Arquivos Vazamento de dados - Página 4 de 8

Publicado em março 18, 2025março 18, 2025 por securitylgpd

CUIDADO AO DESCARTAR DOCUMENTOS! VOCÊ PODE ESTAR VAZANDO DADOS SEM PERCEBER

No dia a dia, muitas empresas e profissionais lidam com uma quantidade imensa de documentos, muitos contendo informações pessoais e dados sensíveis. O problema surge quando esses papéis são descartados de maneira inadequada, indo parar no lixo comum sem qualquer cuidado. Um contrato rasgado ao meio, um formulário esquecido na impressora ou até mesmo uma anotação jogada no cesto podem se tornar verdadeiras minas de ouro para fraudadores e golpistas.

A Lei Geral de Proteção de Dados (LGPD) estabelece regras claras sobre o tratamento e a segurança das informações pessoais, e isso inclui o descarte. O artigo 6º da legislação traz princípios como a necessidade e a prevenção, deixando claro que dados devem ser mantidos apenas pelo tempo necessário e descartados de forma segura quando não forem mais úteis. O que significa, na prática, que simplesmente jogar um papel no lixo sem qualquer proteção pode ser interpretado como um vazamento de dados e gerar sanções.

As empresas devem adotar medidas para evitar esse tipo de risco. Um dos métodos mais eficazes é a fragmentação de documentos, seja por meio de trituradores de papel, seja com serviços especializados em descarte seguro. Além disso, a digitalização e a adoção de repositórios eletrônicos seguros ajudam a reduzir a dependência de documentos físicos, minimizando as chances de exposição indevida.

Muitos casos de vazamento de informações começam justamente com descuidos no descarte. O lixo corporativo pode ser um alvo fácil para aqueles que buscam dados para fraudes, clonagem de identidade ou até espionagem empresarial. Em tempos de intensa fiscalização sobre o uso e a proteção de informações, ignorar esse risco pode resultar em multas, processos e danos à reputação da empresa.

Portanto, antes de se desfazer de qualquer papel, reflita sobre o que ele contém e adote práticas seguras de descarte. Afinal, uma folha esquecida no lixo pode carregar muito mais do que palavras: pode ser a chave para um problema que nenhum gestor gostaria de enfrentar.

Publicado em março 11, 2025março 11, 2025 por securitylgpd

EMPRESAS QUE COMPARTILHAM DADOS SEM CONTRATO: A IMPORTÂNCIA DOS CONTRATOS DE PROTEÇÃO DE DADOS COM FORNECEDORES

A proteção de dados se tornou uma preocupação central para empresas que lidam com informações sensíveis de clientes, colaboradores e parceiros. A Lei Geral de Proteção de Dados Pessoais (LGPD) impõe responsabilidades claras sobre o tratamento dessas informações, exigindo que as organizações adotem medidas para garantir a segurança e a conformidade legal.

Apesar disso, muitas empresas ainda compartilham dados pessoais com fornecedores sem um contrato que estabeleça regras claras sobre o tratamento dessas informações. Essa prática representa um risco significativo, tanto do ponto de vista jurídico quanto da segurança da informação. Sem um contrato adequado, a empresa não tem garantias de que o fornecedor adotará medidas de proteção compatíveis com a legislação, podendo ser responsabilizada por incidentes de vazamento ou uso indevido dos dados.

Os contratos de proteção de dados com fornecedores estabelecem limites e responsabilidades para ambas as partes, assegurando que o compartilhamento ocorra dentro das normas legais. Esse tipo de documento deve definir as finalidades do tratamento de dados, as obrigações de sigilo, as medidas de segurança a serem adotadas e as penalidades em caso de descumprimento. Além disso, ao formalizar esses compromissos, a empresa demonstra diligência na proteção das informações, minimizando riscos de sanções e danos à sua reputação.

