Author name: Admin

     A era digital traz consigo transformações exponenciais, incluindo a busca por novas ferramentas para resguardar a segurança física e digital. No contexto brasileiro, ampliou-se a utilização de dados biométricos para fins de segurança, como controle de acesso em condomínios e autenticação em sistemas bancários.      Dados biométricos, como impressões digitais, reconhecimento facial e íris, são traços físicos únicos e imutáveis capazes de distinguir cada indivíduo. Ao contrário de senhas, que podem ser modificadas ou quebradas, esses dados  acompanham o indivíduo por toda a vida. Neste cenário, algumas iniciativas surgem com o objetivo de criar sistemas globais de identidade digital.       Recentemente, um projeto idealizado por uma empresa de tecnologia implementou um sistema que utiliza o escaneamento da íris para gerar uma identidade digital única. Por meio de processo de fiscalização, a Autoridade Nacional de Proteção de Dados – ANPD, suspendeu a coleda de dados, dentre outors motivos, em razão  da possível influência da remuneração pela obtenção de dado sensível sobre a validade do consentimento livre e informados dos titulares. Em nota, a ANPD também considerou apontou a impossibilidade de excluir os dados biométricos coletados, somada à irreversibilidade da revogação do consentimento.      Mesmo após a empresa recorrer administrativamente e solicitar prazo adicional de 45 dias para implementar mudanças no aplicativo e interromper a oferta de compensação financeira, o Conselho Diretor da ANPD manteve a suspensão da compensação financeira e negou o prazo solicitado. Diante da decisão, a empresa responsável anunciou a pausa voluntária e temporária de seu serviço no Brasil.        Coleta de dados pessoais sensíveis      Esse caso salienta um debate mais amplo sobre a coleta e o uso de dados biométricos, especialmente no que se refere à proteção da privacidade, aos riscos e benefícios envolvidos, a necessidade da coleta e os limites para o uso destes dados.       A Lei Geral de Proteção de Dados – LGPD, define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.      Segundo a LGPD, a íris é considerada um dado biométrico, ou seja, uma dado pessoal sensível. Para que a coleta e o processamento sejam considerados legítimos,  é indispensável obter o consentimento do titular, que deve ser dado de: Forma livre;  Informada; Inequívoca;  Específica e destacada.      Além disso, a finalidade para a qual esses dados são utilizados deve ser claramente definida e comunicada aos titulares. Cumpre ressaltar que, a LGPD prevê exceções em que o tratamento de dados pessoais sensíveis pode ocorrer sem o fornecimento do consentimento do titular, como nas hipóteses em que for indispensável para: Cumprimento de obrigação legal ou regulatória pelo controlador; Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Exercício regular de direitos; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde; Garantia da prevenção à fraude e à segurança do titular.      Fora dessas hipóteses, a obtenção do consentimento é necessária para assegurar a conformidade legal e proteger os direitos do titular.      Ademais, a coleta de consentimento para o tratamento deve ponderar os princípios aplicáveis ao tratamento: A finalidade deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; Adequacão com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; Garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Fornecer informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; Não realizar o tratamento para fins discriminatórios ilícitos ou abusivos; Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.      Riscos no tratamento de dados biométricos      Embora os dados biométricos possibilitem  viabilizar novos sistemas de autenticação, sua coleta e processamento envolvem riscos e responsabilidades. Em evento recente promovido pela ANPD, integrantes da Autoridade destacaram que a forma como a coleta é realizada atualmente apresenta aspectos problemáticos.      O discurso de que o uso da biometria está diretamente ligado à segurança precisa ser analisado com cuidado. Muitas portarias virtuais de condomínio são, por exemplo, exigem a identificação biométrica dos moradores, mas onde esses dados estão sendo armazenados? Há segurança suficiente para protegê-los?      O uso indevido  representa um risco significativo para as empresas e os titulares.  Dessa forma, é essencial que a coleta e o tratamento dessas informações sejam realizadas com o maior nível de segurança possível, que deve ser verificado em todo o ciclo de vida dos dados. Incidentes de segurança que envolvam dados sensíveis podem trazer consequências severas, tanto para os direitos e liberdades dos indivíduos afetados quanto para a própria empresa, que podem ser sujeitas a multas elevadas e outras penalidades, como a divulgação pública da infração e proibição parcial ou total das atividades. Este artigo foi preparado com propósito meramente informativo; não

