interação dos usuários com as tecnologias digitais. Desde sua adoção em larga escala, modelos como o ChatGPT, desenvolvidos por empresas americanas, destacam-se pela capacidade de fornecer respostas coerentes e precisas, conquistando rapidamente usuários em diversas regiões, incluindo o Brasil.

Por outro lado, modelos provenientes da China chamaram a atenção inicialmente por sua eficiência técnica, mas também geraram debates relacionados à transferência de dados pessoais para servidores localizados naquele país, levantando questionamentos sobre privacidade e segurança da informação.

O debate sobre regulação e proteção de dados envolvendo essas tecnologias está em constante desenvolvimento. Assim, a reação do público e dos órgãos reguladores varia conforme a origem da plataforma e as práticas adotadas. Independentemente dessas diferenças, é fundamental observar com atenção qualquer transferência de dados pessoais para fora do território nacional, considerando o destino das informações e o cumprimento das normas aplicáveis.

Essa discussão envolve não apenas aspectos regulatórios, mas também questões relacionadas à geopolítica e à regulação do fluxo internacional de dados. Dado que os conflitos entre grandes potências ultrapassam a esfera das normas de proteção de dados, o foco desta análise será restrito à regulação da transferência internacional de dados pessoais, tema relevante para todas as plataformas de inteligência artificial generativa acessíveis no Brasil.

No ordenamento jurídico brasileiro, a transferência de dados pessoais para outros países está submetida à Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Os artigos 33 a 36 estabelecem que esse tipo de transferência só pode ocorrer mediante cumprimento de condições específicas previstas na legislação, como a existência de decisão de adequação da autoridade reguladora, consentimento expresso do titular ou a utilização de cláusulas contratuais padrão aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Em agosto de 2024, a ANPD publicou norma regulamentadora detalhando procedimentos para reconhecimento de países e organismos considerados adequados, assim como para a disponibilização de cláusulas-padrão e avaliação de outras ferramentas regulatórias. Entretanto, mecanismos de transferência previstos na lei que não dependam de regulamentação continuam vigentes, desde que cumpram os requisitos legais.

Cabe destacar que a regulamentação diferencia a coleta internacional de dados, quando a empresa obtém os dados diretamente em outro país, da transferência internacional, que ocorre quando um controlador envia dados sob sua posse para o exterior.

Os sistemas de inteligência artificial generativa mencionados encontram-se sob a vigência da LGPD, o que impõe às empresas responsáveis a observância dos princípios e regras, principalmente quanto à transparência sobre os tratamentos realizados.

Dessa forma, é esperado que os termos de uso e, principalmente, as políticas de privacidade informem claramente quais mecanismos legais fundamentam as transferências internacionais de dados pessoais, conforme o princípio da transparência previsto na legislação brasileira.

Por meio de um estudo recente realizado em parceria com um centro de tecnologia e sociedade, foram avaliadas as práticas de transparência de diversas plataformas de inteligência artificial generativa. A pesquisa identificou que a maioria dos serviços não fornece informações claras sobre os mecanismos utilizados para transferência internacional de dados, tampouco detalha os países que recebem essas informações.

Um exemplo elucidativo é o modelo chinês que, conforme sua política de privacidade, não esclarece adequadamente quais dados pessoais são enviados a servidores locais ou retransmitidos para outras regiões, o que tem gerado questionamentos regulatórios e notificação por autoridades internacionais.

No mesmo sentido, a plataforma americana, embora utilize servidores em território norte-americano para transferência de dados, não tem enfrentado o mesmo grau de questionamento público. Sua política de privacidade também deixa lacunas em relação à explicitação dos mecanismos adotados para a transferência internacional.

Importa mencionar que, ao contrário da China, os Estados Unidos não dispõem de legislação federal específica sobre proteção de dados pessoais nem de autoridade reguladora dedicada ao tema, o que reflete em dificuldades para a celebração e manutenção de acordos internacionais de proteção, como evidenciado por decisões recentes de tribunais europeus.

Os acordos em vigor entre Estados Unidos e União Europeia não têm validade para o Brasil, o que reforça a necessidade de observância rigorosa da legislação nacional para todas as transferências internacionais de dados.

Ao analisar as demais plataformas avaliadas, verifica-se que o quadro de insuficiência de transparência e conformidade regulatória é generalizado, independentemente do país de origem.