A ausência de um contrato também pode gerar insegurança operacional. Em caso de litígios ou investigações por órgãos reguladores, a empresa precisará comprovar que tomou todas as precauções necessárias para evitar irregularidades. Sem um instrumento formal, essa defesa se torna mais difícil, podendo resultar em multas e restrições que impactam diretamente o negócio.

Adotar contratos específicos para o compartilhamento de dados não é apenas uma exigência legal, mas uma forma de garantir transparência e previsibilidade nas relações comerciais. Empresas que estruturam corretamente seus acordos evitam problemas futuros e demonstram compromisso com a proteção das informações, preservando a confiança dos clientes e parceiros.

Publicado em fevereiro 26, 2025fevereiro 26, 2025 por securitylgpd

PROTEÇÃO DE DADOS SEM ENCARREGADO: POR QUE SUA EMPRESA PRECISA DE UM DPO?

A ausência de um Encarregado de Dados (DPO) em uma empresa não é apenas uma questão de descumprimento legal, mas um risco real e significativo para a segurança da informação e a reputação do negócio. Empresas que não contam com um profissional dedicado à proteção de dados ficam mais expostas a vazamentos, ataques cibernéticos e uso indevido de informações sensíveis.

Sem um DPO, a organização perde o controle sobre quem acessa os dados, abrindo espaço para falhas humanas e práticas inadequadas que podem resultar em incidentes de segurança. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) pode iniciar investigações, o que pode levar a sanções, multas e restrições operacionais. O impacto financeiro e reputacional de um problema dessa natureza pode ser severo, afastando clientes, fornecedores e parceiros de negócios.

Outro fator preocupante é a dificuldade em comprovar a adoção de boas práticas de proteção de dados. Empresas que lidam com informações sensíveis podem ver contratos suspensos ou perder oportunidades de negócio por não atenderem às exigências da LGPD. A falta de um DPO deixa a empresa vulnerável a disputas judiciais, rescisões contratuais e desconfiança do mercado.

Ter um DPO preparado vai muito além de uma obrigação imposta pela legislação. Trata-se de uma medida essencial para garantir a segurança, a conformidade e a competitividade no mercado. Ignorar essa necessidade pode significar não apenas enfrentar sanções regulatórias, mas também comprometer a credibilidade e a sustentabilidade do negócio.

Publicado em fevereiro 25, 2025fevereiro 25, 2025 por securitylgpd

COMO GARANTIR SEGURANÇA E CONFORMIDADE NA GESTÃO DE DADOS?

5 PRINCÍPIOS PARA EVITAR RISCOS E PROTEGER A PRIVACIDADE

A coleta e o tratamento de dados pessoais exigem cuidados específicos para garantir conformidade com a legislação e proteger a privacidade dos titulares. Empresas que lidam com informações sensíveis precisam adotar práticas responsáveis para evitar riscos jurídicos e fortalecer a confiança de seus clientes. Confira cinco diretrizes fundamentais para uma gestão de dados segura e ética:

Finalidade Específica
Toda coleta de dados deve estar atrelada a um propósito legítimo e bem definido. Informações devem ser solicitadas apenas quando há um motivo claro e informado ao titular. Exemplo: não é recomendável solicitar CPF ou endereço se a única necessidade for um e-mail para contato.

Base Legal para o Tratamento
Antes de processar qualquer dado, é essencial garantir que a operação esteja amparada por uma base legal adequada. O consentimento pode ser uma opção, mas deve ser livre, informado e específico. Além disso, outras hipóteses legais previstas na LGPD podem justificar o tratamento, como cumprimento de obrigação legal ou execução de contrato.

Minimização de Dados
O princípio da minimização determina que apenas os dados estritamente necessários sejam coletados. Exigir informações excessivas pode representar não apenas um risco jurídico, mas também um entrave à experiência do usuário.

Segurança no Tratamento
A proteção das informações deve ser garantida por meio de medidas técnicas e administrativas, reduzindo vulnerabilidades e prevenindo acessos não autorizados. Investir em segurança cibernética e treinar colaboradores são práticas indispensáveis para evitar incidentes de vazamento.

