Um dos equívocos mais recorrentes que observo nas organizações é tratar a implementação do programa de privacidade como um projeto com escopo fechado e data de entrega.
O ambiente regulatório não para. A ANPD publica novas resoluções, orientações técnicas e notas de esclarecimento com frequência crescente. Basta acompanhar o histórico recente, com as Resoluções CD/ANPD nº 4/2023 e nº 15/2024 alterando de forma significativa o que se espera dos controladores. A jurisprudência também evolui, e decisões administrativas da própria ANPD começam a delinear como a autoridade interpreta conceitos que a lei deixou em aberto.
Nenhuma organização quer passar por um incidente de privacidade. Mas as que estão melhor preparadas são as que conseguem mitigar os danos com mais eficiência quando ele acontece e a diferença entre uma resposta eficaz e uma crise devastadora costuma estar nos processos construídos antes do incidente, não durante.
A LGPD, no artigo 48, obriga o controlador a comunicar à ANPD e ao titular qualquer incidente de segurança que possa acarretar risco ou dano relevante.
Uma organização pode ter toda a documentação em dia, políticas aprovadas, sistemas implementados, e ainda assim ter um problema sério de privacidade. O motivo, na maioria das vezes, é simples: as pessoas não sabem o que fazer, ou pior, sabem e não consideram relevante.
Treinamento e conscientização são pilares fundamentais de qualquer programa de privacidade maduro. Não basta que a liderança esteja alinhada. Cada colaborador que lida com dados pessoais no dia a dia, seja no RH, no atendimento, na área comercial ou na TI, precisa entender suas responsabilidades concretas, não apenas assinar um termo de ciência.
Quando uma empresa contrata um fornecedor que vai ter acesso a dados pessoais de clientes ou colaboradores, as obrigações da LGPD não ficam para trás. Elas acompanham o dado para onde ele for.
A lei distingue controlador e operador: o controlador é quem define a finalidade e a forma do tratamento; o operador é quem realiza o tratamento seguindo as orientações do controlador. O artigo 39 da LGPD obriga o operador a tratar os dados apenas conforme as instruções do controlador.
O conceito de Privacy by Design surgiu há décadas, mas ganhou força regulatória com o GDPR (General Data Protection Regulation ) e, no Brasil, com a LGPD (Lei Geral de Proteção de Dados). O artigo 46, parágrafo 2º, da nossa lei já prevê a adoção de medidas de segurança “desde a concepção” dos produtos e serviços.
Na prática, isso significa que privacidade não pode ser um ajuste de último momento. Quando uma empresa desenvolve um novo produto digital, uma nova funcionalidade ou um novo processo que envolva dados pessoais, as proteções precisam estar planejadas desde o início, e não adicionadas depois que tudo já está pronto.
Uma dúvida que aparece com frequência durante a implementação de programas de privacidade é “Qual a diferença entre política de privacidade e aviso de privacidade?” A distinção prática é importante.
A política de privacidade é um documento interno, voltado para os colaboradores da organização. Ela orienta como os funcionários devem lidar com dados pessoais no dia a dia, quais são as práticas permitidas, quais são as restrições e quais são os canais para reportar dúvidas ou incidentes.
Toda vez que uma empresa trata dados pessoais, precisa ter uma razão jurídica para isso. A LGPD chama isso de base legal, e o artigo 7º da lei lista as hipóteses válidas para dados comuns. Para dados sensíveis, as hipóteses estão no artigo 11, e são mais restritas.
O consentimento é a base mais conhecida, mas está longe de ser a mais utilizada no dia a dia empresarial. Nas relações de trabalho, por exemplo, o tratamento de dados de colaboradores normalmente se fundamenta no cumprimento de obrigação legal ou no contrato.
A noyb.eu publicou um artigo desmistificando 5 equívocos sobre proteção de dados no contexto europeu. Inspirado nesse texto, fiz o exercício de trazer o foco para o Brasil e a LGPD.
