Tag: Segurança da Informação

Publicado em por

TRANSPARÊNCIA E CAPACITAÇÃO: PILARES PARA REDUZIR RISCOS CIBERNÉTICOS NO SETOR DE SAÚDE

No setor de saúde, a segurança da informação enfrenta um desafio singular: proteger dados extremamente sensíveis em um ambiente que exige agilidade operacional e, muitas vezes, convive com sistemas legados. Essa combinação cria condições favoráveis para que criminosos digitais direcionem ataques a hospitais, laboratórios, farmácias e demais organizações da área.

Ainda que a Lei Geral de Proteção de Dados (LGPD) tenha impulsionado investimentos relevantes em tecnologia, é evidente que apenas recursos tecnológicos não bastam. Grande parte dos incidentes de segurança decorre de falhas humanas ou comportamentos inseguros. A engenharia social e o phishing seguem como vetores predominantes, explorando a falta de atenção ou de preparo dos usuários.

Uma estratégia eficaz de proteção exige integração de dados e processos. Centralizar informações provenientes de canais distintos — como plataformas digitais, sistemas de atendimento e pontos físicos — reduz a superfície de ataque e facilita a gestão de riscos. Quanto mais fragmentada for a base de dados, maior a probabilidade de falhas e brechas de segurança.

Entre as medidas que demonstram bons resultados, destacam-se:

  • Aplicação consistente de criptografia em dados sensíveis e realização periódica de testes de intrusão para identificar vulnerabilidades.
  • Disponibilização de portais de transparência, permitindo que titulares consultem, atualizem ou solicitem a exclusão de seus dados pessoais.
  • Atuação preventiva de comitês especializados em segurança para avaliar riscos antes da implementação de novos projetos ou campanhas.
  • Simulações práticas de incidentes para treinar equipes, aperfeiçoando tanto a resposta técnica quanto a comunicação com usuários e clientes.

A forma como a organização reage a um incidente influencia diretamente a preservação da confiança. Posturas transparentes, com comunicação objetiva e tempestiva, transmitem comprometimento e fortalecem a credibilidade institucional.

No contexto da saúde, a segurança da informação deixou de ser tratada como formalidade e passou a integrar a estratégia central das empresas. A questão não é mais se um ataque ocorrerá, mas quando. Estar preparado para esse momento é o que definirá a capacidade de continuidade das operações sem comprometer a integridade de pacientes e dados.

Publicado em por

CIBERCRIMINOSOS USAM APPS AUTORIZADORES DA MICROSOFT PARA INVADIR AMBIENTES EMPRESARIAIS

Uma nova técnica de ataque digital tem chamado a atenção de especialistas em segurança da informação por sua capacidade de contornar camadas tradicionais de proteção em ambientes corporativos. O método envolve a exploração do protocolo OAuth 2.0, amplamente utilizado em sistemas Microsoft, para obtenção não autorizada de acesso a contas empresariais, inclusive aquelas protegidas por autenticação multifator.

A estratégia utiliza aplicativos aparentemente legítimos que operam com o protocolo OAuth, recurso amplamente empregado para permitir o acesso seguro a APIs e dados sem a necessidade de compartilhamento direto de senhas. Essa tecnologia, embora promova praticidade e segurança em seu uso regular, vem sendo instrumentalizada por cibercriminosos para induzir vítimas a autorizar permissões maliciosas.

O fluxo do ataque é engenhoso: usuários recebem e-mails com aparência profissional, que simulam interações comerciais corriqueiras, como propostas de orçamento ou envio de documentos. Ao clicar no link contido na mensagem, a vítima é redirecionada para uma página controlada pelos invasores, que solicita permissões para um aplicativo OAuth fraudulento. Mesmo que o usuário negue o acesso, o ataque continua por meio da exibição de um CAPTCHA e de uma página de verificação em duas etapas semelhante à da Microsoft, desenhada para capturar dados de autenticação.

O objetivo final é coletar tokens de acesso e cookies de sessão, permitindo aos criminosos invadir contas corporativas com alto grau de sucesso. Uma ferramenta amplamente utilizada nesses ataques é um serviço de phishing estruturado (Phishing-as-a-Service), que automatiza o roubo de informações com técnicas de interceptação sofisticadas.

Dados recentes revelam que milhares de contas distribuídas em centenas de ambientes Microsoft 365 foram alvo dessa técnica, com uma taxa preocupante de efetividade. A principal motivação dos invasores é o controle de identidades digitais, fator que tende a ganhar ainda mais relevância como vetor primário de comprometimento de sistemas empresariais.

Como medida preventiva, especialistas recomendam revisar com frequência os aplicativos autorizados em contas corporativas, implementar sistemas de monitoramento que identifiquem acessos anômalos, reforçar filtros de e-mail para bloquear campanhas maliciosas e investir em programas de capacitação contínua para usuários. Adicionalmente, a utilização de chaves de autenticação baseadas no padrão FIDO é apontada como alternativa mais robusta ao uso exclusivo do MFA tradicional.

A sofisticação das ameaças demanda uma resposta igualmente estratégica. A proteção das identidades digitais, o controle dos aplicativos conectados aos ambientes corporativos e a atenção aos sinais de engenharia social continuam sendo elementos fundamentais na gestão de riscos cibernéticos.

Publicado em por

EMPRESAS BRASILEIRAS FORTALECEM ESTRATÉGIAS DE CIBERSEGURANÇA COM FOCO EM IA, ZERO TRUST E CONFORMIDADE COM A LGPD

As organizações brasileiras estão redesenhando suas estruturas de cibersegurança diante da sofisticação dos ataques e da evolução constante das tecnologias de proteção. Um novo relatório técnico publicado por uma consultoria internacional especializada em tecnologia com foco em inteligência artificial revela que o investimento em segurança da informação no Brasil tem se intensificado, especialmente diante do impacto financeiro e reputacional causado por incidentes cibernéticos.

