Tag: Dados pessoais

Publicado em por Deixe um comentário

“SEGURANÇA OU INVASÃO? O PAPEL DE APPLE E GOOGLE NA VIGILÂNCIA GOVERNAMENTAL”

Recentemente, veio à tona uma questão alarmante sobre a privacidade digital: Apple e Google podem estar compartilhando com autoridades governamentais os dados referentes a notificações que os usuários recebem em seus dispositivos móveis. Essas notificações, muitas vezes, contêm informações sensíveis, como detalhes pessoais e financeiros, o que agrava a preocupação com a proteção de dados.

O Senado americano, ainda em 2022, uma apuração sobre alegações de que governos estariam solicitando registros de notificações de iPhones e Androids, sem revelar quais países estavam envolvidos. Durante a investigação, foi constatado Apple e Google para obter mais detalhes. No entanto, as informações estavam restritas devido a uma proibição imposta pelo governo dos Estados Unidos.

Em 6 de dezembro, requereu ao Departamento de Justiça dos Estados Unidos que autorizasse as empresas a informarem os usuários sobre essas transferências de dados. Surpreendentemente, no dia seguinte, a Reuters publicou uma matéria confirmando a possibilidade de compartilhamento dessas informações pelas empresas.

Em resposta ao escrutínio público e à necessidade de transparência, a Apple comprometeu-se a detalhar essas solicitações em seus relatórios de transparência. Similarmente, o Google expressou seu compromisso em manter os usuários informados sobre as solicitações governamentais por meio de seu próprio relatório de transparência, que, no segundo semestre de 2022, indicou que houve mais de 12 mil solicitações de informações de usuários por parte de órgãos governamentais brasileiros, embora não especificasse quantas envolviam notificações de aplicativos.

Mas, como essas notificações se tornam acessíveis aos governos? Aplicativos de iPhone utilizam o Push Notification Service, da Apple, e os de Android recorrem ao Firebase Cloud Messaging, do Google. Esses serviços, que funcionam como um ‘serviço postal’ para notificações, garantem a entrega eficiente das mesmas. Contudo, isso também coloca Apple e Google na posição de intermediários, potencialmente sujeitos a obrigações legais de entregar essas informações ao governo.

Diante dessas revelações, é imperativo refletir sobre a extensão da vigilância governamental e as implicações para a privacidade dos cidadãos. Enquanto a transparência por parte das empresas é um passo positivo, ainda há um longo caminho a percorrer para garantir a proteção efetiva da privacidade e da segurança dos dados pessoais dos usuários. É fundamental que continuemos a questionar e a investigar essas práticas para assegurar que os direitos individuais sejam respeitados e protegidos em nossa sociedade digital.

A revelação de que Apple e Google podem estar compartilhando dados de notificações de usuários com governos lança luz sobre uma complexa interseção entre as práticas corporativas de vigilância e as leis de proteção de dados. A conexão entre esses atos e as legislações de proteção de dados é multifacetada e envolve várias considerações legais e éticas.

Princípio da Transparência e Consentimento: Leis como o GDPR na Europa e a LGPD no Brasil enfatizam o consentimento informado e a transparência sobre como os dados pessoais são coletados, processados e compartilhados. A ação de compartilhar dados de notificações com governos, muitas vezes sem o conhecimento explícito dos usuários, pode violar esses princípios fundamentais, levantando preocupações sobre a adequação das políticas de privacidade das empresas e a eficácia do consentimento dado pelos usuários.

Direito à Privacidade: A privacidade é um direito fundamental em muitas jurisdições. A interceptação e o compartilhamento de informações pessoais e sensíveis, como dados financeiros e pessoais, podem constituir uma violação desse direito, especialmente se feitos sem o devido processo legal ou transparência adequada.

Solicitações Governamentais e Nacionalidade das Leis: Empresas globais como Apple e Google estão sujeitas às leis dos países em que operam. Isso pode incluir a obrigação de cumprir solicitações legítimas de dados por parte de governos. No entanto, as leis de proteção de dados, como o GDPR, impõem restrições estritas sobre transferências de dados para países fora da UE, especialmente se esses países não oferecem um nível adequado de proteção de dados.

