Tag: Proteção de dados

Publicado em por

PROTEÇÃO DE DADOS NO BRASIL: COMO AS EMPRESAS DEVEM SE ADAPTAR À LGPD

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor com o objetivo de assegurar privacidade e segurança no tratamento de informações pessoais, tanto no meio físico quanto no ambiente digital. No contexto corporativo, empresas de todos os portes, independentemente do segmento de atuação, estão sujeitas à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) sempre que realizam operações envolvendo dados pessoais no Brasil ou ofereçam produtos e serviços a indivíduos localizados no país.

A legislação se aplica de forma ampla: não importa se se trata de uma grande corporação, uma microempresa ou até mesmo um profissional autônomo. Sempre que houver coleta, armazenamento, compartilhamento ou qualquer outra forma de utilização de dados pessoais, há a obrigação de cumprir as disposições da LGPD.

Entre as bases legais previstas, destacam-se o consentimento do titular, o cumprimento de obrigações legais ou regulatórias, a execução de políticas públicas, a realização de estudos por órgãos de pesquisa, a formalização ou execução de contratos, o exercício regular de direitos, a proteção da vida e da saúde, o legítimo interesse e a proteção do crédito.

A adequação à lei deve ser conduzida de maneira personalizada, considerando o porte, o ramo de atividade e a complexidade do tratamento de dados realizado pela organização. O processo geralmente envolve etapas como mapeamento e classificação dos dados tratados, revisão e elaboração de contratos e termos específicos, atualização de políticas de privacidade, treinamentos voltados a colaboradores e gestores, nomeação de encarregado pelo tratamento de dados (DPO), implementação de medidas técnicas de segurança da informação, criptografia, controles de acesso e definição de protocolos para resposta a incidentes. Trata-se de uma prática contínua, que exige monitoramento e revisões periódicas.

O descumprimento da LGPD pode gerar consequências administrativas e judiciais. Entre as sanções aplicáveis pela ANPD estão advertências, multas que podem alcançar até 2% do faturamento da empresa, e até a suspensão das atividades de tratamento de dados. Além disso, a não conformidade pode motivar ações judiciais individuais ou coletivas, movidas por titulares de dados, órgãos de defesa do consumidor e Ministério Público.

As principais demandas de adequação identificadas nas empresas incluem a atualização de contratos com cláusulas específicas de proteção de dados, a criação ou revisão de políticas de privacidade para websites e aplicativos, a definição de procedimentos internos para gestão de incidentes e a capacitação de equipes. Em especial, micro e pequenas empresas têm buscado soluções adaptadas à sua realidade financeira e operacional, de forma a cumprir a lei sem comprometer a continuidade de suas atividades.

Publicado em por

COMO IDENTIFICAR E EVITAR GOLPES DE MEDICAMENTOS VENDIDOS PELA INTERNET

A alta nos preços e a dificuldade de acesso a medicamentos com prescrição têm levado muitos consumidores a recorrer à internet em busca de alternativas rápidas, discretas e financeiramente atrativas. Essa busca, porém, tem se tornado um terreno fértil para grupos criminosos altamente organizados, que exploram a vulnerabilidade de quem precisa de tratamentos urgentes.

Investigações recentes revelaram uma operação internacional que envolve mais de cinco mil páginas falsas, todas projetadas para se passar por farmácias legítimas. O golpe, apelidado de PharmaFraud, combina engenharia social, falsificação de identidade corporativa e o uso intensivo de inteligência artificial para convencer usuários a fornecer dados pessoais, efetuar pagamentos e, em alguns casos, receber produtos falsificados ou sem qualquer registro sanitário.

Esses criminosos exploram especialmente medicamentos de alta procura, oferecendo-os com preços reduzidos, sem exigir receita e prometendo entrega sigilosa. Entre os produtos anunciados estão tratamentos para disfunção erétil, medicamentos para perda de peso e diabetes, antibióticos, hormônios e até substâncias ligadas a falsas promessas de cura para a COVID-19. Muitos deles são versões genéricas não regulamentadas, produzidas sem controle de qualidade e potencialmente perigosas.

Para conquistar a confiança da vítima, esses sites utilizam recursos visuais profissionais, sistemas de atendimento virtual e avaliações fictícias cuidadosamente elaboradas. O objetivo é criar uma falsa sensação de credibilidade, levando o consumidor a acreditar que está comprando de uma fonte segura.

As estratégias de ataque incluem:

  • Inserção de códigos maliciosos em sites médicos legítimos para redirecionar o usuário.
  • Manipulação de resultados de busca para colocar páginas falsas nas primeiras posições.
  • Publicação de artigos e blogs sobre saúde, produzidos com auxílio de IA, que direcionam para as falsas farmácias.
  • Criação de portais de “avaliações” repletos de depoimentos falsos.

Além do risco de receber medicamentos falsificados ou inadequados, o consumidor pode sofrer prejuízos financeiros e ter sua identidade roubada, já que muitos desses sites solicitam dados médicos, pessoais e bancários por meio de formulários inseguros. Há também solicitações de pagamento em criptomoedas ou outros meios que dificultam qualquer tentativa de estorno.

