A rápida disseminação da inteligência artificial no ambiente corporativo tem proporcionado ganhos relevantes de produtividade e eficiência, mas também evidenciou um novo e significativo risco para a conformidade com Lei Geral de Proteção de Dados Pessoais (LGPD) e as boas práticas Segurança da Informação: a chamada Shadow AI. Esse fenômeno ocorre quando, por exemplo, colaboradores utilizam ferramentas de inteligência artificial (como chatbots públicos, geradores de texto ou soluções de análise de dados e código) sem aprovação formal, supervisão técnica ou governança institucional, muitas vezes motivados pela intenção legítima de otimizar tarefas do dia a dia. No contexto das cooperativas esse uso não controlado representa um risco direto à conformidade legal e à segurança das informações. Some-se a isso o fato de que o modelo cooperativista é fundamentado na confiança mútua entre cooperados e gestão: um incidente de segurança não representa apenas um problema jurídico, mas pode abalar a própria essência do vínculo cooperativo. Na prática, a Shadow AI se materializa quando dados pessoais e informações institucionais, como relatórios, contratos, dados cadastrais, informações financeiras ou registros de atendimento, são inseridas em ferramentas de IA não homologadas para obtenção de análises, resumos ou sugestões. O risco não está na tecnologia em si, mas no fato de que, ao realizar esse procedimento, as informações e dados pessoais ultrapassam o “perímetro de segurança” sem qualquer controle técnico, garantias de confidencialidade ou clareza quanto ao armazenamento, reutilização ou descarte dessas informações, que podem ser utilizadas para treinamento de modelos, ampliando significativamente os riscos de exposição. Diferentemente dos ataques cibernéticos tradicionais, não há indícios claros de violação, como malware ou invasões e a exposição ocorre de forma silenciosa, decorrente de ações internas aparentemente inofensivas. Sob a perspectiva da LGPD, a Shadow AI cria um conjunto relevante de vulnerabilidades. O uso não autorizado de dados pessoais viola princípios fundamentais desta legislação, como finalidade, necessidade, segurança, prevenção e responsabilização, além da ausência de rastreabilidade sobre onde e como as informações e dados pessoais foram processados, fragilizando a governança corporativa como um todo. Para cooperativas, cuja cultura é baseada em colaboração e confiança, a abordagem mais eficaz envolve a adoção de políticas institucionais bem definidas com participação ativa do Encarregado pelo tratamento de dados pessoais (DPO) e das áreas de TI, sendo fundamental a orientação sobre o uso adequado de tecnologias de IA. Nesse contexto, o maior risco já não reside apenas em agentes externos maliciosos, mas em práticas internas que podem comprometer a governança institucional. Antecipar esses riscos, estruturar uma governança para uso inteligência artificial e fortalecer a cultura de proteção de dados pessoais são medidas essenciais para preservar a confiança dos cooperados, a reputação institucional e os princípios fundamentais do cooperativismo.

Em 18 de março de 2026, o Governo Federal publicou três decretos que regulamentam o Estatuto Digital da Criança e do Adolescente (Lei nº 15.211/2025), trazendo maior clareza sobre como as obrigações legais devem ser implementadas. De forma geral, a regulamentação não traz muitas orientações práticas (indicando que a Agência Nacional de Proteção de Dados – ANPD o fará oportunamente), mas define competências institucionais, estrutura a atuação estatal e indica caminhos para a adoção das medidas exigidas. Os decretos tratam, essencialmente, de três frentes: Detalhamento da aplicação do ECA Digital (Decreto nº 12.880/2026) Estabelece diretrizes para sua execução, reforçando a necessidade de adoção de medidas como verificação de idade, controles parentais, gestão de riscos e proteção de dados de crianças e adolescentes. Ainda que não esgote todos os aspectos técnicos, o decreto orienta a implementação com base em uma abordagem de risco e no melhor interesse do menor, indicando que as soluções adotadas devem ser proporcionais ao nível de risco das atividades. Na prática, isso significa que as cooperativas passam a ter maior previsibilidade sobre como estruturar seus programas de adequação, ainda que persistam lacunas que dependerão de regulamentação complementar pela ANPD. Reestruturação da ANPD e fortalecimento da fiscalização (Decreto nº 12.881/2026) Promove alterações relevantes na estrutura da ANPD, responsável pela fiscalização do ECA Digital. Destaca-se a criação de superintendências especializadas, o que tende a ampliar a capacidade técnica e operacional da Autoridade, especialmente para lidar com temas relacionados à proteção de dados de crianças e adolescentes e à regulação de ambientes digitais. Com isso, a ANPD se consolida como protagonista na interpretação e aplicação prática do ECA Digital, inclusive com competência para editar normas complementares — que serão essenciais para esclarecer pontos ainda abertos, como critérios técnicos de verificação de idade e supervisão parental. Centralização de denúncias e atuação repressiva (Decreto nº 12.882/2026) O terceiro decreto institui o Centro Nacional de Proteção à Criança e ao Adolescente, vinculado à Polícia Federal, com a função de centralizar denúncias de violações ocorridas no ambiente digital. A medida busca integrar e agilizar a resposta estatal, permitindo o encaminhamento mais eficiente de casos envolvendo exploração, violência ou outras violações de direitos de crianças e adolescentes em plataformas digitais. A regulamentação representa um avanço importante para que as cooperativas que disponibilizam soluções de acesso provável para menores ou que comercializam produtos proibidos para esse público (ex.: bebidas alcoólicas) implementem os controles previstos na lei. Ainda assim, o cenário ainda é de regras e parâmetros desconhecidos e que demandarão regulação complementar pela ANPD. Para as cooperativas, tal realidade reforça a necessidade de adotar uma abordagem estruturada de adequação, baseada em avaliação de riscos, decisões justificadas e documentação das medidas implementadas (que, neste momento, talvez não sejam as ideais, mas as possíveis diante da ausência de regras mais claras).

