Lei Geral de Proteção de Dados – LGPD

Desde a divulgação do Chat GPT pela OpenAI em novembro de 2022, o investimento e pesquisa em Inteligência Artificial (“IA”) cresce exponencialmente. Consultorias especializadas apontam que a IA pode contribuir com 19 trilhões de dólares na economia global até 2030 e impulsionar o Produto Interno Bruto – PIB em 3,5% em 2030. Cada dólar investido em soluções de negócio e serviços relacionados à IA pode gerar 4,6 dólares na economia global por meio de efeitos indiretos e induzidos.1  A denominação “Inteligência Artificial” é utilizada para descrever algoritmos que podem desempenhar tarefas que são geralmente associadas à inteligência humana, como tomada de decisão, resolução de problemas, aprendizagem de linguagem e percepção de padrões. Existem diferentes tipos de sistemas de IA, que começaram a ser desenvolvidas ainda na década de 50 do século passado (machine learning) e outros que surgiram a partir dos anos 2000, como  deep learning (aprendizagem profunda) ou neural networks (redes neurais), IA generativa e Large Language Models – LLM.  Os diferentes tipos de IA são amplamente utilizados em todos os segmentos de atividades econômicas. Citamos alguns casos a título ilustrativo: Saúde: diagnóstico médico para auxiliar na identificação de doenças, desenvolvimento de tratamentos personalizados de acordo com perfil genético do paciente, assistentes virtuais para agilizar agendamento de consultas e monitoramento de doenças crônicas com dispositivos inteligentes; Indústria: manutenção preditiva de máquinas, controle de qualidade com uso de recursos tecnológicos para aprimorar identificação de defeitos e otimização de processos operacionais; Varejo: análise da preferência dos clientes para fazer recomendações mais precisas, gestão de estoque e atendimento ao cliente; Transporte e logística: otimização de cálculo de rotas para entregas mais eficientes e gestão de frotas; Finanças: detecção de fraudes em tempo real, assessoria financeira para personalização de investimentos e análise de crédito; Agricultura: utilização de drones e sensores para monitorar dados do solo, clima, plantações e identificação de pragas ou doenças; Recursos humanos: ferramentas para pré-seleção de candidatos, aplicação de testes de conhecimento e avaliação de produtividade;  Turismo e hospitalidade: sugestão de hotéis, voos e pacotes turísticos de acordo com as preferências do consumidor, atendimento ao cliente, e gestão de ocupação e preços.    A Organização para a Cooperação e Desenvolvimento Econômico – OCDE2 compara a IA com outras tecnologias que tiveram efeito geral em razão da vasta gama de aplicações técnicas e econômicas, que são: máquinas à vapor, eletricidade, computadores e internet. A IA se diferencia de todas as tecnologias que foram criadas no passado em razão das seguintes características: (i) análise avançada (otimização de previsões) e geração de conteúdo, que é muito mais ampla quando comparada com a capacidade de cálculos dos computadores e da troca de informações proporcionada pela internet; (ii) impacto em ampla gama de atividades cognitivas, enquanto os computadores afetaram primariamente rotinas cognitivas e comunicação; (iii) os computadores têm limitada capacidade de operação independente de humanos, enquanto a IA tem potencial avançado; (iv) a IA é a única tecnologia com capacidade de se autoaprimorar.    Embora os benefícios da IA sejam inegáveis, diversas entidades internacionais apontam os seus riscos, com especial atenção aos direitos fundamentais consagrados em tratados internacionais. Nesta esteira, a União Europeia aprovou legislação para regulamentar o desenvolvimento e utilização da IA por seus Estados-membros (EU AI Act),3 que entrará em vigor de forma escalonada até agosto de 2027. No Senado brasileiro também é debatido o Projeto de Lei 2.338/2023 para regulamentar a sua utilização no país.  No âmbito corporativo, as empresas precisam considerar os seguintes riscos ao incorporarem IA nas suas atividades: Privacidade e segurança de dados Viéses e discriminação a depender da utilização e dos dados utilizados para treinamento, cujo resultado pode ser contra-producente  Dependência excessiva, que pode levar a falhas críticas ou comprometimento do sistema Falta de transparência e explicabilidade das decisões tomadas com base nos sistemas de IA; Responsabilidade legal se houver dano ou prejuízo a terceiros   Em 2025, a sócia de Boiteux & Almeida Advogados – Ursula Ribeiro de Almeida – obteve certificação de executiva em Inteligência Artificial Confiável e Privacidade pela Universidade de Maastricht (ECPC-AI Trust and Privacy Compliance Officer Certification from the European Centre on Privacy and Cybersecurity, Maastricht University). Dessa forma, podemos cooperar com a utilização responsável e segura da IA para que as organizações possam alcançar melhores resultados em produtividade.   