Estudos apontam que a imensa maioria das farmácias virtuais atua fora das normas legais. Somente nos primeiros seis meses de 2025, ferramentas de proteção digital impediram que quase um milhão de usuários caíssem nesses golpes.

Como se proteger

  • Sempre buscar orientação médica antes de adquirir medicamentos.
  • Comprar apenas de farmácias licenciadas e registradas nos órgãos competentes.
  • Desconfiar de preços muito abaixo do mercado ou da dispensa de receita médica.
  • Evitar fornecer dados pessoais ou financeiros a sites que não apresentem informações claras de contato e registro.
  • Utilizar soluções de segurança digital capazes de identificar páginas falsas e bloquear transações suspeitas.

O comércio ilegal de medicamentos na internet representa uma ameaça real, tanto à saúde quanto à segurança patrimonial dos consumidores. A prevenção começa pela informação e pela adoção de práticas seguras ao buscar qualquer tratamento online.

Publicado em por

PROTEÇÃO DIGITAL NA SAÚDE: COMO GARANTIR A SEGURANÇA DOS DADOS DE PACIENTES

O setor de saúde vive um momento de transformação sem precedentes. Recursos como prontuários eletrônicos, inteligência artificial, interoperabilidade, dispositivos conectados e soluções em nuvem deixaram de ser tendência para se tornarem parte do dia a dia de hospitais e clínicas. Essa modernização, no entanto, trouxe consigo um desafio igualmente robusto: a proteção contra riscos cibernéticos.

Nos últimos anos, instituições de saúde têm sido alvo de ataques digitais com frequência superior à média global. No Brasil, a quantidade de investidas contra organizações do setor aumentou de forma expressiva, acompanhada por um salto nas tentativas de ransomware. Em pouco tempo, a área saiu de uma posição intermediária para figurar entre as mais visadas.

Não se trata de acaso. A saúde lida com dados extremamente sensíveis, opera com sistemas muitas vezes desatualizados e ainda carece de uma maturidade sólida em cibersegurança. Modernizar processos sem estruturar medidas de proteção adequadas é como construir um edifício de ponta sobre alicerces frágeis.

O paradoxo entre inovação e vulnerabilidade

A adoção de novas tecnologias trouxe avanços significativos para a experiência do paciente e para a eficiência administrativa. No entanto, a pressa em implementar soluções sem avaliar o impacto na segurança abriu brechas importantes. Entre os fatores que ampliam a vulnerabilidade, destacam-se a coexistência de sistemas legados, fornecedores não integrados, uso de inteligência artificial sem revisão de conformidade e ausência de uma política de segurança abrangente.

Outro equívoco recorrente é tratar a segurança como responsabilidade exclusiva do setor de TI. O cuidado com as informações dos pacientes deve ser visto como parte da própria assistência em saúde. Profissionais clínicos, administrativos, fornecedores e desenvolvedores precisam assumir corresponsabilidade nessa proteção.

Consequências do despreparo

Quando a segurança da informação é tratada de forma secundária, os impactos podem ser severos: interrupção de serviços, perda de dados, danos à reputação institucional e prejuízos financeiros. Muitos ataques ocorrem sem que a organização perceba que já estava vulnerável, resultado de falhas como ausência de um plano de resposta a incidentes testado, backups inseguros, concessão excessiva de permissões de acesso, monitoramento insuficiente e treinamentos esporádicos para prevenção de ataques de engenharia social.

Na área da saúde, proteger dados é preservar a continuidade do cuidado. Sistemas de prontuário eletrônico, por exemplo, precisam ir além da funcionalidade clínica, incorporando criptografia, autenticação multifator, controle de acesso baseado em perfil e registros de auditoria confiáveis.

Da norma à prática diária

As diretrizes para proteger informações já estão estabelecidas em legislações como a Lei Geral de Proteção de Dados. O desafio é transformar essas exigências em hábitos institucionais. Isso inclui:

  • Atualização periódica de sistemas e dispositivos médicos conectados
  • Implantação de autenticação multifator em sistemas administrativos e clínicos
  • Revisão regular das permissões de acesso, utilizando modelos baseados em função (RBAC)
  • Treinamentos frequentes e contextualizados sobre segurança da informação
  • Criptografia de dados tanto em trânsito quanto em repouso
  • Auditoria contínua dos acessos e testes de intrusão
  • Contratos claros com fornecedores, definindo responsabilidades sobre privacidade e segurança
  • Planos de resposta a incidentes com papéis e procedimentos bem definidos

Tais medidas, embora demandem planejamento e investimento, representam o patamar mínimo para operar de forma segura no setor. Negligenciá-las não significa apenas assumir riscos técnicos, mas também comprometer a confiança e a segurança do paciente.

Um pacto entre tecnologia e proteção

A transformação digital e a segurança da informação precisam evoluir lado a lado. A saúde não se resume a consultas, exames e tratamentos — ela também envolve a preservação dos dados que sustentam cada etapa do cuidado. Proteger essas informações é, na prática, proteger vidas.

