A proteção de dados pessoais ganhou uma nova etapa institucional no Brasil com a sanção da Lei nº 15.352/2026, que transforma a Autoridade Nacional de Proteção de Dados em Agência Nacional de Proteção de Dados, mantendo a sigla ANPD.
A mudança fortalece a estrutura da autoridade responsável pela regulação e fiscalização da Lei Geral de Proteção de Dados (LGPD), ao prever maior autonomia funcional, técnica, decisória, administrativa e financeira, além da criação de cargos especializados em regulação e proteção de dados.
Na prática, a nova estrutura tende a ampliar a capacidade de atuação da ANPD na supervisão do tratamento de dados pessoais, especialmente em temas que exigem maior especialização técnica e acompanhamento regulatório contínuo. Entre os pontos destacados está também a atribuição relacionada ao Estatuto Digital da Criança e do Adolescente, que reforça a necessidade de atenção das empresas que atuam em ambientes digitais ou que tratam dados de crianças e adolescentes.
Para o setor empresarial, o avanço institucional da ANPD reforça a importância de programas consistentes de governança em privacidade, com políticas internas, bases legais bem definidas, controles sobre o ciclo de vida dos dados, gestão de terceiros, atendimento a titulares e documentação capaz de demonstrar conformidade.
A adequação à LGPD deve integrar a rotina de gestão de riscos das empresas. Em um cenário de autoridade reguladora mais estruturada, a prevenção contribui para reduzir exposição jurídica, reputacional e operacional.
https://calabriabr.com.br/wp-content/uploads/2026/05/Headers-do-site-Calabria-2.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2026-05-07 12:11:312026-05-07 12:11:31O fortalecimento institucional da ANPD e os impactos para a fiscalização da LGPD
O uso de ferramentas de Inteligência Artificial (IA) generativa tem se ampliado no ambiente corporativo, acompanhando a busca por eficiência, automação de atividades e apoio a diferentes rotinas empresariais.
Ao mesmo tempo, essa adoção exige atenção à forma como as informações são tratadas. Dependendo da ferramenta utilizada e das condições previstas em seus termos de uso, os dados inseridos podem ser utilizados, retidos ou reprocessados, inclusive por fornecedores envolvidos na prestação da tecnologia.
A inserção de informações estratégicas, dados pessoais ou conteúdos confidenciais nesses sistemas deve ser feita com cautela, considerando os possíveis impactos jurídicos, operacionais e reputacionais decorrentes de eventual exposição ou uso inadequado.
O tema também se relaciona com os princípios previstos na Lei Geral de Proteção de Dados Pessoais, especialmente no que diz respeito à finalidade, necessidade, transparência e segurança no tratamento de dados pessoais, além dos deveres de responsabilização e prestação de contas.
É recomendável que as empresas adotem medidas de governança compatíveis com o uso dessas ferramentas. Entre elas, destacam-se:
➡️ Definição de políticas internas.
➡️ Classificação das informações que podem ser compartilhadas.
➡️ Análise dos fornecedores de tecnologia.
➡️ Capacitação de colaboradores.
A adoção dessas medidas contribui para um uso mais seguro da IA no ambiente corporativo e para a redução de riscos associados à utilização dessas tecnologias.
https://calabriabr.com.br/wp-content/uploads/2026/04/Headers-do-site-Calabria-20.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2026-04-13 13:17:122026-04-13 13:17:12Inteligência Artificial no ambiente corporativo: os riscos e a necessidade de governança
Após a entrada em vigor da Lei nº 15.211/2025 (ECA Digital) em 17 de março, o Governo Federal deu um passo decisivo para sua implementação prática, com a assinatura de três decretos presidenciais que estruturam a aplicação da norma, estabelecendo responsabilidades claras para plataformas digitais e proteção para o público infantojuvenil.
Confira os principais pontos das novas regulamentações:
Estrutura de fiscalização e denúncia
O Governo estruturou a atuação da Agência Nacional de Proteção de Dados (ANPD) e criou o Centro Nacional de Proteção à Criança e ao Adolescente. Este novo órgão terá como função centralizar denúncias recebidas das plataformas digitais e apoiar o combate a crimes digitais contra menores.
Verificação de idade e mecanismos confiáveis
A ANPD apresentará, já nesta sexta-feira (20/03), um documento com orientações preliminares sobre os “mecanismos confiáveis” de verificação etária. O objetivo é substituir a simples autodeclaração (o botão “tenho 18 anos”) por sistemas precisos que não comprometam a privacidade dos dados. Um cronograma de implementação por etapas será divulgado, com orientações definitivas previstas para o segundo semestre de 2026.
Regras para “influenciadores mirins”
Uma das atualizações mais importantes diz respeito a crianças e adolescentes que aparecem de forma habitual em conteúdos monetizados ou impulsionados.