Referências: ICD. IDC: Artificial Intelligence Will Contribute $19.9 Trillionto the Global Economy through 2030 and Drive 3.5% of Global GDP in 2030, 17 set. 2024. Disponível em: https://www.idc.com/getdoc.jsp?containerId=prUS52600524. Acesso em: 07/03/2025. OECD. The Impact of Artificial Intelligence on Productivity, Distribution And Growth: Key Mechanisms, Initial Evidence And Policy Challenge. April / 2024, n. 15.  EUROPEAN UNION. Regulation (EU) 2024/1689 (Artificial Intelligence Act). Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689. Acesso em 06 mar. 2025.   Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. https://fortune.com/2025/01/29/gen-z-millennials-admit-to-digital-shoplifting/ https://www2.deloitte.com/us/en/insights/industry/telecommunications/connectivity-mobile-trends-survey.html  Juniper Research. Ecommerce Fraud to Exceed $107bn in 2029, Driven by AI-driven Attacks.

O e-commerce trouxe inúmeras facilidades para consumidores e empresas, expandindo a economia digital e as possibilidades de transações comerciais. O seu crescimento acelerado é acompanhado por novos desafios relacionados ao aumento das fraudes, o que exige investimento em segurança digital. Uma recente reportagem da revista Fortune aponta que metade de pessoas abastadas (com renda superior a 100 mil dólares anuais) de jovens da geração Z e Millenius admitem que cometeram fraudes no comércio eletrônico nos Estados Unidos. Ao mesmo tempo, a pesquisa realizada pelo Deloitte em 2024 aponta que a geração Z têm maior probabilidade de ser vítima de incidentes de segurança digitais, o que pode estar relacionado com o maior tempo gasto em atividades online do que outras gerações, interações com mais aplicativos e compartilhamento maior de dados pessoais. Segundo estudo realizado por Juniper Research – especialista em fintech e mercados de pagamento – as fraudes no e-commerce global devem ultrapassar 107 bilhões de dólares até 2029, evidenciando o crescimento alarmante das atividades criminosas no ambiente digital. Outra pesquisa realizada no cenário brasileiro revelou que, apenas em janeiro de 2025, as tentativas de fraude no comércio eletrônico somaram 211,6 milhões de reais. Esse valor representa o montante total de transações que foram identificadas como potencialmente fraudulentas com base em padrões suspeitos; ou que, após análise prévia, foram efetivamente confirmadas como fraudes.     Tipos de fraude no comércio eletrônico As fraudes podem ocorrer em diferentes etapas do processo de compra, desde o momento de cadastro do consumidor, com a coleta de informações pessoais, até a exploração de falhas em sistemas de pagamento e logística. Os criminosos utilizam uma série de técnicas para ter acesso a dados pessoais, realizar transações fraudulentas e obter produtos ou serviços sem pagar por eles. Destacamos as mais utilizadas: Furtos digitais: ao comprar determinado produto, o consumidor mal intencionado envia uma reclamação ao varejista pedindo reembolso de um produto, alegando que o produto não foi entregue ou o pedido não foi feito. Outra forma de furto digital é a contestação de cobranças no cartão de crédito junto às instituições de crédito. Fraude de pagamento: golpistas utilizam dados roubados de cartões de crédito para realizar compras. Essas transações geralmente resultam em estornos após a contestação do titular do cartão. Phishing: o golpista envia e-mails ou mensagens via WhatsApp/SMS para enganar os usuários e obter informações confidenciais. O destinatário é induzido a clicar em um link, acreditando que ganhará uma promoção ou brinde, mas, ao fornecer as informações, descobre que foi vítima de um golpe. Roubo de identidade: os golpistas podem roubar informações pessoais, como nomes, endereços, dados de cartão de crédito e utilizar essas informações para abrir contas em nome da vítima ou fazer compras.     