Publicado em por

COMO SE PROTEGER DE ATAQUES QUE EXPLORAM NAVEGADORES DE CELULAR

Pesquisas recentes indicam um aumento na utilização de técnicas de ataque voltadas ao lado do cliente, explorando vulnerabilidades em navegadores de dispositivos móveis. O foco está especialmente em sites construídos em plataformas populares que tenham sido comprometidos, servindo como porta de entrada para a instalação de códigos maliciosos capazes de capturar senhas, dados sigilosos e informações de autenticação.

Diferente das ameaças direcionadas a servidores, essa abordagem busca explorar falhas no ambiente do próprio usuário. Ao operar dessa forma, criminosos digitais conseguem contornar defesas tradicionais com maior facilidade, explorando brechas presentes no software do navegador e em recursos integrados.

Um dos vetores identificados é o uso de Progressive Web Apps (PWAs) falsificados, incorporados a temas e plugins comprometidos. Esses aplicativos, que combinam características de sites e apps nativos, oferecem funções legítimas como notificações, acesso offline e carregamento rápido. Contudo, versões adulteradas têm sido utilizadas para induzir o usuário a instalar pacotes maliciosos, muitas vezes disfarçados como aplicativos de entretenimento adulto ou ferramentas de criptografia.

Após instalados, esses PWAs fraudulentos permanecem ativos mesmo fora da sessão de navegação, simulando telas de login para capturar credenciais, interceptando transações de carteiras digitais e sequestrando tokens de sessão. Em alguns casos, ainda realizam a injeção de scripts nocivos diretamente no navegador.

Para evitar detecção, são aplicadas técnicas de camuflagem que impedem a execução do código malicioso em ambientes de teste com maior nível de proteção, aproveitando-se de limitações presentes em muitos navegadores de dispositivos móveis. Soma-se a isso o comportamento do usuário, que frequentemente aceita instalar aplicativos sugeridos sem verificar a procedência.

Boas práticas de proteção
Do ponto de vista do usuário, a principal medida é adotar um comportamento mais criterioso ao receber sugestões para instalação de aplicativos durante a navegação. É recomendável recusar qualquer instalação oferecida por sites de procedência duvidosa e desconfiar de solicitações inesperadas de login, sobretudo quando apresentam formulários que prometem facilitar o acesso por meio de credenciais já utilizadas em outros serviços.

Para administradores de sites e desenvolvedores, é fundamental realizar auditorias frequentes nos scripts de terceiros incorporados às páginas e implementar mecanismos que permitam identificar, em tempo real, quais códigos estão sendo executados no navegador dos visitantes. Essa visibilidade pode reduzir significativamente as oportunidades para a implantação de malwares.

A prevenção, nesse contexto, passa tanto pela postura vigilante do usuário quanto pela responsabilidade técnica de quem desenvolve e mantém páginas e aplicações.

Publicado em por

COMO TREINAR COLABORADORES PARA IDENTIFICAR E BLOQUEAR MALWARE

Há quem defenda que o ponto mais vulnerável na segurança cibernética de uma organização é o usuário. No entanto, pesquisas recentes demonstram que, quando bem orientadas, as pessoas podem atuar como barreira eficaz contra ameaças digitais.

Um estudo experimental analisou, em ambiente corporativo simulado, como usuários de diferentes níveis de conhecimento reagiam a solicitações para baixar softwares — alguns legítimos, outros maliciosos. No primeiro teste, sem qualquer auxílio adicional, a taxa média de identificação de arquivos maliciosos foi de 75%. Entre os menos experientes, o índice ficou em 68%, enquanto os mais habituados ao tema atingiram 81%.

Observou-se, contudo, que iniciantes, por vezes, classificavam programas legítimos como perigosos devido a erros de digitação ou falhas visuais na interface, ao mesmo tempo em que ignoravam ameaças reais quando o sistema apresentava comportamentos anômalos, como uso elevado do processador.

Na segunda fase, foi disponibilizada uma ferramenta de monitoramento aprimorada, acompanhada de orientações sobre sinais que poderiam indicar a presença de malware. O resultado foi expressivo: usuários iniciantes passaram a identificar corretamente 80% das ameaças, aproximando-se do desempenho dos mais experientes. A lição é clara — informação direcionada e estímulo ao pensamento crítico elevam significativamente a capacidade de detecção.

Para empresas, essa constatação reforça a necessidade de programas estruturados de conscientização. Um treinamento eficaz deve:

  • Explicar os tipos mais comuns de malware, como vírus, worms, trojans, ransomware e adware.
  • Ensinar a reconhecer ataques de phishing e engenharia social, com exemplos práticos de mensagens fraudulentas.
  • Apresentar sinais de alerta, como anexos e links suspeitos.
  • Reforçar boas práticas: atualização regular de softwares, uso de conexões seguras, hábitos de navegação responsáveis, senhas robustas e autenticação multifator.
  • Capacitar para identificar e-mails e sites potencialmente perigosos.
  • Orientar sobre os procedimentos a serem adotados diante da suspeita de infecção ou ataque.

Quanto mais conhecimento os colaboradores adquirirem sobre os métodos utilizados por cibercriminosos, menor será a probabilidade de que se tornem vítimas. Investir na formação contínua não apenas reduz riscos como também transforma o elo mais vulnerável em uma linha de defesa ativa.