Por mais que algumas dessas tecnologias ainda não recebam ampla atenção do público, o tema da proteção de dados merece constante monitoramento pelas autoridades brasileiras. A percepção pública acerca da segurança das informações parece estar mais relacionada a fatores culturais e políticos do que a uma avaliação técnica aprofundada.

A preocupação com a coleta e transferência internacional de dados pessoais não é nova. Desde o final do século passado, temas ligados ao controle de dados financeiros e, atualmente, ao uso intensivo de informações pessoais em dispositivos móveis, evidenciam a relevância da proteção de dados.

A inovação tecnológica amplifica o alcance do monitoramento, aumentando a exposição dos titulares a riscos relacionados à privacidade e à segurança, especialmente em um contexto de compartilhamento internacional de informações entre empresas privadas e entes governamentais.

Diante disso, é fundamental que a sociedade e os órgãos reguladores no Brasil mantenham atenção contínua sobre todas as plataformas tecnológicas operantes no país, exigindo cumprimento rigoroso das normas de proteção de dados pessoais. É importante evitar julgamentos baseados apenas na origem geográfica das empresas ou em sua popularidade, priorizando critérios técnicos e legais para assegurar a proteção dos direitos dos titulares.

Publicado em por

COMPLIANCE PENAL DIGITAL: A PROTEÇÃO EMPRESARIAL CONTRA RISCOS CRIMINAIS NO AMBIENTE VIRTUAL

O ambiente empresarial moderno exige uma postura responsável e preventiva diante dos riscos legais, especialmente no universo digital. As empresas, independentemente do porte ou segmento, estão cada vez mais expostas à possibilidade de serem responsabilizadas por atos ilícitos praticados por terceiros, colaboradores ou fornecedores, sobretudo no meio digital.

O ordenamento jurídico brasileiro já prevê a responsabilidade penal da pessoa jurídica em determinados casos. No entanto, quando falamos de delitos digitais, o desafio se torna ainda mais complexo, considerando a velocidade das informações, a diversidade dos meios tecnológicos e a dificuldade na identificação dos autores de práticas criminosas.

Fraudes eletrônicas, vazamento de dados, lavagem de dinheiro por meios digitais, estelionatos praticados em nome da empresa ou até o uso indevido de sistemas corporativos para atividades ilícitas são exemplos de condutas que podem envolver direta ou indiretamente uma organização. E, ainda que a empresa não tenha participação direta nesses atos, ela pode ser investigada, sofrer bloqueios judiciais, sanções administrativas e, muitas vezes, enfrentar abalos irreparáveis em sua reputação.

Diante desse contexto, a implementação de um programa robusto de compliance penal digital se mostra indispensável. Este conjunto de medidas preventivas visa mapear os riscos, estabelecer protocolos de segurança e definir padrões éticos claros para todos os envolvidos na operação empresarial.

A primeira medida é a elaboração de políticas internas que tratem especificamente do uso adequado de recursos tecnológicos, da proteção de dados e da comunicação eletrônica. Isso inclui treinamentos periódicos, cláusulas contratuais rigorosas com colaboradores e fornecedores e o monitoramento contínuo das atividades digitais no ambiente corporativo.

Além disso, é fundamental que a empresa adote mecanismos de due diligence na contratação de terceiros, avaliando não apenas a capacidade técnica, mas também a integridade dos parceiros de negócios. A negligência na escolha de fornecedores ou prestadores de serviços pode implicar em corresponsabilização por atos ilícitos cometidos por eles no exercício da atividade empresarial.

A atuação conjunta dos setores jurídico, de tecnologia da informação e de governança é indispensável para o fortalecimento da cultura de integridade digital. Ferramentas de monitoramento, auditorias internas e canais de denúncia eficazes complementam o sistema de prevenção, oferecendo à empresa meios para detectar e reagir rapidamente a qualquer indício de conduta criminosa.

É importante lembrar que o compromisso com a ética e a conformidade não deve se limitar ao atendimento das exigências legais. Ele representa, sobretudo, uma estratégia de proteção dos próprios negócios, da continuidade operacional e da credibilidade da marca no mercado.

A empresa se posicionando no combate aos crimes digitais, protege seus interesses, contribui de forma efetiva para a construção de um ambiente empresarial mais seguro, ético e sustentável.