Exceções de Segurança Nacional: Muitas leis de proteção de dados incluem exceções para questões de segurança nacional e ordem pública. No entanto, essas exceções devem ser aplicadas de maneira proporcional e necessária, com salvaguardas adequadas. A falta de transparência e supervisão em como essas exceções são aplicadas pode levar a abusos e violações dos direitos dos cidadãos.

Obrigações das Empresas: As empresas têm a obrigação de proteger os dados de seus usuários. Isso inclui garantir que qualquer compartilhamento de dados com governos seja feito em conformidade com as leis aplicáveis, incluindo garantir que existam solicitações legítimas e procedimentos judiciais adequados. Além disso, as empresas devem ser transparentes com os usuários sobre essas práticas.

Direito de Saber: Os usuários têm o direito de saber como seus dados estão sendo usados e compartilhados. Isso está em linha com o princípio de transparência das leis de proteção de dados. A falta de clareza e a revelação tardia das práticas de compartilhamento de dados podem minar a confiança dos usuários e violar essas leis.

A conexão entre as ações de compartilhamento de dados de notificações por Apple e Google e as leis de proteção de dados é complexa e destaca a tensão entre a privacidade dos usuários, as obrigações corporativas e as demandas governamentais. A proteção efetiva dos dados pessoais em um mundo digital exige um equilíbrio cuidadoso entre esses interesses, uma governança robusta e uma vigilância constante para assegurar que tanto as empresas quanto os governos estejam agindo em conformidade com as leis e respeitando os direitos fundamentais dos indivíduos.

Publicado em por Deixe um comentário

SEU DNA ESTÁ SEGURO? COMO O VAZAMENTO DA 23ANDME AFETA VOCÊ

A recente invasão cibernética enfrentada pela empresa de testes genéticos 23andMe gerou grande preocupação devido ao comprometimento dos dados de aproximadamente 14 mil clientes. Este incidente destaca os riscos associados à segurança de informações pessoais, especialmente considerando a natureza delicada dos dados envolvidos.

A companhia informou que os cibercriminosos acessaram não apenas dados básicos, mas também detalhes mais específicos, como informações sobre a ascendência dos usuários. Katie Watson, porta-voz da 23andMe, revelou que cerca de 5,5 milhões de pessoas que usavam o recurso DNA Relatives foram afetadas. Este recurso permite que os clientes compartilhem alguns de seus dados genéticos com outros, geralmente membros da família.

Adicionalmente, informações de perfil genealógico de aproximadamente 1,4 milhão de usuários que optaram pelo DNA Relatives foram expostas. Este vazamento afetou, assim, quase metade dos sete milhões de clientes da empresa.

A brecha de segurança começou a ser notada em outubro, quando um hacker alegou ter acessado informações genéticas de clientes da 23andMe e tentou vendê-las. Como prova, dados de um milhão de usuários de ascendência judaica Ashkenazi e 100 mil usuários chineses foram publicados.

A vulnerabilidade explorada pelos hackers estava ligada à reutilização de senhas pelos clientes, o que facilitou ataques de força bruta. O DNA Relatives, ao conectar usuários com parentes, exacerbou o impacto da invasão, pois permitiu que os cibercriminosos acessassem informações não apenas do titular da conta, mas também de seus familiares.

Atualmente, a 23andMe concentra esforços na resolução das consequências dessa invasão e no fortalecimento de seus protocolos de segurança. A empresa busca, assim, prevenir futuros incidentes e restaurar a confiança de seus clientes, vital para a continuidade de seus serviços de testes genéticos.

Publicado em por Deixe um comentário

VOCÊ ESTÁ SEGURO? APRENDA A IDENTIFICAR GOLPES FINANCEIROS NO BRASIL

A preocupação com fraudes financeiras é uma realidade crescente no Brasil, onde estima-se que cerca de 36% da população já foi vítima de algum tipo de golpe, um dado alarmante revelado por uma pesquisa do Instituto Real Time Big Data para o programa Fala Brasil, da RecordTV. Essa estatística representa quase quatro em cada dez brasileiros afetados por fraudes, evidenciando um problema sério e generalizado no país.

A distribuição geográfica das vítimas de fraudes varia no Brasil, com a região Norte liderando em termos de percentual de população afetada, com cerca de 36%, enquanto a região Centro-Oeste apresenta o menor índice, com 32%. Um aspecto notável é que a maior parte das vítimas tem mais de 60 anos, o que aponta para uma vulnerabilidade particular desse grupo etário em relação a golpes, especialmente os que envolvem tecnologia.