Entre os principais fatores que motivam esse movimento estão o tempo de inatividade gerado por violações, o abalo à imagem corporativa, os riscos de responsabilização judicial e o cumprimento das exigências legais impostas pela Lei Geral de Proteção de Dados (LGPD). A resposta a incidentes tem se tornado cada vez mais complexa, exigindo habilidades específicas que, muitas vezes, não estão disponíveis internamente nas empresas – o que leva à terceirização de serviços especializados.

O uso da inteligência artificial e do aprendizado de máquina tem ganhado destaque como elemento estratégico na análise de grandes volumes de dados de segurança, como logs, alertas e fontes de inteligência sobre ameaças. Essas tecnologias vêm permitindo a detecção mais rápida de malwares, a automação de respostas e a integração entre diferentes ferramentas de defesa, além de reduzirem a quantidade de falsos positivos – o que otimiza o trabalho das equipes técnicas.

Outro ponto relevante abordado no estudo é a adoção progressiva da arquitetura Zero Trust, baseada na ideia de que nenhuma identidade deve ser presumida como confiável. Mesmo os usuários internos passam por verificações constantes de autenticação e autorização. Para implementar esse modelo, é necessário modernizar a infraestrutura, sobretudo no que se refere ao gerenciamento de identidade e acesso (IAM), o que tem levado diversas companhias a buscar fornecedores especializados para viabilizar essa transição.

A atuação conjunta entre setor privado, academia e governo tem sido estimulada por meio de estratégias nacionais, como a E-Ciber, instituída para fomentar o compartilhamento de informações e a cooperação na resposta a ameaças. Essa mobilização institucional visa fortalecer a resiliência digital em setores estratégicos e na infraestrutura crítica do país.

Apesar dos avanços tecnológicos, o déficit de profissionais qualificados representa um obstáculo significativo. Estima-se que o Brasil careça de aproximadamente 750 mil especialistas em segurança da informação. Para contornar esse desafio, as organizações têm optado por parcerias com empresas fornecedoras de serviços gerenciados, sobretudo nas áreas de segurança em nuvem e resposta a incidentes.

O relatório também destaca a adoção de soluções de segurança de borda (SSE) e o desenvolvimento do mercado de detecção e resposta estendidas (XDR), indicando que a maturidade da segurança cibernética no Brasil passa por um processo de transformação estrutural. Nesse contexto, a modernização das políticas de proteção de dados e a integração entre novas tecnologias e práticas de governança digital serão decisivas para sustentar o crescimento empresarial em ambiente digital seguro.

Publicado em por

MODERNIZAÇÃO ADMINISTRATIVA E LGPD: O PAPEL DOS DECRETOS FEDERAIS NA ESTRUTURAÇÃO DO ESTADO DIGITAL

A digitalização do Estado brasileiro alcançou um novo patamar com a publicação dos Decretos Federais nº 12.561 e nº 12.564, ambos de julho de 2025. Mais do que acelerar o uso de meios eletrônicos na administração pública, essas normas consolidam um modelo de governança digital ancorado na biometria — classificada pela Lei Geral de Proteção de Dados (LGPD) como dado pessoal sensível —, estabelecendo diretrizes que conciliam eficiência, segurança jurídica e proteção de direitos fundamentais.

Na prática, os decretos estruturam medidas para modernizar processos relacionados a benefícios previdenciários e operações de crédito consignado, ao mesmo tempo em que delimitam salvaguardas robustas contra riscos como fraudes, vazamentos e práticas discriminatórias, sempre com a atuação supervisora da Autoridade Nacional de Proteção de Dados (ANPD).

Bases interoperáveis e transição gradual

O Decreto nº 12.561/2025 instituiu a verificação biométrica como requisito para concessão de benefícios previdenciários, adotando a Carteira de Identidade Nacional (CIN) como referência principal para a identificação dos cidadãos. Em lugar de uma transição abrupta, a norma previu uma arquitetura de interoperabilidade regulada, coordenada pela Secretaria de Governo Digital, capaz de assegurar padronização e rastreabilidade no tratamento de dados sensíveis.

Reconhecendo os limites de cobertura da CIN no momento atual, o decreto autorizou o uso de registros transitórios — como CNH, dados da Polícia Federal e do TSE —, de forma a evitar exclusão de cidadãos e descontinuidades no acesso aos serviços. Essa abordagem evidencia um olhar pragmático, ao permitir que cada órgão implemente fluxos próprios de coleta e validação biométrica conforme sua realidade operacional.

Formalização digital com consentimento qualificado

Já o Decreto nº 12.564/2025 regulamenta a formalização digital do crédito consignado, estabelecendo como requisito a realização de prova de vida biométrica e o registro de consentimento explícito e auditável do trabalhador. O objetivo é garantir que o titular detenha o controle efetivo sobre seus dados, protegendo-o contra fraudes e operações não autorizadas.

Embora a norma se baseie na exigência de consentimento, é juridicamente viável considerar, em determinados contextos, o uso das hipóteses legais do art. 11, II, “a” ou “g” da LGPD, que dispensam o consentimento quando o tratamento for necessário ao cumprimento de obrigação legal ou à prevenção de fraudes. A adoção dessas bases depende, contudo, de uma análise criteriosa que respeite os direitos previstos no art. 9º da lei e leve em conta eventuais riscos à liberdade individual do titular.

