Rafael Capitão

Tue, 19 May 2026 01:07:26 -0300

Livros essenciais sobre privacidade e governança de IA - danielsolove.substack.com/p/essenti…

LinkedIn realiza varreduras secretas no Chrome

Thu, 07 May 2026 13:55:52 -0300

O LinkedIn está lendo seu navegador e o Google Chrome permite isso. O LinkedIn faz uma leitura silenciosa das extensões instaladas no Chrome dos seus usuários sem qualquer menção na política de privacidade. O caso ficou conhecido como BrowserGate, uma investigação detalhada publicada na semana passada pela Fairlinked eV, uma associação europeia de usuários comerciais do LinkedIn. O BleepingComputer confirmou de forma independente o comportamento de varredura por meio de seus próprios testes.

O script verifica primeiro se você está no Chrome antes de executar qualquer varredura. Os navegadores como Firefox e Safari não são afetados e o Brave bloqueia o envio dos dados antes que saiam do navegador.

E qual a correção para isso? Simples, troque de navegador. Se privacidade importa para você, fuja do Chrome.

Sat, 02 May 2026 15:33:31 -0300

Parei de usar o X.

Não foi uma decisão repentina. Foi o acúmulo de ausência de transparência sobre coleta e uso de dados, mudanças de política comunicadas de forma precária, e um ambiente que foi se tornando cada vez mais difícil de justificar para quem trabalha com privacidade.

Não apaguei o perfil — deixei um post lá informando onde estou. Deslogado, app removido.

Se quiser continuar me acompanhando: Mastodon, Bluesky ou por aqui mesmo.

Mon, 27 Apr 2026 23:49:56 -0300

Atualizei a minha página de apps. A lista reúne os aplicativos e serviços que uso no dia a dia, nada demais, porque meu uso de tecnologia é bastante seletivo. Mas assim como me interesso pelo que outras pessoas usam, talvez alguém se interesse pelo que eu uso também.

Mon, 27 Apr 2026 23:46:28 -0300

Uso o uBlock Origin em todos os meus dispositivos e é uma das primeiras coisas que instalo em qualquer navegador. Bloqueia anúncios e rastreadores sem configuração nenhuma e ainda é gratuito e de código aberto.

A resistência cultural é o maior obstáculo de qualquer programa de privacidade

Thu, 23 Apr 2026 22:26:35 -0300

Depois de anos trabalhando na implementação e na gestão de programas de privacidade em setores como saúde, telecomunicações e varejo, aprendi uma lição que nenhum framework técnico ensina: o desafio jurídico e tecnológico é, em muitos casos, mais simples de resolver do que o desafio cultural.

Frases como “sempre fizemos assim”, “nunca tivemos problemas antes” ou “essas regras só vão atrapalhar o trabalho” são muito mais comuns do que se imagina e não aparecem apenas nos níveis operacionais. Elas surgem em reuniões de liderança, em revisões de contratos e até nos bastidores de projetos de transformação digital. E representam um risco para o programa de privacidade, não tanto porque alguém age de má-fé, mas porque a privacidade, quando não compreendida, vira sinônimo de obstáculo.

A resistência cultural se alimenta principalmente da falta de contexto. Quando as pessoas não entendem por que a privacidade importa (por exemplo, os riscos de um incidente, as obrigações que a LGPD impõe e o impacto reputacional de uma notificação à ANPD) o programa de privacidade se transforma em mais um processo burocrático a ser tolerado, não em uma prática integrada à rotina.

Na prática, a estratégia para superar essa resistência passa por três caminhos que aprendi a combinar.

Primeiro, engajar a liderança, não com apresentações genéricas sobre compliance, mas mostrando os riscos reais (incidentes, sanções, perda de confiança do titular) e o valor estratégico de um programa maduro. Segundo, investir em comunicação e capacitação contínua, com linguagem acessível e exemplos do próprio negócio, não de cartilha. Terceiro, identificar e desenvolver embaixadores do programa dentro das áreas de negócio, com pessoas que entendem o tema e mantêm a cultura viva no cotidiano, entre um treinamento e o próximo.

Aproveitando esse gancho, escrevi um artigo “A Difícil Missão de Conscientizar a Organização em Privacidade e Proteção de Dados” que integrará um livro coletivo com outros especialistas da área. A publicação está prevista para julho, e assim que tiver mais detalhes trago aqui para vocês.

Sun, 19 Apr 2026 22:18:37 -0300

Eu já estava ficando enjoado da mesma capa na minha newsletter Privacy Rocks. Mudar só o número a cada edição funcionava, mas começou a parecer mais um carimbo. Estava repetitivo e sem vida. A partir de agora, cada edição da Privacy Rocks vai ter uma capa própria, criada para refletir o tema daquela edição, não apenas identificá-lo. Olha como ficou a versão da próxima newsletter, que será publicada amanhã.