Prevenção Com o aumento das fraudes, as empresas enfrentam diversos riscos, principalmente relacionados a perdas financeiras e a danos reputacionais. É essencial adotar mecanismos eficientes de segurança cibernética para mitigar essas ameaças. Elencamos alguns: (i) Utilização de criptografia de dados; (ii) Realização de testes de segurança; (iii) Implementação de sistemas de detecção de fraude; (iv) Políticas de segurança claras. Os consumidores também podem adotar algumas medidas para prevenir fraudes e proteger seus dados pessoais. Algumas práticas recomendadas incluem: (i)  Verificar regularmente suas contas bancárias e extratos de cartão de crédito para identificar transações suspeitas; (ii) Desconfiar de mensagens solicitando informações pessoais ou códigos de confirmação; (iii) Usar senhas fortes; (iv) Desconfiar de ofertas muito vantajosas.     Código de Defesa do Consumidor  O Código de Defesa do Consumidor – CDC é aplicável para todas as relações de consumo, incluindo o comércio eletrônico. O comércio eletrônico deve observar as disposições previstas no Decreto federal n° 7.962/2013, que regulamenta o CDC. Dentre elas: informações claras sobre produto ou serviço, incluindo sobre risco à saúde e à segurança dos consumidores; atendimento facilitado ao consumidor; descrição do nome empresarial e CNPJ do fornecedor de maneira facilmente visível no website; endereço físico e eletrônico para contato; transparência e clareza de informações sobre preço, condições de pagamento, prazos de entrega, dentre outras condições. Segurança nas transações. É indispensável que o e-commerce divulgue as regras aplicáveis para o cadastro e as transações comerciais, como idade mínima para cadastro, prazo e condições de troca, meios de pagamento, dentre outras. A Política de Privacidade ainda deve descrever o tratamento de dados realizado, conforme determina a Lei Geral de Proteção de Dados – LGPD. Em caso de atividade suspeita, a empresa dispõe de regras claras perante os consumidores para adotar as medidas legais cabíveis. Também é indispensável que os consumidores conheçam seus direitos e garantias do consumidor. Estar informado sobre as normas de proteção ao consumidor possibilita a exigência do cumprimento das obrigações legais pelas empresas e contribui para um ambiente de compras mais seguro e transparente. A não observância das normas por parte das empresas, pode acarretar várias consequências, como sanções administrativas, aplicação de multas e até mesmo danos à sua reputação no mercado. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. https://fortune.com/2025/01/29/gen-z-millennials-admit-to-digital-shoplifting/ https://www2.deloitte.com/us/en/insights/industry/telecommunications/connectivity-mobile-trends-survey.html  Juniper Research. Ecommerce Fraud to Exceed $107bn in 2029, Driven by AI-driven Attacks.

     A era digital traz consigo transformações exponenciais, incluindo a busca por novas ferramentas para resguardar a segurança física e digital. No contexto brasileiro, ampliou-se a utilização de dados biométricos para fins de segurança, como controle de acesso em condomínios e autenticação em sistemas bancários.      Dados biométricos, como impressões digitais, reconhecimento facial e íris, são traços físicos únicos e imutáveis capazes de distinguir cada indivíduo. Ao contrário de senhas, que podem ser modificadas ou quebradas, esses dados  acompanham o indivíduo por toda a vida. Neste cenário, algumas iniciativas surgem com o objetivo de criar sistemas globais de identidade digital.       Recentemente, um projeto idealizado por uma empresa de tecnologia implementou um sistema que utiliza o escaneamento da íris para gerar uma identidade digital única. Por meio de processo de fiscalização, a Autoridade Nacional de Proteção de Dados – ANPD, suspendeu a coleda de dados, dentre outors motivos, em razão  da possível influência da remuneração pela obtenção de dado sensível sobre a validade do consentimento livre e informados dos titulares. Em nota, a ANPD também considerou apontou a impossibilidade de excluir os dados biométricos coletados, somada à irreversibilidade da revogação do consentimento.      Mesmo após a empresa recorrer administrativamente e solicitar prazo adicional de 45 dias para implementar mudanças no aplicativo e interromper a oferta de compensação financeira, o Conselho Diretor da ANPD manteve a suspensão da compensação financeira e negou o prazo solicitado. Diante da decisão, a empresa responsável anunciou a pausa voluntária e temporária de seu serviço no Brasil.        Coleta de dados pessoais sensíveis      Esse caso salienta um debate mais amplo sobre a coleta e o uso de dados biométricos, especialmente no que se refere à proteção da privacidade, aos riscos e benefícios envolvidos, a necessidade da coleta e os limites para o uso destes dados.       