A Lei nº 15.211/2025, conhecida como ECA Digital, estabelece uma série de medidas para a proteção de crianças e adolescentes em ambientes virtuais.

Novo marco para a transferência internacional de dados pessoais

A Agência Nacional de Proteção de Dados (ANPD) disponibilizou publicamente seu novo Painel de Fiscalização, uma ferramenta interativa em Power BI que reúne dados consolidados sobre processos de monitoramento, fiscalização e procedimentos administrativos sancionadores. A iniciativa marca um avanço importante na transparência regulatória e permite que a sociedade identifique quais organizações (cooperativas, empresas ou órgãos públicos) estão respondendo a processos administrativos em razão de possíveis descumprimentos da Lei Geral de Proteção de Dados Pessoais – LGPD. Os dados atualmente disponíveis no painel mostram que já foram instaurados 81 (oitenta e um) processos administrativos pela ANPD, com objetivo de monitorar atividades relacionadas ao tratamento de dados pessoais, fiscalizar e aplicar penalidades. Os 3 temas mais comuns relacionados aos processos são: Direitos das pessoas: não atendimento dos direitos previstos na LGPD (como acesso aos dados pessoais, informações sobre compartilhamento, eliminação e outros) ou atendimento inadequado. Bases legais e conformidade documental: ausência de bases legais (previstas nos artigos 7º e 11 da LGPD) para justificar atividades envolvendo tratamento de dados pessoais, bem como ausência ou insuficiência de detalhamento no Registro das Operações de Tratamento de Dados Pessoais (documento obrigatório para a conformidade com a LGPD). Falhas de segurança e incidentes: ausência de medidas básicas de prevenção a incidentes de segurança ou ausência de comunicado adequado para ANPD, nos casos em que obrigatório (ou seja, naqueles em que o incidente pode causar danos ou riscos relevantes para as pessoas). O Portal demonstra que a ANPD está ampliando a visibilidade e o acompanhamento externo de suas ações de fiscalização. Isso reforça que cooperativas que ainda não concluíram sua adequação à LGPD devem fazê-lo com a máxima urgência. O ambiente regulatório está mais transparente e estruturado, o que deve aumentar as consequências negativas para quem não está em conformidade. O que as cooperativas devem fazer agora? Reforçar seus programas de governança em privacidade e proteção de dados. O DPO deve ser formalmente designado, com atribuições claras e acesso à alta administração (a cooperativa deve garantir que o encarregado possa exercer adequadamente sua função, o que inclui: autonomia técnica; recursos mínimos (humanos, financeiros e tecnológicos); não acúmulo de funções que gerem conflito de interesses; capacidade de interagir diretamente com a ANPD quando necessário; participação nos processos decisórios que envolvam dados pessoais; capacidade de atualizar políticas internas, bases legais, registro das operações e mecanismos de resposta a titulares. Estruturar evidências de conformidade, já que a ausência de documentação é uma das causas frequentes de abertura de processos. Preparar equipes e lideranças para responder a fiscalizações, que tendem a se tornar mais frequentes. Com a atuação da ANPD cada vez mais visível e estruturada, a falta de adequação completa à LGPD ou a manutenção de práticas superficiais de governança expõe as cooperativas a um risco regulatório significativo. A boa notícia é que o risco pode ser integralmente tratado a partir da adoção das ações acima exemplificadas e de outras que apresentamos aqui no LGPD no Cooperativismo.

O Supremo Tribunal Federal (STF) publicou recentemente o acórdão que confirma a decisão pela inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet (Lei nº 12.965/2014).

No dia 17 de setembro de 2025, foi sancionada a Lei nº 15.211/2025, conhecida como ECA Digital, que moderniza a proteção de crianças e adolescentes em ambientes virtuais.

A presença de câmeras de segurança tem sido cada vez mais frequente em todos os lugares, inclusive nas cooperativas, que, evidentemente, se preocupam  com a segurança de seus ambientes.

Todas as organizações, sem exceção, devem cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD).