– Autorização judicial: plataformas que monetizam esses conteúdos devem agora exigir dos responsáveis uma autorização judicial prévia.
– Prazo de adaptação: foi estabelecido um prazo de três meses para a implementação total desta regra.
– Equiparação: a medida visa trazer para o digital o que já ocorre há décadas nos mercados de televisão e publicidade física.
Combate ao design manipulativo
O governo passará a coibir escolhas de arquitetura de produtos digitais que explorem vulnerabilidades de menores para incentivar o uso compulsivo. Exemplos de práticas que serão alvo de regulamentação pela ANPD incluem:
– Rolagem infinita (infinite scroll).
– Notificações compulsórias que geram sensação de escassez ou urgência.
Proibição de “loot boxes” em jogos
Fica proibida a oferta de caixas de recompensa (loot boxes) em jogos eletrônicos voltados ao público infantojuvenil. Essas ferramentas permitem a aquisição de itens aleatórios mediante pagamento, sem que o jogador saiba o conteúdo previamente, o que o governo equipara a riscos de comportamento compulsivo.
Proteção contra conteúdos inadequados
As empresas do ambiente digital deverão garantir respostas rápidas e proteção rigorosa contra a exposição de menores a:
– Apostas e pornografia.
– Produtos proibidos (álcool, tabaco e armas).
– Crimes como aliciamento, assédio e exploração sexual.
Próximos passos
O Ministério da Justiça e Segurança Pública (MJSP) atuará em conjunto com o Judiciário e o Ministério Público para fornecer diretrizes concretas, especialmente no que tange à exploração comercial da imagem de menores. As famílias também terão direito a ferramentas tecnológicas de supervisão fornecidas pelas próprias redes, garantindo uma jornada digital mais transparente e segura.
Fonte: Secretaria de Comunicação Social da Presidência da República
https://calabriabr.com.br/wp-content/uploads/2026/03/Headers-do-site-Calabria-83.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2026-03-19 15:22:342026-03-19 15:33:52Governo regulamenta o ECA Digital com novos decretos e diretrizes para a proteção do público infantojuvenil
Entrou em vigor no Brasil a Lei nº 15.211/2025, conhecida como ECA Digital, que estabelece novas diretrizes para a proteção de crianças e adolescentes no ambiente online. A norma alcança redes sociais, jogos eletrônicos, serviços de vídeo e outras plataformas digitais que sejam direcionadas ou acessadas por menores de idade.
A lei não substitui o Estatuto da Criança e do Adolescente (ECA), mas busca assegurar que as garantias já previstas para o mundo físico também sejam observadas nas interações realizadas em ambientes digitais.
Entre as medidas previstas estão regras mais rigorosas para a exposição de menores na internet e restrições à monetização ou ao impulsionamento de conteúdos que retratem crianças e adolescentes de forma sexualizada ou com linguagem adulta.
A legislação também estabelece obrigações para empresas que operam serviços digitais. As plataformas deverão oferecer ferramentas que permitam maior supervisão por parte dos responsáveis, além de configurações que facilitem o acompanhamento das atividades online de crianças e adolescentes.
Outro ponto previsto é a adoção do chamado “sinal de idade”, mecanismo que permite indicar a faixa etária do usuário aos serviços digitais sem necessidade de compartilhamento excessivo de dados pessoais. A lei também determina que produtos e serviços voltados ao público infantojuvenil adotem, por padrão, níveis elevados de proteção de privacidade.
A norma ainda prevê medidas relacionadas à moderação de conteúdos. Entre elas está a remoção, em prazo de até 24 horas, de materiais associados à exploração sexual, violência, bullying, cyberbullying ou incentivo à automutilação, entre outros conteúdos considerados prejudiciais ao público menor de idade.
No campo da publicidade digital, a legislação busca limitar práticas que possam explorar comercialmente crianças e adolescentes ou estimular comportamentos de consumo inadequados para essa faixa etária.
Com a entrada em vigor do ECA Digital, empresas que desenvolvem produtos digitais, operam plataformas online ou realizam campanhas de marketing na internet passam a lidar com um conjunto mais estruturado de regras voltadas à proteção de menores no ambiente digital.
https://calabriabr.com.br/wp-content/uploads/2026/03/Headers-do-site-Calabria-82.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2026-03-18 15:58:092026-03-18 15:58:09ECA Digital entra em vigor e inaugura uma nova fase na proteção de menores no ambiente online
O envio de e-mails, mensagens por WhatsApp, SMS e outros canais digitais é uma ferramenta comum nas estratégias comerciais das empresas. No entanto, quando esse contato envolve dados pessoais, ele passa a exigir atenção redobrada à Lei Geral de Proteção de Dados Pessoais (LGPD). A linha entre uma comunicação legítima e uma prática irregular pode ser mais tênue do que parece.
