+55 11 91128-8899   +55 11 4560-6686  contato@schiefler.adv.br

lgpd

por Rayane Batista24 de junho de 2026 Uncategorized0 comments

Monitoramento, algoritmos e privacidade: o que as orientações do CNPD sinalizam para conformidade e gestão de dados

O relatório final do Grupo de Trabalho 1 do Conselho Nacional de Proteção de Dados traz orientações concretas sobre os limites ao monitoramento de trabalhadores e aos riscos de discriminação algorítmica, exigindo que empresas e plataformas reequilibrem seus programas de compliance à luz dos direitos fundamentais.

Em junho de 2026, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) consolidou o relatório final do seu Grupo de Trabalho 1 (GT1), dedicado à proteção de dados pessoais no contexto laboral. O documento, resultado de 120 dias de trabalho que envolveu especialistas, sindicatos, confederações empresariais e organizações da sociedade civil, representa a análise mais abrangente já empreendida no Brasil sobre a interseção entre LGPD, integridade e relações de trabalho. As recomendações contidas no relatório sinalizam uma mudança significativa na forma como reguladores, gestores e tecnólogos devem compreender o monitoramento, a automatização de decisões e a proteção da privacidade no ambiente corporativo.

A relevância deste diagnóstico vai além do setor público e de grandes corporações. Fornecedores de soluções tecnológicas, consultores de RH, gestores de integridade e compliance, bem como todos aqueles que oferecem ou implementam programas de monitoramento de produtividade, encontram-se em uma encruzilhada: adaptar suas práticas aos parâmetros técnicos definidos pelo relatório ou enfrentar riscos significativos de não conformidade, danos reputacionais e exposição a litígios. O presente artigo examina os principais achados e proposições do relatório, traduzindo suas recomendações em implicações práticas para as organizações.

 

Monitoramento é legítimo, mas não é ilimitado

O relatório não veda o monitoramento de trabalhadores no contexto laboral. Reconhece que o poder diretivo do empregador, previsto no art. 2º da CLT, inclui a prerrogativa de fiscalizar, disciplinar e organizar a atividade. Contudo, estabelece que essa prerrogativa não é absoluta e deve ser exercida em conformidade com os direitos fundamentais, especialmente a privacidade, a dignidade e a autodeterminação informativa do trabalhador.

O fundamento legal dessa limitação reside nos princípios da Lei nº 13.709/2018 (LGPD), particularmente a finalidade, a necessidade e a proporcionalidade. O relatório consolida entendimento de que a simples identificação de uma hipótese legal não autoriza o tratamento de dados; os princípios funcionam como filtros prévios que delimitam e orientam a escolha da base jurídica. Na prática, significa que um empregador não pode justificar o monitoramento por meio de uma base legal genérica como “legítimo interesse” sem demonstrar, concretamente, por que a medida é necessária, por que é proporcional aos riscos, e se não há formas menos invasivas para alcançar a finalidade declarada.

O relatório aponta como práticas recorrentes e problemáticas: coleta de dados fora do horário de trabalho; monitoramento contínuo sem limites claros; geração de dados sobre locais privados (vestiários, banheiros); captura de tela, registro de teclas e análise de atividades sem justificativa robusta de finalidade; e uso secundário de dados sem consentimento prévio específico. Essas práticas representam não apenas violações técnicas da LGPD, mas também uma compreensão equivocada de que o poder diretivo autoriza vigilância total.

 

Tecnologias invasivas: biometria, geolocalização e “boss ware”

O relatório dedica análise minuciosa a tecnologias específicas de monitoramento, estabelecendo parâmetros distintos de conformidade para cada uma delas.

Dados biométricos (reconhecimento facial, impressão digital, íris, voz):

Por se tratar de dado pessoal sensível (art. 5º, II, LGPD) e de natureza imutável )não pode ser alterado em caso de incidente de segurança), o uso deve ser excepcional e restrito a situações de risco relevante e devidamente justificado. O cumprimento de obrigação legal relativa ao controle de jornada (art. 74, CLT) não impõe necessariamente o uso de biometria. Deve-se priorizar alternativas menos invasivas, como crachás, sistemas de autenticação por PIN ou verificação por celular. A experiência internacional, citada no relatório (diretrizes da CNIL francesa), indica que biometria deve ser exceção, não regra. Quando adotada, exige realização de Relatório de Impacto à Proteção de Dados (RIPD) conforme a Resolução ANPD nº 23/2025, e salvaguardas técnicas reforçadas.

Geolocalização:

Legítima para controle de jornada e verificação de presença em campo, mas deve ser ativada apenas durante o horário de trabalho, com desligamento automático ao final do expediente. A preferência é por registro por evento (check-in/check-out) ou amostragem, não por rastreamento contínuo 24/7. Geolocalização fora do expediente ou para inferir atividades pessoais (frequência a locais de lazer, consultas médicas, participação em manifestações) viola a privacidade e é vedada. O Tribunal Superior do Trabalho já validou a geolocalização como prova de jornada (decisão ROT-23218-21.2023.5.04.0000), desde que limitada ao local e horário de trabalho.

Softwares de monitoramento de produtividade (“boss ware”):

Ferramentas que capturam cliques, tempo de inatividade, janelas ativas, uso de aplicativos, webcam, áudio ambiente e até reconhecimento facial para análise de emoções são classificadas como altamente intrusivas. O relatório destaca que essas práticas geram impactos negativos comprovados: aumento de estresse, ansiedade, comprometimento da saúde mental. Apesar disso, o Tribunal Superior do Trabalho tem validado seu uso apenas quando há ciência prévia inequívoca do trabalhador e desde que não ultrapasse os limites de necessidade e proporcionalidade.

O relatório recomenda que o desenho dessas soluções siga o princípio de “privacy by default”, privilegiando o menor nível de coleta possível. Métricas devem focar em entregas e resultados, não em vigilância contínua do comportamento. Adicionalmente, identifica-se um risco estrutural: a maioria dos fornecedores dessas ferramentas são grandes empresas estrangeiras, gerando dependência tecnológica e risco de uso secundário dos dados dos trabalhadores pelos próprios fornecedores, sem transparência adequada.

Algoritmos opacos e o direito à revisão de decisões automatizadas

Uma das principais conclusões do relatório é a falha sistêmica na implementação do art. 20 da LGPD no contexto laboral. Este artigo assegura ao titular o direito de obter revisão de decisões automatizadas que afetem seus interesses legais. Na prática, contudo, a opacidade algorítmica prevalece: trabalhadores não sabem como algoritmos distribuem tarefas, calculam pontuações de desempenho, definem sua reputação ou até determinam sua suspensão ou bloqueio.

O relatório aponta que as empresas mantêm esses algoritmos sob sigilo empresarial, argumentando proteção de segredos comerciais. Contudo, o direito do trabalhador à compreensão mínima não é incompatível com a proteção de código-fonte. O que se exige é transparência significativa: quais dados são coletados e como alimentam o algoritmo; quais critérios e métricas são utilizados; como a pontuação é calculada e interpretada; quais decisões podem ser afetadas; se há revisão humana e quais são os canais de contestação.

A ausência de transparência compromete a capacidade do trabalhador de compreender e contestar decisões que afetam sua renda, permanência no vínculo e oportunidades de carreira. O relatório recomenda boas práticas incipientes já implementadas por algumas organizações: disponibilização de dashboards individuais com as métricas utilizadas; possibilidade de solicitar revisão humana; canais de reclamação acessíveis; manutenção de governança algorítmica com inventário de modelos, documentação de testes de viés e registro das decisões que impactam trabalhadores.

 

Riscos discriminatórios: quando algoritmos reproduzem e amplificam desigualdades

O relatório identifica um risco crítico negligenciado em muitos programas de compliance: sistemas automatizados podem gerar ou amplificar discriminações por raça, gênero, idade, condição de saúde, deficiência e outras características protegidas, mesmo quando critérios são aparentemente neutros. A discriminação algorítmica ocorre por múltiplos mecanismos.

  • Vieses em dados históricos: Algoritmos treinados com dados de desempenho passado reproduzem padrões discriminatórios existentes (avaliações inferiores para mulheres em licença-maternidade, menor pontuação para trabalhadores negros em contextos de racismo estrutural).
  • Métricas enviesadas: Indicadores como “tempo de inatividade”, “número de pausas” e “velocidade de digitação” penalizam desproporcionalmente pessoas com deficiências, condições crônicas, neurodivergências ou aquelas que realizam tarefas de maior complexidade.
  • Penalizações indiretas: Sistemas que ranqueiam automaticamente podem direcionar menos tarefas ou tarefas de menor valor para perfis repetidamente mal avaliados, reduzindo renda e oportunidades.
  • Falta de auditoria algorítmica: A maioria dos empregadores não realiza auditorias periódicas para identificar vieses, e a ausência de Relatório de Impacto agrava o risco.