O volume e a variedade de golpes aplicados são surpreendentes. Em 2022, foram registrados mais de 1,8 milhão de casos de estelionato, correspondendo a um aumento de 326% em comparação com 2018. Os golpes vão desde a restituição do Imposto de Renda e pagamento de impostos, até a renegociação de dívidas e ofertas de emprego, além de fraudes envolvendo aplicativos de mensagens, o sistema de pagamentos PIX e a clonagem de cartões.

Entre os golpes mais comuns está o furto de identidade, onde o criminoso se passa por outra pessoa para obter vantagens ilícitas. As consequências para a vítima podem incluir perda de dinheiro, crédito e danos à reputação. Especialistas como Anderson Cruz, advogado com especialização em direito empresarial, enfatizam a importância de proteger dados pessoais e informações de contas de usuário para prevenir tais golpes.

Outra modalidade de golpe que tem se destacado envolve compras e vendas online, especialmente em datas comemorativas. Somente neste ano, pelo menos 80 mil pessoas foram vítimas desse tipo de fraude. O Superior Tribunal de Justiça (STJ) classifica a venda fraudulenta pela internet como crime de fraude, enquanto operações de compra e venda com intenção de enganar configuram estelionato.

Não há um perfil único para vítimas potenciais de golpes, mas algumas tendências são notáveis. Homens, especialmente os mais jovens (até 31 anos), são frequentemente alvos em fraudes de compra e venda, enquanto idosos são mais suscetíveis a golpes tecnológicos devido a um maior distanciamento da tecnologia.

Para combater essa onda de fraudes, é essencial a atuação das autoridades de segurança na identificação e punição dos criminosos, bem como a colaboração entre empresas do setor financeiro para compartilhar informações sobre contas envolvidas em fraudes. Investir em educação digital, especialmente para os mais vulneráveis, é crucial para aumentar a conscientização sobre os golpes mais comuns.

Além disso, recomenda-se que as vítimas registrem um boletim de ocorrência, notifiquem empresas envolvidas (especialmente bancos), troquem senhas e alertem amigos e parentes sobre os golpes. Para prevenção, algumas dicas incluem proteger dados pessoais, usar senhas diferentes para sites e cadastros, verificar regularmente contas bancárias e faturas de cartão de crédito, e desconfiar de promessas milagrosas e informações distorcidas.

Publicado em por Deixe um comentário

ANPD ELEVA FISCALIZAÇÃO E SANCIONA INSTITUIÇÕES POR VIOLAÇÕES À LGPD

A atuação recente da Autoridade Nacional de Proteção de Dados (ANPD) no Brasil sinaliza um marco significativo no cumprimento da Lei Geral de Proteção de Dados (LGPD). Em julho de 2023, a ANPD impôs sua primeira sanção a uma empresa privada por não aderir às normativas da LGPD. Este caso, registrado sob o número 00261.000489/2022-62, é um exemplo claro da seriedade com que a legislação está sendo aplicada.

Não muito tempo depois, em outubro, o foco da ANPD se voltou para o setor público. O Instituto de Assistência ao Servidor Estadual de São Paulo (IAMSPE) foi penalizado devido a falhas na segurança de suas bases de dados, conforme descrito no processo nº 00261.001969/2022-41. Este incidente expôs dados sensíveis de servidores e seus dependentes, violando os padrões de privacidade e segurança estabelecidos pela LGPD.

No mesmo período, a Secretaria de Saúde do Estado de Santa Catarina também foi condenada (processo nº 00261.001886/2022-51). O vazamento de dados pessoais e de saúde de usuários do SUS destacou várias falhas, incluindo a demora em comunicar o incidente e a ausência de medidas de segurança eficazes.

Estes casos ilustram uma verdade incontornável: a conformidade com a LGPD vai além de assistir palestras ou adquirir ferramentas. Exige uma revisão minuciosa e personalizada de processos, capacitação de funcionários, revisão de informações e sistemas, e a elaboração de documentos para prevenir responsabilidades e assegurar direitos. Em alguns cenários, isso pode significar uma reformulação completa do modelo de negócio.

