BIS CRM Blog

Bem-vindos ao nosso Blog sobre LGPD
Deseja Receber os Artigos do Blog por Email ? 
Quero Receber Artigos do Blog
30/01/2026
Webinar: O mercado precisa de DPOs
Ver Video
Loading...
08/01/2026
Função Pick Personas do Grok: Como Funciona na Prática da LGPD
LER ARTIGO
A função Pick Personas do Grok agora incorpora recursos avançados de privacidade, projetados para fortalecer a conformidade com a LGPD. Ela permite uma seleção mais granular de dados, assegurando que apenas as informações essenciais sejam processadas, minimizando riscos de segurança. Esta atualização oferece ferramentas robustas para a gestão do consentimento e anonimização de dados, facilitando a aderência às regulamentações de proteção de dados e promovendo uma cultura de privacidade.
28/10/2025
💥 Fui “Pwned”.  E agora?
LER ARTIGO
Descobri que meu e-mail foi exposto em três vazamentos diferentes.
Sim, aconteceu comigo — e pode acontecer com qualquer um.
O importante é agir rápido e com método.
Como pessoa
Troque suas senhas imediatamente.
Use senhas fortes e diferentes para cada conta.
Ative a autenticação de dois fatores (2FA).
De preferência por aplicativo, não por SMS.
Revise acessos e dispositivos conectados.
Saia de sessões antigas e verifique logins suspeitos.
Fique atento a e-mails estranhos.
Phishing é o golpe mais comum após vazamentos.
Como empresa
Registre o incidente.
Documente tudo no relatório de ocorrências da LGPD → avisar o DPO (entrada no DPO LOG)
Avalie o risco e comunique se necessário.
A ANPD e os titulares devem ser notificados se houver risco real. (Acesso a Saas)
Troque credenciais e revise acessos.
Aplique 2FA e o princípio do menor privilégio.
Treine sua equipe.
A maioria dos vazamentos vem de descuido humano.
Audite e previna.
Faça varreduras de segurança e mantenha políticas atualizadas. (veja com quais outros saas compartilha essa senha)
Conclusão
Ser “pwned” não significa que você falhou — significa que a segurança digital é uma rotina, não um estado permanente.
Prevenção, educação e governança são o melhor antivírus que existe.
Para Verificar se seu email foi vazado LINK + Cadastre seu email para receber notificação.
27/10/2025
Mais de 180 milhões de senhas e e-mails vazaram — e o alerta é pra todos nós!
LER ARTIGO
Mais de 180 milhões de senhas e e-mails vazaram — e o alerta é pra todos nós!
Nos últimos dias, veio à tona o vazamento de mais de 180 milhões de contas de e-mail do Gmail, Outlook e Yahoo.
Um número que assusta, mas que não é novidade — e mostra como nossa segurança online ainda é tratada com descuido.
Há tempos falamos sobre isso, mas parece que só damos atenção quando o problema explode nas manchetes. 😬
O mito da “minha conta está segura”
Muita gente faz o teste no site Have I Been Pwned, digita o e-mail e, ao ver a mensagem “Boas notícias – Nenhuma pwnage encontrada!”, suspira aliviada.
Mas a verdade é: isso não significa que você está 100% seguro.
Significa apenas que seu e-mail não apareceu naquele banco de dados específico de vazamentos.
A real ameaça vai além — está na nossa dependência total de logins e senhas como chave para a vida digital.
Nossa identidade digital não é nossa
Sem o seu e-mail, você não acessa quase nada:
Não entra no gov.br,
Não recupera o imposto de renda,
Não abre sua carteira de trabalho digital,
E nem configura o celular novo.
E o mais curioso: essa chave não é realmente sua.
Ela pertence a corporações — Google, Microsoft, Yahoo — que controlam o acesso àquilo que deveria ser público e soberano: a sua identidade digital.
Soberania digital: estamos prontos para isso?
O debate é válido: deveríamos ter um e-mail público, gratuito e seguro para todos os cidadãos?
Parece uma boa ideia… mas o problema é mais complexo.
Entregar toda a identidade digital a um governo que ainda luta por estabilidade, transparência e confiança pública pode criar outros riscos — vigilância, centralização excessiva e uso político dos dados.
Enquanto países europeus têm infraestrutura sólida e cultura de proteção de dados mais madura, o Brasil ainda engatinha nessa confiança digital.
O que podemos fazer agora
Enquanto a soberania digital não chega, o caminho é fortalecer a segurança individual e corporativa.
Algumas medidas simples fazem toda a diferença:
Ative a Autenticação de Dois Fatores (2FA) – ela reduz drasticamente as chances de invasão.
Use senhas fortes e exclusivas para cada serviço.
Não confie apenas em provedores — use gestores de senha e backups criptografados.
Faça auditorias internas e treinamentos sobre segurança e privacidade (inclusive na sua equipe).
Implemente políticas de LGPD — não apenas por obrigação legal, mas como proteção real contra vazamentos.
Conclusão
Enquanto discutimos soberania digital e dependência das Big Techs, o primeiro passo está nas nossas mãos: educação, prevenção e consciência.
Não se trata de desconfiar da tecnologia — mas de assumir o controle da sua identidade digital.
E isso começa com pequenas ações, hoje.
Quer saber se a sua empresa está realmente protegida?
👉 A BIS CRM oferece avaliações completas de conformidade LGPD, incluindo auditoria, treinamento e implementação de segurança digital.
12/10/2025
ChatGPT for Business e privacidade de dados: o que mudou para você, órgão público ou escola
LER ARTIGO
ChatGPT for Business e a LGPD: O que muda para o setor público
Entendendo as novas práticas de proteção de dados no uso de Inteligência Artificial
Nos últimos meses, a OpenAI, desenvolvedora do ChatGPT, anunciou novas versões da ferramenta voltadas ao uso corporativo — como o ChatGPT Enterprise e o ChatGPT for Business.
Essas versões foram projetadas para oferecer maior segurança, controle e privacidade de dados, buscando atender às exigências de legislações de proteção de dados ao redor do mundo — incluindo a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) no Brasil.
Para prefeituras, secretarias municipais e instituições públicas, que lidam diariamente com informações sensíveis de cidadãos, servidores e alunos, compreender essas mudanças é essencial para garantir o uso ético e seguro da Inteligência Artificial.
Principais avanços do ChatGPT for Business
De acordo com a OpenAI, as versões empresariais do ChatGPT oferecem melhorias significativas em termos de governança e sigilo das informações processadas:
Proteção de confidencialidade: as interações dos usuários não são utilizadas para treinar os modelos de Inteligência Artificial, reduzindo o risco de exposição indevida de dados.
Criptografia reforçada: o sistema emprega criptografia de ponta a ponta (AES-256 e TLS 1.2 ou superior), protegendo os dados tanto em trânsito quanto em repouso.
Controles administrativos e logs de acesso: organizações podem gerenciar permissões, autenticações e auditorias internas.
Conformidade contratual: a OpenAI disponibiliza um Data Processing Addendum (DPA), instrumento contratual que define responsabilidades no tratamento de dados pessoais.
Ambiente corporativo isolado: os dados processados por clientes empresariais ficam separados do modelo público, evitando cruzamento de informações.
Essas medidas representam um avanço importante para o uso institucional de IA, mas não eliminam a necessidade de governança local e supervisão humana.
Limites e riscos que ainda exigem atenção
Apesar das melhorias, o uso do ChatGPT e de outras ferramentas de IA ainda demanda cautela sob a ótica da LGPD e da ANPD.
Entre os principais pontos de atenção:
Possibilidade de acesso técnico interno por parte da OpenAI em casos de suporte, auditoria ou exigência judicial;
Risco residual de vazamento ou uso inadequado de dados sensíveis quando o usuário insere informações pessoais em prompts;
Falta de transparência total sobre o tempo de retenção e descarte das interações;
Vulnerabilidades em GPTs customizados (versões personalizadas de chatbots) que podem inadvertidamente expor instruções internas ou dados de terceiros.
Esses riscos reforçam a importância de que cada órgão público possua uma política interna clara de uso de Inteligência Artificial, supervisionada pelo Encarregado de Proteção de Dados (DPO) e alinhada às boas práticas de governança digital.
Como a BIS CRM / DPOSaaS pode apoiar sua instituição
A BIS CRM / DPOSaaS atua justamente no ponto de convergência entre tecnologia, governança e conformidade legal.
Nosso serviço de DPO as a Service (DPOSaaS) foi desenvolvido para auxiliar prefeituras, secretarias e autarquias a implementar de forma segura o uso de novas tecnologias como o ChatGPT, sempre em conformidade com a LGPD e as orientações da Autoridade Nacional de Proteção de Dados (ANPD).
Entre nossas principais entregas estão:
Mapeamento de riscos e elaboração dos relatórios obrigatórios (ROPA, RIPD e relatórios de incidentes);
Criação e padronização de políticas internas e controles de acesso;
Auditorias e planos de ação contínuos de conformidade;
Consultoria sobre uso ético e seguro de ferramentas de IA;
Treinamentos especializados para servidores e gestores públicos.
Com o apoio da BIS CRM / DPOSaaS, sua instituição pode adotar soluções modernas de Inteligência Artificial sem comprometer a privacidade, a segurança ou a conformidade legal.
Conclusão: inovação com responsabilidade
A chegada do ChatGPT for Business demonstra que a Inteligência Artificial está amadurecendo — tornando-se mais confiável para o ambiente corporativo e institucional.
No entanto, o uso seguro e responsável depende de boas práticas internas, políticas de governança e supervisão especializada.
A BIS CRM / DPOSaaS acredita que o avanço tecnológico deve caminhar lado a lado com a proteção de dados e a ética digital.
Se sua instituição deseja modernizar processos com segurança e transparência, fale conosco.
Detalhes e Valores
31/9/2025
Conversa sobre Consentimento na LGPD (Parte 2)
—> Dados de Colaboradores: o manual de boas praticas
LER ARTIGO
Quando falamos em LGPD, 
é importante entender que o tratamento de dados pessoais sempre precisa de uma base legal. No caso dos clientes, a regra é clara: os e-mails só podem ser usados para campanhas se houver um consentimento expresso, documentado e transparente. Sem isso, qualquer comunicação é irregular.
No caso dos colaboradores, o cenário é diferente. Os e-mails profissionais e outras informações funcionais são usados com base no contrato de trabalho, e não dependem de consentimento. A empresa pode, portanto, se comunicar internamente, enviar avisos e campanhas institucionais. O que não pode é tratar esses dados de forma descuidada — por exemplo, circulando planilhas abertas de e-mails ou usando grupos de WhatsApp informais. O correto é manter comunicações em ambientes institucionais, como intranet, Teams ou Slack, sempre restringindo o acesso ao necessário.
Mas existe uma situação que costuma gerar dúvidas, principalmente em grandes empresas: o uso da base de dados de empregados para finalidades externas, como permitir que empresas parceiras enviem ofertas aos colaboradores. Aqui o cuidado precisa ser redobrado. Diferente da comunicação interna, essa finalidade não está diretamente vinculada ao contrato de trabalho. Nesse caso, a base legal deixa de ser a execução contratual e passa a exigir consentimento específico e separado do colaborador.
Ou seja: se a área de marketing quer abrir espaço para que outras empresas promovam produtos e serviços para os funcionários, isso só pode acontecer se o empregado concordar de forma clara, sabendo exatamente quem terá acesso aos seus dados e para qual finalidade. Além disso, esse consentimento precisa ser facultativo — não pode haver pressão, nem consequência negativa caso o colaborador não aceite.
Uma boa prática é criar um protocolo interno, garantindo:
Transparência total: explicar quais parceiros terão acesso e que tipo de comunicação será feita.
Consentimento granular: o colaborador escolhe se quer receber ou não, e pode retirar esse consentimento a qualquer momento.
Minimização: compartilhar apenas o necessário (ex.: nome e e-mail corporativo), nunca dados sensíveis ou irrelevantes.
Canal controlado: de preferência, usar a própria intranet ou uma plataforma corporativa segura, em vez de entregar a lista completa de e-mails para terceiros. Assim, a empresa mantém governança sobre o uso.