A LGPD permite o uso de dados pessoais para fins comerciais, desde que exista uma base legal adequada. Na prática, isso significa que a empresa precisa ter um motivo legítimo e transparente para entrar em contato com o titular. O consentimento é uma das possibilidades, mas não é a única. Relações contratuais em vigor, contatos realizados no contexto de uma negociação ou comunicações necessárias para informar clientes sobre produtos ou serviços relacionados àquilo que já foi contratado podem, em determinadas situações, justificar o envio.
O problema surge quando mensagens são disparadas de forma indiscriminada, sem vínculo prévio com o destinatário ou sem qualquer expectativa legítima de contato. Listas compradas, cadastros compartilhados sem autorização clara ou abordagens repetitivas e invasivas tendem a gerar reclamações e podem ser interpretadas como uso irregular de dados pessoais. Nesses casos, o risco não é apenas reputacional, mas também jurídico.
Outro ponto essencial é a transparência. O destinatário deve saber por que está recebendo aquela comunicação e como seus dados foram obtidos. Além disso, a LGPD exige que seja garantido um meio simples e eficaz para que a pessoa possa se opor ao recebimento de novas mensagens. Ignorar pedidos de descadastramento ou dificultar esse processo é uma das falhas mais comuns e mais sensíveis do ponto de vista regulatório.
No caso de aplicativos de mensagens instantâneas, como o WhatsApp, o cuidado deve ser ainda maior. O caráter mais pessoal desse canal exige que o contato comercial seja proporcional e esperado. Mensagens automatizadas, fora do horário comercial ou com conteúdo excessivamente promocional aumentam o risco de caracterização de abuso, especialmente quando não há relação prévia clara entre empresa e destinatário.
A adequação à LGPD não significa abrir mão do marketing digital, mas sim adotá-lo de forma responsável. Políticas internas bem definidas, revisão das bases de dados, registro das hipóteses que autorizam o contato e treinamento das equipes são medidas que reduzem significativamente o risco de sanções e conflitos com titulares de dados.
Comunicar-se com clientes e potenciais clientes é legítimo. Porém, fazê-lo sem critérios, transparência e respeito à vontade do destinatário, pode transformar estratégia comercial em problema jurídico.
https://calabriabr.com.br/wp-content/uploads/2026/01/Headers-do-site-Calabria-1.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2026-01-20 17:09:152026-01-20 17:26:39Envio de e-mails e mensagens comerciais: o que a LGPD permite e o que pode gerar problema
O uso de ferramentas de social listening tornou-se estratégico para empresas que desejam compreender tendências de mercado, monitorar a reputação da marca e acompanhar a experiência de clientes em ambientes digitais. Esse recurso permite coletar e analisar menções, comentários e interações em redes sociais, fóruns, blogs e outras plataformas, convertendo informações públicas em insumos valiosos para a tomada de decisão.
A prática, no entanto, deve observar a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, sobretudo quando envolve tratamento de dados pessoais. O artigo 5º, inciso I, define como dado pessoal qualquer informação capaz de identificar ou tornar identificável uma pessoa natural, como nome, e-mail, localização ou até opiniões associadas a perfis. Nesses casos, a base legal para o tratamento deve estar clara, seja pelo consentimento do titular (artigo 7º, inciso I), pelo legítimo interesse (artigo 7º, inciso IX) ou por outra hipótese legal prevista na norma.
O mesmo artigo, em seu parágrafo 4º, dispõe que os dados pessoais tornados manifestamente públicos pelo titular podem ser tratados sem a exigência de consentimento, desde que sejam respeitados os princípios da lei, como finalidade, necessidade e transparência.
A atenção deve ser redobrada quanto a dados sensíveis (artigo 5º, inciso II), como informações sobre saúde, origem racial, convicções religiosas ou opiniões políticas, cujo tratamento exige hipóteses restritivas (artigo 11). Sempre que possível, recomenda-se a anonimização dos dados para mitigar riscos jurídicos.
Além disso, as empresas devem definir responsabilidades entre controladores e operadores (artigos 37 a 39), observar os princípios do artigo 6º, como finalidade, adequação, necessidade, transparência e segurança, e estabelecer cláusulas específicas em contratos com fornecedores de tecnologia.
O descumprimento pode gerar sanções relevantes, incluindo advertências, bloqueio ou eliminação de dados, além de multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração (artigo 52). Nesse cenário, a atuação da ANPD reforça a necessidade de governança em privacidade, auditorias internas e treinamento constante das equipes.