Transparência com o Titular
Os titulares dos dados têm direito de saber como suas informações são tratadas, com quem serão compartilhadas e quais são os seus direitos. Disponibilizar políticas de privacidade claras e acessíveis fortalece a confiança e demonstra compromisso com a proteção de dados.

Empresas que seguem essas diretrizes não apenas evitam penalidades, mas também demonstram responsabilidade e compromisso com a privacidade, um diferencial competitivo cada vez mais valorizado no mercado.

Publicado em fevereiro 24, 2025fevereiro 24, 2025 por securitylgpd

COMO PREPARAR SEUS COLABORADORES PARA A PROTEÇÃO DE DADOS

A conformidade com a LGPD (Lei Geral de Proteção de Dados) vai além da implementação de políticas internas. É essencial que os colaboradores estejam preparados para lidar com dados de maneira segura e responsável. Para isso, investir em treinamentos direcionados a diferentes áreas da empresa é uma estratégia fundamental. A seguir, apresentamos cinco formações que contribuem para a construção de uma cultura organizacional voltada à proteção de dados.

1 – Sensibilização dos Colaboradores sobre Proteção de Dados

Todos os funcionários desempenham um papel fundamental na segurança da informação. Este treinamento ensina os conceitos básicos da LGPD, a importância do cumprimento da lei e práticas seguras no ambiente de trabalho. São abordados temas como uso correto de e-mails, proteção de documentos físicos e digitais e procedimentos para evitar incidentes de segurança.

2 – Capacitação de Encarregados de Dados (DPO)

O Data Protection Officer (DPO) é responsável por garantir que a empresa esteja em conformidade com as normas de proteção de dados. Esse treinamento capacita profissionais para atuar na função, abordando aspectos jurídicos, técnicos e operacionais da LGPD. Além disso, orienta sobre a gestão de incidentes e a comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).

3 – Treinamento para Marketing e Vendas

As áreas de marketing e vendas lidam diretamente com dados de clientes, o que exige conhecimento sobre as regras da LGPD. Este módulo ensina como coletar, armazenar e tratar essas informações de maneira ética e legal. São abordadas diretrizes para campanhas digitais, consentimento do titular dos dados e políticas de privacidade, garantindo que as estratégias da empresa estejam alinhadas às exigências regulatórias.

4 – Gestão de Incidentes e Resposta a Vazamentos

Vazamentos de dados podem gerar grandes prejuízos financeiros e afetar a reputação da empresa. Esse treinamento capacita equipes de TI, segurança da informação e gestão de riscos para identificar e mitigar incidentes com agilidade. Além disso, são apresentados protocolos de comunicação com a ANPD e medidas para minimizar impactos operacionais e jurídicos.

5 – Boas Práticas para Recursos Humanos

O setor de Recursos Humanos é responsável pelo tratamento de uma grande quantidade de dados pessoais e sensíveis. Esse treinamento orienta sobre a proteção dessas informações desde o recrutamento até o desligamento do colaborador. São abordadas diretrizes sobre confidencialidade em processos seletivos, armazenamento seguro de documentos e descarte adequado de informações.

A importância da capacitação

Empresas que investem em treinamentos estruturados sobre proteção de dados não apenas reduzem riscos de incidentes, mas também demonstram compromisso com a privacidade e a transparência. Além de cumprir exigências legais, essa iniciativa fortalece a credibilidade da organização e contribui para um ambiente corporativo mais seguro e responsável.

Publicado em fevereiro 13, 2025fevereiro 13, 2025 por securitylgpd

WHATSAPP BUSINESS E SEGURANÇA: COMO PROTEGER DADOS SENSÍVEIS NO ATENDIMENTO AO CLIENTE

O WhatsApp Business tornou-se uma ferramenta indispensável para muitas empresas que buscam agilidade no atendimento ao cliente e eficiência na comunicação interna. Sua interface familiar e a facilidade de integração com outras ferramentas de gestão atraíram empresas de diversos setores. No entanto, apesar das vantagens, o uso dessa plataforma sem a devida atenção à segurança pode expor informações sensíveis e gerar riscos significativos para o negócio.