A LGPD impõe uma mudança significativa na maneira como as organizações lidam com informações pessoais. Isso se aplica a dados como nomes, telefones e e-mails usados para contatar clientes. É fundamental questionar: sua empresa está em conformidade com as novas regulamentações? Seus colaboradores estão preparados para responder a contestações e exigências? E aquela planilha antiga com dados de ex-clientes, ela está segura?

Além das consequências legais, como multas e indenizações, não conformidade com a LGPD pode causar danos reputacionais significativos e afetar as relações comerciais. Portanto, é crucial que empresários e gestores públicos compreendam a importância de se adaptar a esta nova realidade. A fiscalização da ANPD não é apenas uma ameaça distante; é uma realidade atual que exige ação imediata e efetiva.

Publicado em por Deixe um comentário

ANPD ABRE CONSULTA PÚBLICA SOBRE REGULAMENTO DE ENCARREGADOS DE DADOS SOB A LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) do Brasil está realizando um processo de consulta pública importante até 7 de dezembro de 2023. Este processo envolve o Regulamento sobre a Atuação do Encarregado, um papel crucial definido sob a Lei Geral de Proteção de Dados (LGPD). Interessados em contribuir para aprimorar o regulamento proposto podem participar através do portal participa+Brasil.

Conforme a LGPD, especificamente em seu artigo 41, é mandatório para os Controladores de Dados Pessoais nomear e anunciar publicamente um Encarregado pelo Tratamento de Dados Pessoais. Essa função inclui ser o ponto de contato entre os Titulares de dados, a ANPD, e o Controlador. Além disso, o Encarregado é responsável por orientar funcionários e parceiros e cumprir outras tarefas determinadas pelo Controlador. Entretanto, a LGPD não detalha de forma exaustiva as atribuições desse cargo.

Para preencher essa lacuna, a ANPD apresentou um regulamento detalhado para consulta pública, delineando responsabilidades mais específicas do Encarregado. Uma das principais adições, encontrada no artigo 16 do regulamento, inclui a elaboração de Comunicação de Incidentes de Segurança, conforme o art. 48 da LGPD. Esta comunicação deve ser direcionada tanto para a ANPD quanto para os Titulares de dados impactados por tais incidentes, respeitando prazos e requisitos estabelecidos pela ANPD.

Outras funções importantes incluem a manutenção do registro das operações de tratamento de dados pessoais (art. 37 da LGPD), a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (art. 38 da LGPD), a identificação e análise de riscos associados ao tratamento de dados, a definição de medidas de proteção de dados, análise de cláusulas contratuais e operações de transferência internacional de dados (art. 33 da LGPD), além da implementação das diretrizes da LGPD na organização (art. 50 da LGPD).

Um ponto crítico debatido na consulta pública é o conflito de interesses nas atribuições do Encarregado. A proposta da ANPD sugere que não se deve nomear como Encarregado indivíduos que possam ter conflitos de interesse, como aqueles em posições de tomada de decisão em outros setores da organização, como gestores de RH ou de TI, que tratam dados pessoais.

É importante destacar que a função do Encarregado pode ser desempenhada tanto por pessoas físicas quanto jurídicas, internas ou externas à organização, desde que se respeitem as diretrizes sobre conflitos de interesse.

Até o momento, o regulamento já recebeu aproximadamente 250 sugestões de alteração, e ainda está aberto a mais contribuições até o final do período de consulta pública. Após essa fase, será realizada uma audiência pública para discussão do regulamento. Contudo, até a sua aprovação e publicação oficial pela ANPD, o regulamento não possui efeito legal. Todavia, é essencial manter-se informado sobre suas disposições, especialmente as que dizem respeito ao conflito de interesses.

Publicado em por Deixe um comentário

SEGURANÇA DE DADOS NA BLACK FRIDAY: DIREITOS DOS CONSUMIDORES SOB A LGPD

À medida que a Black Friday se aproxima no Brasil, uma pesquisa da Confederação Nacional de Dirigentes Lojistas (CNDL) e do Serviço de Proteção ao Crédito (SPC Brasil) indica uma tendência notável: quase 90% dos consumidores pretendem aproveitar as ofertas. Nesse contexto de compras aceleradas, tanto online quanto em lojas físicas, é crucial manter a segurança dos dados pessoais, um aspecto frequentemente negligenciado na empolgação das compras.