Os equívocos por aqui são parecidos.
Equívoco 1: “A LGPD obriga os sites a usar banners de cookies."
Não. A LGPD exige base legal para tratar dados. Se a empresa escolhe o consentimento, ela precisa coletá-lo de forma válida: livre, informada e inequívoca (art.
Parece uma pergunta simples. Mas a maioria das empresas, quando confrontada com ela de forma honesta, não consegue respondê-la com precisão.
O mapeamento e inventário de dados é um dos pilares de qualquer programa de privacidade. Ele permite que a organização tenha uma visão clara de quais dados pessoais processa, em quais sistemas, por quais processos de negócio, por quanto tempo e com quais terceiros esses dados são compartilhados.
Sem esse mapa, fica impossível gerenciar riscos, responder às solicitações de titulares dentro dos prazos legais ou tomar decisões informadas sobre como tratar os dados.
Quando falamos em implementar um programa de privacidade, governança é o ponto de partida. Sem uma estrutura clara de papéis, responsabilidades e processos, qualquer iniciativa corre o risco de se tornar superficial.
O que significa ter governança de privacidade na prática?
Significa que a organização sabe quem é responsável pelo quê. Que existe um Encarregado de Proteção de Dados, o famoso DPO, com acesso direto à alta liderança. Que há um time ou escritório de privacidade funcionando com processos definidos.
O sistema já estava em produção quando me avisaram!
Nenhuma avaliação de privacidade, nenhum mapeamento de dados, nenhum DPA com o fornecedor. Fui chamado depois, para “resolver”. E a resposta que recebi quando perguntei por que não tinham me acionado antes foi direta: “achamos que você ia travar o projeto.”
Ali ficou claro que eu tinha um problema de posicionamento, não de compliance.
A área de negócio não estava agindo de má-fé.
Quando uma empresa decide estruturar um programa de privacidade, uma das primeiras perguntas é: por onde começar? A resposta depende do contexto, e isso não é um problema, é uma vantagem.
O NIST Privacy Framework é um dos referenciais mais conhecidos, desenvolvido de forma colaborativa nos EUA para ajudar organizações a identificar e gerenciar riscos de privacidade de forma prática e adaptável. A ISO 27701, por sua vez, estabelece os requisitos para um Sistema de Gestão de Privacidade da Informação, funcionando como extensão da ISO 27001 e se alinhando diretamente à LGPD e ao GDPR, inclusive na separação de responsabilidades entre controladores e operadores.
Até o final de 2024, mais de 80% dos países já tinham alguma legislação relacionada à proteção de dados pessoais. Esse número, apontado pela Conferência das Nações Unidas sobre Comércio e Desenvolvimento, diz muito sobre a direção que o mundo tomou.
O Brasil, com a LGPD em vigor desde 2020, está alinhado a essa tendência global. A nossa lei foi fortemente inspirada no GDPR europeu, o regulamento que se tornou referência mundial no tema e que prevê multas de até 4% do faturamento global anual para infrações graves.
Existe uma percepção bastante comum nas empresas, especialmente nas menores, de que adequar-se à LGPD é só uma obrigação legal, algo que se faz para não levar multa. Essa visão, além de limitada, pode custar caro.
A Lei Geral de Proteção de Dados está em vigor desde 2020 e a ANPD vem amadurecendo seu processo sancionatório de forma consistente. Em 2023, com a Resolução CD/ANPD nº 4, ficaram definidos os critérios de dosimetria das sanções, o que deixou o cenário ainda mais concreto para as empresas que ainda adiam o tema.
Quando comecei a trabalhar com privacidade e proteção de dados, virei aquela pessoa mais cuidadosa, talvez até um pouco “chatinha”, com meus próprios dados. Passei a prestar atenção em onde guardo arquivos, fotos, informações pessoais. Fiquei mais seletivo, mais consciente dos riscos e das exposições que escolho assumir. Exagero? Talvez. Mas é um cuidado que faço questão de ter.