A troca de mensagens no WhatsApp muitas vezes envolve dados pessoais de clientes, negociações comerciais e informações estratégicas. Quando não há uma política clara de uso, o risco de vazamentos, golpes e acessos não autorizados cresce exponencialmente. Um ponto crítico é a prática comum de compartilhar dispositivos ou utilizar o WhatsApp Web em computadores públicos ou desprotegidos. Essa ação, aparentemente inofensiva, pode facilitar o acesso de terceiros a conversas e arquivos sensíveis.

Criminosos têm se especializado em golpes que envolvem o roubo de contas empresariais. A técnica mais comum é a engenharia social, onde o atacante, se passando por um funcionário do suporte técnico, solicita o código de verificação enviado por SMS. Com esse dado, o invasor assume a conta e passa a se comunicar com clientes, aplicando golpes que comprometem a credibilidade da empresa.

Para mitigar esses riscos, é fundamental implementar algumas práticas de segurança. Primeiramente, a autenticação em duas etapas deve ser ativada em todas as contas empresariais. Esse recurso adiciona uma camada extra de proteção, exigindo um PIN além do código de verificação. Além disso, a empresa deve estabelecer regras claras sobre o uso da ferramenta, orientando colaboradores a evitar o compartilhamento de informações críticas via WhatsApp.

Outra medida importante é a utilização de soluções de comunicação corporativa que oferecem mais controle sobre o fluxo de dados, como aplicativos de mensagens com criptografia ponta a ponta e recursos de gerenciamento centralizado. Ferramentas como o WhatsApp Business API, quando integradas a plataformas de atendimento, permitem um controle mais eficaz das interações, registrando conversas de maneira segura e garantindo a conformidade com a LGPD.

Por fim, investir na capacitação contínua dos colaboradores é indispensável. A segurança da informação depende, em grande parte, da conscientização sobre os riscos e boas práticas no uso das ferramentas digitais. A comunicação é essencial para o sucesso de qualquer empresa, mas deve sempre andar lado a lado com a proteção de dados e a responsabilidade no manejo das informações.

Publicado em fevereiro 13, 2025fevereiro 13, 2025 por securitylgpd

LGPD NO SETOR DA SAÚDE: COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES DE PACIENTES

Desafios e necessidade de adequação

A proteção de dados no setor da saúde tornou-se uma preocupação central para clínicas, hospitais, laboratórios e demais estabelecimentos que lidam diariamente com informações sensíveis de pacientes. A Lei Geral de Proteção de Dados (LGPD) impôs uma nova dinâmica a essas instituições, que agora precisam adotar medidas rigorosas para garantir a segurança, a privacidade e a integridade dos dados que coletam e armazenam.

A legislação classifica dados de saúde como sensíveis, exigindo tratamento diferenciado e um nível maior de proteção. Isso implica a necessidade de medidas técnicas e organizacionais para evitar acessos indevidos, vazamentos e o uso indevido das informações. Apesar da crescente digitalização dos serviços de saúde, muitos estabelecimentos ainda não implementaram políticas adequadas de segurança, expondo-se a riscos legais e reputacionais.

A utilização de sistemas de gestão hospitalar, prontuários eletrônicos e plataformas de telemedicina, por exemplo, exige um controle rigoroso de acesso, garantindo que apenas profissionais devidamente autorizados possam visualizar determinadas informações. A ausência desse controle pode acarretar sanções da Autoridade Nacional de Proteção de Dados (ANPD), além de ações judiciais movidas por pacientes que tenham seus dados expostos indevidamente.

