Tag: Dados pessoais

Publicado em por Deixe um comentário

A RESPONSABILIDADE DE CONTROLADORES E OPERADORES NO TRATAMENTO DE DADOS

Desde que entrou em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) passou a demandar um olhar mais atento das empresas em relação ao tratamento de informações de seus clientes, usuários e colaboradores. No entanto, um ponto ainda gera dúvidas ou é frequentemente negligenciado: a responsabilidade compartilhada entre os diversos agentes que participam do tratamento de dados, especialmente entre controladores e operadores.

A LGPD define o controlador como a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já o operador é quem realiza o tratamento em nome do controlador, mediante suas instruções. Essa divisão, no entanto, não representa uma separação rígida de responsabilidades. Ao contrário, a legislação estabelece que ambos respondem pelos danos causados a terceiros quando não observam a legislação ou não garantem a segurança adequada das informações tratadas.

É nesse ponto que entra a corresponsabilidade. Quando uma empresa contrata um prestador de serviços que lida com dados pessoais em seu nome — como um sistema de gestão, uma consultoria de marketing ou um fornecedor de TI —, ela continua responsável por assegurar que esse parceiro cumpra a LGPD. A empresa deve adotar critérios técnicos e jurídicos na escolha de seus operadores e manter uma relação contratual clara, com cláusulas específicas sobre proteção de dados, obrigações de confidencialidade e medidas de segurança.

Por outro lado, os operadores também têm deveres próprios. Não basta alegar que estão apenas seguindo ordens do controlador. Eles devem adotar boas práticas, registrar suas atividades, manter canais de comunicação sobre incidentes e demonstrar que atuam com diligência. A falha de um operador, se relacionada ao tratamento de dados, pode recair diretamente sobre o controlador — e vice-versa.

A relação entre controladores e operadores deve ser construída com base na transparência, cooperação e responsabilidade mútua. Isso inclui auditorias, avaliações de impacto, treinamentos conjuntos e uma cultura organizacional que valorize a proteção de dados como parte integrante da atividade empresarial.

A LGPD não é um tema isolado de departamentos jurídicos ou de tecnologia. É um compromisso coletivo, que ultrapassa os limites formais da empresa e alcança toda a cadeia de parceiros. Tratar dados com respeito e responsabilidade não é apenas um dever legal, mas um sinal de maturidade nas relações comerciais e de cuidado com as pessoas cujas informações estão sob nossa guarda.

Se os dados são compartilhados, a responsabilidade também deve ser. Essa é uma premissa que precisa estar presente em cada contrato, em cada processo e, sobretudo, em cada decisão de negócios.

Publicado em por Deixe um comentário

POR QUE SUA EMPRESA PRECISA MAPEAR OS DADOS QUE COLETA?

Toda empresa, independentemente do porte ou setor, lida diariamente com informações valiosas: dados de clientes, fornecedores, colaboradores e parceiros. Saber exatamente quais dados são coletados, onde estão armazenados, quem tem acesso a eles e por quanto tempo são mantidos é uma prática essencial para uma gestão responsável.

O mapeamento de dados — também conhecido como data mapping — é a ferramenta que possibilita esse entendimento. Ele permite registrar de forma estruturada todo o ciclo de vida das informações dentro da organização, desde a coleta até o descarte.

Os benefícios práticos dessa iniciativa são claros e impactam diretamente a operação da empresa:

1. Controle das informações
Com o mapeamento, a empresa passa a enxergar com clareza os tipos de dados que coleta, os motivos dessa coleta e como essas informações circulam entre os setores. Esse nível de organização facilita a tomada de decisões e evita o acúmulo de dados desnecessários.

2. Redução de riscos
Ter domínio sobre os dados tratados reduz a probabilidade de incidentes de segurança, vazamentos e infrações legais. A empresa consegue identificar pontos de vulnerabilidade e corrigi-los com agilidade, demonstrando comprometimento com a privacidade e a conformidade com a legislação.

3. Eficiência operacional
O conhecimento detalhado dos fluxos de dados torna os processos internos mais eficientes. Setores que antes operavam de forma desconectada passam a trabalhar de maneira integrada, com informações confiáveis e acessíveis. Isso economiza tempo, reduz retrabalho e melhora o atendimento ao público.