A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, que regula o uso e armazenamento de informações pessoais, desempenha um papel fundamental aqui. É essencial que os consumidores estejam cientes de seus direitos sob esta lei, incluindo a compreensão de como suas informações são coletadas e usadas e a capacidade de solicitar a exclusão de seus dados, se desejarem.

Lívia Barcelos, uma renomada advogada e analista em LGPD, enfatiza que as informações coletadas por empresas durante as compras devem ser limitadas ao essencial: nome, endereço, formas de pagamento e, ocasionalmente, número de telefone. Ela alerta que a solicitação de dados adicionais, como informações familiares ou preferências pessoais sem uma justificativa clara, pode ser um sinal de coleta excessiva de dados.

Barcelos também aconselha os consumidores a examinarem cuidadosamente as políticas de privacidade das empresas, especialmente no comércio eletrônico, e a estarem atentos a solicitações de dados excessivas. Ela salienta a importância de se informar sobre a reputação e o histórico das lojas online antes de fazer qualquer compra.

A proteção oferecida pela LGPD se estende além das transações digitais, abarcando também o comércio presencial. Para os consumidores, compreender esses direitos é fundamental para garantir uma experiência de compra segura e transparente, não apenas durante a Black Friday, mas em todas as atividades comerciais.

Publicado em por Deixe um comentário

INEP ATENDE ÀS DIRETRIZES DA ANPD EM TRATAMENTO DE DADOS EDUCACIONAIS

A Autoridade Nacional de Proteção de Dados (ANPD) finalizou recentemente sua análise sobre as práticas do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) na gestão de microdados. Estes microdados, que representam as menores unidades de informação coletadas em pesquisas e avaliações, foram o foco de uma avaliação detalhada após preocupações surgirem sobre a privacidade e segurança dessas informações.

Em 16 de setembro, a ANPD concluiu que o Inep atendeu satisfatoriamente às normas da Coordenação-Geral de Fiscalização da ANPD. O Instituto implementou salvaguardas para proteger a privacidade dos indivíduos e elaborou um Relatório de Impacto à Proteção de Dados (RIPD), marcando assim o término desta avaliação. Estas ações permitiram ao Inep detalhar seus processos de tratamento de dados pessoais e avaliar os riscos associados às liberdades civis e direitos fundamentais.

O ponto de partida para esta investigação foi a decisão do Inep de modificar sua metodologia de divulgação dos microdados. Um estudo em parceria com a Universidade Federal de Minas Gerais identificou um risco potencial de identificação das pessoas nas informações estatísticas divulgadas. Fabrício Lopes, Coordenador-Geral de Fiscalização, destacou essa questão em suas observações.

A alteração na divulgação dos dados, contudo, gerou controvérsia. Entidades educacionais argumentaram a favor da transparência dessas informações. Adicionalmente, a Controladoria-Geral da União (CGU) enfatizou o compromisso do governo brasileiro com a transparência, observando que o interesse público geral prevalece sobre a proteção de dados pessoais em certos contextos.

Por sua vez, o Inep defendeu sua metodologia, enfatizando que o anonimato é uma condição essencial para a divulgação dos dados do Enem e do Censo Educacional. Fabrício Lopes salientou que a análise da CGF se concentrou especificamente na conformidade com a LGPD e o RIPD, sem necessariamente questionar a adequação das práticas anteriores do Inep.

Essa situação ressalta a complexidade e a importância de equilibrar a transparência e a proteção de dados no contexto educacional. A resposta do Inep à auditoria da ANPD é um exemplo significativo de como as instituições podem se adaptar para cumprir regulamentos de proteção de dados, ao mesmo tempo em que mantêm a integridade e a utilidade das informações que gerenciam.

Publicado em por Deixe um comentário

INSTITUTO SIGILO LANÇA PORTAL PARA BENEFICIÁRIOS DO AUXÍLIO BRASIL AFETADOS POR VAZAMENTO DE DADOS

O Instituto Sigilo, oficialmente conhecido como o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, lançou um novo portal voltado para a verificação de informações dos beneficiários do programa Auxílio Brasil, que foi extinto. Este portal permite que os beneficiários verifiquem se suas informações pessoais foram comprometidas e se têm direito a receber compensações.

