Arquivos responsabilidade jurídica

Publicado em junho 23, 2025junho 23, 2025 por securitylgpd

O DESAFIO DA PROTEÇÃO DIGITAL NO BRASIL: O QUE OS ATAQUES CIBERNÉTICOS DIZEM SOBRE A NOSSA ESTRUTURA DE SEGURANÇA

Na última sexta-feira, 20 de junho de 2025, veio à tona a descoberta de um dos maiores vazamentos de credenciais da história da internet: mais de 16 bilhões de logins e senhas expostos, com 3,5 bilhões deles associados a usuários de língua portuguesa. O episódio, revelado por pesquisadores independentes, não se resume a números impressionantes — ele aponta diretamente para as limitações estruturais da segurança digital no país e levanta preocupações sobre nossa capacidade de resposta diante de ameaças dessa natureza.

O que mais chama atenção é o padrão técnico das informações vazadas: dados dispostos de forma organizada, no tradicional modelo URL-login-senha, que favorece ataques automatizados. Essas credenciais foram obtidas, em grande parte, por meio de métodos já conhecidos — como o uso de malwares e exploração de bases antigas — o que indica não só uma continuidade de práticas criminosas, mas também a sofisticação de ferramentas capazes de operar em múltiplas frentes simultaneamente.

Esse tipo de exposição não é uma novidade para o Brasil. Nosso país já ocupa posição de destaque negativo quando se trata de dados vazados, registrando mais de 7 bilhões de ocorrências. Ao mesmo tempo, os ataques cibernéticos têm se multiplicado rapidamente, com mais de 60 bilhões de tentativas detectadas somente no último ano. A combinação entre alta exposição e falta de barreiras eficazes cria um ambiente propício à ação de grupos mal-intencionados.

Parte relevante dessas ações é atribuída aos chamados infostealers — programas maliciosos voltados à captura silenciosa de dados sensíveis. Muitos deles têm origem em códigos de malware já conhecidos há mais de uma década, que passaram por mutações ao longo dos anos, ganhando novas funcionalidades. No Brasil, esse tipo de ataque responde por uma parcela expressiva dos incidentes registrados, afetando principalmente setores estratégicos como órgãos públicos, instituições financeiras e empresas de tecnologia.

Do ponto de vista jurídico, o país já possui arcabouço normativo relevante, com destaque para a Lei Geral de Proteção de Dados Pessoais. No entanto, a aplicação prática ainda enfrenta obstáculos. A limitação de valores para sanções administrativas, a baixa frequência de fiscalizações e o número reduzido de casos judicializados reduzem a efetividade das regras já estabelecidas. Mesmo decisões recentes que reconhecem a responsabilidade objetiva de empresas por vazamentos ainda precisam ser acompanhadas de medidas mais robustas de supervisão.

O impacto econômico dessas falhas de segurança também não pode ser ignorado. Relatórios recentes mostram que criminosos digitais movimentaram bilhões de dólares explorando vulnerabilidades em sistemas ao redor do mundo. No Brasil, a maturidade digital das empresas ainda é limitada: boa parte delas não possui equipes ou políticas específicas voltadas à proteção de dados. Isso amplia os riscos e abre espaço para prejuízos financeiros e institucionais.

Além disso, um estudo com abrangência nacional revelou que menos de um quarto das administrações públicas estaduais contam com profissionais capacitados para responder a incidentes de segurança em larga escala. Essa carência de preparo contribui para a propagação de ataques e dificulta respostas coordenadas que poderiam conter ou mitigar os danos.

Mais do que um evento isolado, o vazamento recentemente divulgado é reflexo de uma estrutura frágil, que exige revisão urgente. O Brasil tem a chance de transformar esse episódio em um ponto de virada — um momento para investir em proteção, ampliar a fiscalização e integrar esforços entre governo, empresas e sociedade. A legislação já avançou. A jurisprudência aponta caminhos promissores. Falta agora compromisso prático com a execução e a fiscalização de medidas que protejam a integridade digital dos brasileiros.

Publicado em abril 24, 2025abril 24, 2025 por securitylgpd

SUA EMPRESA USA CHATGPT? QUEM RESPONDE PELOS ERROS DA INTELIGÊNCIA ARTIFICIAL?