Publicado em por

TRANSPARÊNCIA E CAPACITAÇÃO: PILARES PARA REDUZIR RISCOS CIBERNÉTICOS NO SETOR DE SAÚDE

No setor de saúde, a segurança da informação enfrenta um desafio singular: proteger dados extremamente sensíveis em um ambiente que exige agilidade operacional e, muitas vezes, convive com sistemas legados. Essa combinação cria condições favoráveis para que criminosos digitais direcionem ataques a hospitais, laboratórios, farmácias e demais organizações da área.

Ainda que a Lei Geral de Proteção de Dados (LGPD) tenha impulsionado investimentos relevantes em tecnologia, é evidente que apenas recursos tecnológicos não bastam. Grande parte dos incidentes de segurança decorre de falhas humanas ou comportamentos inseguros. A engenharia social e o phishing seguem como vetores predominantes, explorando a falta de atenção ou de preparo dos usuários.

Uma estratégia eficaz de proteção exige integração de dados e processos. Centralizar informações provenientes de canais distintos — como plataformas digitais, sistemas de atendimento e pontos físicos — reduz a superfície de ataque e facilita a gestão de riscos. Quanto mais fragmentada for a base de dados, maior a probabilidade de falhas e brechas de segurança.

Entre as medidas que demonstram bons resultados, destacam-se:

  • Aplicação consistente de criptografia em dados sensíveis e realização periódica de testes de intrusão para identificar vulnerabilidades.
  • Disponibilização de portais de transparência, permitindo que titulares consultem, atualizem ou solicitem a exclusão de seus dados pessoais.
  • Atuação preventiva de comitês especializados em segurança para avaliar riscos antes da implementação de novos projetos ou campanhas.
  • Simulações práticas de incidentes para treinar equipes, aperfeiçoando tanto a resposta técnica quanto a comunicação com usuários e clientes.

A forma como a organização reage a um incidente influencia diretamente a preservação da confiança. Posturas transparentes, com comunicação objetiva e tempestiva, transmitem comprometimento e fortalecem a credibilidade institucional.

No contexto da saúde, a segurança da informação deixou de ser tratada como formalidade e passou a integrar a estratégia central das empresas. A questão não é mais se um ataque ocorrerá, mas quando. Estar preparado para esse momento é o que definirá a capacidade de continuidade das operações sem comprometer a integridade de pacientes e dados.

Publicado em por

CIBERCRIMINOSOS USAM APPS AUTORIZADORES DA MICROSOFT PARA INVADIR AMBIENTES EMPRESARIAIS

Uma nova técnica de ataque digital tem chamado a atenção de especialistas em segurança da informação por sua capacidade de contornar camadas tradicionais de proteção em ambientes corporativos. O método envolve a exploração do protocolo OAuth 2.0, amplamente utilizado em sistemas Microsoft, para obtenção não autorizada de acesso a contas empresariais, inclusive aquelas protegidas por autenticação multifator.

A estratégia utiliza aplicativos aparentemente legítimos que operam com o protocolo OAuth, recurso amplamente empregado para permitir o acesso seguro a APIs e dados sem a necessidade de compartilhamento direto de senhas. Essa tecnologia, embora promova praticidade e segurança em seu uso regular, vem sendo instrumentalizada por cibercriminosos para induzir vítimas a autorizar permissões maliciosas.

O fluxo do ataque é engenhoso: usuários recebem e-mails com aparência profissional, que simulam interações comerciais corriqueiras, como propostas de orçamento ou envio de documentos. Ao clicar no link contido na mensagem, a vítima é redirecionada para uma página controlada pelos invasores, que solicita permissões para um aplicativo OAuth fraudulento. Mesmo que o usuário negue o acesso, o ataque continua por meio da exibição de um CAPTCHA e de uma página de verificação em duas etapas semelhante à da Microsoft, desenhada para capturar dados de autenticação.

O objetivo final é coletar tokens de acesso e cookies de sessão, permitindo aos criminosos invadir contas corporativas com alto grau de sucesso. Uma ferramenta amplamente utilizada nesses ataques é um serviço de phishing estruturado (Phishing-as-a-Service), que automatiza o roubo de informações com técnicas de interceptação sofisticadas.

Dados recentes revelam que milhares de contas distribuídas em centenas de ambientes Microsoft 365 foram alvo dessa técnica, com uma taxa preocupante de efetividade. A principal motivação dos invasores é o controle de identidades digitais, fator que tende a ganhar ainda mais relevância como vetor primário de comprometimento de sistemas empresariais.

Como medida preventiva, especialistas recomendam revisar com frequência os aplicativos autorizados em contas corporativas, implementar sistemas de monitoramento que identifiquem acessos anômalos, reforçar filtros de e-mail para bloquear campanhas maliciosas e investir em programas de capacitação contínua para usuários. Adicionalmente, a utilização de chaves de autenticação baseadas no padrão FIDO é apontada como alternativa mais robusta ao uso exclusivo do MFA tradicional.

A sofisticação das ameaças demanda uma resposta igualmente estratégica. A proteção das identidades digitais, o controle dos aplicativos conectados aos ambientes corporativos e a atenção aos sinais de engenharia social continuam sendo elementos fundamentais na gestão de riscos cibernéticos.

