Um dos equívocos mais recorrentes que observo nas organizações é tratar a implementação do programa de privacidade como um projeto com escopo fechado e data de entrega.
O ambiente regulatório não para. A ANPD publica novas resoluções, orientações técnicas e notas de esclarecimento com frequência crescente. Basta acompanhar o histórico recente, com as Resoluções CD/ANPD nº 4/2023 e nº 15/2024 alterando de forma significativa o que se espera dos controladores. A jurisprudência também evolui, e decisões administrativas da própria ANPD começam a delinear como a autoridade interpreta conceitos que a lei deixou em aberto.
Nenhuma organização quer passar por um incidente de privacidade. Mas as que estão melhor preparadas são as que conseguem mitigar os danos com mais eficiência quando ele acontece e a diferença entre uma resposta eficaz e uma crise devastadora costuma estar nos processos construídos antes do incidente, não durante.
A LGPD, no artigo 48, obriga o controlador a comunicar à ANPD e ao titular qualquer incidente de segurança que possa acarretar risco ou dano relevante.
O que estou fazendo agora Esta é uma página atual. E se você tem seu próprio site, você também deveria criar uma.
*Última atualização em {{ post_last_modified }}
Uma organização pode ter toda a documentação em dia, políticas aprovadas, sistemas implementados, e ainda assim ter um problema sério de privacidade. O motivo, na maioria das vezes, é simples: as pessoas não sabem o que fazer, ou pior, sabem e não consideram relevante.
Treinamento e conscientização são pilares fundamentais de qualquer programa de privacidade maduro. Não basta que a liderança esteja alinhada. Cada colaborador que lida com dados pessoais no dia a dia, seja no RH, no atendimento, na área comercial ou na TI, precisa entender suas responsabilidades concretas, não apenas assinar um termo de ciência.
Ferramentas e Apps que eu uso *Última atualização em {{ post_last_modified }}
A lista abaixo reúne os dispositivos, aplicativos e serviços que utilizo no dia a dia. Não é muita coisa, até porque meu uso de tecnologia é bastante seletivo, mas assim como me interesso pelo que outras pessoas usam, talvez alguém se interesse pelo que eu uso também.
Quando uma empresa contrata um fornecedor que vai ter acesso a dados pessoais de clientes ou colaboradores, as obrigações da LGPD não ficam para trás. Elas acompanham o dado para onde ele for.
A lei distingue controlador e operador: o controlador é quem define a finalidade e a forma do tratamento; o operador é quem realiza o tratamento seguindo as orientações do controlador. O artigo 39 da LGPD obriga o operador a tratar os dados apenas conforme as instruções do controlador.
O conceito de Privacy by Design surgiu há décadas, mas ganhou força regulatória com o GDPR (General Data Protection Regulation ) e, no Brasil, com a LGPD (Lei Geral de Proteção de Dados). O artigo 46, parágrafo 2º, da nossa lei já prevê a adoção de medidas de segurança “desde a concepção” dos produtos e serviços.
Na prática, isso significa que privacidade não pode ser um ajuste de último momento. Quando uma empresa desenvolve um novo produto digital, uma nova funcionalidade ou um novo processo que envolva dados pessoais, as proteções precisam estar planejadas desde o início, e não adicionadas depois que tudo já está pronto.
Uma dúvida que aparece com frequência durante a implementação de programas de privacidade é “Qual a diferença entre política de privacidade e aviso de privacidade?” A distinção prática é importante.
A política de privacidade é um documento interno, voltado para os colaboradores da organização. Ela orienta como os funcionários devem lidar com dados pessoais no dia a dia, quais são as práticas permitidas, quais são as restrições e quais são os canais para reportar dúvidas ou incidentes.
Toda vez que uma empresa trata dados pessoais, precisa ter uma razão jurídica para isso. A LGPD chama isso de base legal, e o artigo 7º da lei lista as hipóteses válidas para dados comuns. Para dados sensíveis, as hipóteses estão no artigo 11, e são mais restritas.
O consentimento é a base mais conhecida, mas está longe de ser a mais utilizada no dia a dia empresarial. Nas relações de trabalho, por exemplo, o tratamento de dados de colaboradores normalmente se fundamenta no cumprimento de obrigação legal ou no contrato.
A noyb.eu publicou um artigo desmistificando 5 equívocos sobre proteção de dados no contexto europeu. Inspirado nesse texto, fiz o exercício de trazer o foco para o Brasil e a LGPD.
Os equívocos por aqui são parecidos.
Equívoco 1: “A LGPD obriga os sites a usar banners de cookies."
Não. A LGPD exige base legal para tratar dados. Se a empresa escolhe o consentimento, ela precisa coletá-lo de forma válida: livre, informada e inequívoca (art.
Parece uma pergunta simples. Mas a maioria das empresas, quando confrontada com ela de forma honesta, não consegue respondê-la com precisão.
O mapeamento e inventário de dados é um dos pilares de qualquer programa de privacidade. Ele permite que a organização tenha uma visão clara de quais dados pessoais processa, em quais sistemas, por quais processos de negócio, por quanto tempo e com quais terceiros esses dados são compartilhados.