Outra prática recorrente no setor da saúde e que demanda atenção é o compartilhamento de dados entre diferentes instituições, como hospitais e laboratórios. De acordo com a LGPD, esse compartilhamento deve ser feito mediante consentimento do paciente ou por justificativa legal adequada. A informalidade com que muitas dessas informações transitam, seja por meio de e-mails não protegidos, aplicativos de mensagens ou outros meios sem qualquer criptografia, representa uma vulnerabilidade que pode comprometer a segurança dos dados.

Além das questões legais e tecnológicas, há também um fator humano essencial na proteção de dados na saúde. Profissionais que lidam com informações de pacientes devem ser constantemente treinados para compreender as diretrizes da LGPD e evitar condutas que possam levar a incidentes de segurança. Muitas violações ocorrem não por falha dos sistemas, mas por descuidos operacionais, como o acesso indevido a prontuários ou o armazenamento inadequado de informações sensíveis.

A adequação à LGPD no setor da saúde não deve ser vista apenas como um requisito legal, mas como um compromisso com a segurança do paciente e com a ética profissional. Investir em medidas de proteção de dados reduz a exposição da instituição a riscos jurídicos e preserva a confiança do público nos serviços prestados. A implementação de boas práticas, como a revisão periódica dos processos internos, a adoção de tecnologias seguras e a capacitação contínua dos profissionais, é essencial para garantir a conformidade e evitar problemas futuros.

Diante das recentes movimentações da ANPD e do aumento de casos de incidentes envolvendo dados de saúde, a necessidade de adequação se torna cada vez mais urgente. Empresas que negligenciam a proteção dessas informações não apenas correm o risco de sofrer sanções, mas também de comprometer a credibilidade e a continuidade de suas operações. É fundamental que gestores da área da saúde compreendam a importância da proteção de dados e busquem soluções efetivas para garantir a conformidade com a legislação vigente.

Publicado em janeiro 29, 2025janeiro 29, 2025 por securitylgpd

EXEMPLOS DE PHISHING COMUNS EM EMPRESAS

Você recebe um e-mail do setor de TI informando que sua senha expirou e precisa ser alterada em até 24 horas. O link parece legítimo, a urgência é convincente e, sem pensar muito, você clica. Pronto: acaba de entregar suas credenciais a um golpista. Essa situação acontece diariamente em empresas de todos os tamanhos e setores. O phishing, uma das fraudes mais comuns no mundo digital, não precisa de muito esforço para funcionar—basta um clique no lugar errado.

A seguir, veja alguns dos golpes mais frequentes e como evitá-los.

1. O E-mail do “Suporte Técnico”

Esse golpe geralmente envolve uma mensagem que parece vir da equipe de TI da empresa. O e-mail informa que há um problema com sua conta, que sua senha expirou ou que você precisa confirmar suas credenciais. O tom é sempre urgente, criando pressão para agir rapidamente.
Como evitar: Antes de clicar, verifique se o remetente é confiável e, em caso de dúvida, entre em contato diretamente com o suporte da empresa.

2. O “Boleto Falso” do Financeiro

Empresas recebem e pagam dezenas de boletos por mês. Golpistas sabem disso e enviam cobranças falsas se passando por fornecedores conhecidos. Muitas vezes, os valores não são tão altos, justamente para não levantar suspeitas.
Como evitar: Antes de pagar qualquer boleto, confira os dados bancários e valide com o fornecedor ou com o setor financeiro.

3. O Falso Convite Para Reunião

Um e-mail informando que você foi adicionado a uma reunião importante do Zoom, Microsoft Teams ou Google Meet pode ser uma isca perfeita. Ao clicar no link, você pode ser direcionado para um site falso que solicita login e senha.
Como evitar: Em vez de clicar no link, entre na plataforma de reuniões manualmente e veja se há mesmo um evento agendado.

4. A Falsa Atualização de Software

Essa tentativa de phishing pode vir por e-mail ou até mesmo como um pop-up no navegador. O alerta diz que você precisa atualizar um software essencial, como antivírus ou ferramentas internas da empresa. O clique instala um malware que pode roubar dados ou até mesmo permitir o acesso remoto ao seu computador.
Como evitar: Baixe atualizações apenas dos sites oficiais e consulte o time de TI antes de instalar qualquer coisa.