O relatório cita exemplos concretos: softwares que medem tempo de atividade em tela penalizam trabalhadores com responsabilidades familiares; geolocalização usada para avaliar desempenho prejudica quem reside em áreas periféricas; algoritmos de recrutamento treinados com dados históricos excluem automaticamente mulheres, negros ou pessoas mais velhas; sistemas de reconhecimento facial têm precisão menor para determinados grupos demográficos, gerando bloqueios ou avaliações injustas. O caso do iFood, mencionado explicitamente, demonstra como tecnologias de validação de identidade baseadas em reconhecimento facial reproduzem racismo algorítmico.

A jurisprudência recente reconhece essas falhas: condenação de plataforma de recrutamento por dano moral coletivo no TRT da 15ª Região ilustra que uso de algoritmos com viés discriminatório viola a LGPD, a Constituição e a legislação trabalhista. Mitigação desses riscos exige mecanismos estruturados de governança algorítmica, incluindo testes de viés antes da implantação, auditorias periódicas dos resultados e revisão humana significativa antes de qualquer decisão relevante baseada em pontuação automatizada.

 

Implicações práticas para as organizações

Riscos típicos identificados pelo relatório:

  • Coleta excessiva de dados — captura de informações além do necessário, alimentando sistemas de vigilância desproporcional e criando exposição a vazamentos e usos secundários.
  • Falta de transparência sobre tecnologias e algoritmos — impossibilidade de o trabalhador compreender e contestar decisões, comprometendo autodeterminação informativa e favorecendo litígios trabalhistas.
  • Ausência de testes de viés — algoritmos perpetuando discriminações, gerando danos morais coletivos e responsabilidade civil objetiva das organizações.
  • Dependência de provedores estrangeiros — falta de controle sobre uso secundário de dados, vulnerabilidades de soberania digital e transferências internacionais sem salvaguardas adequadas.
  • Conformidade formal sem substância — avisos de privacidade genéricos, canais de direitos fictícios, programas de compliance que não reduzem riscos reais.

Oportunidades de conformidade e diferenciação:

  • Adoção de “privacy by design” em novas soluções de RH e monitoramento, priorizando arquiteturas que minimizam dados desde a concepção.
  • Realização de Relatórios de Impacto à Proteção de Dados (RIPD) para sistemas de monitoramento, avaliação de desempenho e IA, documentando finalidade, necessidade, proporcionalidade e mitigação de riscos.
  • Implementação de governança algorítmica robusta: inventário de modelos, documentação de critérios, testes de viés, auditoria periódica de resultados, registro de decisões automatizadas.
  • Transparência significativa sobre tecnologias, mediante dashboards com métricas, explicações dos algoritmos em linguagem acessível, e canais de contestação efetivos.
  • Renegociação de contratos com fornecedores de software, reduzindo dependência de provedores únicos e incluindo cláusulas sobre limitação de uso secundário e transferências internacionais.
  • Diálogo social contínuo com representantes de trabalhadores, incorporando proteção de dados em negociações coletivas e comissões paritárias permanentes.

As recomendações do CNPD consolidam entendimento que já vinha se formando na jurisprudência trabalhista e nas orientações de autoridades internacionais de proteção de dados: monitoramento é legítimo, mas não é ilimitado; transparência algorítmica não é opcional; discriminação automatizada viola direitos fundamentais; e conformidade exige mais que documentos formais — requer mudança estrutural em como tecnologias são desenhadas, implementadas e auditadas. Empresas que antecipar essas mudanças reduzem riscos legais, ganham diferenciação competitiva e consolidam confiança com seus colaboradores e fornecedores.

 

 

Fontes:

CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE. Proteção de Dados no Contexto Laboral: relatório final do GT1. Brasília: CNPD, 2026. 

Read More
Share
por Rayane Batista11 de junho de 2026 Uncategorized0 comments

A ILUSÃO DE MATURIDADE EM COMPLIANCE: O QUE A 3ª PESQUISA NACIONAL DE TENDÊNCIAS SINALIZA PARA PROGRAMAS DE INTEGRIDADE E FORNECEDORES DO SETOR PÚBLICO

Ter canal de denúncias e código de conduta não comprova que o programa funciona; é a aplicação efetiva, e não a existência formal, que pesa quando a empresa precisa responder por um ato lesivo.

A 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance, conduzida pela Be.Aliant em parceria com a Protiviti Brasil e divulgada no início de 2026, com dados coletados em outubro e novembro de 2025 junto a 129 profissionais, traz um diagnóstico que merece atenção jurídica. O estudo mostra um mercado que já não discute se possui compliance, mas se o compliance que possui cobre, de forma efetiva, os riscos reais da organização.

O dado central é o contraste entre infraestrutura visível e fundações de profundidade. Quase todas as empresas possuem canal de denúncias e código de conduta, mas poucas auditam o programa, medem sua efetividade ou estendem a diligência a toda a cadeia de contratações. Esse descompasso, que a pesquisa chama de “ilusão de maturidade”, importa para além do público de compliance officers: atinge diretamente empresas que contratam com o setor público, organizações que dependem do programa de integridade como atenuante e fornecedores sujeitos a auditoria de terceiros.

 

O retrato: muita parede, pouca fundação

Os números desenham um programa de infraestrutura básica. Canal de denúncias aparece em 96,9% das organizações, código de conduta em 94,6% e investigações internas em 84,5%. Já os pilares que verificam se o programa funciona ficam para trás: a avaliação de riscos está em 62,8% e a auditoria e monitoramento em 56,5%.

A lacuna fica mais nítida na rotina. Apenas metade das empresas mantém indicadores para medir a efetividade do programa, e somente 36% realizam auditoria regular. Na ponta da prevenção, 60% não fazem due diligence para todas as contratações e 33% não submetem colaboradores a qualquer análise de integridade na admissão. O programa existe no papel; a verificação sistemática de seu funcionamento, não.

 

Existir e aplicar: uma distinção jurídica, não retórica

Essa diferença tem consequência direta na responsabilização. A Lei nº 12.846/2013 (Lei Anticorrupção) prevê, no art. 7º, inciso VIII, que a existência de programa de integridade é circunstância considerada na dosimetria da sanção. O Decreto nº 11.129/2022, ao regulamentar a matéria, é mais preciso: o art. 57 determina que o programa seja avaliado quanto a sua existência e aplicação, e o respectivo § 2º estabelece que a efetividade do programa em relação ao ato lesivo objeto de apuração será considerada nessa avaliação.

Em outras palavras, ter os documentos não basta. O que se examina em um processo administrativo de responsabilização é se o programa estava em funcionamento e se foi capaz de prevenir ou detectar o ato. Vários parâmetros do art. 57 dependem justamente das práticas que a pesquisa apontou como deficitárias: a gestão de riscos com análise e reavaliação periódicas (inciso V) e o monitoramento contínuo do programa (inciso XV). Um programa sem auditoria regular e sem indicadores tende a ser lido como existente, mas pouco aplicado, o que reduz seu peso como atenuante.

 

Investigações internas: controle ou conflito de interesses?

A pesquisa registra que 72% das organizações conduzem investigações de forma totalmente interna. À primeira vista, sinal de controle; na prática, fonte de risco quando o investigador está subordinado à mesma hierarquia do investigado. Some-se a isso a escassez de marco normativo brasileiro sobre procedimentos de investigação interna, o que deixa as empresas sem direcionamento claro sobre limites e cadeia de custódia das evidências.

Há ainda uma camada de proteção de dados. A apuração trata dados pessoais e, com frequência, dados sensíveis, atraindo as bases legais e os deveres da Lei nº 13.709/2018 (LGPD). Conduzir a investigação sem definir finalidade, retenção e segregação de acesso expõe a organização a um segundo risco, agora regulatório. O modelo mais defensável combina triagem interna com investigadores externos para casos complexos ou com potencial conflito de interesses.

 

Due diligence e a interface com a contratação pública

O dado de que 60% das empresas não fazem due diligence universal ganha contorno próprio para quem se relaciona com a Administração. A responsabilidade na Lei Anticorrupção é objetiva (art. 2º), e atos de terceiros podem alcançar a contratante. O Decreto nº 11.129/2022 lista, entre os parâmetros do programa, procedimentos específicos para prevenir fraudes e ilícitos em licitações e contratos (art. 57, inciso VIII) e a extensão de padrões de conduta a terceiros (inciso III).