Portanto, enquanto o uso de e-mails internos para comunicações corporativas é legítimo e se apoia no contrato de trabalho, a abertura desse banco de dados para terceiros exige um novo olhar: consentimento individual, protocolos de segurança e controle da forma como essas informações serão utilizadas.
No fim, a mensagem é clara: internamente, salvaguardas; externamente, consentimento e transparência. É assim que a empresa protege seus colaboradores, evita riscos e mostra maturidade na aplicação da LGPD.
Gostaria conheçer seu punto de vista sobre parcerias entre empresas … e quais sao as dificuldades que encontraram.
31/9/2025
Conversa sobre Consentimento na LGPD (Parte 1)
—> Existe Consentimento de funcionarios para uso de dados ?
LER ARTIGO
Quando falamos em consentimento dentro da LGPD, pensamos imediatamente no cliente, visitante ou comprador que acessa o site ou participa de campanhas de marketing. Nesse caso, o princípio é claro:
👉 o titular de dados deve expressar de forma livre, informada e inequívoca que aceita receber comunicações.
Isso significa que:
O opt-in deve ser registrado (caixa de seleção, aceite em formulário, etc.).
Não pode haver “consentimento presumido” ou oculto.
A empresa deve garantir que não colocará os dados em risco, por exemplo, enviando listas de contatos por WhatsApp ou e-mail sem proteção — prática que gera vulnerabilidade e pode expor informações pessoais.
Até aqui, estamos falando da base legal do consentimento (art. 7º, I, da LGPD).
E quanto aos empregados da própria empresa?
Aqui a lógica muda um pouco.
Para dados de empregados e colaboradores, a base legal não é o consentimento, mas sim:
Execução de contrato de trabalho (art. 7º, V da LGPD)
Cumprimento de obrigação legal ou regulatória (art. 7º, II da LGPD)
Legítimo interesse em situações específicas (art. 7º, IX da LGPD)
Isso significa que a empresa pode — e deve — usar os e-mails profissionais para enviar comunicações internas, campanhas de engajamento ou informativos corporativos. Faz parte da relação de trabalho e não exige um consentimento expresso a cada envio.
👉 Mas atenção: isso não dá carta branca para tratar os dados sem cautela.
Compartilhamento da lista de e-mails de empregados
Mesmo que sejam e-mails profissionais, eles ainda são dados pessoais (pois identificam a pessoa).
Portanto:
Compartilhar listas abertamente por WhatsApp ou e-mail pode expor desnecessariamente esses dados e gerar risco de vazamento.
O correto é usar meios institucionais e seguros, como Microsoft Teams, Slack, intranet ou plataformas oficiais da empresa.
Sempre aplicar o princípio do acesso mínimo: só quem realmente precisa deve ter acesso.
Em resumo
Para clientes/visitantes: o consentimento é indispensável e deve ser documentado.
Para colaboradores: o uso de e-mails profissionais para comunicações internas se apoia no contrato de trabalho e em bases legais diferentes do consentimento.
Compartilhar listas sem salvaguardas (ex.: WhatsApp, e-mail sem controle) é arriscado e pode caracterizar tratamento inadequado. O ideal é usar ferramentas corporativas seguras.
22/09/2025
Ghosts in the Machine : 
O que o Exército, Descartes e a LGPD têm em comum
LER ARTIGO
Um encontro inesperado
Outro dia, assisti a um vídeo intrigante produzido pelo 4******** do Exército americano. Era cheio de imagens misteriosas: tanques infláveis usados como engodo na Segunda Guerra, sombras de soldados movendo-se à noite, cenas famosas como a da Praça da Paz Celestial. No meio disso, surgiu a frase: “Ghosts in the Machine.”
Na hora, lembrei de dois nomes da filosofia: René Descartes, que via mente e corpo como entidades separadas, e Gilbert Ryle, que em 1949 ironizou essa visão chamando-a de “o fantasma na máquina”.
Os fantasmas modernos
Na filosofia, esse fantasma era uma metáfora para a alma escondida dentro do corpo. Mas no mundo digital de hoje, os “fantasmas” são outros:
Integrações esquecidas que ainda coletam dados.
Planilhas paralelas que ninguém atualiza mas continuam circulando.
Backups e logs com informações pessoais invisíveis no dia a dia.
Acessos de ex-colaboradores que nunca foram revogados.
Esses são os fantasmas da privacidade, rondando silenciosamente as máquinas que usamos para gerir dados.
O perigo invisível
O problema é que esses fantasmas não assustam apenas em teoria — eles podem colocar qualquer empresa em risco frente à LGPD.
Se não sabemos onde os dados estão, como explicar isso ao titular?
Se existem cópias ocultas, como cumprir o direito de exclusão?
Se há acessos esquecidos, como garantir segurança?
A LGPD pede transparência, consentimento e controle. Fantasmas digitais trabalham exatamente contra esses princípios.
Exorcizando os fantasmas com o DPOaaS
É aqui que entra o papel do Encarregado de Dados (DPO) e soluções como o DPOaaS. O trabalho é, em grande parte, uma caçada a esses fantasmas:
Mapear fluxos de dados em CRM, e-commerce, marketing, atendimento.
Auditar acessos e eliminar portas desnecessárias.
Documentar o ciclo de vida dos dados.
Criar políticas para que novos fantasmas não surjam.
Conclusão
“Ghosts in the machine” começou como uma crítica filosófica e hoje é também um alerta prático: em cada empresa, sempre existem processos invisíveis que podem comprometer a privacidade. Reconhecê-los é o primeiro passo para transformar sua organização em uma máquina sem fantasmas — transparente, ética e em conformidade com a LGPD.
11/09/2025
Alerta Vermelho : 
OpenAI Admite Espionar Conversas do ChatGPT e Entregar Dados à Polícia!
LER ARTIGO
OpenAI monitora conversas no ChatGPT e compartilha conteúdo sinalizado com autoridades – o que isso significa à luz da LGPD?
A OpenAI anunciou que agora analisa ativamente as conversas dos usuários no ChatGPT e encaminha trechos marcados como suspeitos a autoridades. A medida, apresentada como forma de identificar atividades ilegais ou nocivas, gerou preocupação quanto à privacidade das mensagens que antes eram consideradas confidenciais.
Impacto na LGPD
Finalidade e necessidade – A LGPD permite o tratamento de dados pessoais apenas quando há uma finalidade clara e legítima. Coletar todo o histórico de chats sem informar previamente os usuários pode violar os princípios de transparência e necessidade.
Base legal – Para repassar informações a autoridades, a OpenAI precisa de fundamento jurídico sólido (ordem judicial, obrigação legal ou consentimento explícito). A falta de detalhes sobre quais critérios acionam o “flagging” deixa dúvidas sobre a adequação legal.
Verificação de identidade – Caso a empresa exija a certificação da identidade do usuário antes de registrar ou compartilhar dados, isso implica a coleta de informações sensíveis. Tal prática só é válida se houver:
consentimento específico do titular;
justificativa de legítimo interesse bem demonstrada;
políticas claras sobre armazenamento, prazo de retenção e direitos de acesso, correção e exclusão.
Transparência e direitos do titular – Usuários devem saber exatamente quais dados são capturados, como são usados e ter a possibilidade de exercer seus direitos (acesso, correção, exclusão, revogação de consentimento). A ausência de comunicação clara pode gerar violação ao princípio da transparência.
O que isso traz para os usuários?
Incerteza sobre a privacidade: Mensagens que antes pareciam privadas podem ser revisadas por terceiros, afetando a confiança na ferramenta.
Necessidade de consentimento informado: Se a OpenAI passar a exigir identidade para certas interações, os usuários precisarão autorizar explicitamente essa coleta.
Reforço da responsabilidade das plataformas: A LGPD exige que empresas adotem medidas de segurança robustas e limitem a retenção de dados ao estritamente necessário.
Conclusão
A iniciativa da OpenAI de monitorar e reportar conteúdo suspeito levanta questões relevantes sob a LGPD, sobretudo quanto à necessidade de bases legais claras, transparência e respeito aos direitos dos titulares. Até que a empresa detalhe seus procedimentos de verificação de identidade e compartilhe os critérios de sinalização, a confiança dos usuários nas conversas com IA permanecerá em xeque. É fundamental que serviços de IA adotem práticas alinhadas à legislação de proteção de dados para garantir que a inovação não venha à custa da privacidade.
02/09/2025
O Caso Córtex e o Alerta Vermelho para Segurança e Governança de Dados no Brasil: sistemas "avançados".
LER ARTIGO
A revelação da Polícia Federal sobre a falha de segurança no Córtex, sistema de inteligência artificial do governo federal, expôs uma vulnerabilidade sem precedentes no aparato de inteligência brasileiro. A investigação da Operação i-Fraude revelou que facções criminosas tiveram acesso irrestrito ao sistema, explorando logins e senhas de autoridades que eram vendidos na chamada rede clandestina i-Find, por valores a partir de R$ 20 por dia.
O impacto é alarmante: com o controle do Córtex, o Primeiro Comando da Capital (PCC) monitorou autoridades de alto escalão, incluindo ministros do STF, parlamentares, promotores e até o diretor-geral da PF. Segundo a investigação, mais de mil credenciais estavam expostas na internet, revelando um colapso no controle de acesso e na proteção de informações altamente sensíveis.
Lições do Caso: Segurança Não é Apenas Tecnologia
Esse episódio reforça uma verdade muitas vezes negligenciada: segurança não depende apenas de sistemas avançados, mas de governança, processos e responsabilização.
Gestão de credenciais: mil acessos expostos indicam ausência de política robusta de autenticação e renovação de senhas.
Governança de acessos: falta de monitoramento contínuo sobre quem acessa, quando e para quê.
Cultura de segurança: indícios de participação de agentes públicos mostram como o fator humano pode ser o elo mais frágil.
Ou seja, não basta possuir uma tecnologia poderosa. É preciso garantir controles claros, rastreabilidade e responsabilização, princípios que estão no cerne da LGPD.
Conexão com a LGPD
Embora o caso envolva o setor público e não diretamente empresas privadas, a LGPD (Lei Geral de Proteção de Dados) nos oferece princípios que poderiam ter mitigado essa falha:
Responsabilização e Prestação de Contas: o controlador deve demonstrar medidas eficazes de governança.
Segurança: obrigação de adotar medidas técnicas e administrativas para proteger os dados.
Prevenção: políticas proativas para evitar incidentes antes que ocorram.
A ausência desses pilares no caso Córtex mostra que sem uma cultura de compliance e proteção de dados, até mesmo órgãos estatais ficam vulneráveis a ameaças internas e externas.
Como o DPOaaS Pode Ajudar Empresas a Evitar um “Córtex Corporativo”
Nas empresas privadas, a realidade não é muito diferente: credenciais expostas, falta de monitoramento e ausência de políticas de acesso ainda são comuns. O DPOaaS (Data Protection Officer as a Service) surge como um caminho para:
Mapear e mitigar riscos de segurança e vazamento de credenciais.
Estabelecer controles de acesso baseados em LGPD (mínimo privilégio, revisão periódica, registros de logs).
Treinar equipes para reconhecer ameaças e responsabilidades.
Criar planos de resposta a incidentes, evitando que falhas técnicas virem crises institucionais.
Conclusão
O caso Córtex deve servir como alerta definitivo: sem governança, transparência e segurança aplicada ao ciclo de vida dos dados, até os sistemas mais avançados podem se transformar em ferramentas a serviço do crime.
Empresas que tratam dados pessoais — seja no varejo, no setor financeiro ou em tecnologia — precisam adotar uma postura proativa, estruturando políticas alinhadas à LGPD e contando com a figura do DPO (ou DPOaaS) como guardião desse processo.
O recado é claro: proteger dados não é apenas cumprir a lei, é proteger vidas, reputações e a própria continuidade do negócio.
01/09/2025
Alerta de Segurança: 
Por que guardar certificados digitais em locais improvisados pode custar caro ao seu escritório
Video da iSenha em relaçao a senhas do "gov".