A norma também exige a produção de evidências técnicas que comprovem autoria e integridade do ato, como gravações em vídeo com movimentos específicos para atestar a vitalidade do cidadão. Esse tipo de comprovação já é utilizado em plataformas públicas, como o sistema Gov.br, e reforça a confiabilidade dos serviços digitais voltados a populações mais vulneráveis, como aposentados e pensionistas.

Supervisão regulatória e proteção preventiva

A atuação da ANPD está posicionada como elemento estruturante desse processo. Com base na LGPD, a autoridade dispõe de instrumentos para acompanhar, orientar e intervir sempre que houver indícios de riscos aos direitos dos titulares. Seu Radar Tecnológico, publicado em 2024, identificou pontos críticos no uso da biometria, como a possibilidade de desvio de finalidade e os impactos da irrevogabilidade dos dados em caso de vazamento ou erro.

A previsão de relatórios de impacto, recomendações técnicas e auditoria contínua, conforme os artigos 4º, §3º, 38 e 55-J, XIII da LGPD, permite à ANPD exercer um papel de vigilância ativa. Com isso, promove-se uma cultura de responsabilização no uso de tecnologias de identificação, reduzindo assimetrias entre o Estado e o cidadão.

Tecnologia a serviço da inclusão e da cidadania

A digitalização biométrica não está imune a desafios sociais. Grupos como idosos, moradores de áreas remotas e pessoas com restrições de acesso à tecnologia podem encontrar barreiras no uso de sistemas digitais de identificação. Por essa razão, os decretos incorporaram mecanismos de inclusão, com a manutenção de alternativas técnicas e fluxos híbridos enquanto a CIN ainda não se torna universal.

Essa escolha não é apenas operacional, mas ética: o acesso a direitos não pode depender exclusivamente da adequação tecnológica do indivíduo. Ao permitir caminhos alternativos e preservar o consentimento como elemento documentado, o modelo adotado assegura protagonismo ao cidadão no processo de autenticação, tornando-o parte ativa na proteção de seus dados.

Transparência e confiabilidade como pilares da transformação

A confiança nos serviços públicos digitais exige mais do que usabilidade: depende de infraestrutura segura, processos auditáveis e transparência institucional. Os decretos exigem a geração de logs, autenticação multifatorial e confirmação humana para decisões críticas, mitigando erros e responsabilizando eventuais falhas de sistemas automatizados.

Casos anteriores, como o de uma identificação incorreta por reconhecimento facial em 2019 no estado do Rio de Janeiro, servem como referência para a construção de um modelo que privilegia a rastreabilidade e a governança técnica. Aprender com erros passados é um passo essencial para consolidar a confiança pública nas ferramentas do Estado Digital.

Os marcos normativos de 2025 mostram que a digitalização da máquina pública pode ser conduzida de forma equilibrada, aliando inovação tecnológica à responsabilidade institucional. Ao estruturar a interoperabilidade biométrica em bases legais, auditáveis e inclusivas, o país dá um passo importante rumo à consolidação de um modelo de Estado digital centrado no cidadão, tecnicamente consistente e atento aos limites da proteção de dados.

Ainda existem pontos de atenção, como o reforço da cibersegurança e o combate a eventuais distorções de acesso. Mas o caminho regulatório agora delineado oferece parâmetros claros para o desenvolvimento de soluções digitais legítimas, seguras e socialmente responsáveis.

Publicado em por

GOVERNANÇA DE IA: O QUE FALTA PARA AS EMPRESAS USAREM ESSA TECNOLOGIA COM SEGURANÇA?

A maturidade da governança de Inteligência Artificial (IA) ainda é incipiente no mundo corporativo. Segundo o estudo “State of AI Application Strategy 2025”, apenas 2% das empresas analisadas alcançaram um modelo de governança considerado pleno para o uso da IA. Outros 21% foram classificados como pouco preparados, indicando um caminho ainda longo para estruturas organizadas de uso ético, seguro e estratégico dessa tecnologia.

A implementação da LGPD trouxe consigo a figura do Encarregado de Proteção de Dados (DPO), mas isso não significou, necessariamente, o avanço automático da governança de dados nas organizações. Enquanto grandes empresas estruturam internamente suas estratégias com profissionais dedicados, o segmento de pequenas e médias empresas frequentemente recorre a serviços terceirizados de DPO, muitas vezes vinculados a empresas que também atuam com segurança da informação. Esse modelo, embora viável, limita a profundidade e abrangência das ações de governança, principalmente diante das novas exigências trazidas pela IA.

A realidade é que a IA demanda uma abordagem mais ampla e especializada. A estruturação de políticas voltadas exclusivamente aos dados estruturados já não é suficiente. As organizações precisam lidar com fluxos intensos de dados não estruturados, que não apenas alimentam sistemas baseados em IA, mas também são responsáveis por gerar novas camadas de dados. Essa dinâmica exige mecanismos de rotulagem, classificação e descoberta em larga escala, muitas vezes em tempo real, como nas soluções baseadas em RAG (retrieval-augmented generation), que permitem a implementação de políticas de governança diretamente nos fluxos entre modelos de linguagem.

Neste contexto, o papel do Chief Data Officer (CDO) ganha relevância. Esse profissional tem a missão de integrar a gestão de dados às estratégias corporativas, promovendo conselhos de governança multifuncionais e conectando os indicadores de desempenho dos negócios às métricas de conformidade e ética no uso de dados. Contudo, apenas 24% das empresas ouvidas no estudo realizam a rotulagem contínua dos dados utilizados em aplicações de IA – etapa fundamental para uma governança estruturada. As demais operam com transparência reduzida, o que implica riscos tanto de exposição indevida quanto de ataques cibernéticos.

