IBRASPD - Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados

Iniciativa tem por objetivo detalhar o papel do profissional e ajudar a sociedade a interpretar corretamente a norma. A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta quinta-feira (19/12), o guia orientativo intitulado “Atuação do Encarregado pelo Tratamento de Dados Pessoais”. O documento complementa a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que estabelece o Regulamento sobre atuação do encarregado pelo tratamento de dados pessoais. O objetivo do guia é fornecer orientações sobre a atuação desse profissional, facilitando a interpretação da norma e contribuindo para a execução adequada das atividades previstas na Lei Geral de Proteção de Dados (LGPD). Além disso, o guia se propõe a indicar boas práticas para os agentes de tratamento de dados pessoais. Ao final do documento, nos apêndices, são apresentadas sugestões de modelos de ato formal para a indicação do encarregado. O encarregado atua como canal de comunicação entre o titular, o agente de tratamento e a ANPD. Entre outras atividades, destaca-se a orientação de funcionários e contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Fonte: ANPD #ibraspd #ANPD #lgpd #proteçãodedados #dadospessoais #leigeraldeproteçãodedados #DPO #encarregadodedados

A 3ª edição da Pesquisa Nacional BugHunt de Segurança da Informação, da BugHunt,aponta que mais de 60% das companhias brasileiras adotam campanhas de capacitação dos colaboradores A proteção cibernética de uma empresa está diretamente atrelada à conscientização de sua equipe, é o que revela a 3ª edição da Pesquisa Nacional BugHunt de Segurança da Informação, desenvolvida pela BugHunt, empresa brasileira especializada em Bug Bounty na América Latina. De acordo com o estudo, mais de 60% das companhias brasileiras adotam as campanhas de capacitação dos colaboradores como principal medida de cibersegurança, refletindo a preocupação em reduzir riscos internos que podem representar brechas. O esforço empregado no treinamento dos funcionários é uma resposta direta ao desafio da baixa adesão das equipes às diretrizes de segurança. Ainda segundo o levantamento, o problema figura como principal barreira no momento de implementação de políticas eficazes de cibersegurança para mais de 44% das empresas. De acordo com Caio Telles, CEO da BugHunt, o cenário expõe o fato de o setor corporativo ter entendido que segurança, mesmo no contexto digital, está totalmente ligada às pessoas. “O último Fórum Econômico Mundial revelou que 95% dos ataques cibernéticos têm como origem falhas humanas. Está mais do que claro que somente tecnologia avançada não é suficiente para proteger. Um ambiente seguro se constrói a partir de uma cultura forte de segurança, onde cada colaborador entende seu papel”, detalha. Além da capacitação do time de colaboradores, a privacidade dos dados é outro ponto prioritário para as instituições, sendo alvo de investimentos para as mesmas 60% das respondentes. Para a construção da pesquisa, a BugHunt ouviu 63 companhias brasileiras de diferentes setores. Segurança reforçada Somado às campanhas educativas, o investimento em cibersegurança também cresce de forma significativa no Brasil. Segundo a pesquisa, 90% das corporações nacionais destinam recursos para proteção digital, sendo que uma em cada cinco investe cifras acima do R$1 milhão. Neste sentido, embora grande parte das empresas (41%) tenha reportado investimentos contínuos em cibersegurança dentro dos últimos cinco anos, a busca por aperfeiçoamento segue em alta no país, com 28,6% das instituições indicando um aumento de até 10% em suas alocações, enquanto outras 16% relatam expansões que variam entre 10 e 25%. Os esforços são justificados pelo número também crescente de ataques. O estudo revela que quase 43% das instituições enfrentaram ao menos uma tentativa de golpe cibernético nos últimos 12 meses. Dentre as ações mais comuns, 35% das empresas participantes contabilizaram uma investida de phishing, enquanto outras 30% enfrentaram uma ameaça de vazamento de dados. Fonte: inforchannel #cibersegurança #ibraspd #proteçãodedados #segurançadainformação