Alinhar o social listening à LGPD evita riscos de responsabilização e consolida a confiança entre empresas, consumidores e parceiros, garantindo que a análise de dados seja realizada de forma ética, responsável e juridicamente adequada.
https://calabriabr.com.br/wp-content/uploads/2025/09/Headers-do-site-Calabria-27.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2025-09-29 12:18:052025-09-29 12:18:29Compliance LGPD em ferramentas de social listening
A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças significativas para o mundo empresarial, estabelecendo regras para a coleta, o processamento e o armazenamento de dados pessoais. Dentre as possibilidades legalmente previstas para o tratamento de dados pessoais está aquela fundamentada no legítimo interesse da organização (art. 7º, inciso IX, da LGPD).
Diferentemente do tratamento por consentimento, que exige autorização expressa do titular dos dados, o legítimo interesse permite que as empresas processem informações pessoais sem essa permissão prévia do titular, se atendidos a critérios específicos estabelecidos pela lei.
Para compreender esse instituto, previsto no art. 10 da LGPD, primeiro deve-se ter em mente que a LGPD considera o interesse da empresa no tratamento do dado como legítimo, se preenchidas três condições¹:
1 – Compatibilidade do interesse com o ordenamento jurídico;
2 – Fundamentação em situações concretas; e
3 – Vinculação a finalidades legítimas, específicas e explícitas.
Em termos práticos, significa que uma empresa pode utilizar dados pessoais quando possui uma necessidade comercial legítima e justificável, desde que essa necessidade não viole os direitos fundamentais das pessoas envolvidas.
O aspecto central na demonstração do legítimo interesse é evidenciar que há um equilíbrio entre os interesses comerciais da organização e os direitos de privacidade das pessoas com quem ela mantém relações jurídico-comerciais. Essa base legal exige fundamentação sólida e análise criteriosa daquele que pretende tratar os dados sob esse fundamento.
Para isso, a organização deve realizar o que se chama de “teste de balanceamento” ou “teste dos três pilares”. Este procedimento pressupõe a análise de três elementos fundamentais no tratamento do dado pessoal: propósito, necessidade e balanceamento.
O primeiro pilar avalia se o propósito do tratamento é legítimo e claramente definido. O agente deve conseguir explicar de forma objetiva a razão pela qual precisa processar os dados indicados e qual a relação dos dados com suas atividades comerciais.
O segundo pilar examina a necessidade do tratamento. Aqui deve-se demonstrar que o processamento dos dados é essencial para atingir o objetivo proposto pelo agente e esperado pelo titular dos dados, bem como que não existem meios menos invasivos de alcançar o mesmo resultado.
O terceiro pilar, e talvez o mais delicado, é o balanceamento propriamente dito. A organização deve avaliar se seus interesses comerciais estão em equilíbrio com o tratamento dos dados pessoais e se aqueles não se sobrepõem aos direitos fundamentais dos titulares dos dados. Fatores como sensibilidade das informações, expectativas razoáveis dos indivíduos e possíveis impactos negativos devem ser cuidadosamente ponderados.
O tratamento de dados pessoais fundamentado no legítimo interesse tem se mostrado particularmente valioso em diversas situações empresariais. No marketing digital, por exemplo, permite o envio de comunicações comerciais para clientes sobre produtos similares a outros anteriormente adquiridos, sem a necessidade de se buscar novo consentimento.
Na área de segurança e prevenção a fraudes, essa base legal viabiliza o monitoramento de transações suspeitas e a implementação de sistemas de proteção mais robustos. Para empresas que lidam com grandes volumes de transações, essa base legal é fundamental para manter a integridade de suas operações.
Naturalmente, para que as empresas possam se valer desse fundamento no tratamento de dados é fundamental que estabeleçam políticas internas claras sobre quando e como o legítimo interesse pode ser aplicado. Isso inclui a definição de responsabilidades, rastreamento, processos de aprovação e mecanismos de revisão periódica das bases legais utilizadas.
A transparência com os titulares dos dados prevista no art. 10, § 2º, da LGPD é princípio norteador no tratamento de dados legítimo sob esse fundamento. Mesmo para aquelas hipóteses nas quais não é necessário o consentimento do titular para o tratamento dos dados, o agente deve informar claramente quais dados estão sendo processados e para quais finalidades.
O uso inadequado do legítimo interesse pode resultar na aplicação de multas e outras sanções por parte da Autoridade Nacional de Proteção de Dados (ANPD), além de danos reputacionais. Um erro comum é valer-se da base legal do legítimo interesse como substituto universal do consentimento.
Por fim, outro aspecto a ser considerado é a necessidade de se respeitar os direitos dos titulares de se oporem ao tratamento baseado no legítimo interesse. A organização deve estar preparada para essa recusa e, quando procedente, deve interromper o processamento dos dados.