Mapear os dados não é apenas uma exigência regulatória. É uma prática de gestão que melhora a estrutura da empresa, qualifica os processos e contribui para relações mais transparentes e seguras. Trata-se de uma escolha estratégica que traz resultados concretos, fortalece a reputação da marca e prepara o negócio para os desafios da transformação digital.

Publicado em por Deixe um comentário

O QUE FAZER COM OS DADOS DO EX-FUNCIONÁRIO? ENTENDA OS DEVERES DA EMPRESA APÓS A DEMISSÃO

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) trouxe importantes responsabilidades às empresas que lidam com dados de pessoas físicas. No contexto das relações de trabalho, muito se discute sobre o tratamento de dados durante a vigência do contrato, mas é igualmente necessário observar os cuidados que permanecem mesmo após o encerramento do vínculo empregatício.

Ao desligar um colaborador, a empresa não encerra automaticamente sua obrigação quanto aos dados pessoais coletados ao longo da relação de trabalho. Informações como CPF, endereço, dados bancários, registros médicos ocupacionais, avaliações de desempenho e ocorrências internas continuam armazenadas por razões diversas. A pergunta que surge é: por quanto tempo esses dados podem — ou devem — ser mantidos?

A resposta depende da finalidade. Diversas legislações exigem que certos documentos sejam guardados por prazos específicos, independentemente da LGPD. A Consolidação das Leis do Trabalho (CLT), por exemplo, e normas da Receita Federal, do INSS e da Caixa Econômica Federal estabelecem períodos obrigatórios de guarda. Um exemplo comum é o dever de arquivamento de documentos relacionados ao FGTS por até 30 anos. Já as informações previdenciárias e relativas ao contrato de trabalho devem ser conservadas por, no mínimo, 10 anos.

A LGPD, por sua vez, não se sobrepõe a essas obrigações legais. Ela orienta que os dados pessoais só podem ser mantidos enquanto houver uma base legal que justifique seu armazenamento. No caso dos ex-empregados, essa base costuma ser o cumprimento de obrigação legal ou regulatória. Quando essa necessidade cessa, deve haver o descarte seguro dessas informações, garantindo a confidencialidade e evitando o uso indevido.

Vale destacar que, mesmo durante o período de retenção, a empresa deve seguir os princípios da lei, como finalidade, necessidade e segurança. Isso significa manter apenas o que for necessário, proteger os dados contra acessos não autorizados e limitar o uso para finalidades compatíveis com aquelas que justificaram sua coleta.

Outro ponto relevante é a transparência. O ex-funcionário tem o direito de saber se seus dados ainda estão sendo tratados, por qual motivo, e por quanto tempo. Esse tipo de informação deve estar acessível de forma clara e objetiva, preferencialmente em uma política de privacidade ou outro documento oficial da empresa.

O desligamento de um colaborador não representa o fim do cuidado com seus dados pessoais. As empresas devem manter políticas internas que conciliem os requisitos legais de armazenamento com os princípios da LGPD, adotando práticas seguras e respeitosas com as informações daqueles que já contribuíram com sua história. Agir com responsabilidade nesse ponto é parte do compromisso ético que se espera de qualquer organização.

Publicado em por Deixe um comentário

COMO A LGPD PROTEGE A REPUTAÇÃO DO SEU NEGÓCIO?

Quando se fala em Lei Geral de Proteção de Dados (LGPD), a maior parte das pessoas e empresas associa o tema, quase que imediatamente, à possibilidade de aplicação de multas. De fato, a sanção financeira é uma das formas previstas para garantir o cumprimento da lei. Mas o real problema quase nunca está no valor da penalidade. Ele costuma começar bem antes: na ausência de uma cultura organizacional voltada à proteção de dados e na falta de ações preventivas.

A LGPD não foi criada apenas para punir. Ela estabelece princípios e regras para que o tratamento de dados pessoais seja feito de maneira ética, segura e transparente. Quando esses fundamentos são ignorados, o risco não é apenas jurídico — é também reputacional. Basta uma notícia sobre o vazamento de dados ou o uso indevido de informações sensíveis para abalar a confiança de clientes, parceiros e até investidores.