Decisão da Fiscalização inclui suspensão do tratamento de menores de 18 anos para fins de treinamento da IA generativa da plataforma, dentre outras medidas A Autoridade Nacional de Proteção de Dados (ANPD) determinou à X. Corp a suspensão do treinamento de dados de menores de 18 anos para fins treinamento de IA generativa. O prazo para cumprimento da decisão é de cinco dias.  A Coordenação-Geral de Fiscalização da ANPD determinou ainda que a informação de “não tratamento” e dados pessoais de contas de menores de 18 anos para fins de treinamento de IA Generativa seja incluída na Política de Privacidade ou na seção “Central de Ajuda” da plataforma – desde que essa seção seja expressamente referenciada na política de privacidade. O X deverá também desabilitar a opção de compartilhamento de dados pessoais para fins de treinamento de IA generativa para usuários menores de 18 anos.  A X. Corp tem dez dias úteis para prestar esclarecimento, também, sobre a aplicabilidade ao Brasil da documentação apresenta em resposta à diligência promovida pela Fiscalização da ANPD, uma vez que o “Teste de Balanceamento do Legítimo Interesse” e o “Relatório de Impacto à Proteção de Dados Pessoais (RIPD)” apresentados pela empresa fazem alusão ao tratamento de dados pessoais na União Europeia, nos países da Associação Europeia de Livre Comércio (EFTA) e no Reino Unido. Caso confirmada a não aplicabilidade ao Brasil, as versões aplicáveis deverão ser apresentadas no mesmo prazo.  Além disso, a X. Corp deverá promover alterações no Termo de Uso e na Política de Privacidade da plataforma, para:  - Excluir dos Termos de Uso a expressão “para qualquer finalidade”, uma vez que tem o potencial de abranger o tratamento de dados pessoais para qualquer finalidade, o que contraria o critério da especificidade da finalidade. - Apresentar sugestões de melhoria de redação dos Termos de Uso, para delimitar as finalidades de forma mais específica, bem como para esclarecer, de forma explícita ao titular de dados pessoais, em que medida essas finalidades afetam sua esfera da proteção de dados pessoais.   Confira a integra da decisão no link: https://lnkd.in/dWDhhnDq Fonte: ANPD #cibersegurança #proteçãodedados #ibraspd #ANPD #dadospessoais #LGPD #leigeraldeproteçãodedados #IA #inteligênciaartificial

O Procon de Minas Gerais multou a RaiaDrogasil em R$ 8,5 milhões por exigir o CPF dos clientes na venda de medicamentos. A rede de farmácias, que é a maior do país, diz que suas práticas estão "em conformidade" e que vai recorrer da decisão. O que aconteceu Fiscais do Procon-MG tentaram comprar remédios na Droga Raia (parte da RaiaDrogasil) em Belo Horizonte e constataram a exigência do CPF. Isso ocorreu tanto no balcão como no caixa de pagamento. "Os autos de fiscalização eletrônica demonstram que o fornecedor exige o CPF de consumidores de forma indiscriminada", diz decisão do órgão mineiro, de 18 de novembro, mas divulgada apenas na semana passada. Para o Procon-MG, a prática gera a "captura dos hábitos de consumo" de remédios, sem que o cliente saiba, o que representa uma "grave ameaça à privacidade". "Vulnerável, portanto, é o consumidor, especialmente aquele que teve seu cadastro efetuado com a simples inserção do seu CPF e desconhece que seus hábitos de consumo e histórico de aquisição de produtos e/ou serviços estão sendo armazenados", cita o documento. O órgão também viu "abuso da boa-fé do consumidor", já que a farmácia informa o cliente que a exigência do CPF visa a "obtenção de descontos". Já a criação de um cadastro