Loading...
Introdução
Em um cenário onde a maioria dos escritórios de contabilidade ainda guarda informações sensíveis – como login, senha e chave privada de certificados digitais – em planilhas Excel, mensagens de WhatsApp ou até na memória de smartphones, o risco de vazamento é real e pode gerar prejuízos financeiros, danos à reputação e sanções da LGPD.
Neste artigo explicamos por que esses hábitos são perigosos, como montar um processo seguro e como a nossa equipe pode ajudar o seu escritório a proteger os dados dos clientes de forma prática e certificada.
Por que o armazenamento tradicional é vulnerável? Planilhas (XLS/CSV) – arquivos facilmente copiados, enviados por e‑mail ou armazenados em nuvens sem criptografia. WhatsApp e celular – aplicativos de mensagem não foram projetados para guardar credenciais; backups automáticos podem ser acessados por terceiros. Acesso irrestrito – quem tem o arquivo pode visualizar ou exportar as senhas sem nenhum controle de auditoria. Essas práticas expõem os dados a ataques de ransomware, engenharia social e vazamentos internos, além de violarem diretamente o artigo 5º II da LGPD, que classifica esses dados como sensíveis.
O que a LGPD exige? Criptografia forte (pelo menos AES‑256) tanto em repouso quanto em trânsito. Controle de acesso baseado em papéis (principle of least privilege). Registro de tratamento de dados, incluindo logs imutáveis de quem acessou, quando e o que fez. Retenção mínima – guardar as credenciais apenas enquanto houver necessidade legítima. Plano de resposta a incidentes com notificação à ANPD em até 72 horas. Não cumprir esses requisitos pode resultar em multas de até 2 % do faturamento anual da empresa, limitadas a R$ 50 milhões.
Nosso método comprovado para proteger certificados digitais
Como podemos ajudar o seu escritório agora
Diagnóstico gratuito – Analisamos seu ambiente atual (planilhas, mensagens, dispositivos) e entregamos um relatório com os principais gaps de segurança.
Projeto personalizado – Definimos, junto ao seu time, o fluxo ideal de tratamento de certificados digitais, alinhado às necessidades operacionais e à LGPD.
Implementação completa – Configuramos o cofre de segredos, integrando-o ao seu ERP/contabilidade, treinamos a equipe e criamos os procedimentos de auditoria.
Entre em contato para agendar seu diagnostico contato@dposaas.com.br
Conclusão 
Manter login, senha e chave privada de certificados digitais em planilhas ou aplicativos de mensagem é um convite ao desastre. Ao adotar um processo estruturado, baseado em criptografia, controle de acesso e auditoria, seu escritório não só protege os dados dos clientes, como também demonstra compromisso com a privacidade e a conformidade legal.
Deixe a segurança dos certificados digitais nas mãos de especialistas. Estamos prontos para transformar a forma como você trata essas informações críticas – garantindo tranquilidade para você e seus clientes.
27/08/2025
ChatGPT e a Crise de Privacidade: Por que o Modelo Tradicional Não Basta
Lumo – O gato guardião que protege seus dados e oferece uma solução segura para ChatGPT e demais plataformas de IA generativa.
LER ARTIGO
LUMO  e a importância de limitar o uso de IA generativa como o ChatGPT no ambiente corporativo
A crescente popularidade de ferramentas de inteligência artificial generativa – como o ChatGPT – traz benefícios evidentes em termos de produtividade e criatividade. Contudo, para empresas que lidam com dados sensíveis e precisam cumprir a Lei Geral de Proteção de Dados (LGPD), o uso indiscriminado dessas soluções pode representar um risco significativo de vazamento de informações confidenciais.
Por que o LUMO pode ser a alternativa segura?
Criptografia de ponta a ponta LUMO foi desenvolvido pela Proton com foco absoluto na privacidade. Todas as conversas são criptografadas end‑to‑end, o que impede que terceiros acessem o conteúdo, mesmo que a infraestrutura seja comprometida.
Controle total sobre os dados Ao contrário de alguns serviços de IA que armazenam interações para “treinar” modelos futuros, o LUMO não retém historicamente as mensagens dos usuários. Isso reduz drasticamente a superfície de ataque e elimina a possibilidade de que informações internas sejam reutilizadas em outros contextos.
Conformidade integrada à LGPD LUMO já incorpora princípios da LGPD – como minimização de dados, finalidade limitada e transparência – facilitando a demonstração de conformidade perante a Autoridade Nacional de Proteção de Dados (ANPD).
Boas práticas para os colaboradores
Use o LUMO para comunicação interna – Sempre que precisar discutir projetos, estratégias ou dados de clientes, opte pelo LUMO, que garante confidencialidade por design.
Desencoraje a cópia‑cola de trechos sensíveis – Evite inserir textos contendo dados pessoais ou empresariais em ferramentas externas de IA.
Eduque a equipe sobre a LGPD – Realize treinamentos regulares de DPO (Data Protection Officer) para que todos compreendam as consequências de um vazamento.
Implemente políticas claras de uso de IA – Defina, por escrito, quais tipos de informação podem ou não ser processados por serviços de IA externos.
Conclusão
Embora a IA generativa seja tentadora, a segurança dos dados e a conformidade com a LGPD devem prevalecer. O LUMO oferece uma solução robusta, alinhada aos princípios de privacidade que a legislação brasileira exige, permitindo que os colaboradores mantenham a produtividade sem comprometer a confidencialidade das informações corporativas.
Adotar uma postura cautelosa – restringindo o uso de ferramentas como o ChatGPT para tarefas que não envolvem dados sensíveis – é, hoje, um passo essencial para proteger a reputação da empresa e evitar sanções regulatórias.
Quer saber mais sobre como integrar o LUMO ao seu fluxo de trabalho e garantir a conformidade com a LGPD? Entre em contato com o nosso DPO ou deixe um comentário abaixo!
26/08/2025
2FA e Proteções Digitais: por que o iSenhas é um salto à frente na segurança de dados
A importância do 2FA no mundo digital
LER ARTIGO
Em um cenário onde a maior parte da nossa vida acontece online — compras, comunicação, trabalho, investimentos — a proteção das senhas se tornou prioridade. Uma das formas mais eficazes de garantir essa segurança é a autenticação em dois fatores (2FA).
Enquanto uma senha pode ser vazada, clonada ou roubada, o 2FA adiciona uma camada extra de segurança: além da senha, é necessário um código temporário, chave ou dispositivo para confirmar a identidade. Essa dupla barreira reduz drasticamente o risco de invasões e fraudes.
As limitações de gerenciadores de senhas tradicionais
Gerenciadores como o Proton Pass e outros já oferecem cofres criptografados e integração com 2FA. Porém, em muitos casos, eles não atendem às necessidades específicas do público brasileiro, como a integração com chaves Pix, a adaptação ao cotidiano urbano e a resposta a ameaças físicas como roubo de celular.
iSenhas: um diferencial brasileiro 
Segurança de ponta a ponta
O iSenhas utiliza criptografia AES-256 de ponta a ponta, considerada padrão-ouro na proteção digital.
Além disso, conta com chaves de recuperação, garantindo que nem mesmo em situações de perda ou troca de dispositivos você fique sem acesso.
Reconhecimento e credibilidade
Não se trata de uma solução experimental. O iSenhas já acumula:
+200 mil downloads.
+10 anos no mercado.
Participação no Apple Entrepreneur Camp 2023.
+1200 avaliações na App Store, com destaque em coleções como “Apps que amamos” e “Ano novo, vida nova”.
Preço acessível para proteção ilimitada
Por apenas R$ 7,90/mês ou R$ 69,90/ano, o plano Premium oferece:
Itens ilimitados armazenados com segurança.
Sincronização em todos os dispositivos.
Verificações ilimitadas de vazamentos de senhas.
Backup seguro em nuvem.
Em comparação com concorrentes internacionais, o custo-benefício é incomparável, especialmente considerando as funcionalidades adicionais adaptadas ao público brasileiro.
Conclusão: segurança feita sob medida
Se proteger online deixou de ser uma opção — é uma necessidade. O 2FA é um dos pilares dessa segurança, e soluções como o iSenhas mostram que é possível ter proteção global, mas pensada para o contexto local.
Com recursos inovadores, integração com Pix, bloqueio contra roubo físico e organização inteligente, o iSenhas não só acompanha players globais como supera expectativas, oferecendo ao usuário brasileiro um nível de proteção que realmente faz sentido para sua realidade.
Para mais info, clique nessa imagem
15/08/2025
O Caso Moraes e a LGPD — O que o relatório da ONG Civilization Works nos ensina sobre privacidade de dados no Brasil
LER ARTIGO
Introdução
Um relatório da ONG americana Civilization Works trouxe acusações sérias contra o ministro Alexandre de Moraes (STF) e o TSE. Segundo o documento, servidores da Justiça Eleitoral teriam acessado e compartilhado dados biométricos de manifestantes dos atos de 8 de janeiro de 2023 sem respaldo legal.
Embora o caso envolva o poder público, a discussão tem lições diretas para empresas privadas que lidam com dados pessoais.
O que o relatório aponta
Acesso indevido ao GestBio: impressões digitais e fotos teriam sido consultadas sem protocolo formal.
Compartilhamento irregular: dados pessoais foram repassados por policiais sem base judicial.
Estrutura paralela: a AEED (Assessoria Especial para o Enfrentamento à Desinformação) teria operado de forma informal, sem registrar provas nos autos nem permitir acesso às defesas.
Infiltração digital: relatórios sugerem uso de infiltrados em grupos de WhatsApp e Telegram.
A ONG sustenta que tais condutas configurariam abuso de autoridade e violação à LGPD.
LGPD: o que está em jogo
A LGPD (Lei 13.709/2018) se aplica tanto ao setor privado quanto ao setor público. No caso de agentes públicos, a lei reforça:
Finalidade e base legal: só é permitido coletar e tratar dados com justificativa clara e legal.
Transparência e devido processo: titulares devem ter conhecimento sobre o uso de seus dados.
Responsabilidade estatal: mesmo autoridades devem obedecer às mesmas regras de segurança e limitação de uso de dados.
Quando o próprio Estado extrapola, abre-se um debate sobre a legitimidade e a confiança das instituições democráticas.
Esse caso levanta uma questão essencial:
 E se fosse a sua empresa?
Imagine que você, CEO, DPO ou advogado responsável, recebe um pedido direto de autoridades para fornecer dados de clientes — sem ordem judicial, sem protocolo, sem transparência.
Qual seria sua responsabilidade perante os usuários e titulares desses dados?
Como ficaria a confiança na sua marca se, amanhã, viesse à tona que você compartilhou informações pessoais sem respaldo legal?
A LGPD não protege apenas indivíduos contra abusos privados — ela também é uma barreira contra o uso indevido de poder. Para as empresas, isso significa ter clareza de que qualquer tratamento de dados deve ser respaldado por base legal e devido processo.
No fim das contas, confiar nos dados é confiar em você.
E a sua responsabilidade é garantir que nem mesmo pressões externas coloquem isso em risco.
Quais recursos têm os titulares de dados contra você (empresa) e até contra o próprio Estado?
Responsabilidade direta da empresa
Se você, como controlador de dados, entrega informações pessoais a uma autoridade sem respaldo legal:
Art. 42 da LGPD: o controlador responde por danos causados independentemente de culpa. Ou seja, basta o titular provar que seus dados foram indevidamente expostos.
Ações indenizatórias: clientes podem ingressar com ações individuais ou coletivas por danos materiais e morais (ex.: uso indevido da biometria, exposição em redes sociais, discriminação).
Sanções da ANPD: além dos processos, a Autoridade Nacional de Proteção de Dados pode aplicar multas de até 2% do faturamento (limitado a R$ 50 milhões por infração).
👉 Resultado: mesmo que a ordem venha de um órgão estatal, a empresa que entregou os dados pode ser corresponsabilizada se não exigir respaldo jurídico formal.
Recursos contra o Estado e o STF/TSE
O cidadão também tem meios de questionar o poder público quando há abuso:
Ação de indenização contra a União: Art. 37, §6º da Constituição → o Estado responde por danos causados por seus agentes.