A reputação de uma empresa é construída ao longo de anos, mas pode ser comprometida em minutos. Por isso, investir em medidas preventivas, como mapeamento de dados, revisão de contratos com fornecedores, capacitação de equipes e implementação de boas práticas de segurança da informação, não é apenas uma exigência legal. É uma demonstração de responsabilidade e respeito com aqueles que confiam suas informações à organização.

Empresas que se antecipam e tratam a proteção de dados como parte da sua rotina demonstram maturidade institucional. Não esperam a autuação da Autoridade Nacional de Proteção de Dados (ANPD) para agir. Entendem que a integridade das informações pessoais está diretamente ligada à sua imagem no mercado.

A LGPD é uma oportunidade para revisar processos internos, fortalecer a confiança dos consumidores e evitar desgastes que, muitas vezes, são muito mais onerosos do que qualquer multa.

Publicado em por Deixe um comentário

TENHO UM SITE, PRECISO ME PREOCUPAR COM A LGPD?

Se você mantém um site na internet, mesmo que simples ou institucional, a resposta para essa pergunta é sim. A Lei Geral de Proteção de Dados Pessoais (LGPD) se aplica sempre que há coleta, uso, armazenamento ou compartilhamento de dados pessoais. E isso inclui desde formulários de contato até ferramentas de análise de acesso como o Google Analytics.

O ponto central da LGPD é a proteção das informações que possam identificar uma pessoa, direta ou indiretamente. Isso envolve não apenas nome, CPF ou e-mail, mas também dados como endereço IP, localização geográfica e preferências de navegação, que muitas vezes são capturados automaticamente por meio de cookies.

Os cookies, por exemplo, são pequenos arquivos armazenados no dispositivo do visitante para registrar suas interações com o site. Eles podem ser utilizados para melhorar a experiência do usuário, personalizar conteúdo, lembrar preferências ou gerar estatísticas de acesso. No entanto, alguns tipos de cookies são considerados não essenciais e, portanto, só podem ser ativados com o consentimento livre, informado e inequívoco do titular dos dados.

Outro ponto de atenção são os formulários. Quando o visitante preenche um campo com seu nome, telefone ou e-mail para entrar em contato ou fazer uma solicitação, ele está fornecendo dados pessoais. Esses dados devem ser tratados com responsabilidade e apenas para as finalidades informadas no momento da coleta.

A ferramenta de análise de dados, como o Google Analytics, também deve ser configurada para respeitar as exigências da LGPD, evitando o rastreamento indevido ou o compartilhamento de informações sem base legal adequada.

Diante disso, é essencial que seu site contenha uma Política de Privacidade clara e acessível, que informe ao visitante:

  • Quais dados pessoais são coletados
  • Como e por que esses dados são utilizados
  • Com quem eles podem ser compartilhados
  • Quais direitos o titular dos dados possui
  • Como ele pode exercer esses direitos
  • Quem é o responsável pelo tratamento dos dados e como pode ser contatado

Além disso, é necessário ter a exibição de um aviso de cookies logo na primeira visita ao site, permitindo que o usuário aceite ou rejeite os cookies não obrigatórios.

Ter um site é abrir uma porta de entrada para seu negócio ou projeto. E com essa visibilidade vem também a responsabilidade. A conformidade com a LGPD não é apenas uma exigência legal, mas uma demonstração de respeito e compromisso com a privacidade das pessoas que interagem com você no ambiente digital.

Publicado em por Deixe um comentário

VAZAMENTO DE DADOS: COMO AGIR COM RESPONSABILIDADE E CONFORMIDADE À LGPD

No contexto da Lei Geral de Proteção de Dados Pessoais (LGPD), a ocorrência de um incidente de segurança da informação exige da empresa uma postura proativa, organizada e legalmente adequada. Vazamentos de dados ou falhas que possam comprometer a confidencialidade, integridade ou disponibilidade de dados pessoais não são apenas eventos técnicos: são fatos que podem gerar riscos concretos aos titulares dos dados e responsabilidades jurídicas à organização.