com o perfil de consumo de produtos de saúde não é comunicada ao consumidor, afirma o Procon-MG. Ao Procon-MG, a RaiaDrogasil disse que "não condiciona a concessão de descontos e promoções em geral ao fornecimento de dados pessoais". A rede de farmácias já havia dado essa justificativa à Senacon (Secretaria Nacional de Defesa do Consumidor), ligada ao Ministério da Justiça. Em outubro de 2023, o órgão cobrou explicações sobre a exigência do CPF, após reportagem do UOL. Em 2023, UOL revelou que a RaiaDrogasil guarda até quinze anos de dados de 48 milhões de pessoas e monetiza informações para anunciantes. Por exemplo, um anunciante pode contratar a RaiaDrogasil para identificar quem são as pessoas que consomem um determinado remédio. Em seguida, essas pessoas são identificadas nas redes sociais e no sistema do Google e começam a ver a propaganda digital do anunciante. A operação se dá por meio da subsidiária RDAds. Ao UOL, a RaiaDrogasil disse que "a identificação pessoal é uma opção do cliente". Também afirmou que "suas práticas estão em conformidade com a LGPD (Lei Geral de Proteção de Dados)". A empresa também tem direito de recorrer ao Poder Judiciário para tentar anular ou reduzir a multa. O Procon-MG é um órgão do Ministério Público estadual, que age na proteção aos direitos dos consumidores. A multa é uma penalidade administrativa para o que os fiscais consideram descumprimento das normas que regem as relações de consumo, mas não é a palavra final. Fonte: economia.uol.com.br #cibersegurança #vazamentodedados #ibraspd #segurançacibernética

Os sistemas SAP, antes considerados uma caixa-preta, têm se tornado um alvo cada vez mais atraente para cibercriminosos. Um estudo apresentado na Black Hat Europe 2024, ocorrida dias 11 e 12 de Dezembro, indica um aumento significativo no interesse do cibercrime em explorar vulnerabilidades nesses sistemas desde 2020. A grande maioria (87%) da lista Forbes Global 2000 das maiores empresas do mundo usa SAP, de acordo com a própria empresa, e sua tecnologia gerencia 77% da receita de transações do mundo. A empresa de segurança cibernética focada em ERP Onapsis e o parceiro de pesquisa de inteligência de ameaças Flashpoint analisaram atividades em fóruns criminosos, incidentes de ransomware, sites de bate-papo e sites de grupos de ransomware. A complexidade dos sistemas SAP e a vasta quantidade de dados confidenciais que eles armazenam tornam-se um prato cheio para diversos grupos de cibercriminosos, desde hackers patrocinados por estados até grupos de ransomware, revelou pesquisa apresentada por Yvan Genuer, pesquisador de segurança sênior da Onapsis. Esses atores maliciosos, segundo ele, estão explorando tanto vulnerabilidades conhecidas quanto desconhecidas, buscando brechas para se infiltrar em sistemas e roubar dados sensíveis. A venda de exploits para SAP no mercado negro é uma realidade preocupante, revela o estudo. Ataques direcionados a vulnerabilidades específicas, como CVE-2020-6287 e CVE-2020-6207, têm sido observados com frequência. Além disso, a demanda por exploits zero-day, ou seja, vulnerabilidades ainda não corrigidas, está em constante crescimento, refletindo o alto valor que os cibercriminosos atribuem ao acesso a esses sistemas. A integração dos sistemas SAP com outros processos empresariais cria uma cadeia de vulnerabilidades que podem ser exploradas por atacantes. Uma vez dentro do sistema, os cibercriminosos podem se mover lateralmente, comprometem sistemas adicionais e roubar uma variedade de dados confidenciais, incluindo informações financeiras, propriedade intelectual e dados pessoais, alerta o estudo. Fonte: cisoadvisor #cibersegurança #ibraspd #cibercrime #segurançacibernética