     O chamado “golpe do falso advogado” preocupa cada vez mais a advocacia e a sociedade. De 2022 a 2024, a Ordem dos Advogados de São Paulo – OAB/SP recebeu cerca de 400 denúncias de casos em que criminosos se passaram por advogados para solicitar pagamentos indevidos, especialmente via PIX. Os criminosos acessam processos judiciais para obter documentos e informações dos clientes e dos casos para se passarem pelos advogados da causa e aplicar golpes. Importante destacar que os tribunais permitem amplo acesso aos processos judiciais para atender ao princípio da publicidade dos atos jurisdicionais. A restrição de acesso é aplicável somente para processos que tramitam sob segredo de justiça.      Diante da gravidade da situação, a OAB/SP intensificou suas ações de combate a essas fraudes e, em julho de 2024, criou um grupo de trabalho para enfrentar o problema. A iniciativa envolve a Comissão de Fiscalização da Atividade Profissional e a Comissão de Prerrogativas.        A OAB/SP apresentou às autoridades o ‘Cartilha do Golpe do Falso Advogado’, com intuito de informar advogados e clientes sobre as melhores práticas a serem adotadas para prevenir e remediar os danos causados pelo golpe.        O crescimento desses golpes afeta diretamente a confiança da população no sistema de justiça, pois o amplo acesso a processos – com informações pessoais e documentos – expõem todos aqueles que são partes em demandas judiciais a risco de serem vítimas de crime. Assim, além da atuação da OAB, é indispensável que os tribunais revejam a forma de atender ao princípio da publicidade e, ao mesmo tempo, garantir a proteção de dados dos jurisdicionados.         Além da advocacia, empresas de diversos setores estão vulneráveis a terem seu nome utilizado em fraudes. Implementar autenticação em duas etapas para sistemas e dispositivos, ter um site institucional profissional e perfil em redes sociais com informações claras, monitoramento online da marca, boa comunicação com clientes e segurança da informação são exemplos de medidas que reforçam a proteção contra fraudes.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     O início do ano de 2025 foi marcado por calorosa discussão pública sobre a norma da Receita Federal que tinha como objetivo fiscalizar as movimentações financeiras realizadas por meio de PIX (Instrução Normativa RFB n. 2219, de 18/09/2024), porém o debate foi contaminado também sobre notícias falsas relacionadas à suposta criação de novo imposto. Diante da avalanche de críticas e desinformação, a Portaria foi revogada e o Poder Executivo também editou a Medida Provisória nº 1.288, em 16/01/2025, para prever a proibição de tributação de qualquer valor, tributo ou encargo adicional sobre os pagamentos realizados por meio de PIX.          É importante compreender que há mais de 20 anos a Receita Federal fiscaliza as movimentações financeiras por meio de informações fornecidas pelas instituições financeiras, com o objetivo de acompanhamento das transações realizadas por elas a fim de evitar a evasão fiscal e a lavagem de dinheiro.         Em 2015, a Receita Federal editou a Instrução Normativa RFB n. 1571/2015 para permitir a fiscalização de novas práticas comerciais, impondo os seguintes deveres: As instituições financeiras devem informar à Receita Federal operações financeiras mensais acima de R$ 2.000,00 para pessoas físicas e R$ 6.000,00 para pessoas jurídicas; As informações devem ser declaradas mensalmente e enviadas ao Fisco duas vezes por ano.          A medida foi implementada para auxiliar a Receita Federal na identificação de possíveis inconsistências entre as movimentações financeiras e as declarações de imposto de renda dos contribuintes. Desde esse ato normativo determinadas pessoas jurídicas, em especial as instituições financeiras, são obrigadas a informar à Receita Federal todos os depósitos e operações financeiras realizadas por seus clientes que ultrapassem os limites estabelecidos.         Com o avanço da tecnologia, novos meios de pagamentos digitais, como o PIX, passaram a fazer parte da rotina dos brasileiros, exigindo que a legislação acompanhe as inovações e garanta maior controle das transações financeiras. Neste sentido, a Instrução Normativa RFB 2219/2024, recém revogada, previa: A obrigatoriedade de operadoras de cartões de crédito e instituições financeiras, – como bancos digitais e fintechs, de reportarem semestralmente dados sobre transações via Pix e cartões de crédito;  A comunicação obrigatória para movimentações que ultrapassem R$ 5.000,00 mensais no caso de pessoas físicas e R$ 15.000,00 mensais para pessoas jurídicas.      A exigência seguiu os mesmos moldes aplicados às instituições financeiras desde 2015, que já reportavam informações sobre movimentações financeiras acima dos limites estabelecidos.  Em síntese, as instituições financeiras reportariam as movimentações bancárias à Receita Federal, que seria responsável por analisar cada transação para determinar se ela deve ser tributada ou se indica o recebimento de rendas tributáveis não declaradas pelo contribuinte.         