A Lei Geral de Proteção de Dados – LGPD, define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.      Segundo a LGPD, a íris é considerada um dado biométrico, ou seja, uma dado pessoal sensível. Para que a coleta e o processamento sejam considerados legítimos,  é indispensável obter o consentimento do titular, que deve ser dado de: Forma livre;  Informada; Inequívoca;  Específica e destacada.      Além disso, a finalidade para a qual esses dados são utilizados deve ser claramente definida e comunicada aos titulares. Cumpre ressaltar que, a LGPD prevê exceções em que o tratamento de dados pessoais sensíveis pode ocorrer sem o fornecimento do consentimento do titular, como nas hipóteses em que for indispensável para: Cumprimento de obrigação legal ou regulatória pelo controlador; Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Exercício regular de direitos; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde; Garantia da prevenção à fraude e à segurança do titular.      Fora dessas hipóteses, a obtenção do consentimento é necessária para assegurar a conformidade legal e proteger os direitos do titular.      Ademais, a coleta de consentimento para o tratamento deve ponderar os princípios aplicáveis ao tratamento: A finalidade deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; Adequacão com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; Garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Fornecer informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; Não realizar o tratamento para fins discriminatórios ilícitos ou abusivos; Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.      Riscos no tratamento de dados biométricos      Embora os dados biométricos possibilitem  viabilizar novos sistemas de autenticação, sua coleta e processamento envolvem riscos e responsabilidades. Em evento recente promovido pela ANPD, integrantes da Autoridade destacaram que a forma como a coleta é realizada atualmente apresenta aspectos problemáticos.      O discurso de que o uso da biometria está diretamente ligado à segurança precisa ser analisado com cuidado. Muitas portarias virtuais de condomínio são, por exemplo, exigem a identificação biométrica dos moradores, mas onde esses dados estão sendo armazenados? Há segurança suficiente para protegê-los?      O uso indevido  representa um risco significativo para as empresas e os titulares.  Dessa forma, é essencial que a coleta e o tratamento dessas informações sejam realizadas com o maior nível de segurança possível, que deve ser verificado em todo o ciclo de vida dos dados. Incidentes de segurança que envolvam dados sensíveis podem trazer consequências severas, tanto para os direitos e liberdades dos indivíduos afetados quanto para a própria empresa, que podem ser sujeitas a multas elevadas e outras penalidades, como a divulgação pública da infração e proibição parcial ou total das atividades. Este artigo foi preparado com propósito meramente informativo; não

     O chamado “golpe do falso advogado” preocupa cada vez mais a advocacia e a sociedade. De 2022 a 2024, a Ordem dos Advogados de São Paulo – OAB/SP recebeu cerca de 400 denúncias de casos em que criminosos se passaram por advogados para solicitar pagamentos indevidos, especialmente via PIX. Os criminosos acessam processos judiciais para obter documentos e informações dos clientes e dos casos para se passarem pelos advogados da causa e aplicar golpes. Importante destacar que os tribunais permitem amplo acesso aos processos judiciais para atender ao princípio da publicidade dos atos jurisdicionais. A restrição de acesso é aplicável somente para processos que tramitam sob segredo de justiça.      Diante da gravidade da situação, a OAB/SP intensificou suas ações de combate a essas fraudes e, em julho de 2024, criou um grupo de trabalho para enfrentar o problema. A iniciativa envolve a Comissão de Fiscalização da Atividade Profissional e a Comissão de Prerrogativas.        A OAB/SP apresentou às autoridades o ‘Cartilha do Golpe do Falso Advogado’, com intuito de informar advogados e clientes sobre as melhores práticas a serem adotadas para prevenir e remediar os danos causados pelo golpe.        O crescimento desses golpes afeta diretamente a confiança da população no sistema de justiça, pois o amplo acesso a processos – com informações pessoais e documentos – expõem todos aqueles que são partes em demandas judiciais a risco de serem vítimas de crime. Assim, além da atuação da OAB, é indispensável que os tribunais revejam a forma de atender ao princípio da publicidade e, ao mesmo tempo, garantir a proteção de dados dos jurisdicionados.         