Publicado em por

EMPRESAS BRASILEIRAS FORTALECEM ESTRATÉGIAS DE CIBERSEGURANÇA COM FOCO EM IA, ZERO TRUST E CONFORMIDADE COM A LGPD

As organizações brasileiras estão redesenhando suas estruturas de cibersegurança diante da sofisticação dos ataques e da evolução constante das tecnologias de proteção. Um novo relatório técnico publicado por uma consultoria internacional especializada em tecnologia com foco em inteligência artificial revela que o investimento em segurança da informação no Brasil tem se intensificado, especialmente diante do impacto financeiro e reputacional causado por incidentes cibernéticos.

Entre os principais fatores que motivam esse movimento estão o tempo de inatividade gerado por violações, o abalo à imagem corporativa, os riscos de responsabilização judicial e o cumprimento das exigências legais impostas pela Lei Geral de Proteção de Dados (LGPD). A resposta a incidentes tem se tornado cada vez mais complexa, exigindo habilidades específicas que, muitas vezes, não estão disponíveis internamente nas empresas – o que leva à terceirização de serviços especializados.

O uso da inteligência artificial e do aprendizado de máquina tem ganhado destaque como elemento estratégico na análise de grandes volumes de dados de segurança, como logs, alertas e fontes de inteligência sobre ameaças. Essas tecnologias vêm permitindo a detecção mais rápida de malwares, a automação de respostas e a integração entre diferentes ferramentas de defesa, além de reduzirem a quantidade de falsos positivos – o que otimiza o trabalho das equipes técnicas.

Outro ponto relevante abordado no estudo é a adoção progressiva da arquitetura Zero Trust, baseada na ideia de que nenhuma identidade deve ser presumida como confiável. Mesmo os usuários internos passam por verificações constantes de autenticação e autorização. Para implementar esse modelo, é necessário modernizar a infraestrutura, sobretudo no que se refere ao gerenciamento de identidade e acesso (IAM), o que tem levado diversas companhias a buscar fornecedores especializados para viabilizar essa transição.

A atuação conjunta entre setor privado, academia e governo tem sido estimulada por meio de estratégias nacionais, como a E-Ciber, instituída para fomentar o compartilhamento de informações e a cooperação na resposta a ameaças. Essa mobilização institucional visa fortalecer a resiliência digital em setores estratégicos e na infraestrutura crítica do país.

Apesar dos avanços tecnológicos, o déficit de profissionais qualificados representa um obstáculo significativo. Estima-se que o Brasil careça de aproximadamente 750 mil especialistas em segurança da informação. Para contornar esse desafio, as organizações têm optado por parcerias com empresas fornecedoras de serviços gerenciados, sobretudo nas áreas de segurança em nuvem e resposta a incidentes.

O relatório também destaca a adoção de soluções de segurança de borda (SSE) e o desenvolvimento do mercado de detecção e resposta estendidas (XDR), indicando que a maturidade da segurança cibernética no Brasil passa por um processo de transformação estrutural. Nesse contexto, a modernização das políticas de proteção de dados e a integração entre novas tecnologias e práticas de governança digital serão decisivas para sustentar o crescimento empresarial em ambiente digital seguro.

Publicado em por

MODERNIZAÇÃO ADMINISTRATIVA E LGPD: O PAPEL DOS DECRETOS FEDERAIS NA ESTRUTURAÇÃO DO ESTADO DIGITAL

A digitalização do Estado brasileiro alcançou um novo patamar com a publicação dos Decretos Federais nº 12.561 e nº 12.564, ambos de julho de 2025. Mais do que acelerar o uso de meios eletrônicos na administração pública, essas normas consolidam um modelo de governança digital ancorado na biometria — classificada pela Lei Geral de Proteção de Dados (LGPD) como dado pessoal sensível —, estabelecendo diretrizes que conciliam eficiência, segurança jurídica e proteção de direitos fundamentais.

Na prática, os decretos estruturam medidas para modernizar processos relacionados a benefícios previdenciários e operações de crédito consignado, ao mesmo tempo em que delimitam salvaguardas robustas contra riscos como fraudes, vazamentos e práticas discriminatórias, sempre com a atuação supervisora da Autoridade Nacional de Proteção de Dados (ANPD).

Bases interoperáveis e transição gradual

O Decreto nº 12.561/2025 instituiu a verificação biométrica como requisito para concessão de benefícios previdenciários, adotando a Carteira de Identidade Nacional (CIN) como referência principal para a identificação dos cidadãos. Em lugar de uma transição abrupta, a norma previu uma arquitetura de interoperabilidade regulada, coordenada pela Secretaria de Governo Digital, capaz de assegurar padronização e rastreabilidade no tratamento de dados sensíveis.

Reconhecendo os limites de cobertura da CIN no momento atual, o decreto autorizou o uso de registros transitórios — como CNH, dados da Polícia Federal e do TSE —, de forma a evitar exclusão de cidadãos e descontinuidades no acesso aos serviços. Essa abordagem evidencia um olhar pragmático, ao permitir que cada órgão implemente fluxos próprios de coleta e validação biométrica conforme sua realidade operacional.