Mandado de Segurança: pode ser usado contra atos de autoridades públicas que violem direitos líquidos e certos, como a proteção de dados.
Habeas Data (Art. 5º, LXXII da Constituição): assegura ao titular o direito de conhecer e corrigir informações sobre si mesmo em bancos de dados públicos.
Reclamações e representações: podem ser feitas junto à ANPD, ao Ministério Público ou até a organismos internacionais (como a CIDH da OEA, em casos extremos de violação de direitos fundamentais).
👉 Resultado: mesmo o STF ou TSE podem ser questionados se extrapolarem suas competências no tratamento de dados, pois ninguém está acima da Constituição.
O dilema para empresas
Esse cenário coloca o gestor de dados em um dilema:
Cumprir ordens informais do Estado → risco de ser processado por seus próprios clientes.
Negar ordens sem base legal → risco de retaliação institucional.
É aí que entra a importância do DPO:
Documentar cada pedido de acesso.
Exigir ordem judicial ou fundamento legal escrito.
Negociar os limites de acesso de acordo com a LGPD.
Servir de “escudo” jurídico para a empresa frente às pressões externas.
Conclusão prática
O caso relatado contra o STF ilustra algo maior: se até o Estado pode ser acusado de abusar de dados pessoais, imagine os riscos para empresas privadas.
Para o cliente final, as armas são claras: processo, indenização, ANPD, Ministério Público, ações constitucionais.
Para o empresário, resta a responsabilidade: não ceder sem base legal e blindar sua empresa com governança de dados sólida.
14/08/2025
Quando o “confirmar e-mail” vira cadastro completo
LER ARTIGO
Ou quando o Decadastro fica bem mais complicado que o Cadastro.
o fluxo do Jusbrasil e o que a LGPD exige de transparência.
Após digitar apenas o e-mail, chega a mensagem no inbox “Confirme seu e-mail para criar uma conta”. Ao clicar em “confirmar e-mail”, o usuário é matriculado sem telas intermediárias sobre finalidade, preferências (marketing/alertas), frequência ou opt-in granular. Termos e privacidade aparecem no rodapé, mas sem explicar o que será enviado depois.
Por que preocupa na LGPD (em linguagem simples):
Transparência & finalidade (art. 6): o titular deve saber antes do clique que comunicações receberá e por quê.
Consentimento (art. 7, I): verificar e-mail ≠ consentir marketing; o opt-in precisa ser específico, destacado e inequívoco.
Legítimo interesse (art. 7, IX): requer balanceamento e opt-out fácil — com aviso claro. O que nao aparece no email marketing recebido.
Direitos (art. 18) & minimização (art. 6, III): descadastro em 1 clique e canal direto do DPO; não faz sentido pedir mais dados (ex.: CPF) para exercer direito básico.
Como seria um fluxo saudável (e como não errar):
Separar “criar conta” de “receber marketing” (checkbox desmarcada por padrão + preferências/frequência).
Duplo opt-in para marketing (confirmar e-mail ≠ autorizar promoções).
Resumo claro no e-mail de verificação: o que acontece ao confirmar + link de descadastro em 1 clique.
Canal visível do DPO (e-mail direto) e página de preferências simples.
Minimização no suporte: pedir só o necessário para localizar o cadastro.
Conclusão para o leitor:
Verificação de e-mail não é licença para incluir pessoas em listas promocionais. Construa confiança separando verificação de conta e opt-in de marketing, oferecendo opt-out fácil, transparência real e DPO acessível. É assim que se evita atrito — e se cumpre a LGPD.
13/08/2025
Formulários internos para colaboradores: como fazer certo (e legal) na LGPD
LER ARTIGO
Transparência, base legal e segurança — o guia direto para RH, TI e gestores.
Formulários internos não são “só um Google Forms”. Eles capturam dados de pessoas reais — e isso exige transparência, base legal adequada e controle de acesso. Neste artigo, mostramos como montar formulários que funcionam para o negócio e ficam em conformidade com a LGPD, sem teatro de compliance.
A regra de ouro é coletar o mínimo necessário para a finalidade e explicar claramente o porquê. Em contexto de emprego, a base legal costuma ser execução de contrato ou obrigação legal — não “consentimento” (salvo quando a resposta é 100% opcional). Se houver dados sensíveis (saúde, biometria etc.), aplique as hipóteses do art. 11 (p.ex., obrigação legal, tutela da saúde, exercício regular de direitos) e reforce salvaguardas.
No desenho do formulário, traga um aviso de privacidade no topo (controlador, finalidade, base legal, dados coletados, DPO/contato, retenção, compartilhamentos/transferências) e publique com acesso restrito ao domínio, 1 resposta por usuário, 2FA no Workspace e planilha de respostas com permissão mínima. Para pesquisas de clima, remova identificadores e considere anonimização.
Aviso de privacidade visível + e-mail do DPO.
Finalidade clara + base legal (evite consentimento indevido).
Minimização de campos + retenção definida.
Acesso restrito, 2FA, nada de “publicar na web”.
Planilha de respostas com controle de permissão e auditoria.
Exemplo:
Loading...
Recomendações de configuração (no Google Forms)
Restringir ao domínio da empresa e limitar a 1 resposta por pessoa.
Coleta mínima: evite “Coletar e-mails” se o Q1 já pede e-mail.
Planilha de respostas: acesso só a quem precisa (princípio do mínimo necessário).
Retenção: programe limpeza/arquivamento após [90 dias].
Acompanhe os indecisos (“Em dúvida”) com lembrete antes do prazo [DD/MM].
12/08/2025
Status vacinal vs. LGPD: o que (ainda) aprendemos com a pandemia
Vacinação é dado de saúde → dado pessoal sensível. Na LGPD, isso coloca o tema em “alta voltagem”: regras mais rígidas, bases legais mais restritas e deveres extras de transparência e segurança. Portal da Câmara dos Deputados
LER ARTIGO
O que a lei diz — em termos práticos 
Sensível por definição: qualquer informação sobre saúde (ex.: status vacinal) é dado pessoal sensível. Planalto
Bases legais específicas (art. 11): para tratar dados sensíveis você precisa de consentimento específico e destacado ou de uma das hipóteses sem consentimento (p.ex., cumprimento de obrigação legal/regulatória, proteção da vida, exercício regular de direitos; tutela da saúde exclusivamente por profissional/serviço de saúde ou autoridade sanitária). Interesse legítimo não vale para sensíveis. Portal da Câmara dos Deputados Serviços e Informações do Brasil
Transparência reforçada (art. 9º): se o tratamento for condição para acessar um serviço (ex.: exigência de comprovação pela lei local), o titular deve ser informado com destaque + como exercer os direitos do art. 18 (acesso, eliminação do excesso, etc.). Planalto Portal da Câmara dos Deputados
Durante a COVID-19: por que muitos pediam o status vacinal? 
Quando havia normas públicas (decretos estaduais/municipais ou regras sanitárias), empresas podiam verificar o status para cumprir obrigação legal/regulatória — sem depender de consentimento. O correto era verificar e não armazenar além do necessário. Portal da Câmara dos Deputados
No trabalho: houve decisões trabalhistas sustentando medidas mais duras (inclusive justa causa em casos específicos), enquanto o Ministério do Trabalho também publicou regra orientando alternativas (p.ex., teste) e evitar demissão automática. O recado: contexto e proporcionalidade importam. TST Serviços e Informações do Brasil
Poder público e saúde: guias da ANPD enfatizaram necessidade, finalidade e minimização, especialmente em tratamentos ligados a políticas de saúde. Serviços e Informações do Brasil
Como empresa, quando “discordar de receber” esse dado 
Se não existe lei, regulamento ou política sanitária exigindo o status vacinal, pergunte-se: é necessário ao objetivo (segurança, saúde ocupacional) ou estamos coletando “porque sim”? Padrões recomendados:
Preferir verificação sem retenção: checar QR/visual sem copiar/guardar. Se precisar registrar, salve apenas “apto (sim/não)”, data e ponto de acesso; nada de foto do comprovante. Prazo mínimo e descarte automático. Serviços e Informações do Brasil
Se optar por consentimento: use consentimento específico e destacado, explique finalidade e prazo, e ofereça alternativa (ex.: teste recente). Lembre: consentimento pode ser revogado e não deve ser “amarrado” quando não for necessário ao serviço. Portal da Câmara dos Deputados JFAL - Justiça Federal em Alagoas
Evite bases frágeis: interesse legítimo não fundamenta sensível; tutela da saúde vale apenas para profissionais/serviços de saúde e autoridades sanitárias. Serviços e Informações do Brasil
Documento vivo: publique um Aviso de Privacidade específico (art. 9º) e registre sua DPIA/Relatório de Impacto quando o risco for alto. trf5.jus.br
Decisão em 5 passos (matriz rápida) 
Existe norma obrigando? (lei/decreto/NR/local) → base obrigação legal.
Não existe? Há risco real sem alternativa menos intrusiva? Se não, não colete.
Se sim, consentimento específico + alternativa (ex.: teste).
Verificar sem armazenar; se armazenar, minimizar e prazo curtíssimo.
Treinar equipe de portaria/RH e logar acessos.
Como cliente/visitante/colaborador dizer “não” (com LGPD na mão) 
Pergunte pela base legal: “É lei/regulamento? Qual?” Se for consentimento, você pode recusar sem sofrer discriminação indevida; peça alternativa proporcional. Portal da Câmara dos Deputados
Exija transparência (art. 9º): finalidade, quem acessa, prazo e se haverá armazenamento. Planalto
Use seus direitos (art. 18): se coletaram além do necessário, peça eliminação/anonimização do excesso e acesso aos registros; o controlador deve responder em até 15 dias com declaração clara. trf5.jus.br
Mini-modelo de pedido (copiar/colar) 
Assunto: LGPD – Status vacinal Olá, Solicito (i) a base legal e finalidade do pedido de status vacinal; (ii) se há armazenamento de comprovante ou apenas verificação; (iii) prazo de retenção; (iv) quem tem acesso e se há compartilhamento com terceiros. Caso não exista obrigação legal/regulatória, não consinto com o armazenamento do meu dado sensível e solicito alternativa (ex.: teste). Exercendo direitos do art. 18, peço resposta em até 15 dias. Obrigado
Ética e desenho de sistema: o que ficou para 2025 
A pandemia mostrou que o “como” importa tanto quanto o “se pode”: a diferença entre verificar sem guardar e copiar documentos é a diferença entre prudência e passivo. Bons padrões sociais e técnicos (minimização, prazos curtos, logs, revisão periódica) reduzem atrito e risco — e respeitam a dignidade que a LGPD protege.
Em uma linha 
Colete só quando precisa, verifique sem reter sempre que possível, explique com clareza, e ofereça alternativas quando a lei não exigir.
Referências principais: LGPD (Lei 13.709/2018) — arts. 5º (sensíveis), 6º (princípios), 7º/11 (bases), 9º (transparência), 18 (direitos); guias/ofícios da ANPD; notas do Ministério do Trabalho e entendimento do TST sobre COVID-19. Planalto +1 Portal da Câmara dos Deputados trf5.jus.br Serviços e Informações do Brasil +1 TST
11/08/2025
54% Pensam que Podem Efetivamente Proteger seus Dados Pessoas Hoje !
Transparência é o novo combustível da personalização
LER ARTIGO
Quase metade (46%) das pessoas diz que não consegue proteger seus dados de forma eficaz hoje — não por falta de leis ou ferramentas, mas porque não entende o que as empresas fazem com seus dados. Em pesquisas globais da Cisco, 76% afirmaram que “é difícil demais entender” como suas informações são usadas. Isso era verdade em 2021 — e, na prática, continua sendo hoje.
Enquanto isso, o mundo está coberto de regras de privacidade: ~140+ países já têm leis nacionais (LGPD, GDPR, CCPA/CPRA, PIPL, APPI, POPIA e muitas outras). Mesmo assim, lei ≠ clareza para o cliente.