Outro desafio apontado é a adoção da multicloud. Embora seja cada vez mais comum que empresas operem com múltiplas nuvens públicas – com média de quatro ambientes distintos – essa prática amplia a complexidade da gestão de dados e segurança. A multiplicidade de regras, modelos de cobrança e políticas de proteção em cada provedor requer não apenas ferramentas robustas, mas uma estratégia de orquestração unificada. Muitas empresas, ao mesmo tempo que migram aplicações para ambientes privados ou colocation, continuam a contratar novas soluções em nuvens públicas, o que torna a visibilidade e o controle ainda mais desafiadores.

Soluções que centralizam a gestão de segurança distribuída vêm sendo adotadas para mitigar esses riscos. A ideia é aplicar, de um ponto único, regras que se estendam a todas as nuvens envolvidas, com uso de análise comportamental, machine learning e IA. Essa abordagem permite controle granular, independentemente da infraestrutura utilizada.

No aspecto da proteção da IA em si, a segurança vai além da camada tradicional de rede. Os firewalls clássicos perdem efetividade diante da complexidade semântica dos dados manipulados por modelos de linguagem. Soluções mais modernas operam em camadas superiores, como a de aplicações e APIs, e incorporam filtros semânticos, capazes de avaliar o contexto e o conteúdo que transita entre os usuários e as IAs públicas ou privadas. Esses mecanismos são úteis tanto para controlar o que pode ser enviado a um sistema como o ChatGPT, quanto para garantir que as respostas geradas respeitem critérios de privacidade e integridade definidos pelas regras de negócio da própria empresa.

Esse tipo de proteção torna-se essencial em um momento em que as organizações utilizam massivamente IAs públicas, mesmo quando estão desenvolvendo soluções internas. O controle sobre esse fluxo de informações deve ser refinado e contextualizado, evitando que dados confidenciais sejam inadvertidamente compartilhados ou que interações com clientes e investidores violem diretrizes internas.

A governança da IA, portanto, não se resume à conformidade legal. Trata-se de uma camada estratégica de gestão de riscos, ética e performance, que exige profissionais qualificados, processos bem definidos e soluções tecnológicas adaptadas a um ambiente de dados cada vez mais complexo.

Publicado em por

PROTEÇÃO DE DADOS NO COTIDIANO: COMO EMPRESAS E ÓRGÃOS PÚBLICOS ENFRENTAM A APLICAÇÃO DA LGPD

A Lei Geral de Proteção de Dados (LGPD) completa cinco anos em vigor, mas sua efetiva implementação ainda caminha de forma desigual no Brasil, sobretudo no contexto municipal. Apesar de avanços institucionais e do aumento expressivo de decisões judiciais que citam a legislação — mais de 15 mil apenas na edição mais recente do painel nacional que acompanha o tema — a realidade prática indica que muitas empresas e órgãos públicos ainda operam em níveis variados de maturidade.

Uma das principais barreiras para a consolidação da cultura de proteção de dados é a percepção de que as sanções administrativas ainda não são plenamente aplicadas, o que gera a falsa sensação de que o cumprimento da norma pode ser postergado sem consequências imediatas. Entretanto, o aumento da judicialização e da exigência contratual por conformidade com a LGPD vêm sinalizando mudanças importantes.

Empresas de menor porte, especialmente em cidades de médio e pequeno porte, enfrentam dificuldades maiores. Muitas ainda não conseguem atender de forma plena às exigências, seja por desconhecimento técnico, seja por limitações orçamentárias. Ainda assim, a adaptação avança, sobretudo em setores mais regulados, como saúde, educação e financeiro.

No setor privado, práticas como coleta de dados sem informação clara sobre a finalidade, ausência de consentimento para envio de comunicações, e exposição indevida de informações sensíveis continuam ocorrendo. Tais práticas, além de representar risco jurídico e financeiro, impactam diretamente na reputação institucional e na confiança de clientes e colaboradores.

No setor público, as exigências legais impõem a implementação de medidas efetivas de segurança e governança. A coleta e tratamento de dados sensíveis pela administração municipal ou por órgãos vinculados requer não apenas adequações técnicas, mas também revisão de procedimentos, capacitação de servidores e controle dos fluxos internos.

Entre os riscos associados ao descumprimento da LGPD estão: perda de contratos com empresas que exigem conformidade, judicialização por parte de titulares de dados e sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Mais do que isso, há um impacto direto sobre a credibilidade da organização.

Boas práticas recomendadas incluem a revisão de contratos, registro e mapeamento dos fluxos de dados, uso de ambientes seguros, descarte adequado de documentos, anonimização de dados sempre que possível e limitação de acesso conforme o perfil do usuário. Além disso, é essencial que qualquer coleta de dados seja acompanhada de transparência e fundamentação legal.

Duas experiências relatadas ilustram caminhos distintos nesse processo. Uma empresa do setor de tecnologia, atuante no desenvolvimento de softwares de gestão, reforçou seu sistema de proteção de dados com treinamentos periódicos, limitação da coleta de informações e revisão de sistemas. O fortalecimento da cultura de segurança foi um dos pilares dessa transformação.

Por outro lado, um hospital de médio porte enfrentou desafios adicionais. Apesar dos avanços na organização de dados, nas rotinas de recepção e nas práticas de identificação de pacientes, a permanência de processos baseados em papel ainda é um obstáculo. A ausência de sistema de assinatura eletrônica validado e a obrigatoriedade legal de guarda de prontuários por mais de duas décadas exigem investimentos que ainda não foram implementados.

Mesmo com dados digitalizados, a falta de validação eletrônica impõe a impressão de documentos, prolongando a dependência do papel. O hospital, entretanto, já planeja a adoção de soluções tecnológicas até 2026, priorizando a digitalização segura e a conformidade com a LGPD.