5. O SMS ou WhatsApp da “Alta Direção”

Imagine que seu chefe ou diretor financeiro te manda um WhatsApp pedindo um pagamento urgente ou transferência de fundos para um fornecedor novo. A pressão do cargo alto faz com que muitos colaboradores nem questionem a solicitação.
Como evitar: Antes de agir, confirme com a pessoa por outro meio, como uma ligação ou um e-mail enviado para o endereço corporativo.

Os golpes de phishing se aproveitam da pressa e da confiança dos funcionários para roubar dados e dinheiro. A melhor defesa não está na tecnologia, mas na atenção e na desconfiança saudável ao lidar com e-mails, mensagens e links suspeitos. Antes de clicar, pare e pergunte a si mesmo: isso faz sentido? Muitas vezes, só essa pausa já é suficiente para evitar um grande problema.

Publicado em janeiro 27, 2025janeiro 27, 2025 por securitylgpd

DECISÃO DO STJ REFORÇA DEVER DE SEGURANÇA DAS EMPRESAS NA ERA DA LGPD

A decisão unânime de uma das turmas do Superior Tribunal de Justiça reforçou a responsabilidade de empresas pelo vazamento de dados pessoais, mesmo em situações decorrentes de ataques cibernéticos. A controvérsia analisada envolvia o vazamento de informações pessoais não sensíveis de clientes, resultante de uma invasão ao sistema de uma concessionária de serviços públicos.

O julgamento abordou questões fundamentais da Lei Geral de Proteção de Dados (LGPD), em especial sobre o dever das empresas em proteger informações de seus clientes. Os ministros debateram se o vazamento decorrente de um ato ilícito de terceiros poderia excluir a responsabilidade do agente de tratamento ou se ainda assim este deveria responder por falhas em medidas preventivas.

Segurança como obrigação legal

A análise do caso destacou a relevância de um novo marco jurídico, que ampliou a proteção dos direitos da personalidade no Brasil. No entendimento da Corte, as empresas que tratam dados pessoais têm a obrigação de adotar medidas rigorosas para garantir a segurança das informações sob sua guarda.

Além disso, a decisão sublinhou que os sistemas de tratamento de dados devem atender a padrões de segurança, governança e conformidade alinhados aos princípios e requisitos previstos pela LGPD. Nesse contexto, o cumprimento dessas normas não é apenas uma questão de prevenção, mas também de demonstração de compromisso com os direitos dos titulares de dados.

Irregularidades no tratamento de dados

O caso analisado revelou que o nível de proteção oferecido pela empresa em questão não alcançou os padrões que poderiam ser legitimamente esperados, considerando as circunstâncias. A ausência de medidas eficazes foi determinante para caracterizar o tratamento de dados como irregular, mesmo diante da alegação de que a invasão havia sido promovida por terceiros.

Com isso, o tribunal confirmou que o mero fato de a violação ter origem em atividade ilícita externa não isenta o agente de tratamento de dados de sua responsabilidade, nos termos da legislação vigente.

A decisão reafirma a necessidade de investimento contínuo em programas de segurança e proteção de dados, evidenciando que o compliance em privacidade é elemento essencial para a atuação empresarial no cenário atual.

Publicado em janeiro 23, 2025janeiro 23, 2025 por securitylgpd

RAIADROGASIL É MULTADA EM R$ 8,4 MILHÕES POR COLETA DE CPF

Recentemente, o Procon-MG aplicou uma multa de R$ 8.497.500 à rede de farmácias RaiaDrogasil S/A. A penalidade foi motivada pela prática de solicitar o CPF dos clientes durante compras no balcão ou no caixa, sob a justificativa de oferecer descontos e vantagens exclusivas. A situação reacendeu discussões sobre privacidade, proteção de dados e a aplicação da Lei Geral de Proteção de Dados (LGPD).