O Instituto Sigilo iniciou uma ação judicial em relação ao vazamento de informações, alegando que os dados de cerca de 4 milhões de pessoas que receberam o Auxílio Brasil em 2022 foram divulgados de maneira indevida. Essas informações envolvem dados de cidadãos de mais de 4 mil municípios. Segundo o Ministério Público Federal, essas informações foram compartilhadas ilegalmente com correspondentes bancários, que as utilizaram para oferecer empréstimos e outros produtos financeiros. Em setembro, a 1ª Vara Cível Federal de São Paulo aceitou o pedido do Instituto Sigilo e determinou o pagamento de R$ 15 mil a título de danos morais a cada pessoa afetada.

As entidades responsáveis pelos pagamentos incluem a União, a Caixa Econômica Federal, a Dataprev e a ANPD (Autoridade Nacional de Proteção de Dados). No entanto, a Caixa Econômica Federal recorreu da decisão, como anunciado em comunicado oficial. A Caixa nega veementemente o vazamento dos dados e assegura que não encontrou falhas em sua gestão de informações, garantindo a integridade de seus dados e a segurança dos sistemas do Cadastro Único, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Para verificar sua situação, os beneficiários podem acessar o portal em sigilo.org.br e selecionar a opção “Conferir se tenho direito”, localizada no início da página. É necessário fornecer informações pessoais, como nome completo, e-mail, CPF e número de telefone, além de aceitar os termos de privacidade e uso do site. É importante observar que a consulta informa se a pessoa está incluída na base de dados supostamente comprometida e se é elegível para receber uma compensação. No entanto, isso não implica em um pagamento imediato, pois o processo ainda não foi finalizado. O objetivo principal do portal é informar às pessoas se têm direito a compensações, permitindo que manifestem seu interesse no processo.

É importante destacar que a compensação não é garantida, uma vez que o Instituto Sigilo não é responsável pelos pagamentos. Caso a decisão de compensação seja mantida, cada beneficiário cujos dados foram expostos terá que buscar a execução da sentença ao final do processo, com a assistência de um advogado.

O Instituto Sigilo não divulgou publicamente como obteve acesso à suposta base de dados vazados, embora afirme que as informações coincidem com as dos brasileiros cadastrados no site. Segundo o site, 471 mil pessoas têm direito à compensação. A organização planeja entrar em contato com a Ordem dos Advogados do Brasil (OAB) para cadastrar advogados em todo o país, a fim de fornecer assistência aos associados do instituto para receber as compensações. Devido às diversas opções de recursos legais disponíveis, o resultado da ação é incerto, e um pagamento representaria um precedente único no país.

Publicado em por Deixe um comentário

SENACON NOTIFICA RAIADROGASIL POR USO DE DADOS DE CLIENTES EM PUBLICIDADE

A Secretaria Nacional do Consumidor (Senacon), órgão vinculado ao Ministério da Justiça e Segurança Pública, emitiu uma notificação à empresa RaiaDrogasil, solicitando esclarecimentos acerca do uso de dados pessoais de seus clientes. A notificação tem como base uma reportagem do UOL, publicada em setembro, que revelou que a rede de farmácias criou uma empresa chamada RD Ads, destinada a comercializar informações dos consumidores com anunciantes.

Nesse processo, os anunciantes contatam a RD Ads, especificam o público que desejam atingir e a empresa realiza consultas no extenso banco de dados da RaiaDrogasil. Isso permite que anúncios sejam direcionados a pessoas com base em seus perfis de consumo, não apenas no site da farmácia, mas também em plataformas de redes sociais e no YouTube. Vale ressaltar que a base de dados da RaiaDrogasil abrange até 15 anos de informações de cerca de 48 milhões de indivíduos, o que corresponde a um em cada cinco brasileiros. Tais dados incluem informações sensíveis, revelando históricos de saúde e comportamentos pessoais, o que levanta preocupações em relação à sua utilização.

A Senacon expressa a sensibilidade desses dados devido ao potencial uso que poderia levar à discriminação, o que é proibido pela legislação e violaria os direitos fundamentais de liberdade e igualdade estabelecidos na Constituição.