A Lei nº 14.133/2021 reforça o ponto: além de exigir programa de integridade em contratações de grande vulto (art. 25, § 4º), trata o programa como critério de desempate (art. 60) e como condição em hipóteses de reabilitação de empresas sancionadas. Para fornecedores do setor público, a diligência seletiva deixa de ser apenas uma questão de maturidade e passa a representar exposição contratual e concorrencial.

 

A onda regulatória que ampliou o escopo

A pesquisa mostra o compliance absorvendo temas trazidos por novas normas. A judicialização da LGPD cresceu de forma expressiva, ampliando a exigência de governança de privacidade. Os riscos psicossociais entraram na agenda com a atualização da NR-01, promovida pela Portaria MTE nº 1.419/2024, cuja fiscalização punitiva começa em 26 de maio de 2026, sem nova prorrogação. A Lei nº 14.457/2022 (Programa Emprega + Mulheres) antecipou parte desse movimento ao reforçar canais e medidas contra o assédio.

Não por acaso, assédio e discriminação assumem o topo dos riscos gerenciados (86,8%), à frente de conflito de interesses e fraude. O ponto de atenção é que parte das empresas transfere essas responsabilidades ao RH sem a expertise de investigação e gestão de risco que o tema exige, criando zonas cinzentas de governança e de segregação de funções.

 

IA: prioridade declarada, adoção incipiente

A inteligência artificial é vista como prioridade por 91,5% dos profissionais, mas apenas cerca de um terço a implementou. A barreira não é cultural, e sim técnica: a fragmentação de dados impede análises integradas. Surge também uma nova categoria de risco, o uso indevido de IA (28,7%), associada a vazamentos e ao tratamento de informações sensíveis. Adotar IA sobre dados fragmentados, sem governança e sem revisão humana das decisões, pode converter a ferramenta em passivo, inclusive sob a LGPD.

Riscos típicos

  • Programa formalmente completo, mas sem auditoria e sem indicadores que comprovem aplicação efetiva em eventual responsabilização.
  • Due diligence restrita a cargos de alto risco, deixando terceiros e contratações relevantes fora do radar.
  • Investigações totalmente internas, sem segregação entre investigador e investigado e sem disciplina de proteção de dados.
  • Absorção de temas trabalhistas e de privacidade pelo RH sem estrutura de compliance correspondente.
  • Uso de IA sobre dados fragmentados, sem governança nem revisão, gerando risco desproporcional ao ganho.

Oportunidades

  • Implantar auditoria do programa, ainda que temática ou por amostragem, e indicadores objetivos que sustentem a defesa do orçamento e a demonstração de efetividade.
  • Estruturar mapeamento periódico e documentado de riscos, integrado à gestão de riscos corporativos.
  • Adotar modelo misto de investigação, com triagem interna e suporte externo para casos sensíveis.
  • Estender a due diligence a toda a cadeia com base em risco, em especial para quem contrata com o setor público.
  • Investir em integração e governança de dados antes de escalar soluções de IA.

Mensagem central

A pergunta que orienta o setor mudou de “temos compliance?” para “nosso programa resiste a um exame de efetividade?”. A 3ª Pesquisa Nacional confirma que a infraestrutura visível já está, em grande medida, instalada, e que o diferencial dos próximos anos estará na profundidade: auditar, medir, estender a diligência e documentar o funcionamento. Para empresas que contratam com o setor público e dependem do programa como atenuante, essas lacunas não são apenas sinais de imaturidade; são exposições jurídicas concretas, medidas no momento em que o programa é chamado a comprovar que funcionava.

 

 

Fontes:

BE.ALIANT; PROTIVITI. 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance: Tendências em Compliance para 2026. São Paulo, 2025/2026. Disponível em: conteudos.aliant.com.br/lp-pesquisas-compliance-etica-gestao-de-riscos. Acesso em: 3 jun. 2026.

Read More
Share
por Rayane Batista5 de junho de 2026 Uncategorized0 comments

COMPLIANCE ORIENTADO A DADOS: O QUE UM ESTUDO COM 120 MIL CONFLITOS REVELA SOBRE PROGRAMAS DE INTEGRIDADE

Dados em larga escala mostram que riscos internos predominam, monitoramento ativo é essencial, e LGPD lidera as prioridades de conformidade nas organizações.

Quando conformidade deixa de ser um tópico teórico e passa a ser medido em tempo real, aparecem padrões que desafiam percepções tradicionais sobre risco corporativo. Um estudo recém-publicado analisou mais de 120 mil conflitos de interesse, quase 1 milhão de documentos assinados digitalmente e 800 mil treinamentos concluídos em plataformas de conformidade, consolidando dados operacionais de centenas de empresas brasileiras. Os resultados oferecem um retrato preciso de como programas de integridade realmente funcionam na prática, qual é a incidência real de não conformidades, onde se concentram os riscos e que obrigações regulatórias comandam a agenda de compliance nas organizações.

Para gestores, advogados e profissionais de compliance, esses números importam porque traduzem a distância entre política de integridade e execução real. Indicam também quais temas devem receber reforço em treinamentos, onde automatizar controles e como calibrar investimentos em governança de risco. Este artigo sintetiza os principais achados e suas implicações para organizações que operam sob o escopo da Lei nº 12.846/2013, do Decreto nº 11.129/2022 e da Lei Geral de Proteção de Dados.

 

Riscos internos como principal vetor de exposição

Um dos achados mais significativos do estudo é a predominância de riscos de origem interna. Dos registros analisados, 28,1% foram categorizados como riscos internos, enquanto apenas 8,2% tiveram origem externa ou de mercado. Este desequilíbrio de mais de 3 para 1 sinaliza que desenho de processos, controles organizacionais e decisões gerenciais são fatores criticamente diferenciadores na redução de exposições.

O achado inverteu a hierarquia de preocupações frequentemente reportada por profissionais de compliance. Embora pesquisas de percepção apontem riscos externos como uma das principais inquietações, a realidade dos dados sugere que intervenções na qualidade dos processos operacionais, na clareza de rotinas e no reforço de controles internos reduzem significativamente as exposições antes que variáveis macroeconômicas ou de mercado as ampliem. Para empresas que contratam com o setor público ou operam sob programa de integridade certificado, isso reforça a necessidade de revisão contínua de fluxos críticos.

 

Detecção contínua como capacidade operacional

A forma como não conformidades são identificadas revela a maturidade de um programa de compliance. No estudo, monitoramento ativo respondeu por 93,1% das detecções, enquanto auditorias internas representaram apenas 2,3%. Este padrão indica que a maioria das organizações já opera em modelo de vigilância contínua, com mecanismos embarcados nos fluxos operacionais que sinalizam desconformidades em tempo real, em vez de depender de ciclos pontuais de revisão.

A importância prática dessa descoberta é dupla. Primeiro, reduz o intervalo entre o surgimento de um desvio e sua correção, diminuindo janelas de risco. Segundo, permite que programas de integridade operem com automação em larga escala, processando grandes volumes de transações com parametrizações claras e escaláveis. Para fornecedores e parceiros sujeitos a auditoria contratual, isso significa que expectativas de conformidade serão medidas contra padrões de detecção contínua, não apenas em avaliações periódicas.

 

LGPD e governança corporativa como eixos centrais

Entre as obrigações de conformidade monitoradas pelas organizações, proteção de dados (LGPD) aparece em primeiro lugar, com 22,2% da carteira de conformidade. Obrigações regulatórias gerais representam 15,4%, e governança corporativa 12,6%. Juntas, essas três categorias somam 50,2% do esforço de monitoramento, consolidando a agenda regulatória moderna em torno de dados, transparência e estrutura de governança.

O protagonismo de LGPD nos registros de obrigações reflete tanto a complexidade da Lei nº 13.709/2018 quanto a exposição crescente de organizações a riscos regulatórios e reputacionais relacionados ao tratamento de dados pessoais. Simultaneamente, a presença forte de governança corporativa e conformidade anticorrupção nos dados aponta para maior escrutínio sobre estrutura de controle, canais de denúncia e políticas de integridade. Para empresas do setor privado que interagem com o setor público ou que fazem parte de grupos multinacionais, isso traduz-se em trilhas de treinamento prioritárias em LGPD, cibersegurança e compliance anticorrupção.