A inteligência artificial deixou de ser assunto de laboratório e já faz parte do dia a dia de muitas empresas. Ferramentas como o ChatGPT estão sendo usadas para agilizar processos, responder clientes, auxiliar na redação de documentos e até para tomar decisões internas. Mas o que nem todos percebem é que, junto com os benefícios, vêm também riscos — inclusive jurídicos.

Quando uma empresa adota o uso da IA em suas rotinas, ela continua responsável pelo que é feito com os dados e pelas consequências dos atos praticados com o apoio dessa tecnologia. Se um funcionário usa o ChatGPT para gerar um contrato, por exemplo, e esse documento traz erros que prejudicam a outra parte, a empresa pode ser responsabilizada. A IA não serve de escudo.

Outro ponto delicado envolve o uso de informações sigilosas. Inserir dados sensíveis de clientes, contratos, processos internos ou qualquer outro conteúdo estratégico em um sistema de IA pode comprometer a segurança da informação. Ainda que o sistema diga que não armazena, isso não isenta a empresa do dever de proteger esses dados.

A Lei Geral de Proteção de Dados (LGPD) também entra em cena. O uso de IA precisa respeitar os princípios da finalidade, necessidade e segurança, entre outros. Se a IA está sendo utilizada para tratar dados pessoais, a empresa deve ser transparente com o titular, manter registros e garantir que não haja vazamentos ou acessos indevidos.

Além disso, se o conteúdo gerado pela IA for ofensivo, discriminatório ou causar prejuízo a terceiros, isso pode resultar em responsabilidade civil e até penal, dependendo do caso. Não importa se foi “a máquina que escreveu”. Quem utiliza a tecnologia deve estar preparado para responder pelos efeitos dela.

Em empresas sérias, a tecnologia deve ser uma aliada — mas sempre dentro de limites bem definidos. Isso passa por criar políticas internas de uso, treinar colaboradores, supervisionar o que é feito com essas ferramentas e, principalmente, contar com apoio jurídico na hora de definir o que pode e o que não pode ser feito com inteligência artificial.

Porque, no fim das contas, o que está em jogo é a reputação, o bolso e, muitas vezes, a confiança do cliente. E isso, como sabemos, não se reconstrói com facilidade.

Publicado em abril 11, 2025abril 9, 2025 por securitylgpd

SEGURANÇA DA INFORMAÇÃO E CONFORMIDADE JURÍDICA NA PROTEÇÃO DE DADOS

A confiança depositada nas ferramentas de segurança da informação, embora essencial para a proteção de dados, não pode ser confundida com uma garantia absoluta de conformidade legal. Blindar sistemas com camadas robustas de criptografia, firewall, antivírus e autenticações múltiplas é uma medida relevante — mas, por si só, não basta para proteger a empresa contra sanções jurídicas.

A Lei Geral de Proteção de Dados Pessoais (LGPD) exige mais do que segurança técnica: exige fundamento jurídico legítimo para cada operação de tratamento de dados. O artigo 7º da LGPD é claro ao delimitar as hipóteses que autorizam o tratamento. Assim, mesmo que as informações estejam armazenadas em servidores seguros, criptografadas e sob monitoramento constante, uma base legal mal definida ou inexistente torna todo o esforço técnico inócuo perante a autoridade fiscalizadora e o Poder Judiciário.

O setor de TI, por mais competente e atualizado que esteja, não pode — e não deve — assumir sozinho a função de garantir a conformidade com a legislação. Essa é uma responsabilidade institucional, que deve integrar a cultura da empresa e envolver as áreas jurídica, de governança, compliance e gestão de pessoas.

Tratar dados com base em suposições ou entendimentos genéricos — como acreditar que o consentimento do titular resolve tudo — é uma prática arriscada. Há casos em que o consentimento sequer é necessário ou aplicável, sendo mais adequado recorrer ao legítimo interesse, ao cumprimento de obrigação legal ou à execução de contrato, por exemplo. Essa análise exige interpretação jurídica, e não apenas técnica.

Empresas que ignoram essa distinção correm o risco de enfrentar advertências, multas e até ações judiciais de titulares. Mais do que isso, podem comprometer sua reputação e confiança perante parceiros e clientes. A proteção real, portanto, nasce da integração entre técnica e direito — onde o jurídico valida os fundamentos e o técnico viabiliza a execução segura.