Ao identificar um incidente, o primeiro passo é avaliar, com a maior brevidade possível, a extensão dos dados afetados, a natureza das informações expostas e o potencial impacto aos titulares. Essa análise é determinante para se decidir se o incidente deve ser comunicado à Autoridade Nacional de Proteção de Dados (ANPD) e aos próprios titulares dos dados.

A LGPD estabelece que a comunicação à ANPD e aos titulares deve ocorrer “em prazo razoável”, sem especificar um número exato de horas ou dias. No entanto, a Resolução CD/ANPD nº 1/2021 orienta que, sempre que possível, a notificação ocorra em até dois dias úteis a partir do conhecimento do incidente, especialmente se houver risco relevante aos direitos dos titulares.

A comunicação deve conter, entre outros elementos, a descrição da natureza dos dados pessoais afetados, as medidas técnicas e de segurança utilizadas, os riscos envolvidos, os motivos da demora (caso não tenha sido imediata) e as providências adotadas para mitigar os efeitos do incidente.

Nesse contexto, o papel do Encarregado pelo Tratamento de Dados Pessoais – o DPO – é decisivo. Além de ser o elo entre a empresa, os titulares dos dados e a ANPD, o DPO atua na prevenção de falhas, orientando a equipe sobre boas práticas de segurança da informação, promovendo treinamentos periódicos e supervisionando a conformidade das operações com a LGPD. A presença ativa do DPO na estrutura organizacional permite identificar fragilidades antes que se tornem problemas, evitando prejuízos à reputação e ao funcionamento da empresa.

A maturidade no tratamento de dados passa, portanto, pela implementação de processos claros, pela preparação de equipes e pela definição de protocolos de resposta a incidentes. Mais do que responder a crises, a empresa que estrutura sua governança de dados com seriedade reduz consideravelmente a chance de enfrentá-las.

Publicado em por Deixe um comentário

RESPONSABILIDADE NA LGPD: QUEM RESPONDE POR FALHAS NO TRATAMENTO DE DADOS?

A Lei Geral de Proteção de Dados Pessoais (LGPD) exige que empresas adotem medidas claras e eficazes para proteger os dados pessoais que tratam. Quando ocorre uma falha — ou mesmo quando há apenas a percepção de uma irregularidade — é comum que surja a dúvida: quem deve responder por isso?

A responsabilidade legal recai, antes de tudo, sobre a empresa. É ela quem define as finalidades e os meios do tratamento de dados, assumindo, assim, o papel de controladora. Cabe à empresa adotar políticas internas, implementar medidas de segurança, orientar seus colaboradores e fiscalizar eventuais operadores de dados com quem mantenha relação contratual.

O Encarregado de Proteção de Dados (DPO) exerce uma função de orientação e interlocução. É ele quem atua como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Ainda que tenha um papel estratégico dentro da governança, o DPO não é o responsável legal pelos atos da empresa. Não decide sozinho, nem executa diretamente o tratamento de dados. Sua responsabilidade pessoal, portanto, só poderá ser cogitada em hipóteses muito específicas, como em casos de má-fé ou omissão grave.

O setor jurídico, por sua vez, tem o papel de interpretar a legislação e apoiar a empresa na adoção de medidas que reduzam riscos legais. Atua na formulação de pareceres, na elaboração de contratos e na definição de políticas. Entretanto, sua atuação também é consultiva. O jurídico não executa o tratamento de dados, nem possui poder de comando sobre os departamentos operacionais.

Dessa forma, em ocorrências envolvendo dados pessoais, a empresa é a principal responsável. É dela a obrigação de garantir a conformidade com a LGPD. O DPO e o jurídico contribuem com suporte técnico e estratégico, mas não substituem a responsabilidade institucional.

A clareza na definição de papéis e o investimento em governança são as melhores ferramentas para evitar falhas — e, sobretudo, para responder adequadamente quando elas ocorrem. Delegar não significa transferir o dever de proteger.