A consolidação da proteção de dados como prática institucional passa, portanto, por uma mudança de cultura, não apenas por ajustes pontuais. Proteger informações pessoais exige mais do que adequações técnicas — demanda comprometimento, responsabilidade e compreensão da importância desse direito no ambiente organizacional.

Publicado em por

A RESPONSABILIDADE DAS FARMÁCIAS NO TRATAMENTO DE DADOS PESSOAIS E OS DIREITOS DOS CONSUMIDORES

Com a digitalização das relações de consumo, práticas antes restritas ao ambiente físico passaram a incorporar rotinas tecnológicas que, apesar de promoverem facilidades, também impõem riscos à privacidade. Hoje, uma simples ida à farmácia pode envolver o fornecimento de CPF, telefone e dados sobre a saúde do consumidor, muitas vezes sem a devida clareza sobre a forma e a finalidade desse uso.

Essa realidade impõe uma obrigação ainda maior às farmácias e drogarias no que se refere à conformidade com as normas de proteção de dados e de defesa do consumidor. Quando se trata da coleta de dados pessoais para aplicação de descontos ou cadastro em programas de benefícios, é imprescindível que as informações sejam prestadas de maneira clara, objetiva e acessível, permitindo ao consumidor uma escolha consciente e livre.

A Lei Geral de Proteção de Dados Pessoais, ao estabelecer fundamentos como a autodeterminação informativa, o respeito à privacidade e a transparência, exige que qualquer tratamento de dados pessoais esteja devidamente amparado por uma base legal. O consentimento, nesses casos, não pode ser presumido ou obtido por imposição disfarçada, tampouco condicionado ao fornecimento de um benefício cujo valor real não é previamente conhecido.

É comum que consumidores sejam levados a fornecer seu CPF em troca de supostos descontos que, ao final, não se concretizam de forma mensurável. Sem a apresentação clara do preço cheio e do valor efetivamente abatido, o que se configura é uma prática potencialmente enganosa, em afronta tanto ao Código de Defesa do Consumidor quanto à LGPD. A ausência de transparência nesses casos compromete a confiança na relação comercial e viola o direito do consumidor à informação adequada.

Adicionalmente, o fornecimento de dados pessoais como pré-requisito para consultar preços ou realizar compras sem que haja justificativa clara e base legal apropriada pode ser considerado abusivo. A prática fere princípios legais e éticos e representa um desrespeito à autonomia do consumidor, que deve poder avaliar as condições de compra antes de decidir compartilhar qualquer dado pessoal.

Outro aspecto que demanda atenção é a forma como as informações sobre a proteção de dados são disponibilizadas aos consumidores. A veiculação dessas informações por meio de QR Codes, que direcionam a textos extensos e de difícil compreensão, não cumpre a exigência legal de comunicação clara, ostensiva e acessível. A linguagem técnica ou excessivamente jurídica, além de inadequada para o público em geral, afasta o consumidor de seu direito à informação.

É dever do estabelecimento apresentar essas informações nos próprios espaços físicos da loja, de forma visível e compreensível. As políticas de privacidade precisam estar ao alcance do consumidor no momento da coleta de dados, e não apenas mediante redirecionamento para documentos digitais que não explicam de modo claro o que está sendo feito com as informações coletadas.

A legislação prevê, ainda, que o titular de dados pessoais pode peticionar diretamente aos responsáveis pelo tratamento ou acionar os órgãos de defesa do consumidor para garantir seus direitos. Isso demonstra que a proteção de dados não se limita à esfera administrativa da ANPD, mas também integra o campo das relações de consumo, sendo passível de fiscalização por Procons e outros entes públicos.

É nesse sentido que iniciativas locais, como normas emitidas por secretarias municipais, ganham relevância. A recente resolução conjunta publicada por dois órgãos da administração municipal de uma capital brasileira traz orientações específicas voltadas às farmácias, promovendo diretrizes claras sobre como o tratamento de dados deve ser realizado com respeito aos princípios legais. A norma estabelece, entre outras medidas, que não se pode condicionar o fornecimento de dados pessoais à consulta de preços, que a informação sobre o tratamento de dados deve ser prestada de forma acessível, e que a concessão de descontos precisa ser efetiva e transparente.

Importa destacar que essas exigências não impedem a coleta legítima de dados para programas de fidelidade, cadastro em clubes de benefícios ou aquisição de medicamentos controlados. O que se busca é assegurar que o consumidor tenha acesso à informação sobre as condições de uso dos dados antes de fornecê-los, podendo optar por aderir ou não a determinada proposta de forma consciente.

O prazo de adequação previsto na norma demonstra que a intenção não é punir o setor, mas sim promover uma transição orientada para o cumprimento da legislação. A medida confere tempo hábil às farmácias para reverem suas práticas, treinarem suas equipes e ajustarem sistemas, de modo a garantir uma experiência de compra que respeite os direitos do consumidor e do titular de dados pessoais.

Portanto, ao assumir uma posição ativa na regulamentação local do tratamento de dados pessoais, o poder público reforça a importância da ética e da responsabilidade nas relações de consumo. A proteção dos dados é, antes de tudo, uma proteção à dignidade do cidadão, e deve ser encarada com seriedade por todos os agentes envolvidos no comércio varejista, especialmente na área da saúde. Trata-se de um caminho necessário para assegurar transparência, segurança e confiança nas relações entre empresas e consumidores.