Publicado em por

TELETRABALHO, HOME OFFICE E BYOD: COMO PROTEGER SUA EMPRESA DE PASSIVOS TRABALHISTAS E DE SEGURANÇA DA INFORMAÇÃO

A adoção do teletrabalho e do home office se consolidou como uma prática comum nas relações empresariais, trazendo benefícios significativos tanto para empresas quanto para colaboradores. Entretanto, esse modelo de trabalho exige das organizações uma atenção redobrada quanto ao cumprimento da legislação trabalhista e à proteção de dados e informações sensíveis.

Do ponto de vista jurídico, o teletrabalho deve estar formalmente pactuado por meio de contrato ou aditivo contratual, observando as disposições dos artigos 75-A a 75-E da Consolidação das Leis do Trabalho. A ausência desse instrumento pode gerar passivos trabalhistas, especialmente no que diz respeito ao controle de jornada, ao fornecimento de infraestrutura e às despesas decorrentes da atividade profissional exercida fora das dependências da empresa.

Além disso, o modelo BYOD (sigla para Bring Your Own Device, que permite ao colaborador utilizar dispositivos pessoais para fins profissionais) introduz desafios adicionais no campo da segurança da informação. A Lei Geral de Proteção de Dados Pessoais (LGPD) exige que as empresas adotem medidas técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento.

É indispensável que a empresa implemente políticas internas claras, como Política de Segurança da Informação, Termo de Confidencialidade e Acordo de Uso de Dispositivos Pessoais. Esses documentos devem estabelecer, de forma objetiva, as responsabilidades dos colaboradores quanto ao uso dos sistemas corporativos, armazenamento de informações e acesso remoto aos dados da empresa.

No âmbito tecnológico, recomenda-se investir em ferramentas de proteção como VPNs, criptografia, autenticação multifatorial e gestão de acessos. Essas práticas reduzem significativamente o risco de vazamento de dados e ataques cibernéticos, protegendo tanto os ativos digitais quanto a reputação da organização.

Sob o aspecto preventivo, o treinamento dos colaboradores exerce papel fundamental. A conscientização sobre boas práticas de segurança, aliado ao esclarecimento de direitos e deveres no teletrabalho, é uma medida que contribui para mitigar riscos jurídicos e operacionais.

A conjugação de medidas jurídicas, administrativas e tecnológicas, resguarda a empresa contra eventuais demandas trabalhistas, fortalece sua governança corporativa, sua reputação e seu compromisso com a proteção de dados e informações sensíveis.

Publicado em por

10 PONTOS PARA SABER SE SUA EMPRESA ESTÁ EM CONFORMIDADE COM A LGPD

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) representa um marco importante para a governança de dados no Brasil. Mais do que uma exigência legal, estar em conformidade é uma demonstração de respeito às pessoas, aos parceiros comerciais e à própria sustentabilidade do negócio.

Empresários que buscam adequar suas operações devem, antes de tudo, compreender que a proteção de dados não se limita a um documento ou uma política, mas sim a um conjunto de práticas, processos e responsabilidades permanentes.

A seguir, apresentamos 10 pontos que indicam se sua empresa está alinhada às exigências da LGPD:

  1. Mapeamento de dados realizado
    A empresa conhece quais dados pessoais coleta, por qual motivo, onde estão armazenados, quem tem acesso e com quem são compartilhados.
  2. Bases legais bem definidas
    Cada atividade de tratamento de dados está devidamente respaldada em uma das bases legais previstas na LGPD, seja para execução de contratos, cumprimento de obrigação legal ou legítimo interesse, entre outras.
  3. Políticas internas implementadas
    Existe um conjunto de políticas e normas claras, que orientam colaboradores sobre como tratar dados pessoais, incluindo diretrizes sobre segurança da informação, privacidade e acesso.
  4. Consentimento tratado de forma adequada
    Nos casos em que o consentimento é necessário, ele é obtido de forma livre, informada e inequívoca, sendo possível ao titular revogá-lo a qualquer tempo.
  5. Treinamento e conscientização dos colaboradores
    Os colaboradores são capacitados periodicamente, entendendo seus deveres no tratamento de dados e as implicações jurídicas e operacionais envolvidas.
  6. Gestão de riscos e segurança da informação ativa
    A empresa adota medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos, perdas e qualquer forma de uso indevido.
  7. Canal de atendimento ao titular de dados estruturado
    Há um canal eficiente para que os titulares possam exercer seus direitos, como acesso, correção, portabilidade, eliminação ou informações sobre o tratamento de seus dados.
  8. Nomeação de um encarregado (DPO)
    Existe uma pessoa designada, interna ou terceirizada, que atua como ponto de contato entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
  9. Gerenciamento de contratos com terceiros e fornecedores
    Os contratos firmados com parceiros e fornecedores preveem cláusulas específicas sobre privacidade e proteção de dados, garantindo que todos os envolvidos cumpram a legislação.
  10. Plano de resposta a incidentes implementado
    A empresa possui procedimentos claros para identificar, tratar e comunicar eventuais incidentes de segurança, incluindo, quando necessário, a notificação à ANPD e aos titulares afetados.