Solicitar o CPF de consumidores em farmácias tornou-se algo comum, muitas vezes associado à promessa de benefícios como descontos. Porém, o Procon-MG apontou que essa prática pode comprometer a privacidade, especialmente quando os dados são coletados sem consentimento claro e adequado. Segundo o órgão, a ausência de um controle rigoroso sobre o uso dessas informações aumenta os riscos de vazamento ou uso indevido.

Por que o Procon e não a ANPD multou a RaiaDrogasil?

A atuação do Procon-MG se justifica por uma parceria entre a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (SENACON). Esse acordo delegou aos Procons do país a tarefa de fiscalizar o cumprimento da LGPD em âmbito local. Assim, o órgão mineiro exerceu sua prerrogativa ao investigar e multar a rede de farmácias.

A defesa da empresa e os questionamentos legais

Em sua defesa, a RaiaDrogasil afirmou que a solicitação do CPF tem como objetivo traçar o perfil de consumo dos clientes para oferecer promoções personalizadas. A empresa destacou que o fornecimento dessa informação não é obrigatório para o acesso aos descontos e alegou que suas práticas estão em conformidade com a LGPD. Além disso, a rede anunciou que recorrerá da decisão.

Contudo, o Procon-MG argumentou que o uso de dados para traçar perfis comportamentais configura uma forma de tratamento de informações pessoais, conforme definido no Artigo 5º, inciso X, da LGPD. O órgão também alertou para os possíveis danos aos consumidores, como o uso dessas informações em situações que podem impactar negativamente a concessão de serviços, incluindo seguros e planos de saúde.

Cabe ressaltar que a LGPD permite o tratamento de dados sem consentimento em diversas hipóteses. No entanto, a falta de transparência e os riscos envolvidos, como vazamento de dados ou discriminação, colocam em dúvida a conformidade da prática com a legislação. A lei, inclusive, proíbe expressamente a utilização de dados sensíveis, como informações de saúde, para práticas de seleção de risco em planos de saúde, conforme o Artigo 11, inciso II, § 5º.

Oportunidades rejeitadas e o papel do consumidor

Durante o processo administrativo, foi oferecida à RaiaDrogasil a possibilidade de firmar um acordo por meio de transação administrativa ou compromisso de ajustamento de conduta, mas ambas as propostas foram recusadas. Essa postura levanta questionamentos sobre o compromisso da empresa em rever suas práticas e se alinhar às exigências da legislação.

Para os consumidores, o caso reforça a importância de uma postura crítica e atenta ao fornecer dados pessoais. Questionar a necessidade da coleta de informações e compreender como elas serão utilizadas são passos fundamentais para proteger a privacidade.

Essa decisão do Procon-MG não apenas penaliza uma prática considerada inadequada, mas também coloca em evidência a relevância da proteção de dados como direito do consumidor. Empresas e consumidores precisam trabalhar juntos para garantir um ambiente mais seguro e ético no tratamento de informações pessoais.

Publicado em dezembro 18, 2024dezembro 18, 2024 por securitylgpd

EMPRESAS DEVEM RESPONDER POR VAZAMENTO DE DADOS, DECIDE TRIBUNAL SUPERIOR

A recente decisão unânime de um tribunal superior no Brasil consolidou o entendimento de que empresas não estão isentas de responsabilidade em casos de vazamento de dados pessoais, mesmo que sejam considerados não sensíveis, quando esses incidentes decorrem de ataques cibernéticos.

O caso em questão envolveu uma concessionária de energia elétrica cujo sistema foi invadido, resultando na exposição de dados pessoais de clientes. A discussão jurídica girava em torno de dois aspectos cruciais: a aplicação do artigo 19, inciso II, da Lei Geral de Proteção de Dados (LGPD), que trata das obrigações do agente de tratamento, e a possível aplicação do artigo 43, inciso III, da mesma lei, que prevê hipóteses de exclusão de responsabilidade.