Publicado em abril 7, 2025abril 7, 2025 por securitylgpd

POR QUE O CONSENTIMENTO NEM SEMPRE É A MELHOR ESCOLHA NA LGPD

No cotidiano das empresas ainda é comum a ideia de que a simples obtenção de uma assinatura, seja ela física ou eletrônica, representa um passaporte para o uso legítimo de dados pessoais. Esse entendimento, embora recorrente, está desalinhado com a realidade jurídica estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD não se resume ao consentimento. Aliás, essa é apenas uma das dez bases legais que autorizam o tratamento de dados. O problema surge quando o consentimento é utilizado como se fosse a única opção ou a mais segura. O que muitos ignoram é que essa base legal pode ser revogada a qualquer momento pelo titular dos dados, o que pode tornar instável o tratamento de informações no âmbito contratual, comercial ou operacional da empresa.

Para atividades corriqueiras do mundo empresarial, como emissão de notas fiscais, envio de cobranças, execução de contrato ou proteção do crédito, o consentimento nem sequer é necessário. Nessas hipóteses, a base legal adequada costuma ser a execução do contrato ou o cumprimento de obrigação legal ou regulatória. Isso significa que, ainda que o titular revogue um eventual consentimento, o tratamento continuará sendo legítimo, desde que amparado por outra base.

Outro equívoco comum é imaginar que o consentimento confere à empresa liberdade irrestrita sobre os dados coletados. A verdade é que, mesmo com autorização expressa, a empresa deve observar os princípios da finalidade, necessidade, transparência e segurança. O tratamento não pode ser abusivo, desproporcional ou sem justificativa.

Assim, é fundamental que o empresário compreenda que o uso adequado da base legal depende da natureza da atividade, dos dados envolvidos e do propósito do tratamento. Optar pela base incorreta pode comprometer a conformidade da empresa com a LGPD e fragilizar sua posição em caso de fiscalização, litígios ou incidentes de segurança.

A LGPD exige mais que uma assinatura. Exige boa-fé, coerência e responsabilidade jurídica. E isso começa pela escolha consciente da base legal mais apropriada para cada situação.

Publicado em abril 3, 2025abril 3, 2025 por securitylgpd

TENHO UM SITE, PRECISO ME PREOCUPAR COM A LGPD?

Se você mantém um site na internet, mesmo que simples ou institucional, a resposta para essa pergunta é sim. A Lei Geral de Proteção de Dados Pessoais (LGPD) se aplica sempre que há coleta, uso, armazenamento ou compartilhamento de dados pessoais. E isso inclui desde formulários de contato até ferramentas de análise de acesso como o Google Analytics.

O ponto central da LGPD é a proteção das informações que possam identificar uma pessoa, direta ou indiretamente. Isso envolve não apenas nome, CPF ou e-mail, mas também dados como endereço IP, localização geográfica e preferências de navegação, que muitas vezes são capturados automaticamente por meio de cookies.

Os cookies, por exemplo, são pequenos arquivos armazenados no dispositivo do visitante para registrar suas interações com o site. Eles podem ser utilizados para melhorar a experiência do usuário, personalizar conteúdo, lembrar preferências ou gerar estatísticas de acesso. No entanto, alguns tipos de cookies são considerados não essenciais e, portanto, só podem ser ativados com o consentimento livre, informado e inequívoco do titular dos dados.

Outro ponto de atenção são os formulários. Quando o visitante preenche um campo com seu nome, telefone ou e-mail para entrar em contato ou fazer uma solicitação, ele está fornecendo dados pessoais. Esses dados devem ser tratados com responsabilidade e apenas para as finalidades informadas no momento da coleta.

A ferramenta de análise de dados, como o Google Analytics, também deve ser configurada para respeitar as exigências da LGPD, evitando o rastreamento indevido ou o compartilhamento de informações sem base legal adequada.

Diante disso, é essencial que seu site contenha uma Política de Privacidade clara e acessível, que informe ao visitante:

Quais dados pessoais são coletados
Como e por que esses dados são utilizados
Com quem eles podem ser compartilhados
Quais direitos o titular dos dados possui
Como ele pode exercer esses direitos
Quem é o responsável pelo tratamento dos dados e como pode ser contatado

Além disso, é necessário ter a exibição de um aviso de cookies logo na primeira visita ao site, permitindo que o usuário aceite ou rejeite os cookies não obrigatórios.