Ação busca garantir a conformidade com a LGPD e proteger os direitos dos titulares de dados pessoais   Autoridade Nacional de Proteção de Dados (ANPD) iniciou um processo de fiscalização envolvendo 20 empresas de grande porte que não indicaram o contato do Encarregado pelo tratamento de dados pessoais, conforme exigido pelo Artigo 41 da Lei Geral de Proteção de Dados Pessoais (LGPD). A medida também se estende a organizações que, além de não disponibilizarem um canal de comunicação adequado para atender aos titulares de dados, oferecem canais que não são efetivos, dificultando o exercício de direitos como acesso, correção e exclusão de dados pessoais. A iniciativa integra o Ciclo de Monitoramento  e está alinhada ao Mapa de Temas Prioritários 2024-2025, que destaca a garantia dos direitos dos titulares como um dos eixos centrais de atuação da Autarquia. “A ausência de um Encarregado ou de um canal de comunicação eficaz impede que os titulares de dados exerçam seus direitos e compromete a transparência no tratamento de informações pessoais. Esse cenário prejudica tanto os titulares quanto a atuação da ANPD, que depende dessa interlocução para assegurar a conformidade com a LGPD”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD. Empresas fiscalizadas  As organizações fiscalizadas abrangem diversos setores econômicos, como tecnologia, telefonia, educação, saúde e varejo. Confira a lista das 20 empresas notificadas: - BlueFit Academias de Ginastica e Participações S.A. (Bluefit);  - Bytedance Brasil Tecnologia Ltda (TikTok);  - Dell Computadores Do Brasil Ltda (Dell);  - Equatorial Goiás Distribuidora de Energia Elétrica S/A (Equatorial Energia);  - Escritório Administrativo Clínicas Inteligentes Ltda (Clínica Vamos Sorrir);  - Eventim Brasil São Paulo Sistemas e Serviços de Ingressos Ltda. (Eventim);  GRPQA Ltda. (Quinto Andar);  - Hurb Technologies S.A. (Hurb);  - I.B.A.C Indústria Brasileira de Alimentos e Chocolates (Cacau Show);  - Latam Airlines Group S.A. (Latam Airlines);  - Open Education LLC (Open English);  - Parperfeito Comunicação S.A. (Tinder);  - Rede Saúde Total Cartão de Benefícios Ltda. (Saúde Total);  - Ser Educacional S.A. (UniNassau);  - Serasa S.A. (Serasa);  - SS Comercio de Cosméticos e Produtos de Higiene Pessoal Ltda. (Jequiti Cosméticos);  - Telefonica Brasil S.A. (Vivo);  - Telegram Messenger Inc (Telegram);  - Uber Do Brasil Tecnologia Ltda. (Uber); e  - X Brasil Internet Ltda. (X Corp./Twitter). Fonte: ANPD #leigeraldeproteçãodedados #anpd #lgpd #ibraspd #dpo #encarregadodedados #cibersegurança #segurançacibernética

É prioritário definir o modelo de atuação de uma autoridade de segurança cibernética para o Brasil, diz o relatório de avaliação da Política Nacional de Cibersegurança aprovado na Comissão de Relações Exteriores (CRE) em reunião na terça-feira (10). O texto do senador Esperidião Amin (PP-SC), aprovado em votação simbólica, destaca o crescimento dos crimes cibernéticos no país e sugere que a responsabilidade da segurança digital no Brasil é tratada de forma "fragmentada" em diversas agências. — Para tanto, sugerimos que o Executivo encaminhe, com maior brevidade possível, um projeto de lei que estabeleça a forma de funcionamento dessa autoridade — urgiu Amin. O senador citou documentos de fontes externas que, na sua opinião, embasam a conclusão de que o Brasil precisa investir nessa providência. Um exemplo é um estudo do Banco Internacional de Desenvolvimento (BID) sobre agências de segurança cibernéticas de vários países. O documento encontrou, como ponto em comum, a coordenação entre setor público, setor privado e setor de defesa. Outro documento é uma auditoria do Tribunal de Contas da União (TCU), aprovada em novembro, que apontou no Estado brasileiro a ausência de uma organização responsável pela orientação da atividade cibernética. De acordo com o relator da auditoria, o ministro Benjamin Zymler, a consequência é que os esforços do Executivo federal são insuficientes para alcançar