Formalização digital com consentimento qualificado

Já o Decreto nº 12.564/2025 regulamenta a formalização digital do crédito consignado, estabelecendo como requisito a realização de prova de vida biométrica e o registro de consentimento explícito e auditável do trabalhador. O objetivo é garantir que o titular detenha o controle efetivo sobre seus dados, protegendo-o contra fraudes e operações não autorizadas.

Embora a norma se baseie na exigência de consentimento, é juridicamente viável considerar, em determinados contextos, o uso das hipóteses legais do art. 11, II, “a” ou “g” da LGPD, que dispensam o consentimento quando o tratamento for necessário ao cumprimento de obrigação legal ou à prevenção de fraudes. A adoção dessas bases depende, contudo, de uma análise criteriosa que respeite os direitos previstos no art. 9º da lei e leve em conta eventuais riscos à liberdade individual do titular.

A norma também exige a produção de evidências técnicas que comprovem autoria e integridade do ato, como gravações em vídeo com movimentos específicos para atestar a vitalidade do cidadão. Esse tipo de comprovação já é utilizado em plataformas públicas, como o sistema Gov.br, e reforça a confiabilidade dos serviços digitais voltados a populações mais vulneráveis, como aposentados e pensionistas.

Supervisão regulatória e proteção preventiva

A atuação da ANPD está posicionada como elemento estruturante desse processo. Com base na LGPD, a autoridade dispõe de instrumentos para acompanhar, orientar e intervir sempre que houver indícios de riscos aos direitos dos titulares. Seu Radar Tecnológico, publicado em 2024, identificou pontos críticos no uso da biometria, como a possibilidade de desvio de finalidade e os impactos da irrevogabilidade dos dados em caso de vazamento ou erro.

A previsão de relatórios de impacto, recomendações técnicas e auditoria contínua, conforme os artigos 4º, §3º, 38 e 55-J, XIII da LGPD, permite à ANPD exercer um papel de vigilância ativa. Com isso, promove-se uma cultura de responsabilização no uso de tecnologias de identificação, reduzindo assimetrias entre o Estado e o cidadão.

Tecnologia a serviço da inclusão e da cidadania

A digitalização biométrica não está imune a desafios sociais. Grupos como idosos, moradores de áreas remotas e pessoas com restrições de acesso à tecnologia podem encontrar barreiras no uso de sistemas digitais de identificação. Por essa razão, os decretos incorporaram mecanismos de inclusão, com a manutenção de alternativas técnicas e fluxos híbridos enquanto a CIN ainda não se torna universal.

Essa escolha não é apenas operacional, mas ética: o acesso a direitos não pode depender exclusivamente da adequação tecnológica do indivíduo. Ao permitir caminhos alternativos e preservar o consentimento como elemento documentado, o modelo adotado assegura protagonismo ao cidadão no processo de autenticação, tornando-o parte ativa na proteção de seus dados.

Transparência e confiabilidade como pilares da transformação

A confiança nos serviços públicos digitais exige mais do que usabilidade: depende de infraestrutura segura, processos auditáveis e transparência institucional. Os decretos exigem a geração de logs, autenticação multifatorial e confirmação humana para decisões críticas, mitigando erros e responsabilizando eventuais falhas de sistemas automatizados.

Casos anteriores, como o de uma identificação incorreta por reconhecimento facial em 2019 no estado do Rio de Janeiro, servem como referência para a construção de um modelo que privilegia a rastreabilidade e a governança técnica. Aprender com erros passados é um passo essencial para consolidar a confiança pública nas ferramentas do Estado Digital.

Os marcos normativos de 2025 mostram que a digitalização da máquina pública pode ser conduzida de forma equilibrada, aliando inovação tecnológica à responsabilidade institucional. Ao estruturar a interoperabilidade biométrica em bases legais, auditáveis e inclusivas, o país dá um passo importante rumo à consolidação de um modelo de Estado digital centrado no cidadão, tecnicamente consistente e atento aos limites da proteção de dados.

Ainda existem pontos de atenção, como o reforço da cibersegurança e o combate a eventuais distorções de acesso. Mas o caminho regulatório agora delineado oferece parâmetros claros para o desenvolvimento de soluções digitais legítimas, seguras e socialmente responsáveis.

Publicado em por

GOVERNANÇA DE IA: O QUE FALTA PARA AS EMPRESAS USAREM ESSA TECNOLOGIA COM SEGURANÇA?

A maturidade da governança de Inteligência Artificial (IA) ainda é incipiente no mundo corporativo. Segundo o estudo “State of AI Application Strategy 2025”, apenas 2% das empresas analisadas alcançaram um modelo de governança considerado pleno para o uso da IA. Outros 21% foram classificados como pouco preparados, indicando um caminho ainda longo para estruturas organizadas de uso ético, seguro e estratégico dessa tecnologia.

A implementação da LGPD trouxe consigo a figura do Encarregado de Proteção de Dados (DPO), mas isso não significou, necessariamente, o avanço automático da governança de dados nas organizações. Enquanto grandes empresas estruturam internamente suas estratégias com profissionais dedicados, o segmento de pequenas e médias empresas frequentemente recorre a serviços terceirizados de DPO, muitas vezes vinculados a empresas que também atuam com segurança da informação. Esse modelo, embora viável, limita a profundidade e abrangência das ações de governança, principalmente diante das novas exigências trazidas pela IA.