Publicado em por

LGPD COMPLETA SETE ANOS: UM MARCO LEGAL AINDA EM CONSTRUÇÃO DIANTE DOS RISCOS DIGITAIS NO BRASIL

Completando sete anos desde sua sanção, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) representa uma das iniciativas mais relevantes no campo dos direitos fundamentais no Brasil contemporâneo. Inspirada em modelos internacionais, como o regulamento europeu, a LGPD foi concebida para garantir transparência, privacidade e segurança no tratamento de dados pessoais. No entanto, a realidade brasileira evidencia a persistência de desafios substanciais para sua consolidação como instrumento eficaz de proteção.

Entre os principais entraves está a frequência com que dados pessoais vêm sendo expostos. De janeiro a julho de 2024, o número de vazamentos registrados por órgãos federais superou o acumulado dos três anos anteriores. O volume impressiona e revela um ambiente onde estruturas públicas e privadas ainda operam com fragilidades técnicas e gerenciais graves. No mesmo período, registros de fraudes eletrônicas demonstram que o cidadão segue desprotegido diante de esquemas cada vez mais sofisticados de engenharia social.

Os dados, no entanto, não se limitam a números frios. Eles expressam o cotidiano de milhões de pessoas que veem suas informações trafegarem sem consentimento, muitas vezes sem saber como ou por quem estão sendo utilizadas. Isso reforça a necessidade de que a aplicação da LGPD ultrapasse o campo normativo e alcance efetividade prática, o que pressupõe uma atuação mais estruturada do órgão regulador e um compromisso político com a proteção de dados como direito fundamental.

Outro ponto que merece atenção é o avanço das tecnologias de vigilância em espaços públicos, especialmente aquelas baseadas em reconhecimento facial. A ausência de regulamentação específica para o uso dessas ferramentas, associada à baixa transparência sobre seus critérios de funcionamento, tem gerado preocupação. Há evidências de que determinados grupos populacionais são impactados de forma desproporcional por essas tecnologias, o que exige não apenas controle técnico, mas também reflexões éticas e sociais mais profundas.

Ao mesmo tempo, tramitam no Congresso propostas legislativas que visam disciplinar o uso de dados em investigações criminais. Uma delas, de ampla repercussão, abre a possibilidade de acesso a bases privadas sem salvaguardas mínimas de proteção, o que suscita dúvidas sobre sua compatibilidade com princípios constitucionais. A ausência de debate público qualificado sobre esses projetos também indica uma lacuna preocupante entre o avanço tecnológico e a deliberação democrática.

Apesar das dificuldades, é possível identificar esforços importantes. A publicação de resoluções normativas pela autoridade nacional, exigindo a comunicação de incidentes em prazo definido, fortalece a cultura de responsabilidade. Estudos técnicos sobre biometria, inteligência artificial e proteção de dados de crianças e adolescentes apontam para uma agenda regulatória que se alinha a práticas internacionais. Ao mesmo tempo, iniciativas de organizações sociais contribuem para ampliar o debate e fomentar a educação digital.

Mas os progressos institucionais só se sustentam quando acompanhados pela participação ativa da sociedade. O domínio técnico da lei precisa ser traduzido em consciência popular. O Brasil exige não apenas normas, mas também uma cultura de proteção de dados que permita ao cidadão exercer seu direito à privacidade de forma plena, segura e informada.

Ao completar sete anos, a LGPD exige mais do que celebração. Requer vigilância crítica, investimento em estruturas de fiscalização, compromisso público com os direitos informacionais e, sobretudo, educação digital como política de Estado. O respeito aos dados pessoais é uma extensão da dignidade humana, e o caminho para sua efetiva proteção ainda está em construção.

Publicado em por

SEUS DADOS FORAM EXPOSTOS? SAIBA COMO REAGIR E PROTEGER SEUS DIREITOS

No início de julho, uma falha grave em uma empresa responsável por conectar instituições financeiras ao sistema Pix resultou em um ataque cibernético que desviou cerca de R$ 1 bilhão. O incidente comprometeu contas de liquidação junto ao Banco Central, revelando fragilidades técnicas significativas na base que sustenta o sistema de pagamentos brasileiro.

Apesar de o ataque ter se concentrado em contas operacionais entre instituições, os efeitos podem ultrapassar os limites técnicos. Falhas dessa natureza, se não forem devidamente contidas e comunicadas, geram instabilidade nos serviços, interrupções em operações financeiras e, sobretudo, riscos de exposição de dados que, utilizados de forma indevida, podem resultar em fraudes ao consumidor final.

A legislação brasileira é clara ao estabelecer a responsabilidade das empresas que tratam dados pessoais. A Lei Geral de Proteção de Dados (LGPD) determina que, havendo qualquer incidente de segurança, o controlador deve informar a Autoridade Nacional de Proteção de Dados (ANPD) sem demora. Dependendo da gravidade, também deve ser feita uma comunicação pública, de forma ampla e transparente, com medidas efetivas para contenção e mitigação dos danos.

Além disso, o titular dos dados tem o direito de saber como suas informações foram utilizadas e se houve falha na proteção. Pode, inclusive, solicitar esclarecimentos sobre o incidente, requerer cópia dos dados tratados e pedir revisão de decisões automatizadas com base nesses dados.

Ainda que o Poder Judiciário reconheça a gravidade dos vazamentos, o entendimento atual do Superior Tribunal de Justiça exige a comprovação de dano concreto para eventual indenização. Ou seja, não basta que os dados tenham sido expostos: é necessário demonstrar que houve prejuízo material ou moral diretamente relacionado ao incidente.

Caso o titular identifique que seus dados foram usados de forma indevida, ele pode exigir explicações da empresa, protocolar reclamação junto à ANPD e, se for o caso, recorrer ao Judiciário.