O legítimo interesse, quando bem compreendido e aplicado, oferece às empresas uma ferramenta poderosa para otimizar suas operações dentro do framework da LGPD. Contudo, sua implementação exige conhecimento especializado, análise cuidadosa e estruturas de governança adequadas para garantir conformidade e segurança jurídica. A assessoria de um jurídico especializado é fundamental neste processo.
https://calabriabr.com.br/wp-content/uploads/2025/08/Headers-do-site-Calabria-13.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2025-08-25 13:20:172025-08-25 13:20:17Tratamento de dados por legítimo interesse: navegando com segurança pela LGPD
A Lei Geral de Proteção de Dados (LGPD) consolidou-se como um dos pilares da governança empresarial no Brasil. Mais do que uma exigência legal, a conformidade com a LGPD tornou-se uma necessidade estratégica, diretamente relacionada à proteção da reputação, à confiança do público e à sustentabilidade das operações.
O uso de dados pessoais em ambientes corporativos, especialmente em canais de comunicação como WhatsApp, e-mail marketing e sistemas internos, requer atenção rigorosa às bases legais previstas na legislação. Toda coleta, armazenamento, compartilhamento ou uso de dados deve estar embasado em fundamentos claros, como consentimento, execução de contrato, obrigação legal ou legítimo interesse.
Em 2023, um caso emblemático trouxe ainda mais visibilidade ao tema: uma microempresa foi multada em R$ 14.400,00 pela Autoridade Nacional de Proteção de Dados (ANPD) e sofreu sanção de advertência, por disponibilizar uma lista de contatos de WhatsApp de eleitores, utilizada na divulgação de conteúdo de campanha eleitoral. O episódio marcou a primeira sanção pública da ANPD e reforçou que nenhuma empresa está isenta de responsabilidade, independentemente do porte ou setor de atuação.
A adequação à LGPD vai além do cumprimento normativo. Trata-se de adotar uma cultura de respeito à privacidade, com processos internos alinhados às exigências legais e mecanismos de prevenção de riscos. Empresas que investem em programas estruturados de proteção de dados demonstram compromisso com a ética, fortalecem sua imagem institucional e reduzem significativamente a exposição a sanções e litígios.
Nesse novo cenário, manter-se em conformidade com a LGPD não é apenas uma medida de proteção: é um diferencial competitivo e um compromisso com a transparência e a segurança nas relações empresariais.
https://calabriabr.com.br/wp-content/uploads/2024/03/Imagem_seguranca-dados.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2025-07-03 17:59:302025-07-03 17:59:30LGPD: conformidade como estratégia de confiança e segurança para as empresas
Publicada em agosto de 2018, a Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor dois anos depois, em agosto de 2020. Desde então, a legislação provocou uma pequena revolução na conduta de instituições públicas e privadas em relação aos procedimentos de coleta, armazenamento, tratamento e compartilhamento de dados, sobretudo ao reforçar o direito de o cidadão saber como, quando e por que os seus dados são captados e o de dar ou não seu consentimento para isso.
A amplitude das mudanças introduzidas pela LGPD não tem escapado ao Judiciário, o qual tem sido provocado a resolver questões como a responsabilidade por dados vazados e as hipóteses de indenização.
Esta matéria especial apresenta os precedentes já estabelecidos pelo STJ ao longo dos quatro anos de vigência da LGPD.
Decreto sobre bens de agentes públicos não extrapola poder regulamentar
Em 2022, a Primeira Turma, ao julgar o RMS 55.819, decidiu que não extrapola o poder regulamentar da administração pública, nem os princípios que a regem, o decreto estadual que dispõe sobre o dever de agentes públicos disponibilizarem informações sobre seus bens e sua evolução patrimonial.
Na origem, o Sindicato dos Auditores Fiscais da Receita Estadual, Fiscais e Agentes Fiscais de Tributos do Estado de Minas Gerais (Sindifisco-MG) impetrou mandado de segurança coletivo contra o Estado de Minas Gerais, questionando a legalidade do Decreto 46.933/2016, que exige dos servidores do Poder Executivo estadual a entrega anual da declaração de bens e valores que compõem seu patrimônio privado.
A entidade sindical argumentou que essa exigência resultava na quebra imediata do sigilo de dados e informações pessoais, violando, entre outros, o direito fundamental à privacidade e à intimidade garantido pelo artigo 5º, inciso X, da Constituição Federal, além de ferir o inciso LXXIX do mesmo artigo, recentemente incorporado. Após o Tribunal de Justiça de Minas Gerais (TJMG) denegar a segurança, os impetrantes recorreram ao STJ.