A realidade é que a IA demanda uma abordagem mais ampla e especializada. A estruturação de políticas voltadas exclusivamente aos dados estruturados já não é suficiente. As organizações precisam lidar com fluxos intensos de dados não estruturados, que não apenas alimentam sistemas baseados em IA, mas também são responsáveis por gerar novas camadas de dados. Essa dinâmica exige mecanismos de rotulagem, classificação e descoberta em larga escala, muitas vezes em tempo real, como nas soluções baseadas em RAG (retrieval-augmented generation), que permitem a implementação de políticas de governança diretamente nos fluxos entre modelos de linguagem.

Neste contexto, o papel do Chief Data Officer (CDO) ganha relevância. Esse profissional tem a missão de integrar a gestão de dados às estratégias corporativas, promovendo conselhos de governança multifuncionais e conectando os indicadores de desempenho dos negócios às métricas de conformidade e ética no uso de dados. Contudo, apenas 24% das empresas ouvidas no estudo realizam a rotulagem contínua dos dados utilizados em aplicações de IA – etapa fundamental para uma governança estruturada. As demais operam com transparência reduzida, o que implica riscos tanto de exposição indevida quanto de ataques cibernéticos.

Outro desafio apontado é a adoção da multicloud. Embora seja cada vez mais comum que empresas operem com múltiplas nuvens públicas – com média de quatro ambientes distintos – essa prática amplia a complexidade da gestão de dados e segurança. A multiplicidade de regras, modelos de cobrança e políticas de proteção em cada provedor requer não apenas ferramentas robustas, mas uma estratégia de orquestração unificada. Muitas empresas, ao mesmo tempo que migram aplicações para ambientes privados ou colocation, continuam a contratar novas soluções em nuvens públicas, o que torna a visibilidade e o controle ainda mais desafiadores.

Soluções que centralizam a gestão de segurança distribuída vêm sendo adotadas para mitigar esses riscos. A ideia é aplicar, de um ponto único, regras que se estendam a todas as nuvens envolvidas, com uso de análise comportamental, machine learning e IA. Essa abordagem permite controle granular, independentemente da infraestrutura utilizada.

No aspecto da proteção da IA em si, a segurança vai além da camada tradicional de rede. Os firewalls clássicos perdem efetividade diante da complexidade semântica dos dados manipulados por modelos de linguagem. Soluções mais modernas operam em camadas superiores, como a de aplicações e APIs, e incorporam filtros semânticos, capazes de avaliar o contexto e o conteúdo que transita entre os usuários e as IAs públicas ou privadas. Esses mecanismos são úteis tanto para controlar o que pode ser enviado a um sistema como o ChatGPT, quanto para garantir que as respostas geradas respeitem critérios de privacidade e integridade definidos pelas regras de negócio da própria empresa.

Esse tipo de proteção torna-se essencial em um momento em que as organizações utilizam massivamente IAs públicas, mesmo quando estão desenvolvendo soluções internas. O controle sobre esse fluxo de informações deve ser refinado e contextualizado, evitando que dados confidenciais sejam inadvertidamente compartilhados ou que interações com clientes e investidores violem diretrizes internas.

A governança da IA, portanto, não se resume à conformidade legal. Trata-se de uma camada estratégica de gestão de riscos, ética e performance, que exige profissionais qualificados, processos bem definidos e soluções tecnológicas adaptadas a um ambiente de dados cada vez mais complexo.

Publicado em por

O AVANÇO DOS CRIMES CIBERNÉTICOS E O PAPEL DA INTELIGÊNCIA ARTIFICIAL NAS NOVAS FRAUDES VIRTUAIS

Os delitos virtuais têm ganhado novas formas e escalas nos últimos anos, acompanhando o ritmo da digitalização da vida cotidiana e da consolidação do comércio eletrônico como parte essencial da economia. Dados recentes do setor de segurança digital apontam para um aumento expressivo nas tentativas de golpes, sobretudo aqueles baseados em phishing, que consistem em enganar o usuário com mensagens fraudulentas para obter dados pessoais e financeiros. Em 2024, somente esse tipo de fraude já ultrapassou os cinco milhões de registros, representando um aumento de 45% em relação ao ano anterior.

No setor de varejo, os impactos também se intensificaram. Os ataques, quando bem-sucedidos, geraram perdas financeiras significativas, com média de milhões de dólares por incidente, revelando uma preocupação não apenas com os consumidores, mas também com as estruturas empresariais de proteção da informação.

Um aspecto que merece especial atenção é o uso da inteligência artificial por parte de grupos criminosos. A tecnologia, que tem sido amplamente incorporada por empresas e usuários para ganho de produtividade, também passou a ser explorada em golpes cada vez mais sofisticados. Atualmente, circulam fraudes que simulam vozes e vídeos de pessoas reais, ampliando o poder de convencimento das tentativas de extorsão e violação de dados. Essa técnica, conhecida como vishing, representa um novo patamar na manipulação da confiança alheia.