O que isso significa para clientes DPOSaaS
Conquiste dados de primeira parte com linguagem simples e valor claro. Saia do “aceitar tudo” e faça uma troca de valor: diga o que o cliente ganha com cada permissão (atendimento mais rápido, recomendações melhores, benefícios exclusivos).
Torne a privacidade visível, não escondida. Publique um Centro de Privacidade & Preferências mostrando quais dados você tem, por que tem, quem acessa e permitindo que o cliente mude escolhas em tempo real. Trate isso como produto, não como PDF.
Instrumente a transparência. Rotule cada ponto de coleta com propósito, base legal e retenção. Registre acessos. Trate explicações como componentes de UX que você testa, não como texto jurídico estático. (Sim, clareza converte.)
Ative com baixo risco. Use clean rooms/CDPs e minimize identificadores ao ativar audiências; respeite regras de transferência internacional e controle acesso de fornecedores. Objetivo: personalizar com compliance.
Plano 30–60–90 dias (prático e mensurável) 
30 dias: Faça o inventário de todos os pontos de coleta; reescreva avisos em ≤120 caracteres por propósito; inclua prompts “just-in-time”.
60 dias: Lance o Preference Center v1 (exportar/excluir, preferências de canal, toggles granulares).
90 dias: Rode uma campanha de convite ao dado — convide clientes a compartilhar preferências em troca de benefícios claros; meça qualidade do opt-in e impacto em CTR/CVR.
Em resumo: Se o cliente não entende, ele não confia — e você vai gastar mais para crescer. Transparência + controle é a forma mais barata de manter a personalização viva sob LGPD/GDPR/CCPA e as demais leis que vêm na esteira.
Fonte: CISCO SECURE SURVEY 2021 [LINK]
10/08/2025
Academia vaza número de aluna e ela recebe proposta para JOB
LER ARTIGO
Você vai à academia para treinar membros, não para treinar bloqueio no WhatsApp. Mas foi exatamente isso que aconteceu: uma aluna recebeu proposta de “JOB” (gíria para prostituição) de outro cliente, porque alguém na recepção entregou o telefone dela. Além de nojento, é ilegal. E é aqui que a LGPD e um DPOaaS sério mudam o jogo.
Por que é grave (além do óbvio)
Desvio de finalidade: a aluna forneceu telefone para contato institucional, não para paquera (ou pior).
Acesso interno sem necessidade: recepção não pode distribuir dados a terceiros.
Risco reputacional e jurídico: processo, reclamação na ANPD, mídia local e… cancelamentos.
O que um DPOaaS faz em 24–72 horas
0. Pare de piorar:
Bloquear imediatamente o compartilhamento de contatos.
Orientar a recepção: “nunca repasse contatos de clientes”.
1. Resposta ao incidente (playbook curto):
Registrar o ocorrido (quem, quando, como, qual dado).
Conter: retirar qualquer planilha/lista exposta; revisar permissões no sistema.
Notificar a titular com empatia e plano de ação (modelo abaixo).
Analisar risco (assédio, recorrência, quantidade de dados expostos).
Avaliar necessidade de comunicação à ANPD (Art. 48).
Providenciar suporte (bloqueio do remetente, boletim de ocorrência se desejado, canal de acolhimento).
2. Corrigir processos:
Política de balcão: “Não repassamos contatos. Se um cliente quiser falar com outro, intermediamos o recado pelo nosso sistema.”
Treinamento: 20 minutos, trimestral, com exemplos reais de assédio e sanções.
Registros (Art. 37): log de acesso a dados e trilha de auditoria.
Mínimo acesso: recepção só enxerga o que precisa. Nada de exportar planilhas para WhatsApp (ver nosso artigo sobre uso do whatsapp nas empresas)
3. Prevenir recorrência (DPOSaaS contínuo):
Formulários com propósito visível (“telefone usado apenas para…”)
Centro de preferências para o cliente gerenciar comunicações
Teste de mesa semestral: simular pedido impróprio de dados na recepção.
“Mas foi só um número…” — Não.
Um número abre porta para rastreio, doxing, chantagem, golpes e, aqui, assédio. Comportamento de tolerância zero preserva sua comunidade — e sua licença social para operar.
Modelos prontos (copiar & colar)
Aviso interno – recepção (imediato) Assunto: Política de proteção de dados — proibição de repasse de contatos A partir de agora, é proibido repassar telefones/e-mails de clientes a terceiros. Caso alguém peça o contato de outro cliente, ofereça enviar uma mensagem institucional (“Podemos repassar seu recado pelo nosso sistema”). Descumprimentos serão registrados e poderão gerar medidas disciplinares. Dúvidas: privacidade@academia.com.
Comunicação à titular afetada Olá, [Nome]. Identificamos hoje um uso indevido do seu telefone por falha interna. Já bloqueamos a prática, abrimos investigação e reforçamos a política de não repasse de dados. Se desejar, podemos auxiliá-la a registrar ocorrência. Mantemos você informada sobre cada etapa. Canal direto do DPO: [contato]. Lamentamos sinceramente o ocorrido.
09/08/2025
Clientes não confiam no uso que você faz dos dados (e isso está saindo caro)
LER ARTIGO
O que os profissionais de marketing inteligentes estão fazendo
Reforçar dados de primeira parte. À medida que os sinais de terceiros desaparecem, os dados consentidos diretamente com o cliente tornam-se o único caminho sustentável. Construa essa base de forma deliberada, não oportunista.
Adotar o DRM (Data Relationship Management). Um playbook de privacidade que trata coleta de dados como troca de valor, com quatro pilares: convite ao dado (data invitation), centro de segurança/privacidade (controles transparentes), diálogo de dados (gestão contínua de preferências) e proposta de valor do dado (o que o cliente ganha).
O que isso significa para clientes DPOaaS
Do banner de consentimento para a troca de valor. Substitua o “aceitar tudo” por um convite claro explicando benefícios (serviço mais rápido, recomendações melhores, vantagens exclusivas). Registre o motivo do opt-in, não só o opt-in.
Torne a confiança visível. Publique um Centro de Segurança & Privacidade para o cliente: quais dados você tem, como usa, como revogar, e um log de alterações. Trate isso como produto, não como PDF de política.
Engenharia para escalar first-party. Conecte formulários, apps e fluxos de suporte para captar dados consentidos com tags de propósito e ciclo de vida. Use clean rooms/CDPs para ativar dados sem vazar identidade.
Plano de ação em 90 dias
Semanas 1–2: Faça o inventário dos pontos de coleta e mapeie bases legais e propósitos por campo.
Semanas 3–6: Lance um MVP de Centro de Preferências/Privacidade (exportar/excluir dados, preferências de canal, toggles por propósito).
Semanas 7–12: Inicie uma campanha de convite ao dado atrelada a benefícios tangíveis; meça qualidade do opt-in e impacto em receita.
Privacidade não é só compliance — é o combustível da sua personalização. Se você acertar confiança e troca de valor, protege receita e reduz a dependência de sinais de terceiros que estão sumindo.
Ref.: 
McKinsey & Company
08/08/2025
LGPD ao redor do mundo: como os principais países estão tratando dados pessoais
LER ARTIGO
Cinco tendências que se repetem
Extraterritorialidade – leis como GDPR, PIPL e LGPD alcançam empresas fora do país se processarem dados de seus residentes.
Multas proporcionais ao faturamento – pressiona grupos globais (ex.: 4 % no GDPR, 5 % no PIPL, proposta de 5 % no CPPA).
Direitos expandidos do titular – acesso, correção, exclusão e portabilidade viram padrão mínimo.
Dados sensíveis & biometria – quase todas exigem bases legais mais rígidas, DPIA e segurança reforçada.
Nova onda de agências autônomas – CPPA (Califórnia), ANPD (Brasil), PPC (Japão), Autoridade chilena.
O que isso significa para quem atua no Brasil (LGPD) e mira outros mercados
Reaproveite o compliance LGPD: ele cobre ≈ 80 % dos requisitos do GDPR e serve de base para CCPA/CPRA, LPPD e CPPA, reduzindo esforço.
Atenção a lacunas: Califórnia exige opt-out de “sharing” para ads; China impõe armazenamento local em certos cenários; Índia cobra consentimento granular em formato nativo.
Planeje governança multijurisdicional: mantenha mapa de dados, registro de bases legais e contratos padrão para transferências (SCCs, cláusulas modelo, etc.).
Monitore reformas: Chile só aplicará multas em 2026; Canadá deve substituir PIPEDA em 2025-26; mais de 20 estados dos EUA agora têm leis próprias Reuters.
07/08/2025
Possível violação da LGPD no caso 8/1: o que saiu na imprensa — e o que isso ensina para quem lida com dados
LER ARTIGO
Para aprofundar
LGPD Arts. 6, 7, 23–27.
CNJ Prov. 74/2018 (segurança da informação no Judiciário).
Guias da ANPD sobre agentes de tratamento e direitos do titular.
03/08/2025
Fronteira entre Recrutamento e Assédio
LER ARTIGO
Quando o RH cruza a linha
Não é apenas sobre má conduta individual.
É sobre empresas que falham em educar, monitorar e responsabilizar seus próprios representantes.
É sobre a ausência de políticas claras e efetivas de proteção de dados e respeito às relações profissionais.
Recrutadores têm acesso a informações íntimas de centenas de candidatos. São guardiões da privacidade e da confiança de pessoas que, em muitos casos, estão em momentos vulneráveis da carreira. Usar esse acesso para fins pessoais é mais que antiético: é criminoso.
A LGPD está aí. E não é opcional.
A Lei Geral de Proteção de Dados (LGPD) prevê a responsabilidade das empresas sobre o tratamento e a finalidade dos dados que coletam. Dados fornecidos para um processo seletivo só podem ser utilizados para esse fim. Desviar esse uso para contatos pessoais, redes sociais ou aplicativos de paquera é, sim, violação da lei.
Mas mais do que isso, é uma violação da dignidade da mulher profissional.
É uma forma de assédio.
É a perpetuação de uma cultura em que o espaço profissional da mulher é constantemente sexualizado e desrespeitado.
Precisamos falar sobre estrutura
O print é só a ponta do iceberg.
Por trás de cada mensagem invasiva, há uma estrutura corporativa que:
não treina seu time de RH sobre ética e privacidade,
não aplica sanções a condutas abusivas,
não respeita os limites entre o pessoal e o profissional,
não protege suas candidatas — e candidatos — contra violações.
E isso precisa mudar.
Processo seletivo não é vitrine. RH não é Tinder.
É preciso reforçar que o ambiente de recrutamento deve ser um espaço seguro, respeitoso e ético.
Mulheres não estão se candidatando a vagas para serem julgadas por sua aparência ou abordadas em suas redes pessoais. Estão ali por mérito, por preparo, por profissionalismo.
Ignorar isso é deslegitimar trajetórias.
É desencorajar talentos.
É perpetuar a desigualdade.
O que sua empresa está fazendo para impedir isso?
Na BIS CRM e DPOSaaS, levamos a sério a proteção de dados e o respeito aos direitos dos titulares. Sabemos que LGPD não é só burocracia: é garantia de dignidade. Criamos políticas, treinamos equipes, implementamos controles — e nos posicionamos claramente contra qualquer forma de desvio, abuso ou invasão.
Esse debate é urgente.
E você, como empresa ou profissional, também precisa se posicionar.
📣 Se você já presenciou ou viveu algo parecido, compartilhe. Precisamos romper o silêncio para mudar a estrutura.
02/08/2025
LER ARTIGO
IBM Guardium: Monitoramento Inteligente e Proteção Avançada de Dados Sensíveis
Em um cenário onde vazamentos de dados e acessos indevidos se tornaram manchetes frequentes, proteger as informações sensíveis da sua empresa não é mais uma escolha — é uma exigência legal, estratégica e reputacional.
Se sua organização lida com grandes volumes de dados pessoais, financeiros ou estratégicos, precisa mais do que antivírus e firewalls. Precisa de visibilidade, resposta em tempo real e conformidade contínua.