Empresas que observam esses pontos não apenas reduzem riscos jurídicos e financeiros, como também fortalecem sua reputação no mercado. A conformidade com a LGPD reflete um compromisso ético com a privacidade e com a proteção das informações que circulam na rotina empresarial.

Publicado em por

MONITORAMENTO DE COLABORADORES: O QUE PODE E O QUE NÃO PODE SEGUNDO A LGPD E A CLT

A relação de trabalho pressupõe não apenas a prestação de serviços, mas também a observância de direitos e deveres recíprocos. Nesse contexto, é natural que as empresas adotem mecanismos para acompanhar as atividades de seus colaboradores. Entretanto, a adoção dessas práticas precisa estar em consonância com os limites legais estabelecidos pela Consolidação das Leis do Trabalho (CLT) e pela Lei Geral de Proteção de Dados Pessoais (LGPD).

O monitoramento no ambiente corporativo não é, por si só, proibido. Ao contrário, é permitido desde que seja realizado de forma transparente, legítima e proporcional. A própria CLT assegura ao empregador o poder diretivo, que abrange o direito de fiscalizar e orientar os serviços executados pelos empregados. No entanto, esse direito não é absoluto e deve respeitar os direitos fundamentais à intimidade, à privacidade e à dignidade da pessoa humana, protegidos tanto pela Constituição Federal quanto pela legislação trabalhista e pela LGPD.

A Lei Geral de Proteção de Dados impõe parâmetros claros para o tratamento de dados pessoais, inclusive no contexto laboral. O empregador deve informar de maneira clara quais dados serão coletados, para quais finalidades e por quanto tempo serão armazenados. O consentimento, embora não seja, na maioria dos casos, o fundamento adequado na relação de trabalho, dá lugar ao legítimo interesse do empregador, desde que este não sobreponha os direitos e liberdades dos titulares dos dados, ou seja, dos colaboradores.

Monitoramentos como rastreamento de e-mails corporativos, análise de acesso a sistemas internos, registros de ponto eletrônico, videomonitoramento em áreas comuns e controle de acesso físico são, em regra, admitidos. Contudo, é indispensável que essas medidas estejam descritas em documentos internos, como políticas de privacidade, termos de uso dos recursos tecnológicos e manuais de conduta.

Por outro lado, práticas que invadam a esfera da vida privada são consideradas abusivas e, portanto, ilícitas. É vedado, por exemplo, o monitoramento de conversas particulares, inclusive em dispositivos corporativos, se não houver uma política clara que informe os colaboradores sobre os limites de uso desses equipamentos. Monitoramento em banheiros, vestiários, áreas de descanso ou qualquer outro ambiente que comprometa a intimidade também é expressamente proibido.

O Poder Judiciário, tanto na esfera trabalhista quanto nas discussões relacionadas à proteção de dados, tem consolidado entendimento de que o monitoramento deve estar limitado às necessidades da atividade empresarial. Excessos são frequentemente combatidos com decisões que garantem indenizações por danos morais aos trabalhadores, além de possíveis sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD).

Sendo assim, o caminho seguro para as empresas é a adoção de uma cultura de conformidade. Isso inclui não apenas a formalização de normas internas, mas também a capacitação de lideranças e colaboradores sobre o uso adequado dos dados e dos recursos tecnológicos no ambiente de trabalho. O equilíbrio entre o legítimo interesse empresarial e os direitos dos colaboradores é a medida que assegura a sustentabilidade das relações de trabalho na era digital, protegendo tanto a empresa quanto seus profissionais.