 

Bases normativas e marco regulatório

Os achados do estudo conectam-se diretamente ao marco normativo brasileiro de integridade corporativa. A Lei nº 12.846/2013 (Lei Anticorrupção) estabelece em seu artigo 7º que organizações que implementem programas de integridade robustos podem sofrer redução de pena em processos administrativos. O Decreto nº 11.129/2022 detalha os elementos que um programa de integridade deve contemplar, incluindo avaliação contínua de riscos, mapeamento de processos críticos e sistemas de monitoramento.

À luz dessa regulação, o estudo oferece indicadores operacionais de aderência. A presença massiva de monitoramento ativo (93,1% das detecções), a declaração estruturada de conflitos de interesse (18,7% da população analisada), a documentação digital auditável (com ciclos de assinatura de 7 a 30 dias) e o investimento em treinamentos de massa (800 mil completados) alinham-se aos elementos esperados em um programa certificado conforme a norma federal. Para fornecedores e empresas em cadeia de valor do setor público, isso significa que expectativas de conformidade correspondem a padrões operacionais que já estão em uso por pares.

Adicionalmente, a Lei nº 13.709/2018 (LGPD) ocupa espaço equivalente no marco regulatório. Seus artigos 37 e 38 obrigam operadores de dados pessoais a implementar controles de segurança, processos de consentimento e politicas de retenção, com sanções civis e administrativas por descumprimento. O destaque de LGPD nos dados de conformidade (22,2% das obrigações) reflete essa multiplicidade de demandas de conformidade, que agora cobrem anticorrupção, proteção de dados e governança de forma integrada.

 

Implicações práticas: riscos típicos e oportunidades

Para gestores de programas de integridade, o estudo sugere oportunidades concretas de aprimoramento:

Riscos típicos a considerar:

  • Processos operacionais mal desenhados continuam sendo o maior vetor de risco; revisar fluxos críticos de contratação, aprovação e gestão de parceiros deve ser prioridade
  • Lacunas na documentação de conformidade; 40% das não conformidades no estudo não possuem valor financeiro estimado, indicando que muitos eventos são registrados sem mensuração clara de impacto
  • Subinvestimento em treinamentos de relacionamento com agentes públicos; apenas 1,4% dos treinamentos abordam este tema, apesar de ser requisito essencial sob Lei Anticorrupção
  • Conflitos de interesse em áreas operacionais e comerciais (60% do total) mal estruturados em processos de aprovação

Oportunidades de fortalecimento:

  • Automatizar parametrizações de monitoramento ativo em sistemas operacionais; dado que 93,1% das detecções já ocorrem assim, há oportunidade de integração mais profunda de controles em fluxos de TI
  • Aprofundar métricas econômicas de risco; desenvolver critérios de valoração que capturem não apenas impacto financeiro direto, mas também retrabalho, perda de oportunidade e desgaste reputacional
  • Reequilibrar carteira de treinamentos em direção a LGPD, cibersegurança e compliance anticorrupção; eliminar temas genéricos e reforçar conteúdo setorial-específico
  • Estruturar governança executiva para risco residual; aproveitando que apenas 5,7% dos tratamentos optam por aceitar risco, há oportunidade de formalizar decisões estratégicas sobre exposições mantidas intencionalmente

 

Conclusão

Compliance orientado a dados não é mais aspiracional. O estudo demonstra que, para centenas de organizações, integridade já é rotina mensurável: riscos são mapeados diariamente, conflitos de interesse são declarados estruturadamente, documentos seguem ciclos de aprovação auditáveis, e colaboradores recebem treinamentos em massa sobre temas críticos. O desafio que permanece é traduzir esse diagnóstico em ação. Organizações que usam dados para identificar lacunas de processo, reforçar controles em áreas de alto risco e alinhar investimentos em governança com a realidade da exposição tendem a antecipar problemas, reduzir custos de correção e responder com segurança a auditorias e due diligence. Para isso, é essencial não apenas coletar dados, mas transformá-los em direção estratégica clara.

 

 

 

Fontes:

BE.ALIANT. Compliance Orientado a Dados: 1º Estudo sobre Compliance na Prática. São Paulo: Be.Aliant, 2026. Disponível em: https://www.be-aliant.com/publicacoes. Acesso em: 3 jun. 2026.

BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilidade civil das pessoas jurídicas pela prática de atos contra a administração pública. Diário Oficial da União, Brasília, DF, 2 ago. 2013.

BRASIL. Decreto nº 11.129, de 14 de julho de 2022. Estabelece as diretrizes para a implementação de programas de integridade nas organizações. Diário Oficial da União, Brasília, DF, 15 jul. 2022.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.

Read More
Share
por Rayane Batista15 de maio de 2026 Uncategorized0 comments

Proteção ao denunciante e apuração segura: o que as orientações da CGU sinalizam para canais de denúncia e investigações internas

Boas práticas de sigilo, antirretaliação e integração entre funções de apuração — e como isso repercute em programas de integridade no setor público e privado.

 

A Controladoria-Geral da União (CGU) voltou a colocar em evidência um ponto que, na prática, define o sucesso (ou o fracasso) de uma apuração: o denunciante só relata quando percebe que o sistema é confiável. Em notícia publicada em 5 de maio de 2026, a CGU destacou orientações operacionais discutidas no webinário “Proteção ao denunciante: do relato à apuração segura”, com foco no tratamento de denúncias no Fala.BR e na atuação integrada entre ouvidorias e corregedorias

Embora o evento tenha como público natural unidades do Poder Executivo federal, o conteúdo é útil também para empresas — sobretudo as que contratam com o setor público, reguladas por mecanismos de integridade e sujeitas a auditorias — porque consolida padrões de sigilo, rastreabilidade e prevenção de retaliação que vêm sendo exigidos como boa prática de governança.

 

O que está em jogo: não é “só um canal”, é um procedimento

Um canal de denúncia não é um e-mail ou uma caixa postal. É um procedimento que precisa responder a perguntas concretas: quem acessa os dados do denunciante, em qual momento, com qual justificativa e por quanto tempo? Como a denúncia é triada? Em que hipótese a área apuratória precisa conhecer a identidade? Como se reduz o risco de vazamento? Quem decide sobre encaminhamento à corregedoria, auditoria, comissões de apuração, ou até mesmo órgãos externos?

Essas perguntas importam porque o conflito típico é conhecido: de um lado, a apuração precisa de informação; de outro, a exposição do denunciante (ou de pessoas citadas) pode gerar retaliação, destruição de provas, contaminação do processo e, para a organização, passivos trabalhistas, reputacionais e sancionatórios.

 

 Bases normativas: o “dever de proteger” tem nome e artigo

No âmbito federal, o arcabouço que sustenta a proteção ao denunciante se distribui em camadas:

Lei nº 13.460/2017 (direitos do usuário de serviços públicos), que é regulamentada no plano federal e dá fundamento à estrutura de ouvidorias e ao tratamento de manifestações, incluindo denúncias.

Decreto nº 9.492/2018, que regulamenta a Lei nº 13.460/2017 e institui o Sistema de Ouvidoria do Poder Executivo federal (SisOuv), prevendo a integração/uso da plataforma Fala.BR.

Decreto nº 10.153/2019, específico sobre salvaguardas de proteção à identidade de denunciantes de ilícitos e irregularidades contra a administração pública federal.

Decreto nº 10.890/2021, que alterou o Decreto nº 9.492/2018 e o Decreto nº 10.153/2019 para dispor sobre proteção ao denunciante, incluindo o enfrentamento de retaliações.

– Normas procedimentais, com destaque para a Portaria CGU nº 581/2021, que detalha o “como fazer” dentro do SisOuv, inclusive com regras sobre necessidade de conhecer, consentimento, compartilhamento e pseudonimização.

Esse conjunto é relevante para empresas por dois motivos. Primeiro, porque fornecedores e parceiros do Estado convivem com apurações e processos em que o padrão de proteção ao denunciante é referência. Segundo, porque o mesmo raciocínio normativo dialoga com o setor privado em temas como Programa de Integridade (Lei nº 12.846/2013 e Decreto nº 11.129/2022), proteção de dados (Lei nº 13.709/2018 – LGPD) e prevenção de ilícitos.

 

Identidade, “necessidade de conhecer” e o ponto cego mais comum

A Portaria CGU nº 581/2021 trata a proteção à identidade como medida desde o recebimento da denúncia, e não como etapa posterior. A lógica é simples: se o sistema permite que muitas pessoas vejam dados identificadores no início, a organização perde o controle justamente no momento mais sensível.