Mesmo que o impacto direto aos clientes ainda não tenha sido constatado, a obrigação de informar e agir com diligência permanece. Empresas e instituições financeiras devem reforçar seus protocolos de segurança, revisar suas práticas e manter vigilância constante. A confiança do cidadão depende não apenas da eficácia dos sistemas tecnológicos, mas da postura ética e preventiva de quem os opera. Quando esse compromisso falha, é sempre o consumidor que arca com as consequências.

Publicado em por

PERSPECTIVAS E DESAFIOS DA CIBERSEGURANÇA NO BRASIL: ENTRE A TRANSFORMAÇÃO DIGITAL E A NECESSIDADE DE COORDENAÇÃO NACIONAL

A transformação digital permeia hoje todas as dimensões da vida em sociedade. A consolidação do uso de tecnologias da informação e comunicação como base para interações pessoais, econômicas e institucionais não apenas moldou novos modos de viver, mas também tornou visível a urgência da proteção desse ambiente. Se a digitalização tornou-se um vetor de desenvolvimento, a segurança desse meio se impõe como requisito fundamental para sua continuidade.

A confiança nas tecnologias depende diretamente da sua segurança. Sistemas instáveis, sujeitos a invasões, fraudes e paralisações, comprometem desde o acesso a serviços públicos até o funcionamento de infraestruturas essenciais, o que torna indispensável o fortalecimento das políticas de cibersegurança. Ao longo das duas últimas décadas, diversas iniciativas foram estruturadas para responder a esse desafio, incluindo estratégias nacionais, políticas públicas e mecanismos de coordenação interinstitucional.

Dentre os avanços mais relevantes, destacam-se a formulação da política nacional de cibersegurança e a criação de um comitê responsável por sua implementação. Esse comitê é composto por representantes do poder público, da sociedade civil organizada, da academia e do setor privado, o que demonstra a tentativa de consolidar uma abordagem multissetorial para o tema. A partir de sua instalação, grupos técnicos passaram a atuar em diferentes frentes, como a revisão de estratégias, a proposição de estruturas institucionais e a atuação internacional do país.

Há, contudo, um ponto de inflexão importante. Embora o arcabouço normativo tenha evoluído, a ausência de um marco legal aprovado pelo Parlamento e de uma entidade com autoridade legal para coordenar e executar as políticas públicas limita a eficácia das ações. A fragmentação entre diferentes órgãos e esferas da administração dificulta a articulação e a execução de medidas integradas. A proteção de ativos digitais não pode mais depender apenas de estratégias esparsas ou respostas reativas.

A proposta de criação de uma entidade própria para tratar da governança da cibersegurança no Brasil encontra eco em diferentes setores. Modelos de autarquia especializada ou agência reguladora têm sido debatidos com maior intensidade, com base na compreensão de que a proteção do espaço digital exige competências específicas, capacidade técnica e autonomia decisória. As diferentes propostas formuladas já foram encaminhadas para avaliação e, à medida que se avança nesse debate, aumenta-se também a responsabilidade dos Poderes Executivo e Legislativo em estruturar essa política de forma duradoura.

Um país com a dimensão do Brasil e sua complexidade federativa não pode depender apenas de medidas infralegais para enfrentar riscos cibernéticos. A resiliência digital precisa ser tratada como uma política de Estado, com articulação entre os entes federativos, mecanismos permanentes de governança e instrumentos legais que promovam direitos, obrigações e parâmetros técnicos claros.

A realidade internacional reforça a urgência do tema. Casos recentes em outros países mostraram o impacto econômico profundo de ataques cibernéticos. Estima-se que as perdas globais causadas por incidentes digitais ultrapassam trilhões de dólares por ano, e alguns governos já apontaram perdas bilionárias associadas à falta de prevenção e resposta eficiente. A ausência de uma estrutura nacional de cibersegurança pode representar não apenas risco operacional, mas também ameaça à estabilidade econômica e à confiança da população.

No âmbito legislativo, a criação de uma frente parlamentar dedicada à cibersegurança e à defesa digital demonstra que há espaço para avanços institucionais. Essa convergência de esforços entre o Poder Executivo e o Parlamento abre uma oportunidade rara para consolidar um modelo funcional, estável e adaptado à realidade brasileira. A experiência recente demonstra que ações fragmentadas e reativas não têm sido suficientes. É necessário, portanto, um novo patamar de atuação.

A construção de uma política nacional de cibersegurança eficiente requer, além de coordenação institucional, investimentos contínuos em capacitação, educação digital e conscientização pública. A criação de materiais educativos, guias técnicos para setores estratégicos e centros de compartilhamento de informações são passos relevantes nesse caminho, mas ainda dependem de uma estrutura normativa sólida que sustente essas iniciativas a longo prazo.

Tratar a cibersegurança como um componente essencial da vida moderna é mais do que uma escolha política. É uma necessidade jurídica, econômica e social. O momento atual exige coragem institucional e compromisso intersetorial para transformar diretrizes em estruturas permanentes, com base legal robusta e gestão eficiente. O Brasil tem a oportunidade de avançar nesse campo, desenvolvendo uma política própria, voltada à sua realidade e capaz de proteger seu ecossistema digital de forma abrangente e eficaz.

Publicado em por

STARTUPS NA MIRA DOS CIBERCRIMES: COMO EMPRESAS ENXUTAS PODEM SE BLINDAR JURIDICAMENTE E TECNICAMENTE

O Brasil está entre os países mais afetados por ataques cibernéticos no mundo. Entre agosto de 2023 e julho de 2024, foram mais de 700 milhões de tentativas de invasão, o que equivale a quase 1.400 ataques por minuto. Além da frequência assustadora, o impacto financeiro também chama atenção: o custo médio de uma violação de dados no país já ultrapassa R$ 6 milhões, segundo estudos especializados.