O curioso é perceber como esse cuidado é frágil quando não depende só de você.
Aquela foto fofa do aniversário, o vídeo engraçado no parquinho, a rotina escolar nos stories. Tudo isso parece inofensivo, mas o sharenting vai muito além de registros afetivos. Estamos falando de exposição massiva, criação de uma identidade digital sem consentimento e, em muitos casos, de lucro direto com a imagem de crianças.
O cenário se complica quando influenciadores transformam seus filhos em produtos. Cada post, parceria ou clique vira parte de uma engrenagem comercial, onde a criança se torna conteúdo e a linha entre afeto e exploração simplesmente desaparece.
Toda vez que você usa uma ferramenta de IA generativa, pode estar alimentando o próximo modelo de linguagem com suas informações. Parece exagero, mas não é. A maioria das plataformas coleta seus prompts, conversas e dados por padrão, e muita gente nem desconfia disso.
A boa notícia é que dá para mudar esse cenário com alguns ajustes simples. O primeiro passo, e o mais importante, é desativar a opção de compartilhamento de dados para treinamento.
Você atende uma ligação. Do outro lado, apenas silêncio.
Parece inofensivo, mas pode ser o primeiro passo de uma fraude sofisticada.
Criminosos utilizam esses segundos de ligação para capturar sua voz e, com ferramentas de inteligência artificial, conseguem reproduzi-la com fidelidade impressionante. A partir daí, podem se passar por você em pedidos de transferência de dinheiro, mensagens a familiares ou até contatos de trabalho.
O risco não está apenas no prejuízo financeiro, mas no uso indevido de um dado extremamente sensível: a sua própria voz.
Nos últimos anos, tenho visto uma discussão recorrente nas empresas, principalmente naquelas que ainda estão iniciando o seu programa de privacidade, afinal, onde a função de privacidade deve ficar? Em segurança, TI, jurídico, compliance?
A definição sobre onde posicionar a área de privacidade continua sendo um dos pontos mais estratégicos dentro das empresas. Segurança, TI, Jurídico e Compliance são atores fundamentais, mas nenhum deles abrange sozinho toda a complexidade da privacidade.
Seja honesto comigo, quantas vezes você leu uma política de cookies antes de clicar em “aceitar tudo”? Eu chuto que a resposta é próxima de zero. E olha, eu não te julgo. Faço a mesma coisa.
Na verdade, vou confessar algo pior: eu nem vejo mais esses banners. Uso bloqueador de anúncios que também bloqueia avisos de cookies. Simplesmente não aparecem na minha tela. Navego tranquilo, sem pop-ups, sem interrupções, sem aquela sensação de estar sendo perseguido por uma caixa pedindo permissão a cada site que visito.
Vamos combinar uma coisa: ninguém lê política de privacidade. Eu sei, você sabe, as empresas sabem. E o pior é que elas contam com isso.
A maioria dessas políticas é escrita para ser complicada. Parágrafos intermináveis, termos jurídicos e letras miúdas que cansam os olhos antes mesmo de você entender o que está em jogo. Às vezes, tenho a impressão de que a complexidade é proposital. Afinal, quanto menos você entende, menos você questiona.
Quando publiquei o post sobre e-mails mascarados, recebi algumas perguntas sobre alternativas gratuitas para mascarar emails no Gmail. Para complementar o que abordei, hoje mostro uma dica prática para você “mascarar” seu Gmail sem custo.
Funciona assim: se seu endereço é nome@gmail.com, use nome+loja@gmail.com ou nome+newsletter@gmail.com. O envio continua chegando na sua caixa principal, mas você passa a ter um identificador por serviço.
Ao criar contas, use um alias diferente para cada fornecedor.
A privacidade virou algo quase abstrato na nossa rotina digital. A gente aceita termos de uso sem ler, compartilha dados como se fossem ilimitados e depois se surpreende quando aquele anúncio sobre algo que você só comentou aparece no feed.