Do ponto de vista operacional, o que costuma falhar é o excesso de acesso: triagem feita por equipes grandes; envio de e-mails com relato completo; anexos que “entregam” o denunciante (voz, imagem, metadados, narrativas em primeira pessoa, indicação de setor/turno/escala que permite dedução). A orientação da CGU ajuda a lembrar que, mesmo quando a identidade não é formalmente compartilhada, ela pode ser inferida — e isso, na prática, é o que acende o gatilho de retaliação.

 

Pseudonimização não é anonimato: é técnica de redução de risco

No vocabulário institucional, a pseudonimização é um mecanismo para permitir que a apuração avance sem expor desnecessariamente o denunciante. A Portaria CGU nº 581/2021 descreve o procedimento e aponta a necessidade de suprimir elementos de identificação também na descrição do fato e anexos.

Para empresas, o paralelo é imediato: relatórios de investigação e dossiês internos precisam ser estruturados para circular com segurança. Quando há necessidade de encaminhamento para auditoria, comitês, conselho, ou mesmo para suporte externo, a ausência de pseudonimização aumenta o risco de vazamento e pode gerar discussão sobre conformidade com a LGPD (princípios de necessidade, finalidade e segurança), além de tensionar o próprio dever de confidencialidade assumido pelo programa de integridade.

 

O fluxo “ouvidoria ↔ corregedoria”: o valor está na transição

A notícia da CGU enfatiza a atuação integrada de ouvidorias e corregedorias e “cuidados ao longo de todas as etapas”. Na prática, isso chama atenção para o momento mais vulnerável: a passagem de bastão entre quem recebe/triage e quem apura.

É nessa transição que se define:

– qual parte do relato é essencial para instaurar procedimento;

– que evidências devem ser preservadas e como documentar cadeia de custódia;

– como registrar decisões de triagem (por exemplo, arquivamento fundamentado, complementação de dados, ou encaminhamento);

– como limitar o número de pessoas que tiveram contato com dados sensíveis.

Organizações que não padronizam essa transição acabam com apurações longas, contestadas e vulneráveis: questiona-se parcialidade, quebra de sigilo e até mesmo a validade de atos internos (o que pode se refletir em processos administrativos e judiciais).

 

Retaliação: risco jurídico imediato e frequentemente subestimado

O Decreto nº 10.890/2021 reforça a agenda de proteção contra retaliações no âmbito federal. No setor privado, a retaliação costuma aparecer em formas “sutis” (isolamento, mudança de escala, metas inviáveis, exclusão de projetos) que depois alimentam ações trabalhistas e pedidos de indenização.

Além disso, a retaliação pode comprometer a colaboração futura e criar um ambiente em que o canal de denúncia existe apenas no papel — o que é especialmente perigoso para empresas que dependem de atenuantes e critérios de avaliação de programas de integridade em processos sancionatórios (Lei nº 12.846/2013 e Decreto nº 11.129/2022).

 

Onde estão as oportunidades e os riscos para clientes

Riscos típicos que vemos em diagnósticos de compliance:

– promessa de confidencialidade que não se sustenta (muitas pessoas com acesso, ausência de trilha de auditoria);

– falta de regras sobre quando a identidade é necessária e quem autoriza o acesso;

– investigações sem documentação adequada (decisões de triagem sem registro, ausência de matriz de risco e plano de apuração);

– tratamento de dados pessoais sem base jurídica clara, sem retenção definida e sem medidas proporcionais de segurança.

 

Oportunidades:

– redesenhar o fluxo do canal com mecanismos de pseudonimização e segregação de funções;

– rever templates de relatórios e protocolos de preservação de evidências;

– treinar lideranças para evitar retaliação e para saber conduzir comunicações internas durante apurações;

– alinhar o canal de denúncias ao programa de integridade e à governança de dados (LGPD), reduzindo risco de sanções e melhorando a qualidade das apurações.

A mensagem central do movimento da CGU é clara: apurar bem exige tanto técnica investigativa quanto arquitetura institucional. Proteger o denunciante não é um “extra”; é uma condição para que a denúncia exista, para que a prova sobreviva e para que a resposta da organização seja defensável.

 

Fontes:

CGU debate proteção ao denunciante e fluxos seguros de apuração de irregularidades em webinário

Read More
Share
por Rayane Batista13 de maio de 2026 Uncategorized0 comments

Governança de IA no setor público: o que muda com a política do MGI e como isso afeta contratações e projetos

Portaria nº 3.485/2026 cria diretrizes internas de uso ético e seguro de IA — e tende a elevar o padrão de compliance exigido de fornecedores.

 

A edição da Portaria nº 3.485/2026, no âmbito do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), marca um passo relevante para organizar — com regras internas e responsabilidades — o ciclo de vida de soluções de inteligência artificial (IA) usadas pelo poder público. Na prática, trata-se de um movimento de institucionalização de controles: desde a fase de concepção e aquisição até a operação, auditoria e resposta a incidentes.

Embora a norma seja dirigida ao MGI, seu efeito tende a irradiar para outros órgãos e, sobretudo, para o mercado: fornecedores de tecnologia, consultorias e integradores passam a ser cobrados por um padrão de documentação, governança e prestação de contas mais robusto, especialmente quando a IA impacta direitos de cidadãos, decisões administrativas ou tratamento de dados pessoais.

 

O que exatamente foi instituído e por quê

A política busca estabelecer parâmetros para que o uso de IA seja ético, seguro e juridicamente conforme, evitando dois problemas frequentes em projetos públicos:

Opacidade decisória (“a máquina decidiu”) sem trilha de justificativa técnica e administrativa.

Risco jurídico por dados e vieses: tratamentos de dados pessoais sem base legal adequada, coleta excessiva, vazamentos, discriminações indiretas e decisões automatizadas sem controles.

O pano de fundo é o princípio constitucional da legalidade, impessoalidade, moralidade, publicidade e eficiência (art. 37 da Constituição Federal), que exige que decisões e processos administrativos sejam controláveis, motiváveis e auditáveis — mesmo quando suportados por algoritmos.

 

Quem é impactado (e onde o risco aparece)

1) Órgãos e agentes públicos (gestores e fiscais de contrato).

A política de governança de IA tende a elevar a exigência de diligência do gestor: seleção de solução adequada, verificação de requisitos, desenho de controles, acompanhamento de performance e tratamento de incidentes. Em contratações, isso se conecta diretamente ao regime de planejamento, gestão e fiscalização previsto na Lei nº 14.133/2021.

2) Empresas contratadas e potenciais fornecedoras ao setor público.

Além de entregar um “produto”, as empresas precisam demonstrar como o produto se comporta, quais dados utiliza, que riscos foram mapeados, quais salvaguardas existem e como a Administração poderá auditar resultados. A ausência de governança pode gerar:

– questionamentos durante a licitação/contratação (habilitação técnica, comprovação de aderência, diligências);

– glosas, multas e sanções administrativas se a execução for considerada inadequada;

– discussões de responsabilidade civil por danos a terceiros.

3) Particulares afetados por serviços públicos com IA.

Cidadãos podem ser atingidos por triagens, priorizações, análises de risco, detecção de fraudes e automações. Quando essas soluções influenciam decisões, há reflexos em direitos de informação, contestação e devido processo, especialmente se houver uso de dados pessoais.

 

Proteção de dados, transparência e decisões automatizadas: o núcleo jurídico

Em projetos de IA na Administração, três eixos costumam concentrar as disputas.

(i) LGPD (Lei nº 13.709/2018): base legal, minimização e governança.

Ainda que a Administração possua hipóteses próprias de tratamento de dados para execução de políticas públicas, a conformidade exige atenção a pontos como:

– finalidade e adequação (tratamento coerente com o objetivo declarado);

– necessidade (dados estritamente necessários);

– segurança e prevenção (medidas técnicas e administrativas);

– accountability (capacidade de demonstrar conformidade).

Em soluções de IA, isso se traduz em práticas como inventário de dados, avaliação de riscos, segregação de ambientes, controle de acesso, retenção, critérios de anonimização/pseudonimização quando cabível e governança de fornecedores.

(ii) Transparência e acesso à informação.

A Lei nº 12.527/2011 (LAI) impõe deveres de transparência ativa e passiva. Em IA, o desafio é equilibrar transparência com proteção de segredo industrial e segurança. Um bom desenho contratual deve prever: o que é documentável, quais relatórios podem ser compartilhados, como responder solicitações e como justificar exceções.

(iii) Motivação do ato administrativo e controlabilidade.