Ter um site é abrir uma porta de entrada para seu negócio ou projeto. E com essa visibilidade vem também a responsabilidade. A conformidade com a LGPD não é apenas uma exigência legal, mas uma demonstração de respeito e compromisso com a privacidade das pessoas que interagem com você no ambiente digital.

Publicado em março 26, 2025março 26, 2025 por securitylgpd

RESPONSABILIDADE NA LGPD: QUEM RESPONDE POR FALHAS NO TRATAMENTO DE DADOS?

A Lei Geral de Proteção de Dados Pessoais (LGPD) exige que empresas adotem medidas claras e eficazes para proteger os dados pessoais que tratam. Quando ocorre uma falha — ou mesmo quando há apenas a percepção de uma irregularidade — é comum que surja a dúvida: quem deve responder por isso?

A responsabilidade legal recai, antes de tudo, sobre a empresa. É ela quem define as finalidades e os meios do tratamento de dados, assumindo, assim, o papel de controladora. Cabe à empresa adotar políticas internas, implementar medidas de segurança, orientar seus colaboradores e fiscalizar eventuais operadores de dados com quem mantenha relação contratual.

O Encarregado de Proteção de Dados (DPO) exerce uma função de orientação e interlocução. É ele quem atua como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Ainda que tenha um papel estratégico dentro da governança, o DPO não é o responsável legal pelos atos da empresa. Não decide sozinho, nem executa diretamente o tratamento de dados. Sua responsabilidade pessoal, portanto, só poderá ser cogitada em hipóteses muito específicas, como em casos de má-fé ou omissão grave.

O setor jurídico, por sua vez, tem o papel de interpretar a legislação e apoiar a empresa na adoção de medidas que reduzam riscos legais. Atua na formulação de pareceres, na elaboração de contratos e na definição de políticas. Entretanto, sua atuação também é consultiva. O jurídico não executa o tratamento de dados, nem possui poder de comando sobre os departamentos operacionais.

Dessa forma, em ocorrências envolvendo dados pessoais, a empresa é a principal responsável. É dela a obrigação de garantir a conformidade com a LGPD. O DPO e o jurídico contribuem com suporte técnico e estratégico, mas não substituem a responsabilidade institucional.

A clareza na definição de papéis e o investimento em governança são as melhores ferramentas para evitar falhas — e, sobretudo, para responder adequadamente quando elas ocorrem. Delegar não significa transferir o dever de proteger.

Publicado em março 25, 2025março 25, 2025 por securitylgpd

TREINAR SUA EQUIPE EM LGPD E CONTRATOS PODE REDUZIR PROCESSOS

A capacitação de equipes que lidam com dados pessoais e contratos é uma medida preventiva de grande relevância para qualquer organização. Quando os colaboradores compreendem as exigências da LGPD e os cuidados necessários na elaboração, análise e cumprimento de contratos, os riscos de falhas operacionais e demandas judiciais diminuem consideravelmente.

A maioria dos processos enfrentados por empresas decorre de desatenção a detalhes que poderiam ser evitados com orientação adequada. O uso indevido de dados, o descumprimento de cláusulas contratuais ou a ausência de formalidades legais são exemplos de situações que geram conflitos. Uma equipe bem treinada reconhece essas armadilhas antes que se concretizem.

Além da redução de riscos, o treinamento promove segurança jurídica e eficiência. As decisões passam a ser tomadas com base em critérios objetivos, alinhadas à legislação vigente e às boas práticas. Isso fortalece a reputação institucional e contribui para relações mais transparentes com clientes, fornecedores e parceiros.

O treinamento também tem um efeito prático sobre a rotina dos setores. Com conhecimento técnico, os colaboradores tornam-se mais autônomos, solucionando questões do dia a dia com mais agilidade e menor dependência de pareceres externos. Essa autonomia qualificada representa ganho de tempo, redução de custos e melhoria no fluxo de trabalho.

Adotar esse tipo de investimento é demonstrar compromisso com a legalidade e com a ética nas relações empresariais. É um caminho para evitar litígios, preservar vínculos contratuais e consolidar uma cultura organizacional orientada pela responsabilidade.

Treinar não é um custo, mas uma forma de proteger o negócio e garantir que ele cresça com estabilidade. É um investimento na tranquilidade futura e na solidez das operações do presente.