Além da advocacia, empresas de diversos setores estão vulneráveis a terem seu nome utilizado em fraudes. Implementar autenticação em duas etapas para sistemas e dispositivos, ter um site institucional profissional e perfil em redes sociais com informações claras, monitoramento online da marca, boa comunicação com clientes e segurança da informação são exemplos de medidas que reforçam a proteção contra fraudes.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     O início do ano de 2025 foi marcado por calorosa discussão pública sobre a norma da Receita Federal que tinha como objetivo fiscalizar as movimentações financeiras realizadas por meio de PIX (Instrução Normativa RFB n. 2219, de 18/09/2024), porém o debate foi contaminado também sobre notícias falsas relacionadas à suposta criação de novo imposto. Diante da avalanche de críticas e desinformação, a Portaria foi revogada e o Poder Executivo também editou a Medida Provisória nº 1.288, em 16/01/2025, para prever a proibição de tributação de qualquer valor, tributo ou encargo adicional sobre os pagamentos realizados por meio de PIX.          É importante compreender que há mais de 20 anos a Receita Federal fiscaliza as movimentações financeiras por meio de informações fornecidas pelas instituições financeiras, com o objetivo de acompanhamento das transações realizadas por elas a fim de evitar a evasão fiscal e a lavagem de dinheiro.         Em 2015, a Receita Federal editou a Instrução Normativa RFB n. 1571/2015 para permitir a fiscalização de novas práticas comerciais, impondo os seguintes deveres: As instituições financeiras devem informar à Receita Federal operações financeiras mensais acima de R$ 2.000,00 para pessoas físicas e R$ 6.000,00 para pessoas jurídicas; As informações devem ser declaradas mensalmente e enviadas ao Fisco duas vezes por ano.          A medida foi implementada para auxiliar a Receita Federal na identificação de possíveis inconsistências entre as movimentações financeiras e as declarações de imposto de renda dos contribuintes. Desde esse ato normativo determinadas pessoas jurídicas, em especial as instituições financeiras, são obrigadas a informar à Receita Federal todos os depósitos e operações financeiras realizadas por seus clientes que ultrapassem os limites estabelecidos.         Com o avanço da tecnologia, novos meios de pagamentos digitais, como o PIX, passaram a fazer parte da rotina dos brasileiros, exigindo que a legislação acompanhe as inovações e garanta maior controle das transações financeiras. Neste sentido, a Instrução Normativa RFB 2219/2024, recém revogada, previa: A obrigatoriedade de operadoras de cartões de crédito e instituições financeiras, – como bancos digitais e fintechs, de reportarem semestralmente dados sobre transações via Pix e cartões de crédito;  A comunicação obrigatória para movimentações que ultrapassem R$ 5.000,00 mensais no caso de pessoas físicas e R$ 15.000,00 mensais para pessoas jurídicas.      A exigência seguiu os mesmos moldes aplicados às instituições financeiras desde 2015, que já reportavam informações sobre movimentações financeiras acima dos limites estabelecidos.  Em síntese, as instituições financeiras reportariam as movimentações bancárias à Receita Federal, que seria responsável por analisar cada transação para determinar se ela deve ser tributada ou se indica o recebimento de rendas tributáveis não declaradas pelo contribuinte.         A fiscalização e monitoramento das operações financeiras não tem como intuito violar o sigilo bancário nas operações. A Receita Federal já tem acesso a informações fundamentais de cidadãos, como nome, endereço, número de inscrição no Cadastro de Pessoas Físicas (CPF), no Cadastro Nacional da Pessoa Jurídica (CNPJ) e número das contas bancárias. Mesmo com o monitoramento, não é possível identificar a natureza dos gastos efetuados, e o órgão não possui acesso às informações sobre o conteúdo dessas operações.           Mesmo com a revogação da Instrução Normativa relacionada ao PIX, a Receita Federal segue realizando o monitoramento das operações financeiras. Assim, é importante atender à legislação aplicável quanto à declaração e recolhimento de imposto de renda. Em caso de suspeita de omissão de rendimentos, o contribuinte é notificado pela Receita Federal para apresentar defesa / esclarecimentos em processo administrativo.         