Se a IA influencia decisão administrativa, a Administração precisa manter capacidade de explicar e motivar o resultado, inclusive para órgãos de controle e para o próprio administrado. Mesmo quando não se trata de “decisão automatizada” em sentido estrito, a dependência excessiva de modelos sem explicabilidade cria fragilidade probatória e contenciosa.

Contratações públicas com IA: o que tende a ser cobrado em editais e contratos

A política do MGI sinaliza requisitos que, com o tempo, podem aparecer em termos de referência, ETP e minutas contratuais. Exemplos práticos:

– Matriz de riscos e responsabilidades (Lei nº 14.133/2021), incluindo risco de vieses, indisponibilidade, incidentes de segurança e mudança de dados.

– Cláusulas de auditoria e evidências: logs, relatórios de performance, versionamento de modelos, controles de mudança (change management).

– Regras de subcontratação e cadeia de fornecedores, especialmente quando há APIs, modelos de terceiros ou infraestrutura em nuvem.

– Requisitos de segurança da informação e resposta a incidentes (SLAs, RTO/RPO), com definição de comunicação e mitigação.

– Tratamento de dados pessoais: obrigações de operador/controlador, confidencialidade, instruções documentadas, critérios de eliminação ao final do contrato.

O “quanto” está menos ligado a um custo imediato e mais ao custo de não conformidade: um projeto de IA pode ser interrompido, refeito ou judicializado se não houver governança. E isso é especialmente sensível em soluções que classificam pessoas, concedem benefícios, priorizam atendimentos ou identificam suspeitas.

 

Oportunidades e riscos: como transformar governança em vantagem competitiva

Para empresas que fornecem IA ao poder público, há uma oportunidade clara: governança pode virar diferencial.

– Quem já possui políticas internas (ética, privacidade, segurança), documentação técnica e trilhas de auditoria tende a reduzir fricção em contratações.

– Quem depende de modelos “caixa-preta” sem documentação robusta tende a enfrentar mais diligências e risco de impugnações.

Para gestores públicos, a oportunidade é diminuir risco de responsabilização e aumentar a qualidade do serviço entregue. O risco, por outro lado, é adotar soluções rápidas sem critérios mínimos — o que pode gerar questionamentos por órgãos de controle, demandas judiciais e perda de confiança institucional.

 

Como o escritório pode auxiliar na prática

A atuação jurídica em IA, especialmente no setor público, é menos sobre “ter uma opinião” e mais sobre organizar evidências e responsabilidades. O escritório pode apoiar em:

– adequação LGPD: bases legais, instrumentos com operadores, DPIA/relatórios de impacto quando recomendável, governança de incidentes;

– revisão de editais e contratos (Lei nº 14.133/2021): cláusulas de auditoria, matriz de riscos, propriedade intelectual, subcontratação, SLAs;

– compliance documental para fornecedores: políticas de IA, gestão de vieses, trilhas de explicabilidade e prestação de contas;

– contencioso administrativo: impugnações, recursos, defesas em apuração de sanções e reequilíbrio econômico-financeiro quando houver alteração relevante de escopo.

Em síntese, a Portaria nº 3.485/2026 sinaliza que a IA no setor público entra em uma fase mais madura: menos improviso e mais governança. Para quem contrata e para quem fornece, o recado é o mesmo — documentar, avaliar riscos e garantir controlabilidade passa a ser parte do próprio produto.

 

 

Fontes:

MGI institui Política de Governança de Inteligência Artificial no âmbito do ministério

PORTARIA MGI Nº 3.485, DE 24 DE ABRIL DE 2026

Read More
Share
por Rayane Batista2 de março de 2026 Uncategorized0 comments

LGPD em novo patamar: Lei 15.352/2026 transforma a ANPD em autarquia especial — o que empresas devem fazer agora

Mais maturidade regulatória tende a significar fiscalização mais estruturada, exigindo governança de privacidade e resposta a incidentes

O que a Lei nº 15.352/2026 sinaliza

 

Publicada em 25/02/2026, a Lei nº 15.352/2026 promoveu alteração da Lei nº 13.709/2018 e consolidou a Autoridade Nacional de Proteção de Dados (ANPD) como autarquia de natureza especial, além de instituir carreira própria de regulação e fiscalização.

A mudança, aprovada pelo Senado Federal, representa um salto institucional relevante: mais autonomia administrativa, técnica e orçamentária — e, sobretudo, maior capacidade operacional para fiscalizar e sancionar.

O recado ao mercado é de que a proteção de dados deixa definitivamente o campo da recomendação e ingressa em um patamar de regulação estruturada, permanente e tecnicamente robusta.

 

Por que isso importa para empresas e para titulares?

 

Para empresas (de todos os portes)

A nova configuração institucional da ANPD impacta diretamente a forma como as empresas devem encarar a conformidade com a LGPD.

Não será mais suficiente possuir políticas genéricas ou modelos padronizados. O foco da autoridade tende a recair sobre evidências concretas de governança.

A elevação do status institucional da ANPD tende a aumentar:

– Previsibilidade regulatória (mais normas, guias, interpretações e ritos);

– Capacidade de fiscalização (processos administrativos mais frequentes e mais técnicos);

– Comprovação de governança e de programas de segurança da informação.

Setores como RH, marketing digital, e-commerce, fintechs, saúde, educação e empresas intensivas em dados tendem a ser especialmente impactados.

Para pessoas físicas (titulares de dados)

O fortalecimento do órgão regulador tende a ampliar canais e efetividade para:

– Exercício de direitos (confirmação, acesso, correção, eliminação etc.);

– Reclamações e apurações sobre uso indevido de dados;

– Resposta institucional a incidentes e vazamentos.

 

Riscos e oportunidades no curto prazo

 

Riscos comuns
Com uma ANPD mais estruturada, alguns riscos se tornam particularmente sensíveis:

  1. Programa “de papel”: políticas genéricas, sem inventário de dados, sem avaliação de fornecedores e sem trilha de decisões.
  2. Contratos desatualizados: ausência de cláusulas de proteção de dados, suboperadores, padrões mínimos de segurança, resposta à incidentes e auditoria.
  3. Incidentes sem plano: vazamentos e acessos indevidos podem ocorrer; o problema jurídico costuma ser a resposta desorganizada (prazos, comunicação, evidências).
  4. Bases legais frágeis: tratamento amparado em consentimento quando o mais adequado seria outra base (ou vice-versa), gerando risco de invalidação.

 

Oportunidades

Apesar do aumento da pressão regulatória, o novo cenário também cria oportunidades relevantes:

Maturidade competitiva: empresas com governança sólida de privacidade ganham confiança, reduzem perdas em incidentes e melhoram sua posição em auditorias e due diligences.

Otimização de dados: ao mapear finalidades e retenção, é comum reduzir a coleta excessiva e custos de armazenamento.

Melhoria de processos: padronização de atendimento a titulares e fluxos internos reduz retrabalho e risco.

 

O que revisar agora: checklist objetivo

 

– Inventário de dados e mapeamento de fluxos (internos e com terceiros);

– Registro de operações, políticas e evidências de treinamento;

Gestão de terceiros: contratos, due diligence e controles de subcontratação;

– Plano de resposta a incidentes (jurídico + técnico + comunicação);

– Avaliação de necessidade de encarregado de dados (DPO), com atribuições e autonomia;

– Governança de consentimento, cookies e publicidade comportamental.

 

Como o escritório pode auxiliar

 

Podemos apoiar empresas e entidades com:

– Diagnóstico de aderência à LGPD e construção de um passo a passo para a adequação;

– Revisão de bases legais, avisos de privacidade e políticas internas; 

– Elaboração/negociação de cláusulas contratuais com fornecedores e parceiros;

– Desenho e simulação de plano de resposta a incidentes, incluindo medidas legais e de mitigação;

– Representação e acompanhamento em procedimentos administrativos perante a ANPD.

 

A Lei 15.352/2026 reforça que privacidade não é projeto pontual: é programa contínuo, com governança, provas e melhoria permanente.

 

Fonte

Read More
Share
por Schiefler Advocacia28 de janeiro de 2025 Atividades Jurídicas, Direito Digital, LGPD0 comments

Dia Internacional da Proteção de Dados: um marco global e nacional

Dia Internacional da Proteção de Dados: um marco global e nacional

No dia 28 de janeiro, celebra-se o Dia Internacional da Proteção de Dados, um marco global que destaca a importância da proteção de dados e da privacidade em um mundo cada vez mais digitalizado, onde a segurança das informações é essencial para indivíduos e organizações. Mas por que essa data é tão significativa?