A notificação à RaiaDrogasil foi assinada por Wadih Damous, Secretário Nacional do Consumidor. Até o momento, a RaiaDrogasil ainda não confirmou o recebimento da notificação, mas quando o fizer, terá um prazo de dez dias para apresentar sua resposta. A Senacon formulou onze perguntas e solicitou documentos comprobatórios. Algumas das questões levantadas incluem se os consumidores deram consentimento para o uso de seus dados pessoais em ações de publicidade e propaganda, tanto pela empresa quanto por terceiros.

A política de privacidade da RaiaDrogasil em vigor até a publicação da reportagem não fazia menção à monetização dos dados para fins de publicidade de terceiros. Além disso, a Senacon indagou sobre a relação entre a RD Ads e o grupo RaiaDrogasil, bem como sobre o modelo de negócios da RD Ads. Conforme um comunicado aos investidores da RaiaDrogasil, a empresa criou a RD Ads em novembro de 2021, com o principal objetivo de monetizar os dados junto às indústrias e agências de publicidade, conectando marcas aos clientes mais relevantes.

Publicado em por Deixe um comentário

IOT E O DIREITO: NAVEGANDO PELOS DESAFIOS JURÍDICOS DA ERA CONECTADA

A Internet das Coisas (IoT) tem rapidamente transformado a maneira como vivemos, integrando tecnologia em muitos aspectos de nossas vidas cotidianas. A IoT oferece inúmeras vantagens, como maior eficiência, automação e aprimoramento da qualidade de vida, mas ao mesmo tempo apresenta complexos desafios legais que não podem ser negligenciados.

A proteção da privacidade dos usuários é, sem dúvida, um dos principais desafios. Com dispositivos IoT constantemente coletando e compartilhando dados pessoais, a preocupação com o uso inadequado dessas informações é legítima. Uma regulamentação sólida e eficaz é essencial para garantir a privacidade individual e o controle sobre os próprios dados.

Outro ponto crítico é a segurança dos dispositivos conectados. A interconexão de objetos introduz novos riscos, como acesso não autorizado e ameaças cibernéticas. É imperativo que as empresas que desenvolvem esses dispositivos adotem medidas de segurança robustas e que haja legislação estabelecendo padrões mínimos de segurança.

A questão da responsabilidade civil também é digna de atenção. Com a IoT, dispositivos conectados podem causar danos a terceiros, seja por falhas de segurança, mau funcionamento ou ações autônomas do dispositivo. Nesses casos, é fundamental definir quem será responsabilizado pelos danos e como a reparação será efetuada.

A proteção de dados é uma preocupação constante. Dada a quantidade de informações coletadas pelos dispositivos IoT, regras claras sobre coleta, armazenamento e compartilhamento de dados são essenciais. A Lei Geral de Proteção de Dados (LGPD) representa um marco importante nesse contexto, estabelecendo diretrizes para o uso responsável de dados pessoais.

Diante desses desafios, é importante que o direito evolua em paralelo ao avanço tecnológico. Uma legislação atualizada e eficaz é necessária para garantir a proteção dos direitos individuais e o desenvolvimento seguro e responsável da IoT.

A IoT traz consigo uma série de complexos desafios legais que requerem atenção cuidadosa. A proteção da privacidade, a segurança dos dispositivos, a questão da responsabilidade civil e a proteção de dados são questões críticas que exigem uma regulamentação sólida e eficaz, garantindo um progresso seguro e responsável na área da IoT.

Publicado em por Deixe um comentário

VIOLAÇÃO DA LGPD: ANPD SANCIONA IAMSPE COM ADVERTÊNCIAS E MEDIDAS CORRETIVAS

No último dia 6 de outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) concluiu um processo sancionatório contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) por violação da LGPD. Neste caso, a violação se relacionou à falha do IAMSPE em manter sistemas seguros para o armazenamento e tratamento adequado dos dados pessoais de milhões de servidores públicos e seus dependentes, configurando uma espécie de engenharia social que levou a erros por parte dos usuários, expondo seus dados pessoais, em violação ao artigo 49 da LGPD.

Conforme estabelece o artigo 49 da Lei 13.709/2018, os sistemas utilizados para o tratamento de dados pessoais devem atender a requisitos de segurança, boas práticas, governança e princípios gerais da lei, bem como outras normas regulamentares.