O relator do recurso, ministro Gurgel de Faria, destacou que a inclusão do inciso LXXIX no artigo 5º da Constituição, para assegurar “o direito à proteção dos dados pessoais, inclusive nos meios digitais”, não conflita com a decisão recorrida, uma vez que, mesmo sendo um direito fundamental, essa garantia não é absoluta e deve ser compatibilizada com os princípios previstos no artigo 37 da Constituição.
O ministro ressaltou que, conforme decidido pelo Supremo Tribunal Federal (STF) na SS 3.902, os agentes públicos estão sujeitos a uma redução na sua esfera de privacidade e intimidade, não sendo legítima a pretensão de não revelar fatos relacionados à evolução patrimonial. Além disso, o relator comentou que, conforme o inciso LXXIX do artigo 5º da Constituição, a proteção aos dados pessoais é garantida “nos termos da lei”, e a legislação não impede, mas, ao contrário, impõe aos servidores o dever de disponibilizar informações sobre bens e evolução patrimonial, como previsto no artigo 13 da Lei de Improbidade Administrativa.
A entrega dos dados à administração não implica dizer que eles deverão ser expostos ao público em geral, cabendo àquela, já com as informações em mãos, adotar as cautelas necessárias para dar concretude ao artigo 5º, inciso LXXIX, da Constituição, e à LGPD, ou seja, tais normas não proíbem a coleta dos dados, mas asseguram que os entes político-administrativos deverão respeitar o tratamento nelas conferido.
RMS 55.819
Ministro Gurgel de Faria
Análise automática de perfis de prestadores de serviço está sujeita à LGPD
Em 2024, no julgamento do REsp 2.135.783, a Terceira Turma entendeu que as informações analisadas no processo de descredenciamento de prestadores de serviços, como os motoristas de aplicativos, constituem dados pessoais e, portanto, estão sujeitas à aplicação da LGPD.
No caso em questão, um motorista foi excluído da plataforma 99 por alegado descumprimento do código de conduta da empresa, ao encerrar corridas em locais diferentes dos solicitados, sem justificativa. Após ter seus pedidos negados em primeira e segunda instâncias, o motorista recorreu ao STJ, argumentando que a rescisão foi abrupta, sem notificação prévia, violando seu direito ao contraditório e à ampla defesa.
Ao analisar o recurso, a relatora, ministra Nancy Andrighi, apontou que era preciso considerar que as análises de perfil feitas pelas plataformas digitais “decorrem de decisões automatizadas, uma vez que a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive os pessoais”.
Ela destacou que a LGPD, em seu artigo 5º, inciso I, define dado pessoal como qualquer informação vinculada a uma pessoa natural identificada. Além disso, a mesma lei, em seu artigo 12, parágrafo 2º, amplia esse conceito para incluir dados usados na formação de perfis comportamentais, o que pode envolver, por exemplo, reclamações de passageiros. Dessa forma, a ministra concluiu que os dados analisados no descredenciamento de motoristas de aplicativos são dados pessoais, atraindo a proteção da LGPD.
Nancy Andrighi ressaltou que, como titular dos dados, o motorista tem o direito de pedir a revisão de decisões automatizadas que afetam seu perfil profissional. Ela lembrou que o artigo 6º, VI, da LGPD estabelece a transparência como um princípio fundamental, garantindo que o titular dos dados tenha acesso a informações claras sobre o seu tratamento.
“Conjugando a determinação do artigo 20 da LGPD com a eficácia dos direitos fundamentais nas relações privadas, entende-se que o titular de dados pessoais deve ser informado sobre a razão da suspensão de seu perfil, bem como pode requerer a revisão dessa decisão, garantido o seu direito de defesa”, declarou.
A relatora ponderou que, em certas situações, a plataforma de transporte individual pode ser responsabilizada por danos sofridos por seus usuários, e, portanto, cabe a ela avaliar os riscos de manter um motorista ativo. Para a ministra, se o comportamento do motorista for grave – como em casos de assédio, racismo, crimes contra o patrimônio ou agressões –, a suspensão imediata do perfil será justificável, com direito à defesa para possível recredenciamento; e, caso a violação dos termos de conduta seja confirmada, o descredenciamento não será abusivo, mas o motorista ainda poderá buscar a revisão judicial.
Titular de dados vazados precisa comprovar dano efetivo ao pedir indenização
Esse entendimento foi estabelecido pela Segunda Turma ao julgar o AREsp 2.130.619, da Eletropaulo, e reformar decisão do Tribunal de Justiça de São Paulo (TJSP). A corte estadual havia determinado que a concessionária pagasse R$ 5 mil em danos morais devido ao vazamento de dados pessoais de uma cliente, como nome, data de nascimento, endereço e número de documento de identificação. A consumidora alegou que suas informações foram acessadas por terceiros e posteriormente compartilhadas mediante pagamento, o que criava um risco potencial de fraude e incômodos.