Publicado em por Deixe um comentário

A COMUNICAÇÃO COMO PILAR DA GOVERNANÇA EM PRIVACIDADE DE DADOS

A comunicação da efetividade de um programa de privacidade exige mais do que apresentar relatórios técnicos ou exibir normas internas. Trata-se de transmitir, com clareza e consistência, que os compromissos com a proteção de dados pessoais são reais, contínuos e mensuráveis. Essa comunicação deve alcançar tanto os públicos internos quanto os externos, fortalecendo a confiança e o engajamento com a organização.

Para isso, o primeiro passo é traduzir os resultados alcançados em indicadores compreensíveis, que demonstrem o funcionamento prático do programa. Exemplos incluem a redução de incidentes de segurança, o tempo médio de resposta a solicitações de titulares e a atualização periódica de políticas e treinamentos. Tais dados devem ser apresentados de forma acessível, sem abrir mão da precisão técnica.

A linguagem utilizada deve ser direta, transparente e alinhada aos valores da organização. Não basta afirmar que se cumpre a Lei Geral de Proteção de Dados Pessoais (LGPD); é necessário mostrar como isso ocorre na prática: quais processos foram ajustados, quais tecnologias foram adotadas, quais terceiros foram auditados e como os riscos foram mitigados.

Outro ponto relevante é valorizar o protagonismo das pessoas envolvidas. A efetividade de um programa de privacidade está diretamente ligada à cultura organizacional. Comunicar que colaboradores de diferentes áreas participaram de treinamentos, reportaram riscos ou sugeriram melhorias é uma maneira eficaz de demonstrar que a proteção de dados está incorporada ao cotidiano da instituição.

Além disso, é recomendável manter canais abertos e acessíveis para os titulares de dados. A clareza nas respostas, a empatia no atendimento e a disposição para revisar processos comunicam, por si sós, que a empresa não apenas cumpre obrigações legais, mas respeita direitos fundamentais.

É importante que a comunicação seja contínua. Um programa de privacidade não é uma conquista pontual, mas um compromisso permanente. Relatórios periódicos, campanhas educativas internas, informativos aos parceiros e atualizações no site institucional reforçam essa mensagem.

Publicado em por Deixe um comentário

RETENÇÃO DE DADOS: ENTENDA POR QUE RETER DADOS SEM NECESSIDADE PODE PREJUDICAR SUA EMPRESA

Em tempos de crescente atenção à privacidade e à proteção de dados pessoais, é notável a prática recorrente de empresas que mantêm, por longos períodos, dados de clientes, ex-colaboradores e parceiros comerciais, mesmo quando não há mais qualquer fundamento jurídico que justifique tal conservação. Trata-se de uma conduta que, além de desnecessária, contraria os princípios estabelecidos pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).

A LGPD é clara ao estabelecer que o tratamento de dados deve observar, entre outros, o princípio da necessidade, segundo o qual devem ser tratados apenas os dados estritamente necessários para a realização de finalidades legítimas e específicas. A manutenção indiscriminada de informações por tempo indefinido, sem respaldo legal ou regulatório, viola não apenas esse princípio, mas também o da finalidade e o do livre acesso, uma vez que o titular dos dados tem o direito de saber por quanto tempo e para quais fins suas informações estão sendo armazenadas.

Ao conservar cadastros de clientes inativos por anos, sem qualquer interação ou previsão contratual vigente, ou ainda ao manter históricos completos de ex-funcionários muito além dos prazos legais para defesa de direitos trabalhistas ou previdenciários, as organizações se expõem a riscos desnecessários. Vazamentos, acessos indevidos e o uso indevido de dados são eventos que se tornam mais prováveis à medida que os bancos de dados se avolumam, sem critério ou revisão periódica.

Mais do que uma obrigação legal, a revisão das práticas de retenção é um compromisso com o respeito à privacidade e à autodeterminação informativa dos indivíduos. A eliminação segura de dados cuja guarda não é mais justificada deve fazer parte das rotinas internas de governança das informações. O “guardar por precaução”, tão comum na cultura organizacional brasileira, precisa ser substituído por um olhar técnico, jurídico e ético.