Publicado em por

POR QUE SUA EMPRESA PRECISA SABER ONDE ESTÃO OS DADOS QUE ARMAZENA?

A adoção de soluções em nuvem transformou profundamente a dinâmica das empresas no armazenamento, processamento e gestão de informações. Por outro lado, essa evolução tecnológica trouxe à tona uma preocupação essencial: o alinhamento dessas operações às normas regulatórias e à proteção da soberania dos dados.

Esse conceito está diretamente relacionado à capacidade dos países e das organizações de manterem controle total sobre seus próprios dados. Trata-se de assegurar que as informações estejam armazenadas, processadas e gerenciadas sob as leis da jurisdição competente, evitando a transferência descontrolada de dados para ambientes que não ofereçam as garantias legais necessárias.

Determinados setores, como o financeiro e o setor público, possuem exigências rigorosas sobre a localização física dos dados. No contexto brasileiro, não são raras as situações em que órgãos públicos demandam que informações estejam não apenas dentro do território nacional, mas também restritas a determinados estados da federação. A ausência desse controle pode resultar em penalidades administrativas, impactos financeiros e prejuízos à reputação institucional.

Além das obrigações legais, a soberania de dados também se relaciona diretamente com a segurança da informação e a continuidade das operações empresariais. Manter o controle sobre dados sensíveis, tais como informações financeiras, registros pessoais e ativos estratégicos, reduz significativamente os riscos de vazamentos, acessos indevidos e violações de privacidade.

Da mesma forma, o armazenamento de informações em data centers localizados em outros países pode gerar entraves operacionais. Questões como a latência no acesso, limitações jurídicas na proteção contra ataques cibernéticos e dificuldades em resposta a incidentes reforçam a necessidade de estruturas que garantam a proximidade dos dados.

Nesse contexto, as estratégias voltadas à soberania informacional permitem às organizações assegurar que seus ativos digitais permaneçam sob governança adequada, obedecendo aos marcos legais e operacionais impostos pela legislação local.

A computação em nuvem pública, embora ofereça escalabilidade e elasticidade, não resolve integralmente essa demanda. Muitos provedores globais não garantem, de forma precisa, a localização geográfica de seus data centers, tampouco asseguram controle absoluto sobre quem pode acessar essas informações.

Essa realidade impulsiona a adoção de soluções denominadas nuvem soberana. Trata-se de uma infraestrutura tecnológica projetada para atender, de forma dedicada, aos requisitos de localização, privacidade e conformidade legal. A proposta consiste em garantir que os dados sensíveis permaneçam armazenados em território delimitado, de acordo com as normas aplicáveis, especialmente útil para instituições que operam em setores regulados.

Outro aspecto relevante é a compatibilidade desse modelo com arquiteturas multicloud. Com o suporte de tecnologias específicas, como os arrays de armazenamento virtual privado, é possível interligar ambientes públicos e privados de forma eficiente, permitindo que cargas de trabalho sensíveis sejam mantidas sob a governança da nuvem soberana, enquanto outras operações utilizem a infraestrutura da nuvem pública, maximizando desempenho e flexibilidade.

Adicionalmente, ganha espaço o modelo de nuvem soberana operando no formato on-premise as a service. Nessa configuração, a infraestrutura tecnológica é instalada diretamente no ambiente do cliente, com modelo de contratação baseado no consumo, sem exigência de investimento inicial em hardware. Essa abordagem oferece controle total sobre os dados, aliada à conveniência e à escalabilidade típicas dos serviços de nuvem.

Essa arquitetura também favorece a implementação de estratégias de alta disponibilidade e de recuperação de desastres. Ao concentrar os dados em data centers locais, as empresas mitigam riscos operacionais e otimizam os tempos de resposta, além de reduzir impactos relacionados a incidentes, sejam eles de origem natural, técnica ou cibernética.

Para os provedores regionais de data centers e telecomunicações, a oferta de serviços de nuvem soberana representa uma diferenciação competitiva relevante. A combinação entre conectividade de alta performance, infraestrutura local e aderência às exigências legais proporciona um serviço com maior confiabilidade e menor latência, atributos indispensáveis para operações de missão crítica.