Um marco europeu com impacto global

A data faz referência à ratificação da Convenção 108 do Conselho da Europa, o primeiro tratado internacional sobre proteção de dados pessoais.  Desde então, o continente europeu tem liderado os esforços nesse campo, influenciando diversas legislações ao redor do mundo. 

A influência europeia sobre legislações estrangeiras é frequentemente chamada de “efeito Bruxelas”, e a proteção de dados é um exemplo claro desse fenômeno. Normas como o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR) e o Regulamento Mercados Digitais (Digital Markets Act) exerceram um impacto profundo na formulação de legislações em diversos países. 

No cenário dos dados pessoais, essa influência não apenas motivou o alinhamento às exigências europeias para facilitar relações comerciais com o bloco, mas também impulsionou um movimento global em defesa da transparência no tratamento de dados.

Com o avanço das tecnologias, os dados pessoais passaram a ser considerados um valioso ativo econômico, destacando a necessidade de regulamentações robustas para garantir transparência e segurança no tratamento dessas informações.

A Lei Geral de Proteção de Dados (LGPD)

No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018, alinha o país às melhores práticas globais. Inspirada no GPDR, a LGPD estabelece diretrizes claras para o uso responsável de dados pessoais, protegendo os direitos dos titulares e promovendo transparência e segurança, tanto no setor público quanto no privado.

A lei define como “tratamento de dados” toda operação realizada com informações pessoais, como coleta, uso, armazenamento, compartilhamento e exclusão. Seu objetivo principal é garantir a privacidade e a segurança das informações, estabelecendo regras específicas que promovem responsabilidade e ética no tratamento de dados pessoais.

Para assegurar o cumprimento da LGPD, quatro pilares fundamentais devem ser observados: necessidade, finalidade, livre acesso e transparência. Isso significa que apenas os dados estritamente necessários devem ser tratados, sempre com clareza quanto aos objetivos do tratamento. Além disso, os dados devem ser  acessíveis ao titular, permitindo que ele conheça e acompanhe com transparência o uso de suas informações. 

 

Entre os direitos garantidos pela LGPD aos titulares de dados, destacam-se: 

 

  • Confirmação do tratamento e acesso: verificar quais dados estão sendo tratados e suas finalidades;
  • Correção de dados: solicitar ajustes em informações incompletas, incorretas ou desatualizadas;
  • Anonimização, bloqueio ou eliminação: exigir a exclusão ou restrição de uso de dados inadequados ou em desconformidade com a legislação; e
  • Informação sobre consentimento: conhecer as consequências de consentir ou não com o tratamento de seus dados.

 

Atualmente, é impossível dissociar a proteção de dados pessoais de um sistema de governança eficaz, sendo peça-chave nas práticas ESG (ambiental, social e governança). No contexto ESG, a proteção de dados se destaca principalmente nos pilares social e de governança. A dimensão social enfatiza a necessidade de respeito à privacidade dos indivíduos e à ética no tratamento de informações pessoais, enquanto o pilar de governança exige que as organizações adotem políticas consistentes, mecanismos de controle, e nomeiem responsáveis, como o Encarregado de Dados (Data Protection Officer – DPO), para assegurar o cumprimento das obrigações legais. 

A transparência, elemento essencial nas práticas ESG, fortalece a confiança entre as empresas, consumidores e demais stakeholders. Empresas que integram a proteção de dados às suas estratégias de ESG não apenas reduzem riscos relacionados a vazamento de informações e violações de privacidade, mas também demonstram compromisso com a sociedade e com a sustentabilidade de longo prazo da instituição. 

Dessa forma, o ESG deixa de ser um conceito abstrato e passa a ser uma ferramenta estratégica, onde a proteção de dados assume papel essencial na construção de um ambiente empresarial mais responsável. Mais do que uma exigência legal, a LGPD é fundamental para um sistema de governança eficaz, tanto no setor público quanto no privado.

No âmbito privado, o desenvolvimento de políticas de privacidade e proteção de dados também se tornou um diferencial competitivo indispensável para as empresas. 

Em um mercado cada vez mais atento à ética e à transparência, organizações que adotam boas práticas conquistam maior credibilidade. Esse movimento é especialmente relevante em um país historicamente sensível a questões de confiança institucional.

A proteção de dados na Administração Pública

A LGPD dedica um capítulo inteiro ao tratamento de dados pessoais pela administração pública, estabelecendo diretrizes para harmonizar o interesse público e a privacidade. Dessa forma, a adoção de medidas específicas não é apenas uma recomendação, mas um dever de  proteger os direitos dos titulares, garantindo, também, transparência na administração.

A compatibilidade entre a LGPD e a Lei de Acesso à Informação (LAI) é um exemplo dessa harmonização. Enquanto a LAI assegura o direito de acesso às informações públicas, a LGPD preserva a privacidade dos dados pessoais, garantindo que tais acessos não comprometam os direitos fundamentais dos indivíduos.

Na administração pública, a proteção de dados se manifesta com destaque a duas formas principais, ainda que estejam interligadas: a forma como os próprios órgãos públicos lidam internamente com o tratamento de dados e o modo como as empresas que contratam com a administração pública adotam essas práticas.

Qual é o impacto do Dia Internacional da Proteção de Dados?

O Dia Internacional da Proteção de Dados vai além de uma simples celebração. É um momento para refletir sobre a importância da privacidade e segurança no tratamento de dados, bem como para reforçar a necessidade de adequação às regulamentações vigentes.

No Brasil, a LGPD se consolida como um importante instrumento para a proteção dos direitos dos titulares e o fortalecimento da  transparência e ética nas relações institucionais. Sua implementação não cumpre apenas uma obrigação legal, mas também representa uma oportunidade de promover boas práticas de governança e construir relações de confiança com a sociedade. A data reforça a necessidade de um comprometimento coletivo em prol da segurança e da privacidade em um mundo cada vez mais conectado.

Read More
Share
por Schiefler Advocacia21 de setembro de 2020 Atividades Jurídicas, Direito Administrativo0 comments

A LGPD, agora em parcial vigor, institui regime jurídico devotado à disciplina das operações de tratamento de dados realizadas por entes que compõem o poder público, dos quais se espera que envidem esforços para garantir efetivas prestações estatais para concretizar as normas de proteção de dados pessoais.

por Matheus Lopes Dezan

Matheus Lopes Dezan[i]

Em 18 de setembro de 2020, sexta-feira, iniciou-se a parcial[ii] produção de vigor pela Lei Federal nº 13.709, de 14 de agosto de 2018, usualmente denominada Lei Geral de Proteção de Dados Pessoais (LGPD)[iii]. Cessa o período de vacatio legis da LGPD após extenso processo legislativo. Isso porque, em 29 de abril de 2020, fora adiada a vigência parcial da LGPD para 03 de maio de 2021, por força do 4º artigo da Medida Provisória nº 959[iv]. Contudo, o Congresso Nacional, em 26 de agosto de 2020, optou pela remoção do artigo 4º da MP nº 959/2020 durante votação acerca da conversão dessa MP em Lei Ordinária Federal nº 14.058, sancionada pela Casa Civil na última sexta-feira, 18 de setembro.

Em face do exposto, vigora parcialmente a LGPD, lei que serve de eixo ao sistema normativo brasileiro de proteção de dados pessoais, provocando importantes alterações para as relações público-privadas[v], sobretudo em face do contexto de uma administração pública eletronizada[vi].

 

A LGPD E A ORDEM CONSTITUCIONAL

A LGPD regula as operações de tratamento de dados pessoais realizadas por agentes públicos e privados, isto é, regula operações tais quais as de acesso, de coleta, de armazenamento, de processamento e de compartilhamento de dados pessoais (informações que versam sobre atributos da pessoa natural identificada ou identificável – artigo 5º, I, LGPD). Instituem-se, pois, garantias normativas postas em defesa do titular de dados tratados.

Nesse sentido, a fim de tornar efetiva a proteção que confere à categoria de dados pessoais, a LGPD busca dar concreção a normas constitucionais fundamentais. Para isso, afirma como fundamentos seus o respeito à privacidade, ao livre desenvolvimento da personalidade (corolário lógico-jurídico do respeito à dignidade humana, positivado pelo inciso III do artigo 1º da CF/88), aos direitos de autonomia informacional da personalidade, às liberdades de expressão, de informação e de comunicação, à intimidade, à honra, à imagem e a outros direitos fundamentais que servem de axioma à nova lei de proteção de dados (artigos 1º e 2º, LGPD).