Apesar disso, muitas startups e pequenas empresas ainda tratam a segurança digital como uma preocupação secundária — uma escolha que pode custar caro. Investir na proteção de dados e no fortalecimento jurídico das operações é uma medida que pode significar a continuidade ou o fim de um negócio.

O engano da falsa sensação de anonimato

Pequenas estruturas não passam despercebidas pelos cibercriminosos. Pelo contrário: empresas em fase de crescimento são alvos frequentes por apresentarem menor maturidade técnica e jurídica. Com rotinas aceleradas e foco total na expansão, essas organizações acabam deixando brechas que facilitam invasões.

Além disso, muitas vezes integram redes de relacionamento com empresas maiores, funcionando como porta de entrada para ataques indiretos a parceiros e fornecedores de maior porte.

As armadilhas mais comuns

Empresas de menor porte estão especialmente expostas a golpes como:

  • Phishing, com envio de mensagens fraudulentas que induzem colaboradores a revelar senhas ou clicar em links perigosos;
  • Ransomware, um tipo de sequestro de dados com cobrança de resgate;
  • Invasão de servidores e vazamento de dados de clientes;
  • Ataques de negação de serviço (DDoS), que derrubam sites e sistemas;
  • Furto de propriedade intelectual, como códigos, algoritmos e ideias estratégicas.

Não bastasse isso, ainda há riscos internos, como fraudes praticadas por funcionários, espionagem empresarial e destruição da reputação digital por meio de avaliações falsas em plataformas de busca e redes sociais.

Impactos legais e comerciais

Uma empresa atingida por incidente de segurança pode ter que lidar com processos judiciais, sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD), e queda brusca na confiança de investidores e consumidores. A LGPD prevê multas de até R$ 50 milhões por infração, além da possibilidade de responsabilização civil e penal.

Boas práticas que funcionam

É possível adotar estratégias eficazes sem grandes investimentos. Abaixo, cinco práticas essenciais para estruturar uma base de proteção jurídica e digital:

  1. Formalize e aplique normas internas de segurança
    Estabeleça regras claras para o uso de sistemas, acesso a informações e comportamentos esperados desde o primeiro dia do colaborador. Um documento bem elaborado é útil apenas se for vivido no cotidiano da empresa.
  2. Utilize autenticação multifator (2FA)
    Essa medida simples impede que o acesso a sistemas seja feito apenas com senha, exigindo uma segunda confirmação e reduzindo drasticamente o risco de invasões.
  3. Faça backups regulares e seguros
    Armazene cópias dos dados em locais protegidos, de preferência fora do ambiente principal da empresa. Criptografia e acesso restrito são indispensáveis.
  4. Capacite o time de forma contínua
    A maioria das falhas decorre de erros humanos. Por isso, mantenha a equipe sempre atualizada quanto a práticas seguras, como a identificação de mensagens suspeitas e o uso de senhas fortes.
  5. Fiscalize contratos com parceiros de tecnologia
    Não adianta proteger a própria casa se o fornecedor deixar a porta aberta. É necessário revisar cláusulas, cobrar conformidade com a LGPD e exigir medidas de segurança compatíveis.

Pequenas empresas não precisam de grandes estruturas para se proteger. Precisam, sim, de organização, consciência jurídica e responsabilidade com os dados que tratam. Afinal, no mundo digital, negligência custa caro — e conhecimento continua sendo o melhor escudo.

Publicado em por

BOLETOS FALSOS E A IMPORTÂNCIA DA PROTEÇÃO DE DADOS NA PREVENÇÃO DE FRAUDES EMPRESARIAIS

Empresas de todos os setores vêm enfrentando desafios significativos relacionados à segurança financeira, especialmente diante da alta incidência de fraudes associadas a boletos falsos. Dados apontam que milhões de tentativas ocorrem anualmente, gerando impactos bilionários. Quando negligenciam a proteção da informação, as organizações não apenas se expõem a prejuízos diretos, como também comprometem sua credibilidade perante clientes, parceiros e o mercado.

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (LGPD) deixa de ser apenas um instrumento regulatório para assumir papel estratégico na mitigação de riscos. A correta aplicação dos princípios da LGPD fortalece os controles internos e contribui para a criação de ambientes digitais mais confiáveis e resilientes.

A cadeia de segurança da informação tem como ponto mais sensível o fator humano. Colaboradores, consumidores e prestadores de serviço, quando mal orientados ou sem capacitação adequada, podem inadvertidamente abrir portas para golpes sofisticados. Treinamentos contínuos, políticas de segurança bem definidas e práticas de governança digital tornam-se, portanto, indispensáveis para prevenir incidentes relacionados ao uso indevido de dados.

Conformidade com a LGPD como diferencial empresarial

Além de atender a exigências legais, a conformidade com a legislação de proteção de dados proporciona benefícios reputacionais e operacionais. Empresas que demonstram responsabilidade com a privacidade das informações conquistam maior confiança do consumidor e reduzem a exposição a litígios judiciais. Transparência, consistência e rastreabilidade nos processos são aspectos valorizados por parceiros comerciais e pelo próprio mercado.

A prevenção de fraudes exige mais do que ferramentas tecnológicas. É necessário um compromisso organizacional com processos seguros, monitoramento contínuo e governança orientada pela proteção da informação. A adoção das diretrizes da LGPD deve ser compreendida como parte integrante da estratégia empresarial, sendo a segurança dos dados tão relevante quanto qualquer outro ativo de valor.

A cultura de proteção de dados não apenas fortalece o ecossistema digital da organização, como também projeta um posicionamento ético e responsável frente às transformações regulatórias e tecnológicas da sociedade atual.