todo o país, e isso pode levar a uma situação de "desigualdade cibernética". Amin também relatou sua experiência ao conhecer a National Cyber-Forensics and Training Alliance (NCFTA), parceria público-privada dos Estados Unidos para enfrentamento de crimes digitais. Ele definiu a iniciativa como "uma espécie de Serasa da segurança cibernética", em referência à empresa brasileira que presta serviços de análise de dados para negócios. Ele acredita que o modelo poderia ser implantado no Brasil, por ser altamente efetivo e custar pouco aos cofres públicos. — Não se pode olvidar que os crimes cibernéticos incluem roubo de dados pessoais, ataques de ransomware e espionagem digital e afetam não apenas a segurança nacional, mas também a estabilidade econômica e a privacidade individual — acrescentou o relator. Outra prioridade apontada na avaliação é o aprimoramento dos esforços de investigação colaborativa com países da América Latina sobre crimes cibernéticos. A avaliação foi precedida de uma série de audiências públicas da Subcomissão Permanente de Defesa Cibernética, vinculada à CRE. Fonte: Agência Senado #cibersegurança #ibraspd #segurançacibernética #ransomware

Documento confere maior transparência, previsibilidade e eficiência para o processo regulatório da Autoridade Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta quarta-feira (11/12), a Agenda Regulatória para o Biênio 2025-2026. Sua elaboração levou em consideração as contribuições feitas pela sociedade por meio de tomada de subsídios. A Agenda é o instrumento de planejamento que reúne as ações regulatórias prioritárias da ANPD. Seu objetivo é conferir maior transparência, previsibilidade, e eficiência para o processo regulatório da Autoridade, permitindo o acompanhamento das atividades pela sociedade e promovendo maior segurança regulatória e jurídica na relação com os agentes regulados. Além de dar continuidade a temas da agenda anterior, o próximo biênio inclui novos itens como agregadores de dados pessoais, dados de saúde e as hipóteses legais de consentimento e de proteção ao crédito. Os temas foram classificados em fases, conforme a seguinte ordem de priorização: Fase 1: itens cujos processos regulatórios são provenientes da Agenda Regulatória para o biênio 2023-2024; Fase 2: itens cujo início do processo regulatório acontecerá em até 1 ano; Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses; Fase 4: itens cujo início do processo regulatório acontecerá em até 2 anos. Confira os itens previstos para o biênio 2025-2026: Ao todo, estão previstas 16 ações na Agenda: - Direitos dos titulares - Relatório de Impacto à Proteção de Dados Pessoais - Compartilhamento de dados pelo Poder Público - Tratamento de dados pessoais de crianças e adolescentes - Dados Pessoais Sensíveis - Dados biométricos - Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) - Inteligência Artificial - Tratamento de Dados Pessoais de Alto Risco - Organizações religiosas - Anonimização e pseudonimização - Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade - Regras de boas práticas e de governança - Agregadores de dados pessoais - Dados pessoais sensíveis: dados de saúde - Hipótese Legal - Consentimento - Hipótese Legal - Proteção ao Crédito Acesse a publicação no DOU no link: https://lnkd.in/dGjhyvUg Fonte: ANPD #anpd #ibraspd #proteçãodedados #lgpd #cibersegurança #leigeraldeproteçãodedados #segurançacibernética