É nesse contexto que entra o IBM Security Guardium: uma das plataformas mais robustas do mercado para monitoramento de acesso a dados, detecção de anomalias e auditoria de conformidade com a LGPD, GDPR, HIPAA e outras normas internacionais.
Por que isso importa para a sua empresa?
Se você coleta e armazena dados de clientes, colaboradores, fornecedores ou pacientes, você é legalmente responsável pela proteção dessas informações.
O IBM Guardium ajuda sua empresa a:
Evitar vazamentos que poderiam gerar multas, ações judiciais e crises de reputação;
Atender às exigências da LGPD, oferecendo evidências claras de controle e monitoramento;
Identificar riscos internos, como funcionários com acesso indevido ou uso impróprio de informações;
Manter a confiança de seus clientes e stakeholders.
E mais importante: te dá o controle proativo, e não apenas reativo, sobre os seus dados.
Nós implementamos o IBM Guardium para você
Na DPOSaaS e BIS CRM, oferecemos consultoria completa, implementação e suporte contínuo do IBM Guardium.
Nosso serviço inclui:
✅ Diagnóstico inicial de maturidade em proteção de dados;
✅ Desenho de arquitetura segura com integração em bancos e sistemas legados;
✅ Parametrização de regras de acesso, detecção de anomalias e dashboards de monitoramento;
✅ Treinamento da equipe de TI e compliance para uso da plataforma;
✅ Suporte técnico e operacional contínuo.
Seja em ambientes on-premise, cloud ou híbridos, ajudamos você a transformar o Guardium em uma camada inteligente e estratégica de defesa de dados.
🚀 Quer proteger seus dados com IBM Guardium? Fale com a gente.
Transforme a segurança de dados da sua empresa em uma vantagem competitiva.
Entre em contato conosco para uma demonstração, proposta de implementação ou para saber como encaixar o IBM Guardium no seu plano de conformidade com a LGPD.
📧 contato@dposaas.com.br
🌐 www.dposaas.com.br
02/08/2025
VAZAMENTO EM JOAO PESSOA …
LER ARTIGO
Candidatos do concurso da Educação da Prefeitura de João Pessoa relataram a exposição de CPF, locais de prova e até referências a cartões de resposta — com risco de acesso a assinaturas e impressões digitais — após instabilidade no site da banca (IDECAN). Veículos locais reportaram que listas com quase 41 mil CPFs circularam em grupos de WhatsApp antes da publicação oficial dos resultados. A prefeitura cobrou explicações e a banca mencionou estabilização do sistema. ParaibaOnlinePortal Correio
Pelo art. 48 da LGPD, quando um incidente pode acarretar risco ou dano relevante aos titulares, o controlador deve comunicar a ANPD e os titulares afetados. Em 2024, a ANPD aprovou o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024), que detalha o que e quando comunicar: via de regra, em até 3 dias úteis a contar do conhecimento do impacto sobre dados pessoais (com possibilidade de complementar informações em até 20 dias úteis). planalto.gov.brImprensa Nacionalmattosfilho.com.br
Por que é grave (mesmo “antes” do resultado oficial)
CPF + local de prova facilita engenharia social (golpes de confirmação de dados, “recursos” falsos etc.).
Referências a gabaritos/cartões de resposta e menções a assinatura/biometria elevam o risco de fraude documental.
Em concursos, a quebra de sigilo abala confiança e isonomia do certame, além de trazer passivos legais ao controlador e operador. Relatos públicos indicam circulação de documentos com CPFs expostos e metadados que remetem a artefatos internos da banca. Portal Correio
Quem precisa agir (e como)
Controlador e operador (em geral, o órgão público como controlador e a banca como operadora, conforme contrato) devem:
Ativar o Plano de Resposta a Incidentes, preservar evidências e conter o vazamento (retirada de arquivos, revogação de URLs, correção de permissões).
Comunicar a ANPD e os titulares com linguagem clara: quais dados, quantos titulares, riscos, medidas adotadas, como o titular pode se proteger. Serviços e Informações do BrasilImprensa Nacional
Cooperar com órgãos de controle (MP, polícia) e registrar o incidente (accountability).
Revisar segurança: teste de invasão, hardening do site da banca, controle de acesso a objetos (Signed URLs, ACLs), log e monitoramento, e pseudonimização em listas públicas (nunca divulgar CPF completo). Boas práticas públicas já indicam planos formais para incidentes com dados pessoais. cge.ms.gov.br
O que os candidatos podem fazer agora
Desconfiar de contatos pedindo dados/valores sobre “recursos” ou “retificações”.
Monitorar cadastros e contas (bancos, gov.br) e ativar dupla autenticação.
Considerar alertas de crédito/consulta de CPF para identificar tentativas de fraude.
Essas medidas mitigam fraudes muito comuns após vazamentos com CPF. (Recomendação geral; ver também orientações públicas da ANPD sobre incidentes.) Serviços e Informações do Brasil
Como evitar a repetição (orientações para órgãos e bancas)
Arquitetura de “mínimo necessário” e privacy by design: resultado público com IDs pseudonimizados (sem CPF), arquivo assinado e hospedado com expiração de link.
Publicação “dupla camada”: visualização com renderização estática (sem expor rotas/nomes de arquivos no HTML), e download protegido por token por candidato.
Governança de fornecedores: cláusulas contratuais de segurança, auditoria, SLA de incidentes (incluindo a regra de 3 dias úteis da Resolução 15/2024) e sanções em caso de falha. Imprensa Nacionalcesconbarrieu.com.br
Em perspectiva
Incidentes como o de João Pessoa evidenciam que concursos públicos lidam com dados de alta atratividade para fraude (CPF, assinatura/biometria, dados de local e horário). O caminho é processo + tecnologia + transparência: resposta rápida, comunicação adequada ao titular e endurecimento técnico da publicação de resultados. A LGPD já dá as regras e a ANPD operacionalizou os prazos e conteúdos com a Resolução 15/2024. Falhas vão ocorrer; como se responde a elas é o que mitiga dano e preserva a confiança. planalto.gov.brImprensa Nacional
Referências
ParaibaOnline – “Vazamento de dados expõe candidatos de concurso da Prefeitura de João Pessoa” (25–26 jul. 2025). ParaibaOnline
Portal Correio – “Concurso da Educação de João Pessoa: suposto resultado preliminar vaza com dados pessoais…” (24 jul. 2025). Portal Correio
LGPD (Lei nº 13.709/2018), art. 48 – incidentes de segurança. planalto.gov.br
Resolução CD/ANPD nº 15/2024 – Regulamento de Comunicação de Incidente de Segurança (DOU, 26/04/2024). Imprensa Nacional
Guia ANPD – “Comunicação de incidente de segurança”. Serviços e Informações do Brasil
01/08/2025
CHATGPT:
"Upload rápido, arrependimento eterno”
LER ARTIGO
O que o meme ensina sobre LGPD e IA generativa
28/07/2025
“Quando negar acesso a imagens vira passivo jurídico: lições LGPD do caso do pet desaparecido em Recife”.
LER ARTIGO
25/07/2025
Moradora de São Paulo recusa cadastro facial e expõe falhas na proteção de dados em condomínio
LER ARTIGO
24/07/2025
A ANPD deixou de ser apenas orientativa e passou a ser fiscalizadora e sancionadora. 
LER ARTIGO
O artigo assinado por Lucas Martins de Barros Mançano e Yago Morgan, publicado no DCD, é uma leitura obrigatória para todos os profissionais, gestores e empresas que lidam com dados pessoais no Brasil. Com uma abordagem clara, fundamentada e atualizada, os autores nos oferecem uma visão precisa da virada de chave que vivemos em 2024: a ANPD deixou de ser apenas orientativa e passou a ser fiscalizadora e sancionadora.
A decisão de suspender o uso de dados pela Meta no Brasil para o treinamento de IA, a imposição das primeiras sanções por ausência de RIPD ou ROTA, e as notificações a grandes empresas como TikTok, Uber e Serasa, são marcos históricos que consolidam o papel da ANPD como autoridade reguladora efetiva. Esse novo cenário exige um novo posicionamento do mercado: não basta mais parecer em conformidade — é preciso estar de fato.
O destaque dado à obrigatoriedade do encarregado (DPO) e à implementação de canais acessíveis aos titulares é especialmente relevante. Esses dois pilares — governança interna e transparência externa — são essenciais para consolidar a confiança do público e garantir que a LGPD seja vivida na prática e não apenas no papel.
Lucas e Yago conseguem, com maestria, unir análise jurídica, contexto institucional e implicações práticas, oferecendo ao leitor não apenas uma reflexão, mas um chamado à ação. O artigo é um alerta, mas também uma bússola para quem busca se posicionar com responsabilidade e estratégia no ecossistema digital brasileiro.
Parabéns aos autores pelo excelente trabalho. 👏
Este é o tipo de conteúdo que eleva o debate sobre privacidade no país.  [LINK]
22/07/2025
Havan é Notificada pela ANPD: Segurança ou Exposição Indevida?
LER ARTIGO
21/07/2025
Relatório "assustador" da IBM
LER ARTIGO
As crescentes interrupções nos negócios pelas violações de dados aumentam os custos de cibersegurança no Brasil .
Prova de que prevenção custa menos que improviso.
[LINK]
[RELATORIO COMPLETO]
20/07/2025
Compliance Washing: Empresas realmente cumprem a LGPD ou só fingem?
LER ARTIGO
Nos últimos anos, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), um fenômeno curioso tem se tornado cada vez mais comum no mercado brasileiro: o chamado “compliance washing” — ou seja, quando empresas afirmam estar em conformidade com a LGPD, mas, na prática, suas ações não correspondem ao discurso.
Mas o que exatamente é esse "banho de conformidade"? E como identificar se uma empresa está realmente protegendo os dados pessoais dos seus usuários ou apenas criando uma fachada?
O que é Compliance Washing?
O termo vem da mesma lógica de outros "washings" já conhecidos, como greenwashing (empresas que se dizem sustentáveis, mas não são) ou social washing (fingem preocupações sociais sem ações concretas).
No caso da LGPD, o compliance washing acontece quando a empresa:
Publica uma política de privacidade genérica (muitas vezes copiada de outros sites);
Coloca banners de cookies sem real controle ou gerenciamento dos dados;
Indica a existência de um DPO (Encarregado de Dados) sem que haja atuação efetiva;
Declara estar em conformidade sem implementar processos internos, como:
controle de acesso a dados;
gestão de consentimento;
plano de resposta a incidentes;
revisão de contratos com terceiros.
Compliance real exige estrutura
Estar em conformidade com a LGPD não é apenas uma questão de marketing ou imagem institucional. Envolve processos técnicos, jurídicos e organizacionais como:
Mapeamento dos dados tratados por cada departamento (ROPA);
Criação e manutenção de um Relatório de Impacto à Proteção de Dados (RIPD);
Treinamento regular de equipes sobre boas práticas de proteção;
Gestão de solicitações de titulares (exclusão, portabilidade, correção de dados);
Monitoramento e auditoria contínua.
Uma empresa que leva a LGPD a sério investe tempo, recursos e governança.
Como identificar se uma empresa está praticando compliance washing?
Sao indicadores de:
O que esperar de uma empresa realmente em conformidade?
Transparência real sobre o uso de dados;
Interface clara para controle de consentimento;
Respostas rápidas e adequadas a solicitações de titulares;
Processo formal para tratamento de incidentes de segurança;
Contratos com cláusulas específicas de proteção de dados;
Um Encarregado de Dados (DPO) ativo e acessível.
⚠️ Consequências de fingir conformidade
Empresas que fazem "compliance de fachada" correm riscos graves:
Multas de até 2% do faturamento anual (limitadas a R$50 milhões);
Danos reputacionais;
Perda de confiança de clientes e parceiros;
Ações judiciais e investigações por parte da ANPD.
Conclusão: LGPD não é check-list, é cultura
Cumprir a LGPD é muito mais do que seguir uma cartilha. É adotar uma cultura de responsabilidade com os dados pessoais. Não basta parecer que está tudo certo — é preciso provar com ações, relatórios, transparência e treinamento.