Responsabilidade e segurança no tratamento de dados

Na análise do caso, o tribunal reforçou que as empresas que atuam como agentes de tratamento têm o dever legal de adotar medidas robustas de segurança para proteger os dados pessoais sob sua gestão. A decisão destacou que, com a Emenda Constitucional 115/22, os direitos à proteção de dados ganharam status constitucional, elevando ainda mais a exigência de conformidade com a LGPD.

Os sistemas corporativos, de acordo com os fundamentos apresentados, devem estar em total alinhamento com os requisitos de segurança, princípios gerais e boas práticas estabelecidos pela legislação vigente. A adequação às normas de proteção de dados é vista como uma forma indispensável de demonstrar o comprometimento das empresas com a segurança da informação.

Compliance como pilar essencial

A conformidade com a LGPD foi ressaltada como essencial para garantir a eficácia dos programas de proteção adotados pelas organizações. A decisão apontou que, no caso analisado, o tratamento de dados foi considerado insuficiente, uma vez que a empresa não forneceu um nível de proteção adequado às expectativas legítimas dos titulares, de acordo com as circunstâncias específicas do incidente.

Dessa forma, o tribunal manteve a responsabilidade da empresa, negando provimento ao recurso. A decisão reforça a importância de um planejamento rigoroso e de investimentos em governança de dados para prevenir e mitigar riscos relacionados à segurança da informação.

Essa interpretação da LGPD reafirma o papel das empresas na proteção de dados e alerta para a necessidade de constante atualização em relação às normas e boas práticas, especialmente em um cenário onde as ameaças cibernéticas são cada vez mais sofisticadas.

Publicado em dezembro 17, 2024dezembro 17, 2024 por securitylgpd

RAIADROGASIL É MULTADA POR COLETA INDEVIDA DE CPF EM MINAS GERAIS

O Procon-MG, órgão vinculado ao Ministério Público de Minas Gerais, aplicou uma multa de R$ 8,4 milhões à rede de farmácias RaiaDrogasil S/A. A penalidade decorre da prática de solicitar o CPF dos consumidores no momento das compras, tanto no balcão quanto no caixa, sem o devido consentimento explícito.

Durante a fiscalização, a empresa alegou que a coleta do CPF serve para traçar o perfil dos clientes e oferecer benefícios personalizados, ressaltando que a concessão de descontos ou promoções não estaria condicionada ao fornecimento dos dados. No entanto, o Procon-MG considerou que o registro dessas informações, sem consentimento prévio, fere a privacidade do consumidor e pode representar riscos em caso de vazamento de dados.

De acordo com o órgão, a prática pode levar à “captura dos hábitos de consumo” dos clientes, o que abre espaço para usos indevidos das informações. Dados sobre a compra de medicamentos, por exemplo, poderiam ser utilizados por terceiros de forma prejudicial, como na recusa de cobertura de planos de saúde sob alegação de doenças preexistentes ou na negativa de contratação de seguros.

A irregularidade foi constatada em quatro unidades da RaiaDrogasil, nos bairros Cidade Nova, Ouro Preto, Prado e Silveira, em Belo Horizonte. Durante o procedimento administrativo, a rede de farmácias teve a oportunidade de firmar um acordo por meio de transação administrativa ou compromisso de ajustamento de conduta, mas recusou ambas as propostas. Diante da negativa, o Procon-MG aplicou a multa com base no Código de Defesa do Consumidor, no Decreto Federal nº 2.181/97 e na Lei Geral de Proteção de Dados Pessoais (LGPD).

Em nota, a RaiaDrogasil afirmou que suas práticas estão em conformidade com a LGPD, reforçando que a apresentação do CPF é opcional e informando que pretende recorrer da decisão.

O caso evidencia os riscos do uso inadequado de dados pessoais e reforça a necessidade de transparência e consentimento na coleta de informações sensíveis, especialmente em setores como o farmacêutico, onde a privacidade do consumidor deve ser preservada com rigor.