O ministro Francisco Falcão, relator do recurso, destacou que o artigo 5º, inciso II, da LGPD apresenta uma lista específica de dados pessoais considerados sensíveis, que, conforme o artigo 11 da mesma lei, requerem um tratamento diferenciado. O ministro realçou que entre esses dados estão informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, associação a sindicatos ou organizações religiosas, além daquelas relacionadas à saúde sexual e outras de caráter íntimo.
Para o magistrado, os dados objeto do processo são aqueles fornecidos em qualquer cadastro, “inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida”.
Provedores devem fornecer dados de quem postou vídeo ofensivo a pessoa falecida
No caso, usuários publicaram vídeos no YouTube com ofensas à memória da vereadora Marielle Franco (PSOL-RJ), assassinada em 2018 juntamente com seu motorista, Anderson Gomes. Diante disso, a irmã e a companheira de Marielle entraram com uma ação contra o Google, administradora do YouTube, solicitando a remoção dos vídeos ofensivos. O pedido foi acolhido em primeira instância e confirmado pelo Tribunal de Justiça do Rio de Janeiro (TJRJ).
Apesar disso, a corte estadual rejeitou o pedido das autoras para que, mediante a quebra do sigilo de dados, fossem enviados ofícios aos provedores de acesso com a determinação de que fornecessem a identificação dos responsáveis pelos vídeos. O TJRJ considerou que seria impossível impor essa obrigação aos provedores, os quais não eram parte do processo.
O ministro Luis Felipe Salomão, relator, observou que as autoras da ação buscavam a remoção de conteúdos ofensivos para preservar a honra da falecida e identificar os responsáveis, com base no artigo 22 do Marco Civil da Internet (Lei 12.965/2014). De acordo com Salomão, o STJ já tinha entendimento pacífico sobre a necessidade de intervenção judicial para obter dados protegidos, a fim de instruir processos cíveis e criminais. Ele afirmou que, no caso específico, a privacidade dos usuários que publicaram os vídeos não prevalecia diante dos indícios de conduta ilegal.
A LGPD não exclui a possibilidade da quebra de sigilo. Ao contrário, apresenta regras sobre tal ocorrência, que, no caso, revela-se possível, considerando as espécies de dados, a finalidade da quebra e o contexto em que apresentados.
REsp 1.914.596
Ministro Luis Felipe Salomão
Bolsa deve excluir dados inseridos sem autorização no perfil de investidor
Em outro julgamento relevante (REsp 2.092.096), a Terceira Turma entendeu que a bolsa de valores B3, na condição de agente de tratamento de dados, tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado ao perfil do investidor em sua plataforma virtual. A decisão seguiu o entendimento da relatora, ministra Nancy Andrighi, que baseou sua análise na LGPD e no Marco Civil da Internet.
Conforme o processo, terceiros acessaram a plataforma de consulta de investimentos da B3 por meio de conta falsa aberta em uma corretora. Além de visualizar os investimentos do investidor, os fraudadores alteraram seus dados cadastrais, como telefone e email, no perfil da B3.
A pedido da vítima, a Justiça determinou que a bolsa excluísse as informações inseridas indevidamente. No entanto, a B3 recorreu ao STJ, argumentando que a fraude aconteceu em um ambiente externo, vinculado à corretora.
A relatora considerou que, ao manter um sistema que armazena e utiliza dados dos investidores, tais como nome, CPF, email e telefone, a B3 realiza operação de tratamento de dados pessoais, razão pela qual se submete às normas da LGPD. Assim, de acordo com a ministra, a B3 deve observar os princípios da lei, entre eles os da adequação e da segurança, e adotar medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de alteração, destruição, perda, comunicação ou outras formas de tratamento inadequado.
Nancy Andrighi também explicou que a LGPD confere ao titular dos dados o direito de solicitar a correção ou a exclusão de informações incorretas, inexatas ou desatualizadas, bem como o bloqueio e a eliminação de dados excessivos ou tratados em desconformidade com a lei.
“Havendo requisição por parte do titular, o agente de tratamento de dados tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado à conta do titular em sua plataforma”, concluiu.
Instituição financeira responde por tratamento indevido de dados usados em golpe
No REsp 2.077.278, de relatoria da ministra Nancy Andrighi, a Terceira Turma definiu que a instituição financeira responde pelo defeito na prestação do serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para aplicar golpe contra o consumidor.
No caso, uma mulher entrou em contato com seu banco por email solicitando orientações sobre como quitar o financiamento de um veículo. Dias depois, recebeu por WhatsApp a mensagem de uma pessoa que se apresentou como funcionária do banco e propôs a liquidação, informando o número do contrato e outros dados. Acreditando se tratar de um procedimento legítimo, a cliente pagou um boleto de R$ 19 mil. Após o pagamento, sem obter resposta, ligou para o número oficial da instituição e descobriu que havia sido vítima de um golpe.