A fiscalização e monitoramento das operações financeiras não tem como intuito violar o sigilo bancário nas operações. A Receita Federal já tem acesso a informações fundamentais de cidadãos, como nome, endereço, número de inscrição no Cadastro de Pessoas Físicas (CPF), no Cadastro Nacional da Pessoa Jurídica (CNPJ) e número das contas bancárias. Mesmo com o monitoramento, não é possível identificar a natureza dos gastos efetuados, e o órgão não possui acesso às informações sobre o conteúdo dessas operações.           Mesmo com a revogação da Instrução Normativa relacionada ao PIX, a Receita Federal segue realizando o monitoramento das operações financeiras. Assim, é importante atender à legislação aplicável quanto à declaração e recolhimento de imposto de renda. Em caso de suspeita de omissão de rendimentos, o contribuinte é notificado pela Receita Federal para apresentar defesa / esclarecimentos em processo administrativo.         Vale destacar que é necessário ter atenção para verificar se a notificação é realmente da Receita Federal, pois há grupos criminosos que enviam comunicações falsas para obter vantagem indevida. Ademais, é recomendável consultar profissional especializado se a questão a ser esclarecida demandar conhecimento especializado em direito tributário.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020 para modificar a forma como a privacidade e a segurança dos dados pessoais são tratados no Brasil. Desde 1º de agosto de 2021, as infrações à LGPD estão sujeitas a penalidades, incluindo advertências, multas e outras sanções administrativas, reforçando a necessidade de conformidade por parte das organizações públicas e privadas.      A Autoridade Nacional de Proteção de Dados (ANPD) reafirmou seu compromisso de intensificar a fiscalização do cumprimento da LGPD. Nesta esteira, a Autoridade notificou 20 organizações para esclarecerem a ausência de informação do contato de encarregado pelo tratamento de dados pessoais, conforme impõe o art. 41 da LGPD.        O encarregado é responsável por auxiliar o controlador a atender às exigências da LGPD. Suas atribuições incluem as seguintes atividades: Receber comunicações da ANPD e endereçar as providências; Receber reclamações e comunicações dos titulares para endereçar os esclarecimentos e providências aplicáveis; Orientar os funcionários, colaboradores e os contratados do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.       Nesse sentido, o Coordenador-Geral de Fiscalização da ANPD, afirmou que “a ausência de um Encarregado ou de um canal de comunicação eficaz impede que os titulares de dados exerçam seus direitos e compromete a transparência no tratamento de informações pessoais.”  Essa situação afeta tanto os titulares como a ANPD, que necessita dessa interação para garantir a conformidade com a LGPD.         Fiscalização        A fiscalização alcançou um espectro amplo de setores, abrangendo empresas de tecnologia, telefonia, educação, saúde e varejo. Dentre as empresas fiscalizadas, foram identificadas não apenas aquelas que não fornecem informações sobre o encarregado, mas aquelas também que, apesar de o encarregado ter sido indicado pelo controlador, o canal de contato não cumpre adequadamente sua função de intermediar a relação entre o titular de dados e o controlador.         O processo de fiscalização da ANPD é regulamentado pela Resolução CD/ANPD 1/2021. O regulamento estabelece os procedimentos de fiscalização, que incluem atividades de monitoramento e atuação preventiva. A Autoridade pode iniciar a fiscalização de diversas formas, incluindo por auditorias próprias e denúncias de titulares de dados.         Processo administrativo sancionador       No primeiro momento, a fiscalização tem como intuito assegurar que as empresas notificadas cumpram as exigências legais, regularizando a nomeação de um encarregado ou a implementação de um canal de comunicação eficaz. Caso as falhas permaneçam, as organizações notificadas poderão ser alvo de processos administrativos sancionadores, que incluem  as penalidades  previstas no artigo 52 da LGPD como advertências e multas de até R$ 50 milhões por infração.       A ANPD seguirá monitorando o cumprimento das obrigações previstas na LGPD, visando promover um ambiente de conformidade e proteção de dados no Brasil. Além disso, a adequação à LGPD demonstra compromisso com a segurança da informação, fortalecendo a reputação das empresas no mercado e transmitindo confiança a clientes, colaboradores e parceiros. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A internet tem alcance global e provoca crescentes desafios quanto aos limites da soberania nacional para regulação de conteúdo online. Nesse cenário, há discussão sobre a possibilidade de decisões judiciais imporem medidas que ultrapassam as fronteiras do país para obrigar plataformas digitais a remover conteúdos em todo o mundo.        Em decisão recente, o Superior Tribunal de Justiça (STJ), por maioria de votos, reconheceu a possibilidade de a Justiça brasileira determinar a uma plataforma de internet a retirada de conteúdo em toda a sua rede.  