A pergunta que fica para as empresas é: "Estamos de fato em conformidade ou apenas tentando parecer que estamos?"
19/07/2025
Reconhecimento Facial em Condomínios e Empresas: Praticidade ou Vigilância?
LER ARTIGO
Portarias sem porteiros, catracas inteligentes e controle de acesso com apenas um olhar. O reconhecimento facial chegou com a promessa de modernizar a segurança em condomínios, empresas e ambientes de acesso restrito. Mas enquanto a tecnologia avança, surgem dúvidas urgentes: isso é mesmo seguro? Está em conformidade com a LGPD? Estamos ganhando praticidade ou aceitando ser vigiados 24 horas por dia?
Neste artigo, vamos analisar os benefícios, riscos e implicações legais do uso do reconhecimento facial em ambientes corporativos e residenciais — e como garantir que a segurança não vire invasão.
O Que é Reconhecimento Facial?
É a tecnologia que utiliza algoritmos para identificar ou verificar uma pessoa a partir das características do seu rosto. Em empresas e condomínios, essa identificação costuma ser usada para:
Acesso a portarias, prédios e salas restritas
Registro de ponto de funcionários
Monitoramento de visitantes
Substituição de crachás e chaves
Vantagens da Tecnologia
Agilidade no acesso: sem filas, sem crachás esquecidos, sem digitação de senhas
Segurança reforçada: identifica tentativas de acesso por terceiros
Gestão centralizada: relatórios automáticos e controle remoto
Redução de custos operacionais: menos recursos humanos em portarias e recepções
⚠️ Mas... Onde Estão os Riscos?
Tratamento de dado biométrico sensível A LGPD classifica dados biométricos, como imagens faciais, como dados pessoais sensíveis — exigindo consentimento explícito, finalidade clara e proteção reforçada.
Vigilância constante e sem transparência Sistemas que funcionam 24/7 podem gerar um sentimento de vigilância permanente. Isso pode ferir direitos à privacidade, principalmente se os usuários não forem informados sobre o funcionamento da tecnologia.
Risco de vazamento ou uso indevido Se essas imagens forem mal armazenadas, podem ser alvo de hackers ou reutilizadas indevidamente, por exemplo, para fins comerciais ou discriminatórios.
Consentimento de terceiros Visitantes, entregadores, prestadores de serviço — todos estão sendo filmados e analisados por um sistema do qual muitas vezes nem sabem da existência.
LGPD e Reconhecimento Facial: O Que a Lei Diz?
A Lei Geral de Proteção de Dados impõe regras rígidas para o uso desse tipo de tecnologia:
O tratamento só pode ocorrer com base legal válida (em geral, consentimento ou legítimo interesse, com teste de balanceamento)
A coleta deve ter uma finalidade específica e documentada
O titular deve ser informado de forma clara e acessível
Deve haver medidas técnicas e administrativas para garantir a segurança dos dados
A qualquer momento, o titular pode revogar o consentimento ou solicitar a eliminação de sua imagem
Como Usar Reconhecimento Facial com Conformidade?
Na BIS CRM e DPOSaaS, temos ajudado empresas e síndicos a implementar essa tecnologia com responsabilidade. Aqui vão algumas boas práticas:
✅ Realize um Relatório de Impacto (RIPD)⚠️
É essencial avaliar os riscos e justificar o uso da tecnologia frente aos direitos dos titulares.
✅ Obtenha consentimento claro e inequívoco
Coloque avisos visíveis e colete a anuência formal de moradores, colaboradores ou visitantes sempre que possível.
✅ Evite centralizar tudo em uma única câmera/sistema
Distribua os pontos de captura e limite o escopo da coleta.
✅ Proteja os dados com criptografia e controle de acesso
Garanta que apenas pessoas autorizadas possam visualizar ou manipular as imagens.
✅ Tenha um canal para queixas e revogação
Transparência e prontidão para responder aos titulares são fundamentais para evitar denúncias e sanções.
Conclusão
O reconhecimento facial pode trazer muita praticidade — mas só se for implementado com ética, transparência e segurança jurídica. Do contrário, pode se transformar em um sistema de vigilância invasiva que compromete a privacidade e expõe a empresa ou condomínio a processos e sanções legais.
🚨 Sua empresa ou condomínio está usando reconhecimento facial com responsabilidade?
Na DPOSaaS, oferecemos:
Diagnóstico de conformidade com a LGPD
Elaboração de Relatório de Impacto (RIPD)
Modelos de consentimento e políticas de uso
Treinamento para porteiros, administradores e gestores de RH
📩 atendimento@dposaas.com.br
🌐 www.dposaas.com.br
18/07/2025
Clouds Criptografadas: Segurança Real ou Ilusão?
LER ARTIGO
Com o avanço da transformação digital, armazenar dados em nuvem se tornou quase obrigatório para empresas modernas. Plataformas como Google Drive, Dropbox, iCloud e OneDrive prometem segurança via criptografia, mas até que ponto essa proteção é real? E mais importante: 
ela garante a conformidade com a LGPD?
Neste artigo, vamos analisar os tipos de criptografia, as armadilhas mais comuns das clouds comerciais e como sua empresa pode realmente se proteger.
O que são Clouds Criptografadas?
Clouds criptografadas utilizam algoritmos de criptografia para proteger dados tanto em trânsito quanto em repouso. Os principais tipos incluem:
Criptografia em Trânsito
Protege dados durante a transmissão entre o usuário e o servidor cloud usando protocolos como TLS/SSL.
Criptografia em Repouso
Protege dados armazenados nos servidores usando algoritmos como AES-256.
Criptografia de Aplicação
Dados são criptografados antes mesmo de serem enviados para a nuvem.
Vantagens Reais da Criptografia em Nuvem
Proteção contra interceptação: Dados criptografados são inúteis para hackers sem as chaves
Conformidade regulatória: Atende exigências da LGPD e outras regulamentações
Controle de acesso: Apenas usuários autorizados podem descriptografar os dados
Integridade dos dados: Detecta alterações não autorizadas nos arquivos
As Limitações e Riscos
Atenção: A criptografia não é uma solução mágica. Existem vulnerabilidades que devem ser consideradas.
Principais pontos de atenção:
Gerenciamento de chaves: Se as chaves forem comprometidas, toda a segurança é perdida
Vulnerabilidades humanas: Senhas fracas e phishing continuam sendo riscos
Backdoors governamentais: Alguns países exigem acesso aos dados criptografados
Falhas de implementação: Erros na configuração podem deixar dados expostos
Recomendações para Empresas
Para maximizar a segurança em clouds criptografadas:
Escolha fornecedores confiáveis
Verifique certificações de segurança como SOC 2, ISO 27001 e conformidade com a LGPD.
Implemente controle próprio de chaves
Use soluções BYOK (Bring Your Own Key) sempre que possível para manter controle total.
Monitore constantemente
Implemente sistemas de monitoramento para detectar acessos suspeitos rapidamente.
Treine sua equipe
A segurança é tão forte quanto o elo mais fraco - invista em capacitação.
Opte por Clouds com criptografia de ponta a ponta real

Soluções como Tresorit, Proton Drive ou clouds privadas permitem que somente o titular tenha acesso à chave de criptografia.
Tenha um plano de classificação e armazenamento de dados
Nem tudo precisa estar na nuvem. Documentos altamente sensíveis podem (e devem) ser armazenados em ambientes locais controlados.
Formalize contratos com cláusulas de proteção e LGPD
Se usar clouds terceiras, exija contratos com cláusulas de confidencialidade, controle de acesso, localização dos dados e notificação de incidentes.
Implemente políticas de acesso por nível de sensibilidade
Controle quem pode acessar o quê. Evite permissões globais que facilitam vazamentos internos.
Crie um relatório de impacto (RIPD)
Documente o uso da nuvem na sua empresa, descrevendo os riscos, medidas adotadas e planos de contingência.
Conclusão
A nuvem é uma ferramenta poderosa, mas a segurança só é real quando a empresa entende e controla os riscos. Sem isso, você pode estar confiando numa ilusão — e colocando sua reputação (e sua conformidade com a LGPD) em risco.
☁️ Quer revisar o uso de nuvem da sua empresa?
A equipe da DPOSaaS oferece diagnósticos, políticas, relatórios de impacto e auditorias personalizadas.
📩 atendimento@dposaas.com.br
🌐 www.dposaas.com.br
17/07/2025
BYOD e LGPD: Desafios da Conformidade
O Bring Your Own Device (BYOD) tornou-se uma prática comum nas empresas, especialmente após a pandemia. Porém, essa flexibilidade traz sérios desafios para a conformidade com a LGPD.
LER ARTIGO
Controle de Dados
Dificuldade em monitorar e controlar dados pessoais processados em dispositivos pessoais dos funcionários.
Segurança da Informação
Riscos de vazamento de dados devido à falta de políticas de segurança uniformes nos dispositivos pessoais.
Responsabilidade Legal
Empresa permanece responsável pela proteção dos dados, mesmo quando processados em dispositivos pessoais.
⚠️Principais Riscos
Acesso não autorizado a dados pessoais
Perda ou roubo de dispositivos contendo informações sensíveis
Aplicativos maliciosos instalados em dispositivos pessoais
Backup automático em nuvens pessoais não seguras
Mistura de dados pessoais e corporativos
O Que a LGPD Diz?
A Lei Geral de Proteção de Dados (LGPD) não proíbe o BYOD, mas exige que o controlador dos dados implemente medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais.
Ou seja, se o vazamento ocorrer por um dispositivo pessoal, a empresa continua sendo responsável.
Medidas de Proteção
Crie uma Política de BYOD (alias, Procedimentos)
Esclareça o que pode e o que não pode ser feito
Exija uso de senhas fortes e bloqueio automático
Exija antivírus e atualizações periódicas
Use VPNs e Autenticação em Dois Fatores Reduza riscos ao permitir acessos remotos criptografados e autenticados.
Implemente o MDM (Mobile Device Management) Ferramentas de MDM permitem controlar remotamente os dispositivos, bloquear ou apagar dados em caso de perda ou desligamento do colaborador.
Treine sua equipe Uma política só funciona se as pessoas entendem os riscos e as boas práticas. Treinamento é essencial para evitar incidentes.
Tenha um Relatório de Impacto (RIPD) atualizado Se o BYOD faz parte do seu ambiente, isso precisa estar documentado e avaliado dentro da estratégia de conformidade LGPD.
Conclusão
O BYOD pode ser uma ferramenta poderosa — desde que bem gerenciada. Caso contrário, o que era para ser produtividade pode se tornar um grande risco jurídico e reputacional.
Na BIS CRM e DPOSaaS, ajudamos empresas a implementar políticas, treinamentos, gestão de dispositivos, e relatórios de impacto para garantir que o BYOD não vire BYOL — Bring Your Own Leak.
Quer saber se sua empresa está segura?
Fale com nossos especialistas e solicite uma avaliação gratuita de conformidade BYOD e LGPD.
📩 atendimento@dposaas.com.br
🌐 www.dposaas.com.br
16/07/2025
Fadiga de Consentimento: Entenda o Fenômeno
Vivemos em um mundo onde aceitar cookies, termos de uso e políticas de privacidade virou um reflexo automático. Mas isso esconde uma realidade preocupante: a maioria dos usuários não entende o que está consentindo, e simplesmente aceita para continuar navegando.
LER ARTIGO
O que é a Fadiga de Consentimento?
É um fenômeno onde o excesso de pop-ups e formulários faz com que os usuários parem de prestar atenção, passando a clicar em “Aceitar” sem ler nada.
Impacto na LGPD
Essa prática compromete diretamente a validade do chamado consentimento informado, um dos pilares fundamentais da Lei Geral de Proteção de Dados (LGPD).
Essa prática levou ao que chamamos de fadiga de consentimento — um fenômeno onde o excesso de pop-ups e formulários faz com que os usuários parem de prestar atenção, passando a clicar em “Aceitar” sem ler nada. Isso compromete diretamente a validade do chamado consentimento informado, um dos pilares da LGPD.