Auditoria de privacidade não é ameaça

Thu, 16 Apr 2026 18:59:26 -0300

Implementar um programa de privacidade é o ponto de partida. Saber se ele está funcionando de verdade é o que separa a conformidade verdadeira de conformidade de papel.

Já vi organizações com políticas impecavelmente redigidas, processos mapeados, controles formalizados, e que, diante de um incidente, não conseguiram demonstrar uma evidência sequer de que aqueles controles eram aplicados no dia a dia. O programa existia no papel, mas a auditoria não havia sido feita.

É exatamente isso que a auditoria de privacidade vem revelar, se o que está documentado também acontece na prática. Se o risco mapeado no RIPD foi de fato mitigado. Se os processos acompanharam mudanças regulatórias e operacionais. Se os indicadores refletem o estado real do programa e não apenas o que gostaríamos que fosse verdade.

Ela pode assumir formatos diferentes, como uma autoavaliação conduzida pela própria equipe, auditoria interna com critérios formalizados, ou avaliação independente por terceiros. Em organizações com programas mais maduros, os três coexistem e se complementam. Na prática de compliance, essa camada de verificação é frequentemente o que transforma intenção em evidência.

A ISO 27701 incorpora o ciclo de melhoria contínua ao sistema de gestão de privacidade, e auditorias regulares fazem parte estrutural desse modelo. A ANPD, por sua vez, já sinalizou que a capacidade de demonstrar conformidade por meio de evidências documentadas é um fator relevante na dosimetria das sanções, conforme a Resolução CD/ANPD nº 4/2023.

Auditoria não é punição nem sinal de fraqueza. Precisamos considerar ela como oportunidade de identificar falhas antes que elas se tornem um problema verdadeiro. Tratar a auditoria como parte natural do ciclo de gestão, e não como evento extraordinário, é o que define um programa que realmente funciona.

Wed, 15 Apr 2026 11:30:00 -0300

Com o aumento da preocupação sobre o uso de dados pessoais, você acredita que os navegadores estão sendo transparentes o suficiente sobre suas práticas de privacidade? Eu tenho muitas dúvidas sobre isso.

Tue, 14 Apr 2026 18:46:14 -0300

Para usuários do #LinkedIn, acesse suas configurações, vá ao menu Privacidade de dados, selecione a opção “Dados para aprimoramento da IA generativa”. Desligue essa opção. É inacreditável que isso seja ativado por padrão sem nenhuma notificação ao usuário.

O truque do infravermelho para achar câmeras ocultas

Sun, 12 Apr 2026 17:53:10 -0300

Você não precisa comprar nenhum aplicativo para detectar câmeras escondidas.

Basta garantir que o ambiente esteja escuro, abrir o aplicativo da câmera do seu celular e girá-lo lentamente em 360 graus pelo cômodo. As câmeras infravermelhas, como as usadas em dispositivos de vigilância oculta, aparecem como pequenos pontos brancos ou azulados na tela. Isso acontece porque o sensor da câmera capta luz infravermelha, que é invisível a olho nu.

Essa é uma técnica usada por cinemas para detectar dispositivos de gravação não autorizada. E funciona mesmo! Aprendi isso há alguns anos para verificar quartos de hotel. Hoje faz parte da minha rotina de check-in.

Salva esse post! Da próxima vez que você entrar em um quarto de hotel/Airbnb, vai lembrar o que precisa fazer.

Produtividade com GTD: Um método que transforma minha rotina

Sat, 11 Apr 2026 22:17:55 -0300

Além de atuar em privacidade e proteção de dados, sou um grande entusiasta de produtividade. A aplicação do método GTD (Getting Things Done) tem sido fundamental para a minha organização pessoal e profissional. Com certificação nos três níveis do método, utilizo o GTD diariamente, trazendo uma sensação de controle e clareza sobre o que precisa ser feito e, igualmente importante, o que pode ser delegado ou adiado.

O GTD se baseia em capturar todas as demandas e informações, processá-las, organizá-las, revisar com frequência e, finalmente, executar de forma eficiente. Ao estruturar minhas tarefas em categorias como “Próximas Ações” e “Projetos”, consigo focar no que realmente importa, sem o estresse de tentar lembrar de tudo mentalmente.

Além do GTD, integro conceitos do BASB (Building a Second Brain), do Tiago Forte, que me ajudam a construir um sistema confiável para armazenar ideias e insights. Isso me proporciona mais segurança ao saber que todas as minhas informações estão organizadas e prontas para serem acessadas quando necessário.

A combinação desses métodos não apenas melhora a minha produtividade, mas também a minha tranquilidade mental.