Naturalmente, a segurança permanece como pilar essencial. A proteção dos dados deve contemplar criptografia em trânsito e em repouso, ambientes isolados, gestão rigorosa de acessos e monitoramento constante. A possibilidade de personalização das soluções permite que cada organização atenda às suas próprias exigências de governança, compliance e privacidade, em alinhamento com legislações como a Lei Geral de Proteção de Dados (LGPD).

Com a expansão dos modelos híbridos e a utilização intensiva de tecnologias como inteligência artificial e análise de dados, torna-se indispensável assegurar que as informações estejam não apenas protegidas, mas também gerenciadas em conformidade com os requisitos regulatórios.

A nuvem soberana surge, portanto, como um elemento estratégico. Seu papel vai além da proteção de dados, promovendo governança, flexibilidade e controle, aspectos fundamentais para as empresas que desejam inovar de forma segura em um ambiente digital que impõe, cada vez mais, rigor e responsabilidade sobre o uso e a gestão das informações.

Publicado em por

INVASÃO DE PERFIL NO INSTAGRAM GERA DEVER DE INDENIZAR E VIOLA DIREITOS FUNDAMENTAIS

O uso diário das redes sociais passou a integrar a rotina de milhões de pessoas e, com ele, também surgiram novos riscos. Entre eles está a invasão de contas por terceiros, que, além de perdas financeiras, a prática vem gerando a violação de dados pessoais, constrangimentos públicos e prejuízos à reputação digital dos usuários.

A perda do controle de um perfil, especialmente em plataformas populares como o Instagram, implica a possibilidade de uso indevido da identidade digital do titular. Golpes podem ser aplicados por meio da conta invadida, conteúdos inadequados podem ser publicados, e, em alguns casos, os próprios seguidores são alvo de extorsão. Essa situação traz impactos significativos, inclusive de ordem emocional, já que o vínculo com o ambiente virtual se tornou, para muitos, uma extensão da própria vida pessoal ou profissional.

Nos termos do ordenamento jurídico brasileiro, as plataformas que operam no país têm o dever de garantir o funcionamento seguro de seus serviços. A relação estabelecida entre o usuário e a empresa responsável pela rede social caracteriza-se como uma relação de consumo. Desse modo, aplica-se o regime de responsabilidade objetiva previsto no Código de Defesa do Consumidor, segundo o qual basta a comprovação do defeito no serviço e do dano causado para que haja o dever de indenizar. Não se exige a demonstração de culpa, pois o risco é inerente à atividade exercida pela empresa.

Além do CDC, a Lei Geral de Proteção de Dados impõe à empresa a obrigação de adotar medidas técnicas e administrativas aptas a proteger os dados pessoais dos usuários contra acessos não autorizados ou situações ilícitas. A falha nesse dever configura descumprimento legal e fortalece a possibilidade de responsabilização civil por parte da plataforma.

Os tribunais brasileiros vêm reconhecendo que a demora injustificada na resposta às tentativas de recuperação, a ausência de suporte eficaz e a vulnerabilidade do sistema de segurança constituem falhas na prestação do serviço. Em diversas decisões, o Judiciário tem determinado o pagamento de indenização por danos morais e materiais, mesmo sem a comprovação de culpa direta da empresa.

Para que se possa buscar reparação judicial, é essencial reunir provas que demonstrem o ocorrido. Isso inclui registros de conversas, e-mails, notificações, capturas de tela e qualquer evidência de que houve tentativa de contato com a plataforma, sem solução adequada. Também é possível solicitar que a conta seja excluída, caso não haja forma de recuperá-la, de modo a evitar o agravamento dos prejuízos.

Entre os pedidos possíveis em uma ação judicial estão a restituição do controle da conta, a exclusão do perfil comprometido, a indenização por danos morais, especialmente em casos em que a conta foi utilizada para lesar terceiros, e, quando aplicável, o ressarcimento por prejuízos financeiros decorrentes da impossibilidade de exercer atividade profissional vinculada ao perfil. Em alguns casos, pode-se ainda requerer tutela de urgência, com imposição de multa diária, para que a plataforma tome providências imediatas.

A invasão de contas em redes sociais representa uma afronta direta ao direito à privacidade, à honra e à imagem, todos assegurados pela Constituição Federal. A ausência de medidas adequadas por parte das empresas responsáveis pode gerar consequências jurídicas relevantes, cabendo aos prejudicados o exercício legítimo do direito à reparação. A manutenção da confiança nas plataformas digitais depende, em larga medida, do comprometimento dessas empresas com a proteção de seus usuários.