O julgamento se originou de recurso em ação que reconheceu o conteúdo comprovadamente falso e difamatório contra uma empresa do setor alimentício, que havia sido publicado originalmente em um aplicativo de vídeos.      A ministra relatora Nancy Andrighi destacou que,  tribunais de diversos países já demonstraram a preocupação com a eficácia das decisões judiciais na garantia da proteção de vítimas de difamação no ambiente online. Segundo a magistrada, “a efetividade das decisões judiciais na proteção de vítimas de difamação na internet é um fenômeno de jurisdição global, comparável ao próprio alcance da rede mundial de computadores”. Neste sentido, segundo a decisão, a própria natureza intrínseca dessas plataformas torna desarrazoada qualquer tentativa de fragmentar territorialmente seus efeitos.      Implicações da decisão      A decisão cria um precedente importante, reforça a necessidade de um debate aprofundado sobre a regulação da internet e cooperação internacional no enfrentamento de desafios legais relacionados à internet e à sua natureza transfronteiriça. Além disso, a decisão também impulsiona as plataformas digitais a ajustarem suas políticas e operações para melhor lidar com ordens judiciais de alcance global.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 para estabelecer critérios e responsabilidades visando resguardar a proteção de dados pessoais, permitindo a sua utilização, desde que haja uma base legal, propósitos legítimos e medidas técnicas e organizacionais.  A partir de 1° de agosto de 2021, as organizações podem ser responsabilizadas por sanções administrativas em caso de violação à LGPD, o que inclui a imposição de multas, suspensão de atividades de tratamento e publicização da infração. Além disso, os controladores de dados podem ser responsabilizados na esfera cível por perdas e danos sofridos pelos titulares.        Com a crescente digitalização, os ataques cibernéticos se tornaram uma preocupação global, podendo assumir diversas formas capazes de comprometer a segurança de sistemas e dados pessoais e gerar prejuízos incalculáveis. Uma pesquisa da Kaspersky, empresa russa especializada em softwares de segurança para a internet, revelou que o Brasil é o segundo país com mais ataques cibernéticos no mundo, somando mais de 700 milhões em 12 meses, o equivalente a 1.379 ataques por minuto.       Dentre os ataques mais comuns, destacamos: Ransomware: caracterizado pelo sequestro de dados, que foi o mais recorrente; Phishing: uma prática em que invasores enganam usuários por meio de mensagens fraudulentas; Malware: software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.      Entre as consequências dos ataques cibernéticos há possibilidade de interrupção de operações, custos de recuperação, multas regulatórias e danos à confiança dos consumidores.        Em decisão recente, o Superior Tribunal de Justiça (STJ) afirmou que ataques cibernéticos não eximem empresas da responsabilidade pela proteção dos dados pessoais de seus clientes. O caso analisado pela 3ª Turma do STJ envolveu uma concessionária de energia elétrica que sofreu um ataque hacker, resultando na exposição de dados pessoais não sensíveis de um cliente.       A discussão nos autos se concentrava em dois pontos principais, se a natureza ilícita do vazamento caracterizaria uma excludente de responsabilidade ou se vazamento de dados pessoais não sensíveis, resultante de uma atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD. A empresa sustentou que o incidente se deu em razão de conduta de terceiro, sem qualquer relação com a organização, defendendo a exclusão de sua responsabilidade com base no art. 43, III da LGPD.       No julgamento do recurso, o ministro relator Ricardo Villas Bôas Cueva destacou que a Emenda Constitucional 115/2022 inseriu a proteção de dados pessoais no rol de direitos fundamentais, marcando um novo capítulo no ordenamento brasileiro. Nesse sentido, o ministro fundamentou que o tratamento de dados pessoais é considerado irregular quando o agente de tratamentos não oferece a segurança que o titular poderia esperar.       Assim, o ataque hacker, embora resultado de conduta criminosa de terceiros,  mostrou uma falha da empresa, não a eximindo da responsabilidade. A organização deveria estar devidamente estruturada de forma a atender aos requisitos de segurança, aos padrões de boas práticas de governança, e aos princípios gerais estabelecidos na LGPD, além de cumprir as normas regulamentares aplicáveis.        Implicações da decisão       A decisão cria um precedente importante, servindo de parâmetro para futuras ações judiciais envolvendo a proteção de dados. Ela define um padrão para a responsabilização de empresas em casos de falhas de segurança, reforçando a importância de medidas adequadas para atender as obrigações legais devidas e promover  a proteção de dados dos consumidores, especialmente em um cenário onde ataques cibernéticos são cada vez mais frequentes.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.