Quem mais por aqui utiliza essas técnicas para gerenciar a vida pessoal e profissional?

Sat, 11 Apr 2026 12:26:36 -0300

Em 2004, a Adidas lançou a campanha icônica “Impossible is Nothing”, que marcou gerações. O conceito é simples e poderoso: o impossível é um limite que muitas vezes criamos em nossa mente, e não uma verdade absoluta. #impossibleisnothing

Fri, 10 Apr 2026 18:54:20 -0300

É sempre bom lembrar: “If you’re not paying for it, you become the product.”

Livros notáveis sobre privacidade proteção de dados de 2025

Fri, 10 Apr 2026 18:52:04 -0300

Aqui estão alguns livros notáveis sobre privacidade, IA e segurança em 2025.

teachprivacy.com/notable-p…

Fri, 10 Apr 2026 18:34:23 -0300

Adoro esse trecho da série This is Us:

“Escolher as nossas pessoas é o mais próximo que chegamos de controlar nosso destino.”

Ele sempre me faz pensar sobre o que realmente está ao nosso alcance em meio a tantas variáveis que não controlamos.

Thu, 09 Apr 2026 18:45:57 -0300

O hábito de compartilhar fotos e histórias dos filhos online parece inofensivo. Antes de postar uma foto do seu filho, pergunte-se: ele aprovaria isso daqui a dez anos? O sharenting (sharing + parenting) pode afetar privacidade, autoestima e segurança da criança no futuro.

Vejam esse vídeo, reflete muito bem essa realidade e nos provoca um certo desconforto, até um desespero.

Alertas de privacidade no iPhone

Thu, 09 Apr 2026 18:37:07 -0300

Sabia que seu iPhone avisa quando um app está acessando sua câmera, microfone ou localização?

Aqueles pontinhos coloridos no topo da tela não são detalhes decorativos, são alertas de privacidade em tempo real.

🟠 Laranja: o microfone está ativo

🟢 Verde: a câmera está em uso

🔵 Azul com seta: um app está acessando sua localização

Se aparecer um ponto que você não estava esperando, preste atenção.

Esses indicadores aparecem sempre que há uso ativo desses recursos. Ver algo inesperado é um bom motivo para revisar quais apps têm acesso ao microfone, câmera ou localização

E como eu faço isso?

Vá em Ajustes → Privacidade e Segurança e revise as permissões de câmera, microfone, localização e fotos. Muitos apps acumulam acessos que já não fazem sentido e que você provavelmente nem lembra que concedeu.

Segurança e Privacidade se complementam mas não se confundem

Thu, 09 Apr 2026 08:15:00 -0300

Segurança da informação e privacidade são áreas que se complementam, mas não são sinônimas. Confundir as duas ou tratar uma como subconjunto da outra cria lacunas de conformidade e de proteção.

O que cada uma faz?

A segurança da informação protege sistemas, redes e dados contra acessos não autorizados, vazamentos e ataques. Seus instrumentos são técnicos: criptografia, controle de acesso, DLP, SIEM, operações de SOC. A pergunta central é “quem pode acessar o quê e como impedimos acessos indevidos”.

A privacidade faz perguntas diferentes. Esses dados deveriam existir em primeiro lugar? A coleta é proporcional à finalidade declarada? O uso atual é compatível com o que foi informado ao titular? A privacidade não protege apenas o dado, ela protege a pessoa por trás dele.

Um sistema pode ser tecnicamente seguro e ainda assim violar a privacidade se os dados estiverem sendo usados para outros fins.

Onde isso aparece na prática?

Implementação de DLP - A ferramenta monitora e bloqueia saída de dados. Mas sem uma análise de privacidade prévia, a configuração pode criar monitoramento desproporcional de colaboradores, sem base legal clara e sem que os titulares tenham sido informados.

Resposta a incidentes - A equipe de segurança identifica um vazamento e quer preservar logs para investigação forense. A equipe de privacidade precisa avaliar: quais dados foram expostos, quem precisa ser notificado, em qual prazo e com qual conteúdo. Sem processos integrados, a organização chega atrasada na notificação à ANPD.

Projetos com ferramentas de IA - A segurança quer restringir o uso de ferramentas não aprovadas. A privacidade precisa mapear quais dados pessoais estão sendo inseridos, por quem e com qual finalidade. Sem essa conversa, o bloqueio técnico existe, mas o mapeamento de risco não.

Onboarding de fornecedores - O time de segurança faz assessment técnico do fornecedor. O time de privacidade avalia o DPA, as bases legais, a cadeia de suboperadores e os mecanismos de transferência internacional. Sem integração, a organização aprova um fornecedor tecnicamente seguro mas juridicamente exposto.

O que acontece quando não há essa integração?