Publicado em por

AVALIAÇÃO DE RISCO CIBERNÉTICO: UM PASSO ESSENCIAL PARA MITIGAR AMEAÇAS DIGITAIS E PROTEGER SUA EMPRESA

A transformação digital tem transformado os modelos de negócios e a forma como as organizações se conectam com o mundo. A cada dia, mais empresas passam a integrar sistemas online e a usar redes digitais, tornando-se vulneráveis a uma série de ameaças cibernéticas. De acordo com dados de segurança, o Brasil, por exemplo, alcançou um volume alarmante de tentativas de fraude no início de 2025, com uma tentativa registrada a cada 2,2 segundos. Esse aumento reflete uma realidade global, em que a dependência tecnológica das empresas cria novas portas de entrada para cibercriminosos.

Neste contexto, é imperativo que as organizações, independentemente de seu porte ou setor, conduzam avaliações de risco cibernético. Este processo envolve a identificação sistemática de vulnerabilidades e ameaças, com o objetivo de fortalecer a segurança dos ambientes de TI e mitigar os riscos associados. Ao avaliar as probabilidades e impactos potenciais de eventos de segurança, a empresa pode implementar controles adicionais que ajudem a reduzir a probabilidade de violações.

Uma avaliação de risco cibernético bem executada oferece uma série de benefícios importantes para as organizações. Entre os principais, destaca-se a maior transparência nos processos de TI, por meio da visibilidade das aplicações e da gestão de privilégios dos usuários. Além disso, ela contribui para a identificação de vulnerabilidades específicas que podem ser exploradas por agentes mal-intencionados, permitindo que medidas preventivas sejam tomadas antes que danos maiores ocorram.

Outro ponto relevante é a redução de custos. Ao mitigar vulnerabilidades de forma antecipada, a organização evita gastos elevados com reparos e possíveis perdas financeiras causadas por ataques cibernéticos. Essa análise ainda proporciona uma melhor alocação de recursos limitados, especialmente no que diz respeito ao trabalho das equipes de TI, permitindo que as ações sejam mais focadas e eficazes.

No entanto, para que os benefícios da avaliação de risco cibernético sejam plenamente aproveitados, é necessário que a empresa tenha clareza em alguns pontos essenciais. O primeiro passo é definir os objetivos da avaliação. Embora a resposta imediata seja “reduzir riscos”, as empresas devem entender suas necessidades específicas, como otimizar o uso de recursos, reduzir a carga de trabalho das equipes ou aprimorar processos específicos de segurança.

É igualmente importante estabelecer o escopo da avaliação, considerando que nem todas as áreas de TI precisam ser analisadas de imediato, especialmente em empresas com grandes sistemas e recursos limitados. Nesse sentido, a definição dos sistemas prioritários a serem investigados torna-se um passo estratégico para garantir que os recursos sejam usados de forma eficiente.

Além disso, a capacidade da equipe interna de realizar essa análise deve ser avaliada. Embora muitos departamentos de TI possuam profissionais qualificados, a profundidade e a especialização necessárias para uma avaliação de risco cibernético efetiva muitas vezes demandam a contratação de especialistas ou fornecedores externos.

Por fim, as organizações precisam compreender que a avaliação de risco cibernético é um processo contínuo. As ameaças digitais evoluem rapidamente, e a falta de uma análise regular pode expor a empresa a riscos elevados. A realização periódica de avaliações, que respeite as especificidades de cada organização, é fundamental para a prevenção de invasões e ataques cibernéticos, além de garantir a proteção das operações e dos dados corporativos.

Portanto, ao adotar uma abordagem sistemática e contínua para avaliar os riscos cibernéticos, as empresas não apenas protegem seus dados e sistemas, mas também garantem um ambiente mais seguro e resiliente contra ameaças que podem comprometer sua integridade e sustentabilidade.

Publicado em por

COMO EVITAR O GOLPE DE TAXAÇÃO DE COMPRAS INTERNACIONAIS POR E-MAIL

Um novo golpe virtual está atingindo consumidores que realizam compras internacionais, especialmente importações da China. A abordagem começa com um e-mail falso, que parece ser enviado pelos Correios, informando que uma remessa foi taxada. O destinatário é então direcionado para um site que simula o visual dos Correios, onde são solicitados dados pessoais, como o CPF.