O juízo de primeiro grau declarou válido o pagamento e considerou o contrato de financiamento quitado. No entanto, o TJSP reformou essa decisão, por entender que o golpe foi facilitado pela comunicação informal e que as informações do boleto falso não correspondiam ao contrato original. O tribunal considerou que a cliente não tomou as precauções necessárias ao utilizar um canal não oficial para tratar da quitação, e afastou a responsabilidade do banco, atribuindo a culpa ao estelionatário e à própria vítima.
A relatora no STJ observou que os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras, tendo a Lei Complementar 105/2001 estabelecido que tais instituições conservarão sigilo em suas operações ativas e passivas e nos serviços prestados (artigo 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais.
Desse modo, segundo a ministra, o armazenamento de dados feito de maneira inadequada, possibilitando que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD).
“Não há como afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado golpe do boleto, uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou email à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor)”, disse.
O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.
https://calabriabr.com.br/wp-content/uploads/2024/03/Imagem_seguranca-dados.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2024-10-28 08:42:412024-10-28 08:42:41Os precedentes do STJ nos primeiros quatro anos de vigência da Lei Geral de Proteção de Dados Pessoais (Superior Tribunal de Justiça).
A 1ª Câmara de Direito Empresarial do Tribunal de Justiça de São Paulo determinou que sites de venda online forneçam os registros de criação e acesso de anúncios de suas plataformas, bem como das contas responsáveis pela criação, com endereço de IP, data, hora, fuso horário e porta lógica de origem, restritos temporalmente ao período de seis meses antes da intimação da decisão liminar em 1º Grau. De acordo com os autos, terceiros utilizaram indevidamente as marcas da autora para comércio de produtos falsificados nas plataformas dos réus.
Em seu voto, o relator do recurso, desembargador Rui Cascaldi destacou que os réus, provedores de aplicação, têm dever de guarda dos dados relativos às “portas lógicas de origem” – dado capaz de identificar e individualizar um usuário dentro do provedor de conexão mesmo que o mesmo IP tenha sido distribuído para um grupo de pessoas.
“Muitos dos IPs antigos passaram a ser compartilhados por mais de um acesso de diferentes páginas, sendo apenas possível identificar o específico acesso, acerca do qual se postulam os dados, caso o IP a ele relativo seja cruzado com os dados da porta lógica de origem do mesmo acesso. Dados que, frise-se, são tecnicamente viáveis de serem apresentados por provedores de aplicação. À vista disso, a simples apresentação dos IPs de acesso não permite, a contento, que se identifiquem os dados do acesso, pelo que se faz necessário o fornecimento da porta lógica de origem”. O magistrado acrescentou que caso em fase de cumprimento se demonstre a impossibilidade da obrigação de fazer, é possível a conversão em perdas e danos.
Também participaram do julgamento os desembargadores Alexandre Lazzarini e Azuma Nishi. A decisão foi unânime.
https://calabriabr.com.br/wp-content/uploads/2024/03/Imagem_seguranca-dados.png208415calabriahttps://calabriabr.com.br/wp-content/uploads/2024/03/calabria_logo_header.pngcalabria2024-08-07 07:17:062024-08-07 07:17:06Provedores de aplicação têm dever de guarda de dados relativos a portas lógicas de origem, decide TJSP (Tribunal de Justiça de São Paulo).
Este site utiliza cookies apenas com fins estatísticos para melhorar sua experiência no nosso ambiente virtual. Ao continuar navegando você concorda com nossa Política de privacidade
We may request cookies to be set on your device. We use cookies to let us know when you visit our websites, how you interact with us, to enrich your user experience, and to customize your relationship with our website.
Click on the different category headings to find out more. You can also change some of your preferences. Note that blocking some types of cookies may impact your experience on our websites and the services we are able to offer.
Essential Website Cookies
These cookies are strictly necessary to provide you with services available through our website and to use some of its features.
Because these cookies are strictly necessary to deliver the website, refusing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.
We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.
We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.
Google Analytics Cookies
These cookies collect information that is used either in aggregate form to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website and application for you in order to enhance your experience.
If you do not want that we track your visit to our site you can disable tracking in your browser here:
Other external services
We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.
Google Webfont Settings:
Google Map Settings:
Google reCaptcha Settings:
Vimeo and Youtube video embeds:
Other cookies
The following cookies are also needed - You can choose if you want to allow them:
Privacy Policy
You can read about our cookies and privacy settings in detail on our Privacy Policy Page.