Cabe, portanto, às empresas promoverem auditorias regulares, instituírem políticas claras de retenção e descarte, e capacitarem suas equipes para agir conforme a legislação. A retenção excessiva de dados não é sinal de zelo, mas de descuido. Em tempos de responsabilização administrativa, cível e até penal, o excesso pode custar caro. E não apenas em multas, mas sobretudo em confiança.

Publicado em por Deixe um comentário

INDÍCIOS COMUNS DE QUE SEUS DADOS FORAM VAZADOS

A proteção das informações pessoais tornou-se uma preocupação constante para cidadãos e empresas. A exposição indevida de dados pode gerar transtornos significativos, desde fraudes financeiras até o uso indevido da identidade. Por essa razão, é importante que qualquer pessoa saiba reconhecer os sinais mais comuns de que seus dados podem ter sido comprometidos.

O primeiro indício costuma ser o recebimento de e-mails suspeitos. Mensagens que solicitam o clique em links ou o envio de informações pessoais, especialmente quando enviadas por remetentes desconhecidos ou com erros de ortografia, merecem atenção. O objetivo desses e-mails pode ser a coleta de senhas ou a instalação de programas maliciosos.

Outro sinal frequente é o acesso não autorizado a contas. Alterações em senhas, notificações de login a partir de dispositivos ou localizações incomuns e movimentações que o usuário não reconhece são sinais claros de que houve violação. Muitas plataformas digitais, inclusive redes sociais e serviços de armazenamento em nuvem, informam ao usuário sempre que há uma tentativa de acesso fora do padrão. Ignorar esse alerta pode significar permitir que terceiros se aproveitem de dados pessoais.

Notificações de bancos e instituições financeiras também devem ser observadas com atenção. Transações bancárias desconhecidas, cobranças indevidas ou até o bloqueio repentino de cartões podem ser consequências diretas do uso indevido de informações bancárias por terceiros.

Vale destacar que empresas sérias costumam comunicar seus usuários quando identificam falhas em seus sistemas ou suspeitam de acessos indevidos. É recomendável manter os dados de contato atualizados junto aos serviços utilizados, pois muitas dessas comunicações são feitas por e-mail ou por aplicativos.

Por fim, a atenção a pequenos detalhes pode evitar grandes problemas. Ao identificar qualquer um desses sinais, recomenda-se a troca imediata de senhas, o contato com os serviços afetados e, em casos mais graves, o registro de boletim de ocorrência e a comunicação com os órgãos de proteção ao consumidor ou com a Autoridade Nacional de Proteção de Dados (ANPD).

Prevenir e agir com rapidez são atitudes que fazem diferença. A vigilância permanente é, hoje, uma parte do cuidado com a vida digital.

Publicado em por Deixe um comentário

TRÊS FALHAS COMUNS NA PROTEÇÃO DE DADOS QUE PODEM GERAR PARA MULTAS

A proteção de dados pessoais deixou de ser uma recomendação técnica para se tornar uma obrigação legal. Ainda assim, muitas empresas continuam negligenciando práticas básicas exigidas pela Lei Geral de Proteção de Dados (LGPD). O descuido, quase sempre motivado por uma falsa sensação de segurança ou por uma gestão despreparada, pode levar a sanções administrativas, processos judiciais e, principalmente, à perda da confiança dos clientes.

A seguir, destacamos três práticas frequentemente ignoradas pelas organizações — até que uma fiscalização ou incidente revele o erro.

1. Falta de registro das operações de tratamento de dados

Toda empresa que trata dados pessoais precisa manter um registro atualizado de suas atividades. Isso inclui saber quais dados são coletados, para qual finalidade, com quem são compartilhados e por quanto tempo são armazenados. Ainda que não seja exigido um software sofisticado, o mapeamento deve ser documentado e revisado periodicamente.

Um caso emblemático ocorreu em 2023, quando uma rede de clínicas odontológicas foi multada pela Autoridade Nacional de Proteção de Dados (ANPD) por não comprovar o mapeamento de dados de seus pacientes. A empresa alegou tratar apenas informações básicas, mas não conseguiu demonstrar controle sobre os dados armazenados, nem justificar o tempo de retenção.