Vale destacar que é necessário ter atenção para verificar se a notificação é realmente da Receita Federal, pois há grupos criminosos que enviam comunicações falsas para obter vantagem indevida. Ademais, é recomendável consultar profissional especializado se a questão a ser esclarecida demandar conhecimento especializado em direito tributário.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020 para modificar a forma como a privacidade e a segurança dos dados pessoais são tratados no Brasil. Desde 1º de agosto de 2021, as infrações à LGPD estão sujeitas a penalidades, incluindo advertências, multas e outras sanções administrativas, reforçando a necessidade de conformidade por parte das organizações públicas e privadas.      A Autoridade Nacional de Proteção de Dados (ANPD) reafirmou seu compromisso de intensificar a fiscalização do cumprimento da LGPD. Nesta esteira, a Autoridade notificou 20 organizações para esclarecerem a ausência de informação do contato de encarregado pelo tratamento de dados pessoais, conforme impõe o art. 41 da LGPD.        O encarregado é responsável por auxiliar o controlador a atender às exigências da LGPD. Suas atribuições incluem as seguintes atividades: Receber comunicações da ANPD e endereçar as providências; Receber reclamações e comunicações dos titulares para endereçar os esclarecimentos e providências aplicáveis; Orientar os funcionários, colaboradores e os contratados do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.       Nesse sentido, o Coordenador-Geral de Fiscalização da ANPD, afirmou que “a ausência de um Encarregado ou de um canal de comunicação eficaz impede que os titulares de dados exerçam seus direitos e compromete a transparência no tratamento de informações pessoais.”  Essa situação afeta tanto os titulares como a ANPD, que necessita dessa interação para garantir a conformidade com a LGPD.         Fiscalização        A fiscalização alcançou um espectro amplo de setores, abrangendo empresas de tecnologia, telefonia, educação, saúde e varejo. Dentre as empresas fiscalizadas, foram identificadas não apenas aquelas que não fornecem informações sobre o encarregado, mas aquelas também que, apesar de o encarregado ter sido indicado pelo controlador, o canal de contato não cumpre adequadamente sua função de intermediar a relação entre o titular de dados e o controlador.         O processo de fiscalização da ANPD é regulamentado pela Resolução CD/ANPD 1/2021. O regulamento estabelece os procedimentos de fiscalização, que incluem atividades de monitoramento e atuação preventiva. A Autoridade pode iniciar a fiscalização de diversas formas, incluindo por auditorias próprias e denúncias de titulares de dados.         Processo administrativo sancionador       No primeiro momento, a fiscalização tem como intuito assegurar que as empresas notificadas cumpram as exigências legais, regularizando a nomeação de um encarregado ou a implementação de um canal de comunicação eficaz. Caso as falhas permaneçam, as organizações notificadas poderão ser alvo de processos administrativos sancionadores, que incluem  as penalidades  previstas no artigo 52 da LGPD como advertências e multas de até R$ 50 milhões por infração.       A ANPD seguirá monitorando o cumprimento das obrigações previstas na LGPD, visando promover um ambiente de conformidade e proteção de dados no Brasil. Além disso, a adequação à LGPD demonstra compromisso com a segurança da informação, fortalecendo a reputação das empresas no mercado e transmitindo confiança a clientes, colaboradores e parceiros. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A internet tem alcance global e provoca crescentes desafios quanto aos limites da soberania nacional para regulação de conteúdo online. Nesse cenário, há discussão sobre a possibilidade de decisões judiciais imporem medidas que ultrapassam as fronteiras do país para obrigar plataformas digitais a remover conteúdos em todo o mundo.        Em decisão recente, o Superior Tribunal de Justiça (STJ), por maioria de votos, reconheceu a possibilidade de a Justiça brasileira determinar a uma plataforma de internet a retirada de conteúdo em toda a sua rede.  O julgamento se originou de recurso em ação que reconheceu o conteúdo comprovadamente falso e difamatório contra uma empresa do setor alimentício, que havia sido publicado originalmente em um aplicativo de vídeos.      