Já vi casos em que a segurança implementou controles de monitoramento de endpoints sem qualquer envolvimento de privacidade. E o resultado? Colaboradores monitorados sem aviso adequado, dados coletados além do necessário, e a organização exposta a reclamações trabalhistas e questionamentos regulatórios.

O caminho oposto também acontece com programas de privacidade bem estruturados no papel, mas sem qualquer controle técnico por trás.

A maturidade está na integração entre as duas áreas, com processos conectados e boa comunicação. Isso exige decisão, estrutura e clareza sobre onde cada área começa e onde termina.

Wed, 08 Apr 2026 18:24:06 -0300

Recentemente, no intervalo entre séries na academia, parei para observar e contei 25 pessoas no telefone. Havia mais, mas era hora de retomar o treino. Impressionante como isso virou padrão, onde quer que você vá, há sempre olhos fixos naquela pequena tela.

Wed, 08 Apr 2026 18:20:09 -0300

A privacidade virou algo quase abstrato na nossa rotina digital. Aceitamos termos sem ler, compartilhamos dados como se fossem ilimitados e depois nos surpreendemos quando aquele anúncio sobre algo que só comentamos aparece no feed.

Tue, 07 Apr 2026 22:55:11 -0300

Quando comecei a trabalhar com privacidade e proteção de dados, virei aquela pessoa mais cuidadosa, talvez até um pouco “chatinha”, com meus próprios dados. Exagero? Talvez. Mas é um cuidado que faço questão de ter.

Pequenas e médias empresas também precisam se adequar à LGPD

Tue, 07 Apr 2026 08:30:00 -0300

Existe um mito persistente no mercado de que a LGPD é coisa de empresa grande. Que PMEs (Pequenas e Médias Empresas) ficam de fora ou têm obrigações reduzidas. Isso não é verdade e continua custando caro para quem acredita nisso.

A LGPD se aplica a qualquer empresa que realize tratamento de dados pessoais no Brasil, independentemente do porte, desde que as atividades se enquadrem nas hipóteses da lei. A Resolução CD/ANPD nº 2/2022 criou um regime diferenciado para agentes de pequeno porte, com algumas flexibilizações procedimentais, como a dispensa de indicação formal de encarregado e prazos diferenciados para atendimento de solicitações de titulares, mas as obrigações centrais da LGPD continuam se aplicando integralmente.

O que muda para as PMEs é principalmente a forma e a profundidade da implementação. Uma empresa com 20 colaboradores não precisa de um escritório de privacidade com equipe dedicada. Mas precisa saber quais dados trata, ter uma base legal para cada tratamento, informar seus clientes e colaboradores sobre o uso dos dados e ter um processo mínimo para responder a solicitações de titulares. Isso é o básico e o básico ainda falta em boa parte das empresas.

Na prática, os pontos mais críticos para PMEs costumam ser três: o compartilhamento de dados com fornecedores sem qualquer cláusula contratual de proteção; o uso de ferramentas de terceiros (CRMs, plataformas de marketing, armazenamento em nuvem) sem avaliar minimamente quem está atuando como operador; e a ausência de qualquer canal ou procedimento para atender um titular que queira saber o que a empresa faz com seus dados.

Esses não são problemas caros de resolver. São problemas de organização e de cultura de privacidade.

A boa notícia é que a implementação para empresas menores pode ser mais ágil e menos custosa do que parece. Com um bom mapeamento dos dados tratados, cláusulas contratuais adequadas com fornecedores-chave, políticas compatíveis com o contexto da empresa e um fluxo básico de resposta a incidentes e solicitações de titulares, já é possível alcançar um nível razoável de conformidade. Não estou falando aqui de perfeição, mas de proporcionalidade.

A ANPD já demonstrou que o porte é um fator de dosimetria de sanções, não uma imunidade. A Resolução CD/ANPD nº 4/2023, que trata da dosimetria das penalidades, prevê o porte da empresa como critério de graduação, mas não como condição de isenção. Portante, a empresa pode pagar menos, mas ainda pode ser autuada e responsabilizada.

Mon, 06 Apr 2026 23:53:49 -0300

Tem um site que costumo recomendar quando alguém me pergunta por onde começar com privacidade digital: o Privacy Guides.

Não, não é mais uma lista de apps! É uma organização sem fins lucrativos, que avalia ferramentas com critérios técnicos e publica tudo de forma aberta. Tem avaliações de navegadores, mensageiros, gerenciadores de senha, VPNs, configurações de sistema. É muito bacana e vale a pena salvar no favorito!

Privacy Rocks - 030

Mon, 06 Apr 2026 10:31:30 -0300

Na edição 030 da Privacy Rocks você vai encontrar: 5 pilares que toda organização precisa dominar para estar em conformidade com a LGPD