2. Ausência de política clara de descarte de dados

Guardar dados “por precaução” é uma prática antiga e equivocada. A LGPD determina que os dados pessoais devem ser eliminados ao fim de seu tratamento, salvo obrigação legal ou regulatória que justifique sua conservação. Ainda assim, muitas empresas não possuem uma política clara de descarte ou anonimização.

Em 2022, uma loja virtual de médio porte foi notificada após uma violação de segurança expor dados de clientes inativos há mais de cinco anos. A investigação revelou que a empresa não realizava qualquer processo de descarte. O resultado foi um processo administrativo, retrabalho técnico e a perda de uma certificação ISO que a empresa havia conquistado meses antes.

3. Treinamento insuficiente (ou inexistente) dos colaboradores

Uma empresa pode investir em sistemas de segurança robustos, mas bastará um e-mail mal encaminhado ou um pendrive conectado indevidamente para comprometer todo o esforço. A falta de treinamento regular dos colaboradores é uma das principais falhas observadas pela ANPD.

Um banco de médio porte, em 2021, sofreu uma notificação após um funcionário compartilhar, por engano, uma planilha com dados bancários de clientes via e-mail externo. Embora o erro tenha sido humano, a ANPD entendeu que a instituição falhou ao não treinar sua equipe para lidar com dados pessoais de forma segura.

A proteção de dados exige responsabilidade contínua. Ignorar práticas básicas pode parecer inofensivo no dia a dia, mas se revela um erro dispendioso quando o problema já está instalado. Implementar boas práticas não é apenas uma medida de conformidade: é uma forma de demonstrar respeito pela privacidade e confiança do seu cliente. E isso, definitivamente, não se improvisa.

Publicado em por Deixe um comentário

O QUE FAZER SE SUA EMPRESA RECEBER UMA NOTIFICAÇÃO DA ANPD?

A Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado sua atuação para garantir que empresas cumpram a Lei Geral de Proteção de Dados (LGPD). Se sua empresa recebeu uma notificação, agir rapidamente e com estratégia pode evitar dores de cabeça e sanções. Veja como responder de forma adequada e minimizar riscos.

1. Leia atentamente a notificação

Antes de qualquer ação, compreenda o teor do documento. A ANPD pode solicitar informações, esclarecimentos ou apontar possíveis irregularidades. Verifique os prazos e as exigências detalhadamente.

2. Acione o Encarregado de Proteção de Dados (DPO)

O DPO da empresa ou o responsável pela conformidade com a LGPD deve ser envolvido imediatamente. Se sua empresa não possui um profissional interno, consulte um especialista em proteção de dados para avaliar a situação.

3. Levante as informações solicitadas

A notificação pode exigir documentos que comprovem a adequação da empresa à LGPD. Isso pode incluir registros de tratamento de dados, políticas de privacidade, evidências de consentimento e medidas de segurança adotadas. Organize esses materiais de forma clara e objetiva.

4. Avalie a necessidade de correções

Se a notificação aponta falhas, verifique quais ajustes são necessários. Algumas correções podem ser simples, como a atualização de termos de uso. Outras exigem revisões estruturais, como mudanças no armazenamento de dados ou na política de segurança.

5. Elabore uma resposta técnica e bem fundamentada

A resposta deve ser clara, objetiva e demonstrar que a empresa trata a proteção de dados com seriedade. Explique as medidas adotadas, os ajustes em andamento (se houver) e reforce o compromisso com a conformidade.

6. Envie dentro do prazo

O descumprimento dos prazos estabelecidos pela ANPD pode agravar a situação, levando a penalidades mais severas. Caso precise de mais tempo para responder, solicite formalmente a prorrogação justificando a necessidade.

7. Monitore e aprimore seus processos

Independentemente do desfecho da notificação, aproveite a oportunidade para fortalecer as práticas de proteção de dados. Estabeleça rotinas de auditoria, capacite a equipe e reforce a cultura de privacidade na empresa.

Receber uma notificação da ANPD não significa automaticamente que sua empresa será multada, mas uma resposta inadequada pode aumentar os riscos. Atuar com transparência e responsabilidade é a melhor forma de evitar complicações.