Diante desse quadro, torna-se necessário reforçar práticas de autoproteção. A primeira delas é manter atenção redobrada à autenticidade das mensagens recebidas por e-mail, SMS ou aplicativos de comunicação. Endereços com erros, nomes suspeitos ou redações genéricas devem ser tratados com desconfiança.

A segunda orientação é evitar clicar diretamente em links recebidos por mensagens. Sempre que possível, recomenda-se digitar o endereço da instituição no navegador e acessar o site por vias próprias, o que dificulta o redirecionamento para páginas falsas.

Outro ponto essencial é manter dispositivos atualizados. Atualizações de software não servem apenas para melhoria de performance, mas frequentemente trazem correções de segurança para falhas conhecidas.

A autenticação de dois fatores (2FA) também representa uma camada adicional importante de proteção. Mesmo que uma senha seja comprometida, esse mecanismo reduz significativamente a chance de acesso indevido.

Por fim, é recomendável manter uma postura crítica diante de ofertas chamativas. Descontos, brindes ou premiações que exigem dados bancários ou cliques urgentes devem ser cuidadosamente avaliados. Em qualquer dúvida, o mais prudente é interromper a ação e procurar diretamente a instituição envolvida, por canais oficiais.

O ambiente digital exige não apenas conectividade, mas também vigilância. A proteção dos dados e da identidade passa, cada vez mais, por escolhas conscientes no uso da tecnologia.

Publicado em por

PROTEÇÃO DE DADOS NO COTIDIANO: COMO EMPRESAS E ÓRGÃOS PÚBLICOS ENFRENTAM A APLICAÇÃO DA LGPD

A Lei Geral de Proteção de Dados (LGPD) completa cinco anos em vigor, mas sua efetiva implementação ainda caminha de forma desigual no Brasil, sobretudo no contexto municipal. Apesar de avanços institucionais e do aumento expressivo de decisões judiciais que citam a legislação — mais de 15 mil apenas na edição mais recente do painel nacional que acompanha o tema — a realidade prática indica que muitas empresas e órgãos públicos ainda operam em níveis variados de maturidade.

Uma das principais barreiras para a consolidação da cultura de proteção de dados é a percepção de que as sanções administrativas ainda não são plenamente aplicadas, o que gera a falsa sensação de que o cumprimento da norma pode ser postergado sem consequências imediatas. Entretanto, o aumento da judicialização e da exigência contratual por conformidade com a LGPD vêm sinalizando mudanças importantes.

Empresas de menor porte, especialmente em cidades de médio e pequeno porte, enfrentam dificuldades maiores. Muitas ainda não conseguem atender de forma plena às exigências, seja por desconhecimento técnico, seja por limitações orçamentárias. Ainda assim, a adaptação avança, sobretudo em setores mais regulados, como saúde, educação e financeiro.

No setor privado, práticas como coleta de dados sem informação clara sobre a finalidade, ausência de consentimento para envio de comunicações, e exposição indevida de informações sensíveis continuam ocorrendo. Tais práticas, além de representar risco jurídico e financeiro, impactam diretamente na reputação institucional e na confiança de clientes e colaboradores.

No setor público, as exigências legais impõem a implementação de medidas efetivas de segurança e governança. A coleta e tratamento de dados sensíveis pela administração municipal ou por órgãos vinculados requer não apenas adequações técnicas, mas também revisão de procedimentos, capacitação de servidores e controle dos fluxos internos.

Entre os riscos associados ao descumprimento da LGPD estão: perda de contratos com empresas que exigem conformidade, judicialização por parte de titulares de dados e sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Mais do que isso, há um impacto direto sobre a credibilidade da organização.

Boas práticas recomendadas incluem a revisão de contratos, registro e mapeamento dos fluxos de dados, uso de ambientes seguros, descarte adequado de documentos, anonimização de dados sempre que possível e limitação de acesso conforme o perfil do usuário. Além disso, é essencial que qualquer coleta de dados seja acompanhada de transparência e fundamentação legal.

Duas experiências relatadas ilustram caminhos distintos nesse processo. Uma empresa do setor de tecnologia, atuante no desenvolvimento de softwares de gestão, reforçou seu sistema de proteção de dados com treinamentos periódicos, limitação da coleta de informações e revisão de sistemas. O fortalecimento da cultura de segurança foi um dos pilares dessa transformação.

Por outro lado, um hospital de médio porte enfrentou desafios adicionais. Apesar dos avanços na organização de dados, nas rotinas de recepção e nas práticas de identificação de pacientes, a permanência de processos baseados em papel ainda é um obstáculo. A ausência de sistema de assinatura eletrônica validado e a obrigatoriedade legal de guarda de prontuários por mais de duas décadas exigem investimentos que ainda não foram implementados.

Mesmo com dados digitalizados, a falta de validação eletrônica impõe a impressão de documentos, prolongando a dependência do papel. O hospital, entretanto, já planeja a adoção de soluções tecnológicas até 2026, priorizando a digitalização segura e a conformidade com a LGPD.

A consolidação da proteção de dados como prática institucional passa, portanto, por uma mudança de cultura, não apenas por ajustes pontuais. Proteger informações pessoais exige mais do que adequações técnicas — demanda comprometimento, responsabilidade e compreensão da importância desse direito no ambiente organizacional.