Além disso, o IAMSPE foi considerado responsável por um incidente de segurança no qual não comunicou de forma clara, adequada e tempestiva os titulares dos dados sobre quais dados pessoais poderiam ter sido comprometidos, infringindo o artigo 48 da LGPD, que estabelece os requisitos mínimos para uma comunicação eficaz de incidentes de segurança, tanto para a ANPD quanto para os titulares dos dados.

Diante dessas infrações, a ANPD aplicou ao IAMSPE advertências e apontou medidas corretivas, conforme despacho publicado no Diário Oficial da União. Isso reforça a importância para todas as organizações, sejam públicas ou privadas, de cumprir integralmente as disposições da LGPD. A ANPD tem demonstrado seu empenho em finalizar os processos e aplicar as sanções necessárias diante das violações, ressaltando a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas.

É importante que os contadores informem a seus clientes sobre a importância de se adequar à LGPD, buscando profissionais qualificados para realizar os procedimentos exigidos. Vale destacar que a cópia de políticas de privacidade ou a oferta de informações genéricas é ineficaz e pode configurar crime, conforme o artigo 184 do Código Penal. A adequação à LGPD é um assunto de extrema seriedade, e qualquer abordagem genérica é insuficiente.

Publicado em por Deixe um comentário

LGPD NO BRASIL: DESAFIOS E REFLEXÕES CINCO ANOS APÓS SUA IMPLEMENTAÇÃO

Cinco anos após a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil, a situação da segurança da informação nas empresas ainda deixa muito a desejar. A adesão à LGPD por parte das empresas brasileiras é uma incógnita, com números divergentes entre 20% e 50%. Isso revela que a segurança da informação continua sendo um ponto fraco para a maioria das organizações no país.

Com base em um estudo do Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação no Brasil (Cetic.br) publicado em agosto de 2022, apenas 32% das empresas têm uma política de privacidade que esclarece como é feito o tratamento dos dados. Apenas 30% realizam testes de segurança contra vazamentos de dados, e míseros 17% designaram um encarregado de dados, mesmo sendo uma obrigação dispensada para empresas menores.

A LGPD foi criada para garantir o direito dos cidadãos à privacidade e proteção de seus dados pessoais, evitando o uso indevido dessas informações pelas empresas. No entanto, para proteger os dados, as empresas precisam também proteger o ambiente tecnológico e físico onde essas informações são armazenadas.

Considerando uma mediana entre 20% e 50%, podemos concluir que apenas cerca de 35% das empresas contam com sistemas para proteção de dados. Nesse aspecto, a segurança da informação mostrou pouca evolução em cinco anos.

A teoria da segurança da informação nas organizações contrasta com a prática. Embora as empresas apresentem um discurso inovador e correto sobre segurança da informação, a realidade não reflete esse discurso. A segurança da informação ainda é afetada pela volatilidade econômica e pelo uso de soluções inadequadas para combater as ameaças atuais.

Os números de ataques a empresas no Brasil continuam crescendo. Um relatório da Check Point Research referente ao primeiro semestre de 2023 revelou um aumento de 8% nas atividades criminosas. A inteligência artificial e a engenharia social estão sendo cada vez mais utilizadas para realizar ataques complexos, como phishing e ransomware.

Além disso, o uso indevido da inteligência artificial está em ascensão, com ferramentas de IA generativa sendo empregadas para criar e-mails de phishing, malwares e códigos de ransomware.

Embora o cenário macroeconômico do Brasil possa contribuir para essa realidade, é fundamental reconhecer que a segurança da informação não é uma prioridade para a maioria das empresas, como evidenciado pela baixa adesão à LGPD.

Adotar a LGPD vai além de cumprir formalidades, como ter um link para a Política de Privacidade no site. Requer controles de acesso eficazes, visibilidade e proteção de dados físicos e digitais, além do investimento em tecnologias baseadas em inteligência artificial e aprendizado de máquina para combater um cenário de ameaças em constante evolução.

No primeiro semestre de 2023, o Brasil enfrentou cerca de 23 bilhões de tentativas de ataques. É fundamental que, nos próximos cinco anos, haja um aumento significativo no número de empresas que adotaram a regulamentação, em paralelo à redução dos ataques cibernéticos.