Trabalho com privacidade e proteção de dados há anos e percebi que a privacidade não se constrói com grandes gestos, mas com pequenas escolhas diárias. Aqui vão cinco práticas que incorporei na minha rotina e que realmente mudaram minha forma de navegar no mundo digital.
Você já parou para pensar quantos cadastros fez nos últimos meses usando o mesmo endereço de e-mail? E-commerce, newsletter, download de ebook, streaming… A lista é interminável.
O problema não está em compartilhar seu email. O problema é perder completamente o controle sobre ele depois.
É aí que entram os emails mascarados. Você já ouviu falar sobre isso? A lógica é simples: você cria um endereço único para cada serviço ou cadastro que fizer.
No dia a dia, a maioria das páginas que acessamos na internet carrega muito mais do que o conteúdo que buscamos. Junto com o texto e as imagens vêm anúncios, scripts de rastreamento e cookies que alimentam um ecossistema silencioso de coleta de dados.
É aí que entra o uBlock Origin, uma extensão gratuita e de código aberto disponível para navegadores como Chrome, Firefox, Edge, Brave e Safari. Mais do que bloquear anúncios, ele impede que scripts de rastreamento sejam carregados, reduzindo a exposição de informações pessoais e tornando a navegação mais rápida e limpa.
Os QR Codes deixaram de ser novidade e hoje estão por toda parte: em cardápios, anúncios, eventos e até mesmo em processos internos das empresas. A promessa é sempre de praticidade e economia, mas nem sempre o que está por trás desse quadrado em preto e branco é tão simples assim.
Ao escanear um QR Code, o usuário pode ser redirecionado para links maliciosos que instalam softwares indesejados, mas o risco não para aí.
Um ponto que muitas vezes passa despercebido quando falamos de privacidade e proteção de dados: o que acontece com o dado antes da anonimização?
Muitos acreditam que basta anonimizar depois e o problema está resolvido. Mas não é bem assim.
Até que os dados sejam efetivamente anonimizados, eles continuam sendo considerados dados pessoais e, portanto, sujeitos à LGPD.
Isso significa que o controlador precisa aplicar uma base legal (art. 7º ou 11 da LGPD) para a coleta e qualquer tratamento inicial antes da anonimização.
Durante uma reunião sobre a adequação dos sites organizacionais à LGPD, ouvi a seguinte frase de um representante da área:
O nosso site não possui cookies.
Na hora, soou estranho. Afinal, é raríssimo um site, mesmo os mais simples, não ter ao menos cookies proprietários ou de terceiros.
Esse episódio me trouxe um ponto importante que quero dividir com quem trabalha com privacidade e proteção de dados: Conhecimentos técnicos são essenciais, não basta conhecer apenas a legislação.
Cuidado simples, mas que faz diferença na proteção dos seus dados
Ainda é comum receber pedidos para o envio de documentos pessoais por e-mail ou aplicativo. Às vezes é inevitável: um processo de contratação, abertura de conta ou matrícula escolar. O problema é que, uma vez enviado, aquele documento pode ser replicado, armazenado ou até compartilhado sem controle.
Uma dica simples, mas pouco falada, é aplicar uma marca d’água sobre o arquivo com o nome da empresa ou pessoa que está solicitando e a data do envio.
A nova legislação da União Europeia quer varrer do mapa as chamadas privacy coins e carteiras anônimas até 2027. Moedas como Monero e Dash, voltadas à proteção da identidade dos usuários, serão banidas sob a justificativa de rastrear transações e prevenir crimes financeiros, mas o efeito colateral é claro: o fim do anonimato em criptoativos.
O movimento é coerente com o avanço das políticas de rastreabilidade total nas transações financeiras. Mas levanta uma questão delicada: estamos preparados para abrir mão da privacidade financeira em nome da transparência absoluta?