Sem esse mapa, fica impossível gerenciar riscos, responder às solicitações de titulares dentro dos prazos legais ou tomar decisões informadas sobre como tratar os dados.
Quando falamos em implementar um programa de privacidade, governança é o ponto de partida. Sem uma estrutura clara de papéis, responsabilidades e processos, qualquer iniciativa corre o risco de se tornar superficial.
O que significa ter governança de privacidade na prática?
Significa que a organização sabe quem é responsável pelo quê. Que existe um Encarregado de Proteção de Dados, o famoso DPO, com acesso direto à alta liderança. Que há um time ou escritório de privacidade funcionando com processos definidos.
O sistema já estava em produção quando me avisaram!
Nenhuma avaliação de privacidade, nenhum mapeamento de dados, nenhum DPA com o fornecedor. Fui chamado depois, para “resolver”. E a resposta que recebi quando perguntei por que não tinham me acionado antes foi direta: “achamos que você ia travar o projeto.”
Ali ficou claro que eu tinha um problema de posicionamento, não de compliance.
A área de negócio não estava agindo de má-fé.
Quando uma empresa decide estruturar um programa de privacidade, uma das primeiras perguntas é: por onde começar? A resposta depende do contexto, e isso não é um problema, é uma vantagem.
O NIST Privacy Framework é um dos referenciais mais conhecidos, desenvolvido de forma colaborativa nos EUA para ajudar organizações a identificar e gerenciar riscos de privacidade de forma prática e adaptável. A ISO 27701, por sua vez, estabelece os requisitos para um Sistema de Gestão de Privacidade da Informação, funcionando como extensão da ISO 27001 e se alinhando diretamente à LGPD e ao GDPR, inclusive na separação de responsabilidades entre controladores e operadores.
Até o final de 2024, mais de 80% dos países já tinham alguma legislação relacionada à proteção de dados pessoais. Esse número, apontado pela Conferência das Nações Unidas sobre Comércio e Desenvolvimento, diz muito sobre a direção que o mundo tomou.
O Brasil, com a LGPD em vigor desde 2020, está alinhado a essa tendência global. A nossa lei foi fortemente inspirada no GDPR europeu, o regulamento que se tornou referência mundial no tema e que prevê multas de até 4% do faturamento global anual para infrações graves.
Existe uma percepção bastante comum nas empresas, especialmente nas menores, de que adequar-se à LGPD é só uma obrigação legal, algo que se faz para não levar multa. Essa visão, além de limitada, pode custar caro.
A Lei Geral de Proteção de Dados está em vigor desde 2020 e a ANPD vem amadurecendo seu processo sancionatório de forma consistente. Em 2023, com a Resolução CD/ANPD nº 4, ficaram definidos os critérios de dosimetria das sanções, o que deixou o cenário ainda mais concreto para as empresas que ainda adiam o tema.
Quando comecei a trabalhar com privacidade e proteção de dados, virei aquela pessoa mais cuidadosa, talvez até um pouco “chatinha”, com meus próprios dados. Passei a prestar atenção em onde guardo arquivos, fotos, informações pessoais. Fiquei mais seletivo, mais consciente dos riscos e das exposições que escolho assumir. Exagero? Talvez. Mas é um cuidado que faço questão de ter.
O curioso é perceber como esse cuidado é frágil quando não depende só de você.
Estava assistindo a uma entrevista com Steve Wexler sobre como usar a visualização de dados para tomar decisões melhores e mais rápidas, e isso me fez lembrar de uma experiência marcante que gostaria de compartilhar com vocês.
Em um projeto de privacidade no qual atuei, um de nossos consultores era daltônico. Para garantir sua plena participação, implementamos uma solução simples, mas extremamente eficaz: todos os relatórios e entregas passaram a incluir legendas que combinavam cores com números ou letras.
Adoro esse trecho da série This is Us:
Escolher as nossas pessoas é o mais próximo que chegamos de controlar nosso destino.
Esse trecho da série sempre me faz pensar sobre o que realmente está ao nosso alcance em meio a tantas variáveis que não controlamos. Projetos mudam. Prioridades mudam. Leis mudam. Mas uma coisa permanece essencial: as pessoas com quem escolhemos caminhar.
No dia a dia de um profissional de privacidade (ou de qualquer líder), isso é ainda mais evidente.
Hoje, durante o intervalo de descanso entre uma série na academia, olhei ao redor e percebi algo curioso: muitas pessoas estavam no telefone. Resolvi contar rapidamente e cheguei a 25. Havia mais, mas não quis me alongar, porque já era hora de retomar o treino.
É impressionante como isso virou um padrão, quase uma contaminação silenciosa. Onde quer que você vá, há sempre olhos fixos naquela pequena tela. Como descreve Catherine Price em Celular: Como dar um tempo, os aparelhos se transformaram em uma espécie de “slot machine” portátil, projetados para prender nossa atenção, gerar pequenas recompensas e nos manter conectados sem perceber.