No site, uma imagem gerada por inteligência artificial exibe uma caixa de encomenda, com o nome completo e o CPF da vítima, acompanhada de uma solicitação de pagamento de uma taxa para liberar a suposta mercadoria retida na Receita Federal. No entanto, essa imagem não contém informações reais, como o endereço de entrega.

Os Correios esclarecem que não enviam e-mails sobre encomendas nem são responsáveis pela taxação de produtos importados, um processo que é de competência exclusiva da Receita Federal. Somente após o pagamento dos impostos devidos, a mercadoria pode ser liberada para entrega pelos Correios. A Polícia Civil relatou que esse golpe tem adotado novas abordagens, incluindo o uso de inteligência artificial para criar documentos falsificados que enganam os usuários.

O acesso a dados pessoais, muitas vezes provenientes de vazamentos em bancos, facilita a atuação dos criminosos. Para evitar cair nesse tipo de golpe, os consumidores devem verificar o status de suas encomendas diretamente pelo aplicativo oficial dos Correios. Através do menu “Minhas Importações”, é possível acompanhar o processo de taxação e realizar o pagamento devido, caso necessário, utilizando apenas o código de rastreamento da encomenda, sem a necessidade de fornecer o CPF ou outras informações pessoais.

Publicado em por

CLONAGEM DE DADOS BANCÁRIOS POR VÍRUS EM CELULARES: COMO SE PROTEGER E QUAIS OS DIREITOS DO CONSUMIDOR

Foi identificado um novo tipo de software malicioso voltado à clonagem de dados de cartões de crédito por meio de dispositivos móveis. Essa ameaça digital atua de maneira sofisticada, explorando vulnerabilidades de segurança em aplicativos e sistemas operacionais desatualizados, o que tem resultado em prejuízos financeiros e violações de dados pessoais.

Sob a perspectiva jurídica, quando uma transação fraudulenta ocorre em decorrência de falhas de segurança nos sistemas bancários ou operacionais das operadoras de cartão, pode-se atribuir responsabilidade às instituições financeiras. Esse entendimento está alinhado ao que dispõe o Código de Defesa do Consumidor e à jurisprudência que trata de fraudes bancárias, reforçando a obrigação dessas entidades de garantir a proteção adequada dos dados dos clientes.

Em situações dessa natureza, recomenda-se que o titular do cartão comunique imediatamente a instituição financeira, solicite o bloqueio do cartão e formalize a contestação das transações indevidas. Além disso, o registro de boletim de ocorrência e o acompanhamento contínuo da movimentação financeira são ações recomendadas para mitigar danos.

Do ponto de vista técnico, os ataques analisados indicam a atuação de grupos organizados utilizando códigos maliciosos avançados, como o NGate, operando a partir de ambientes externos ao território nacional. Diante disso, a implementação de mecanismos de autenticação de múltiplos fatores (2FA), o uso de senhas complexas e exclusivas, e a atualização regular de softwares são práticas indispensáveis para usuários individuais.

Para o setor empresarial, soluções de resposta a incidentes e inteligência contra ameaças digitais, como EDR (Endpoint Detection and Response) e plataformas de Threat Intelligence, constituem elementos estratégicos de proteção e monitoramento preventivo.

As ações dos criminosos geralmente começam por meio de mensagens que simulam comunicações oficiais de instituições bancárias, com o objetivo de induzir a vítima ao fornecimento de dados confidenciais. É fundamental compreender que bancos legítimos não solicitam dados sensíveis por canais como SMS ou aplicativos de mensagens instantâneas. Portanto, qualquer solicitação com esse teor deve ser tratada com cautela, sendo recomendável validar a autenticidade diretamente com os canais oficiais da instituição.

Adicionalmente, a legislação brasileira, por meio da Lei Geral de Proteção de Dados (LGPD), estabelece a obrigação das empresas em manter práticas transparentes no tratamento de dados pessoais, o que inclui a clareza quanto à coleta, finalidade e segurança das informações. Essa obrigação legal pode, inclusive, servir de base para aferição da legitimidade das comunicações recebidas por clientes e usuários.

A articulação entre medidas jurídicas, técnicas e preventivas, aliada à conscientização dos usuários, é essencial para enfrentar as ameaças digitais e fortalecer a cultura de proteção de dados no ambiente eletrônico.