Segundo a lei, o consentimento deve ser:
Livre
Informado
Específico
Inequívoco
Mas, sejamos honestos: quem realmente lê os termos antes de clicar? E quem entende os riscos técnicos de compartilhar seus dados com dezenas de terceiros?
Além disso, muitas empresas usam dark patterns (padrões manipulativos de interface) para induzir o clique no “aceitar”:
Botões em destaque para consentir vs. botões escondidos para recusar.
Linguagem ambígua e confusa.
Barreiras para revogar o consentimento depois.
Isso não é só antiético — pode ser ilegal.
O que vemos, na prática, é uma conformidade de fachada. Cumpre-se a letra da LGPD, mas não o espírito da lei. Privacidade não é apenas um checkbox: é uma relação de respeito com o usuário.
Como mudar esse cenário?
Como profissionais de marketing, tecnologia, UX e dados, podemos:
Reduzir solicitações desnecessárias.
Esclarecer de forma visual e objetiva.
Oferecer escolhas reais (opt-in e opt-out balanceados).
Tornar fácil a revogação do consentimento.
Conclusão:
A fadiga de consentimento revela um ecossistema cansado, desconectado da ética. A verdadeira conformidade não está em contratos e pop-ups — está no respeito, clareza e autonomia.
Privacidade de verdade é quando o usuário entende, escolhe e confia.
15/07/2025
Por Que o Google Drive Não É uma Solução Viável para Estruturas LGPD-Conformes
LER ARTIGO
Muitas empresas brasileiras ainda confiam no Google Drive como solução padrão para armazenamento em nuvem e backup de documentos. No entanto, quando o assunto é conformidade com a LGPD, essa escolha pode ser um risco oculto, mas real.
Apesar da popularidade e facilidade de uso, o Google Drive não oferece criptografia de ponta a ponta, acessa os conteúdos armazenados e está sujeito a legislações estrangeiras que contradizem diretamente os princípios da Lei Geral de Proteção de Dados (LGPD).
Neste artigo, explicamos por que soluções como o Google Drive não são suficientes para garantir a privacidade e a segurança dos dados pessoais, e quais alternativas mais seguras estão disponíveis.
Acesso regular ao conteúdo armazenado
O Google e seus parceiros comerciais acessam e analisam o conteúdo dos seus arquivos com frequência, seja para:
Ativar funcionalidades como sugestões inteligentes,
Integrar publicidade segmentada,
Ou realizar análises automáticas para “melhorar a experiência do usuário”.
O problema?
Esse modelo de negócio implica em:
Armazenamento e processamento de dados sem finalidades claras,
Ausência de controle por parte do titular, e
Potencial uso indevido ou vazamento — todos pontos críticos segundo a LGPD.
Ausência de Criptografia de Ponta a Ponta
O Google Drive não oferece criptografia de ponta a ponta. Seus arquivos são descriptografados assim que chegam aos servidores da empresa — e isso é um problema grave.
Por quê?
O Google armazena as chaves de criptografia dos seus arquivos.
Isso significa que qualquer funcionário com permissão, hacker ou órgão governamental que obtenha acesso pode ler seus dados.
Essa abordagem viola os princípios da minimização e da proteção contra acesso não autorizado exigidos pela LGPD.
Submissão ao US CLOUD Act
O Google, como empresa americana, está submetido ao US CLOUD Act, que permite:
Que agências dos EUA tenham acesso completo aos dados armazenados, mesmo que estejam fisicamente no Brasil;
Que o Google não informe os usuários sobre essa solicitação de acesso, devido a ordens de sigilo (“gag order”).
Por que isso fere a LGPD?
A LGPD exige transparência e consentimento para o tratamento de dados.
O CLOUD Act entra em conflito direto com a soberania brasileira sobre seus dados.
Falta de Zero-Knowledge Encryption
Soluções como Google Drive não seguem o princípio de “zero conhecimento” (zero-knowledge encryption), que é o padrão ouro em proteção de dados.
Em contraste:
Plataformas como Tresorit utilizam esse modelo, onde:
Somente o usuário possui as chaves para acessar os dados;
Nem mesmo o provedor consegue ver ou descriptografar os arquivos;
Isso garante que, mesmo em caso de invasão, os dados permanecem ilegíveis.
Conclusão
A LGPD não exige apenas boas intenções — exige mecanismos técnicos claros de proteção.
Usar uma nuvem popular como o Google Drive pode parecer uma escolha prática, mas na realidade, ela expõe sua empresa a riscos jurídicos, técnicos e de reputação.
Se você quer segurança real, rastreabilidade e tranquilidade jurídica, não use uma solução que pode ser aberta por terceiros a qualquer momento.
Escolha ferramentas desenvolvidas com privacidade por padrão. A DPOSaaS está aqui para ajudar.
14/07/2025
WhatsApp no Atendimento ao Cliente: Riscos e Soluções sob a LGPD
LER ARTIGO
Descubra como usar o WhatsApp em sua empresa sem violar a Lei Geral de Proteção de Dados e proteger informações sensíveis dos seus clientes.
Saiba mais …
⚠️ Por que é um problema?
Falta de Rastro de Auditoria
O WhatsApp não oferece controle formal de registros. Não é possível comprovar quem acessou quais dados, quando ou por quê.
Vulnerabilidade no Dispositivo
Os dados trocados ficam armazenados no celular do atendente. Se o aparelho for roubado, invadido ou compartilhado, os dados podem vazar facilmente.
Encaminhamento e Capturas de Tela sem Controle
Os atendentes podem encaminhar mensagens, fazer prints e compartilhar arquivos sem nenhuma rastreabilidade. Isso viola o princípio da minimização e do controle previsto na LGPD.
Ausência de Coleta de Consentimento
Em geral, o cliente não dá consentimento formal e específico para o uso do WhatsApp como canal de tratamento de dados pessoais.
Transferência Internacional de Dados
O WhatsApp pertence à Meta, que processa dados fora do Brasil. Se isso não estiver formalizado em cláusulas específicas da política de privacidade e contratos, é infração direta da LGPD.
14/07/2025
Uso do WhatsApp Empresarial e Conformidade com a LGPD
LER ARTIGO
1
Contexto Atual
O WhatsApp é utilizado por 98% dos brasileiros, tornando-se canal essencial para empresas. Porém, seu uso corporativo apresenta desafios significativos quanto à proteção de dados.
2
Riscos do Uso Inadequado
Ausência de rastro de auditoria completo
Vazamento de dados via dispositivos pessoais
Compartilhamento não autorizado (prints e encaminhamentos)
Falta de consentimento explícito do cliente
3
Consequências Jurídicas
Violações podem resultar em multas de até 2% do faturamento (limitado a R$50 milhões por infração), investigações da ANPD e danos reputacionais severos.
Soluções Seguras para Atendimento Digital
A utilização da API oficial do WhatsApp Business através de plataformas integradas é essencial para garantir controle, rastreabilidade e conformidade com a LGPD.
Ter em mente:
As mensagens devem ser centralizadas, registradas e auditadas.
Os atendentes não devem utilizar celulares pessoais.
É possível inserir avisos legais, obter consentimento e controlar o acesso aos dados.
Não se trata de proibir, mas de fazer corretamente
A conformidade com a LGPD no atendimento digital não significa abandonar canais populares, mas implementar salvaguardas adequadas. O papel do DPO (Data Protection Officer) é fundamental para desenhar fluxos seguros que equilibrem experiência do cliente e proteção de dados
7/7/2025
Integrando o WhatsApp Business com Soluções SaaS para LGPD - BIP.ai vs Zenvia
LER ARTIGO
A implementação de plataformas de Atendimento ao Cliente (SAC) baseadas em SaaS, como o Blip, é a chave para transformar o WhatsApp em um canal de comunicação que não apenas otimiza o atendimento, mas também garante a plena conformidade com a Lei Geral de Proteção de Dados.
Rastreabilidade Completa
Registros detalhados de todas as interações, acessos e alterações de dados, criando um rastro de auditoria robusto e inalterável para fiscalização.
Segurança Centralizada
Dados são armazenados em nuvem segura, com controles de acesso rigorosos, eliminando a vulnerabilidade do armazenamento em dispositivos pessoais dos atendentes.
Gestão de Consentimento
Recursos para coleta e gerenciamento de consentimentos explícitos dos clientes, garantindo que o tratamento dos dados esteja em conformidade com as bases legais da LGPD.
Transferência Transfronteiriça
Plataformas robustas possuem cláusulas contratuais e mecanismos de adequação que formalizam a transferência internacional de dados, conforme exigido pela LGPD.
Minimização de Dados
Possibilita configurar a coleta apenas dos dados essenciais, minimizando o volume de informações pessoais tratadas e reduzindo riscos de vazamento.
EXEMPLOS DE SOLUÇAO: BLIP
EXEMPLOS DE SOLUÇAO: ZENVIA
Alternativa a Blip, é a Zenvia.
Valores BLIP a partir de R$2,981.00 mensal (2000 interaçoes por mes)
Valores Zenvia a partir de R$600.00 mensal (500 interaçoes por mes) + ativaçao de R$649.00 
(*valores ao 14/07/2025)
4/7/2025
Armazenamento Seguro na Nuvem: DPOSaaS Agora Oferece Cloud Criptografado para Seus Clientes
LER ARTIGO
Introdução
Se a sua empresa já entendeu a importância da LGPD, é hora de dar o próximo passo: proteger os arquivos e documentos sensíveis com criptografia de ponta a ponta. [Art. 46–50 da LGPD]
Agora, a DPOSaaS oferece uma solução prática e segura de armazenamento em nuvem criptografado, voltada especialmente para empresas que precisam proteger dados pessoais e sensíveis em conformidade com a Lei Geral de Proteção de Dados.
Criptografia de Ponta a Ponta
Seus arquivos são protegidos com criptografia AES-256, garantindo que apenas usuários autorizados possam acessar o conteúdo, mesmo em caso de interceptação.
Nuvem Segura e Confiável
Armazenamento em infraestrutura robusta com certificações de segurança internacionais, garantindo alta disponibilidade e proteção contra perda de dados.
Controle de Acesso Granular
Defina quem pode acessar cada arquivo ou pasta, com diferentes níveis de permissão e rastro completo de todas as atividades realizadas.
Conformidade com LGPD
Solução desenvolvida especificamente para atender aos requisitos da Lei Geral de Proteção de Dados, com recursos de auditoria e relatórios de conformidade.
Proteção Empresarial Completa: Ideal para empresas que lidam com dados sensíveis como informações de clientes, contratos, documentos financeiros e registros de compliance.
Por que escolher a solução DPOSaaS?
Implementação Rápida: Configuração em poucos minutos, sem necessidade de infraestrutura adicional
Suporte Especializado: Equipe de Data Protection Officers para auxiliar na implementação e conformidade
Escalabilidade: Cresce junto com sua empresa, adaptando-se às necessidades de armazenamento
Backup Automático: Proteção contra perda de dados com backup automático e versionamento
Em resumem, oferecemos:
🔒 Armazenamento criptografado de ponta a ponta (end-to-end)
🌐 Acesso via navegador, com segurança e autenticação 2FA (opcional)
🗂️ Pastas separadas por empresa e por tipo de documento
🔁 Backups automáticos e versionamento de arquivos
✅ Conformidade com a LGPD, incluindo registros de acesso
🇧🇷 Opção de servidores no Brasil ou com contrato de transferência internacional
Valores dependeram do tamanho precisado: 
Temos soluçoes de 500Gb ate 10Tb
A partir de R$60.00/mês. Entre em contato para receber detalhes e orçamento.
Nossas recomendaçoes:
Tresorit: Excelente para escritórios de advocacia, setor financeiro e área médica.
pCloud: Ideal para estruturas menores que precisam de um acesso simples, no estilo Dropbox.
Internxt: Oferece opções completas de nuvem, backup e compartilhamento de arquivos.
Ajudamos na implementaçao e atendimento.
Contato
Atendimento
Nossos Serviços
Newsletter
​Privacidade​
Cursos
Cybersegurança
© 2025, Todos os direitos reservados. BIS CRM DPOSaaS , desenvolvido por BIS CRM