O fortalecimento das redes globais de criminosos que se estruturam cada vez mais como máfia; a crescente sofisticação dos esquemas de fraude financeira no Brasil, evidenciada pelo aumento significativo de golpes envolvendo o PIX; e as fraudes internas praticadas por colaboradores para investir no mercado de apostas, principalmente nas plataformas esportivas conhecidas como Bets, são algumas das tendências que retratam um cenário desafiador para o setor brasileiro de cibersegurança em 2025. Elaborada pela Lynx Tech, empresa que utiliza inteligência artificial e aprendizado de máquina para detectar e prevenir fraudes e crimes financeiros, a análise destaca que 2025 vai exigir uma abordagem proativa e inovadora por parte de organizações que lidam com transações financeiras e dados de clientes. “Isso envolve soluções que entreguem análises imediatas, em tempo real e confiáveis para decisão sem alto custo e complicações operacionais”, explica Rogério Freitas, diretor-geral da Lynx Tech para o Brasil. “No lugar de ferramentas complexas, as empresas vão priorizar soluções baseadas em modelos previamente treinados, criados a partir das transações específicas de cada instituição, que analisam quaisquer tipos de transações em tempo real, identificando padrões fraudulentos anômalos com alta precisão.” A seguir, algumas das principais tendências apontadas pela Lynx Tech em fraudes, tecnologias para análise e mitigação de risco e movimentos do setor que devem ganhar força em 2025: PIX Laranja: Multicanalidade: Bets: Upstream Mode: Experiência positiva: Segurança para além dos bancos: “Veremos cada vez mais setores como varejo, saúde e plataformas de serviços por aplicativo adotando soluções de análise, uma vez que a fraude não é mais uma preocupação exclusiva do sistema bancário, mas um problema global que afeta todos os negócios que operam grandes volumes de transações”, conclui Rogério. Confira o artigo na íntegra no site cisoadvisor. #cibersegurança #ibraspd

Estudo do Instituto Nacional de Combate ao Cibercrime indica perda potencial de até 43% da massa salarial do País O INCC (Instituto Nacional de Combate ao Cibercrime) divulgou na semana passada um estudo em aponta que os prejuízos causados pelas violações de dados no Brasil chegam a 18% do produto interno bruto (PIB) nacional. Também uma perda potencial de até 43% em renda salarial e 2,3% dos empregos gerados no País. O relatório – chamado O Impacto Econômico das Violações de Dados na Economia Nacional com foco nas PMEs – foi apresentado durante evento realizado na Amcham Brasil. Segundo o texto, cada violação de dados pode causar a eliminação de até 34 empregos, ou até 2% dos trabalhos gerados no País, e de US$ 2,01 milhões em massa salarial. O cálculo do INCC considera que cada violação que atinge uma PMEs custa a economia em média US$ 2,57 milhões, ou US$ 272 dólares por registro violado. Hoje 60% dos golpes cibernéticos no Brasil são contra empresas de pequeno porte, que não contam com estruturas para enfrentar ameaças do tipo. “Para se aproveitar ao máximo os ganhos econômicos que a tecnologia traz, é imprescindível que a segurança cibernética seja prioridade de todos os executivos (…)”, ponderou no evento Fábio Diniz, presidente do INCC. “Estamos em uma corrida em que os crimes cibernéticos estão corroendo ganhos expressivos econômicos e de confiança nos meios digitais que podem se tornar irreversíveis e incontroláveis em um curto espaço de tempo”. Cibersegurança e impacto positivo A pesquisa do INCC avaliou os ganhos potenciais do aumento dos investimentos em segurança cibernética para a economia brasileira. E concluiu que a cada 10% de aumento nos investimentos em segurança cibernética, é possível gerar até US$ 1,244 bilhão de reflexos positivos no PIB, gerando 14 mil empregos e US$ 1,051 bilhão em massa salarial. “Os resultados que obtivemos nessa pesquisa ressaltam que aumentar o investimento em segurança cibernética é importantíssimo para as empresas e para a própria economia brasileira. Enquanto uma única violação pode trazer grandes prejuízos e oportunidades perdidas, cada real investido em cibersegurança é capaz de gerar retornos positivos”, diz Luana Tavares, fundadora e CEO do INCC. Fonte: itforum #cibersegurança #ibraspd #segurançacibernética #violaçãodedados