Do mesmo modo, operações de tratamento de dados pessoais devem observar, em regra, diretrizes normativas de finalidade, de adequação, de necessidade, de livre acesso, de qualidade de dados, de transparência, de segurança, de não discriminação e outras diretrizes afirmadas pela doutrina estudiosa de temas afeitos à proteção de dados pessoais e positivadas pela LGPD (artigo 6º, LGPD).

Precisamente, no que concerne a operações de tratamento de dados pessoais realizadas pelo poder público, importa a observância das diretrizes positivadas em lei para que haja adequação das relações público-privadas às premissas de um Estado efetivamente Democrático e de Direito, que age em atenção à proteção de direitos fundamentais individuais e coletivos e em prol do interesse público.

Há, no entanto, especificidades próprias do regime jurídico criado pela LGPD e devotado aos órgãos e entidades administrativas, que merecem mais profunda abordagem em tópico apartado.

 

O TRATAMENTO DE DADOS PELO PODER PÚBLICO

O capítulo IV da LGPD é dedicado à instituição de novo regime normativo para a regulação das operações tratamento de dados pessoais executadas pelo poder público. Trata-se de regime jurídico distinto daquele por meio dos quais são disciplinadas as pessoas jurídicas de direito privado, o que se justifica em razão das particularidades de prerrogativa que a administração pública ostenta.

De pronto, pode-se destacar que o tratamento de dados pelo poder público deve atender a finalidades públicas, com respaldo no interesse público, a fim de que seja possível a execução das atribuições legais do poder público, tais como a execução de políticas públicas, a prestação de serviços públicos e administração da res publica (artigo 23, LGPD). Em todos os casos, deve-se lembrar, observam-se os fundamentos e princípios da LGPD e resguardam-se os direitos do titular dos dados tratos, que deve ser informado sobre os usos que se fazem dos dados tratados por entidades administrativas, bem como deve ter acesso a essas informações em veículos de fácil acesso, sobretudo em portais governamentais em sites da internet (artigo 23, I, LGPD). Ainda, o exercício dos direitos do titular de dados deve ocorrer com amparo no remédio constitucional do Habeas Data, nas disposições da Lei Geral do Processo Administrativo e, ainda, na Lei de Acesso à Informação, todos integrantes do sistema normativo de proteção de dados pessoais ordenado pela LGPD (artigo 23, § 3º, LGPD).

Esse mesmo regime jurídico de direito público disciplina a prestação de serviços notariais e de registros, do mesmo modo que disciplina a execução, por empresas públicas e por sociedades de economia mista, de serviços e políticas públicos (artigo 23, §§ 4º e 5º e artigo 24, parágrafo único, LGPD). Nesses casos, os dados tratados devem ser armazenados em formato interoperável, de modo que seja possível o compartilhamento de dados pessoais entre órgãos da administração pública, para a execução de políticas públicas. O compartilhamento de dados entre entidades administrativas e empresas privadas é estritamente vedado pela LGPD, salvo em casos excepcionais, sendo sempre devida comunicação acerca do compartilhamento à autoridade nacional e ao titular dos dados (artigos 24 e 25, LGPD).

Sem embargos, empresas públicas e sociedades de economia mista que atuam em regime privado de concorrência devem observar a disciplina normativa própria de entidades privadas (artigo 24, caput, LGPD).

Não se aplicam as normas da LGPD quando o tratamento de dados pessoais ocorrer para fins de segurança nacional, de defesa nacional e de segurança do Estado, bem como para fins investigação e de repressão de infrações penais. Dessa forma, em caso de a administração pública tratar dados pessoais para uma das finalidades elencadas, não é devida a aplicação das normas da LGPD.

Similarmente, a LGPD concebe a possibilidade de a administração pública tratar dados pessoais sem o consentimento do titular dos dados tratados para a execução de políticas públicas previstas em lei, em regulamentos ou em contratos, convênios e outros, bem como a para fins de proteção da saúde pela autoridade sanitária, mesmo que sem consentimento do titular de dados (artigo 7º, III e IX, LGPD). De todo modo, é necessário assegurar ao titular dos dados tratados acesso facilitado às informações sobre essas operações de tratamento de dados, tais como informações sobre as formas de tratamento, sobre a identidade dos agentes de tratamento, sobre a finalidade do tratamento e sobre os direitos do titular (artigo 9º, LGPD).

 

A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Para fiscalizar o cumprimento das normas positivadas pela LGPD, previu-se a criação da Autoridade Nacional de Proteção de Dados (ANPD), criada sem aumento de despesas e vinculada à Presidência da República (artigo 55-A, LGPD). A despeito dessa vinculação, em torno da qual pairam inesgotáveis debates, garante-se à ANPD autonomia técnico-decisória. Do mesmo modo, a autoridade nacional instituída por lei possui natureza jurídica transitória, sendo possível, em momento posterior, que a ANPD seja transformada em entidade da administração pública federal indireta, disciplinada por regime autárquico e especial (artigos 55-A, § 1º, e 55-B, LGPD).

Figuram dentre as competências da ANPD aquelas de zelar pela proteção de dados pessoais e pelo respeito aos segredos comerciais e industriais – sobretudo em caso de haver necessidade de auditar operações de tratamento de dados, como provê o artigo 20 da LGPD – de elaborar diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade e de aplicar sanções em caso de descumprimento das ordens legais (artigo 55-J, LGPD). Ademais, editou-se recentemente o Decreto nº 10.474, de 26 de agosto de 2020, que regulamenta com maior especificidade a estrutura e as atribuições da ANPD[vii].

Nada obstante, as sanções de multa previstas pela LGPD, e passíveis de serem aplicadas pela ANPD, apenas vigoram a partir de 1º de agosto de 2021, período reservado à estruturação da ANPD, o que apenas recentemente se iniciou.

UM PANORAMA GERAL

Em suma, a LGPD, agora em parcial vigor, institui regime jurídico devotado à disciplina das operações de tratamento de dados realizadas por entes que compõem o poder público. Consequentemente, espera-se que a administração pública, imergida no contexto de eletronização de seus atos, envide esforços, como o tem feito desde 2018, no sentido de convergir a sua estrutura interna para as disposições inauguradas pela LGPD, de modo que seja possível garantir efetivas prestações estatais em consonância com a ordem constitucional, concretizada pelas normas de proteção de dados pessoais.

 

QUADRO COMPARATIVO

 

Notas de fim de página

[i] Estagiário de Direito em Schiefler Advocacia. Bacharelando em Direito pela Universidade de Brasília (UnB). Membro do Laboratório de Políticas Públicas e Internet (LAPIN). Membro do Grupo de Pesquisa certificado pelo CNPq Direito, Racionalidade e Inteligência Artificial (DR.IA/UnB). Membro do Grupo de Estudos em Direito e Economia (GEDE/UnB/IDP). Membro do Grupo de Pesquisa em Hermenêutica do Direito Administrativo e Políticas Públicas (HDAPP/UniCeub). Membro do Grupo Bioethik: Grupo de Pesquisas em Bioética.

[ii] Por força do inciso I do artigo 65 da LGPD, os artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B vigoram desde 28 de dezembro de 2018, e os artigos 52, 53 e 54, que versam acerca das sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados a infratores da Lei, por força do inciso I-A do artigo 65 da LGPD, vigoram apenas a partir de 1º de agosto de 2021. A redação da MP 959/2020, portanto, apenas modificou a redação do inciso II do artigo 65 da LGPD, que cuida da vigência dos demais artigos da lei.

[iii] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 21 ago. 2020.

[iv] BRASIL. Medida Provisória nº 959, de 29 de abril de 2020. Estabelece a operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda e do benefício emergencial mensal de que trata a Medida Provisória nº 936, de 1º de abril de 2020, e prorroga a vacatio legis da Lei nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais – LGPD. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2250977. Acesso em: 21 ago. 2020.

[v] SCHIEFLER, Gustavo Henrique Carvalho. Diálogos público-privados. 1. ed. Rio de Janeiro: Lumen Juris, 2018.

[vi] SCHIEFLER, Eduardo André Carvalho. Processo administrativo eletrônico. 1. ed. Rio de Janeiro: Lumen Juris, 2019.

[vii] BRASIL. Decreto nº 10.474, de 26 de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em: https://www.in.gov.br/en/web/dou/-/decreto-n-10.474-de-26-de-agosto-de-2020-274389226. Acesso em: 21 ago. 2020.

Read More
Share