A ministra relatora Nancy Andrighi destacou que,  tribunais de diversos países já demonstraram a preocupação com a eficácia das decisões judiciais na garantia da proteção de vítimas de difamação no ambiente online. Segundo a magistrada, “a efetividade das decisões judiciais na proteção de vítimas de difamação na internet é um fenômeno de jurisdição global, comparável ao próprio alcance da rede mundial de computadores”. Neste sentido, segundo a decisão, a própria natureza intrínseca dessas plataformas torna desarrazoada qualquer tentativa de fragmentar territorialmente seus efeitos.      Implicações da decisão      A decisão cria um precedente importante, reforça a necessidade de um debate aprofundado sobre a regulação da internet e cooperação internacional no enfrentamento de desafios legais relacionados à internet e à sua natureza transfronteiriça. Além disso, a decisão também impulsiona as plataformas digitais a ajustarem suas políticas e operações para melhor lidar com ordens judiciais de alcance global.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 para estabelecer critérios e responsabilidades visando resguardar a proteção de dados pessoais, permitindo a sua utilização, desde que haja uma base legal, propósitos legítimos e medidas técnicas e organizacionais.  A partir de 1° de agosto de 2021, as organizações podem ser responsabilizadas por sanções administrativas em caso de violação à LGPD, o que inclui a imposição de multas, suspensão de atividades de tratamento e publicização da infração. Além disso, os controladores de dados podem ser responsabilizados na esfera cível por perdas e danos sofridos pelos titulares.        Com a crescente digitalização, os ataques cibernéticos se tornaram uma preocupação global, podendo assumir diversas formas capazes de comprometer a segurança de sistemas e dados pessoais e gerar prejuízos incalculáveis. Uma pesquisa da Kaspersky, empresa russa especializada em softwares de segurança para a internet, revelou que o Brasil é o segundo país com mais ataques cibernéticos no mundo, somando mais de 700 milhões em 12 meses, o equivalente a 1.379 ataques por minuto.       Dentre os ataques mais comuns, destacamos: Ransomware: caracterizado pelo sequestro de dados, que foi o mais recorrente; Phishing: uma prática em que invasores enganam usuários por meio de mensagens fraudulentas; Malware: software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.      Entre as consequências dos ataques cibernéticos há possibilidade de interrupção de operações, custos de recuperação, multas regulatórias e danos à confiança dos consumidores.        Em decisão recente, o Superior Tribunal de Justiça (STJ) afirmou que ataques cibernéticos não eximem empresas da responsabilidade pela proteção dos dados pessoais de seus clientes. O caso analisado pela 3ª Turma do STJ envolveu uma concessionária de energia elétrica que sofreu um ataque hacker, resultando na exposição de dados pessoais não sensíveis de um cliente.       A discussão nos autos se concentrava em dois pontos principais, se a natureza ilícita do vazamento caracterizaria uma excludente de responsabilidade ou se vazamento de dados pessoais não sensíveis, resultante de uma atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD. A empresa sustentou que o incidente se deu em razão de conduta de terceiro, sem qualquer relação com a organização, defendendo a exclusão de sua responsabilidade com base no art. 43, III da LGPD.       No julgamento do recurso, o ministro relator Ricardo Villas Bôas Cueva destacou que a Emenda Constitucional 115/2022 inseriu a proteção de dados pessoais no rol de direitos fundamentais, marcando um novo capítulo no ordenamento brasileiro. Nesse sentido, o ministro fundamentou que o tratamento de dados pessoais é considerado irregular quando o agente de tratamentos não oferece a segurança que o titular poderia esperar.       Assim, o ataque hacker, embora resultado de conduta criminosa de terceiros,  mostrou uma falha da empresa, não a eximindo da responsabilidade. A organização deveria estar devidamente estruturada de forma a atender aos requisitos de segurança, aos padrões de boas práticas de governança, e aos princípios gerais estabelecidos na LGPD, além de cumprir as normas regulamentares aplicáveis.        Implicações da decisão       A decisão cria um precedente importante, servindo de parâmetro para futuras ações judiciais envolvendo a proteção de dados. Ela define um padrão para a responsabilização de empresas em casos de falhas de segurança, reforçando a importância de medidas adequadas para atender as obrigações legais devidas e promover  a proteção de dados dos consumidores, especialmente em um cenário onde ataques cibernéticos são cada vez mais frequentes.  Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.