A proteção de dados pessoais não se limita apenas ao ambiente interno da cooperativa.

Os dispositivos móveis estão cada vez mais presentes em nossas rotinas de trabalho. Hoje, nossos celulares são ferramentas indispensáveis, essenciais para contato com cooperados, clientes, colaboradores e parceiros.Mas temos de lembrar que os dispositivos móveis estão expostos a ameaças de segurança que podem comprometer dados pessoais e informações confidenciais. Não é à toa que a Lei Geral de Proteção de Dados (LGPD) fala muito em segurança, embora não nos diga quais medidas tomar para alcançá-la.Confira algumas das boas práticas em segurança de dispositivos móveis. 1. Mantenha Tudo Atualizado Tanto o sistema operacional quanto os aplicativos devem ser mantidos atualizados. Atualizações não só adicionam novos recursos, mas também corrigem falhas de segurança. Sempre que uma vulnerabilidade é descoberta, os desenvolvedores correm para lançar uma atualização que a corrija. Se você deixa as atualizações do seu dispositivo em segundo plano, o seu dispositivo pode ser comprometido. 2. Bloqueio de tela Além das ameaças que vem por meio da internet, também temos de pensar na segurança física do seu dispositivo. Isso começa no bloqueio de tela. Use algum método de bloqueio, de preferência uma senha. Essa é a sua primeira linha de defesa contra acessos não autorizados, especialmente em caso de perda ou roubo do dispositivo. Importante! Configure seu dispositivo para que ele seja automaticamente bloqueado após um período de inatividade. 3. Instale Apenas Aplicativos Oficiais Evite colocar seu dispositivo em risco com aplicativos de fontes duvidosas. É recomendado baixar apps apenas das lojas oficiais (Google Play Store ou App Store). Se o dispositivo for corporativo, sempre consulte a equipe de TI antes de instalar novos aplicativos. 4. Remova Aplicativos Não Utilizados Cada aplicativo instalado em seu dispositivo pode trazer consigo riscos e vulnerabilidades próprias. Muitos aplicativos pedem permissões excessivas ou não são mais atualizados, o que aumenta a superfície de ataque do seu dispositivo. Por isso, remova aplicativos que você não usa. 5. Cuidado com Redes Wi-Fi Públicas Usar redes públicas de Wi-Fi, por exemplo, em restaurantes ou cafeterias, aumenta os riscos de segurança do seu dispositivo. Pessoas com acesso à mesma rede que você tem maior chance de interceptar informações e de comprometer o seu aparelho. Caso não tenha acesso a uma rede confiável, priorize o acesso à internet por dados móveis e evite ao máximo usar redes públicas. 6. Rastreamento de Dispositivo Ative funções de localização remota em seu dispositivo. Ferramentas como "Encontrar Meu iPhone" (para iOS) ou "Encontre Meu Dispositivo" (para Android) permitem rastrear seu celular e bloquear o acesso em caso de roubo ou perda. Assim, mesmo que o dispositivo seja perdido, você terá a chance de proteger suas informações à distância. 7. Antivírus A instalação de um antivírus no seu dispositivo móvel é recomendada para a proteção contra malwares. Ele oferece uma camada extra de segurança, especialmente quando você baixa aplicativos ou navega na internet. A proteção adicional pode prevenir ataques e manter seu aparelho mais seguro. Não esqueça A segurança dos dispositivos móveis da sua cooperativa depende das suas ações. Se você adotar as práticas indicadas acima, você diminuirá dramaticamente os riscos.Gostou do tema? Nos acompanhe e fique por dentro das melhores práticas em Segurança da Informação.

O tratamento de dados pessoais, apesar de essencial para as atividades de qualquer cooperativa, é um risco crescente. As ações de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) têm se intensificado, e as organizações que não cumprirem com a Lei Geral de Proteção de Dados (LGPD) estão sujeitas a multas expressivas e sanções administrativas. Confira os recentes movimentos da ANPD: 1️⃣ Coleta da Íris Uma empresa estrangeira chamada Tools for Humanity têm coletado imagens da íris de brasileiros, em troca de compensações financeiras. A ANPD determinou a suspensão dessas compensações pela entrega das imagens, visto que o incentivo financeiro pode ser prejudicial ao livre consentimento. Ocorre que o consentimento para o tratamento de dados pessoais deve ser dado livremente, e não em troca de vantagem financeira. Agravando a situação, a íris é um dado biométrico, considerado dado pessoal sensível pela LGPD, de modo que seu tratamento exige cuidados adicionais. Saiba mais clicando aqui. Para as cooperativas, essa ação da ANPD reforça a necessidade de cuidados específicos quando o tratamento de dados pessoais se justifica no consentimento. Há formas específicas de coletar o consentimento, que pode ser revogado a qualquer momento. Além disso, as cooperativas devem estar atentas que o tratamento de dados pessoais sensíveis exige cuidados redobrados e análises detalhadas dos riscos envolvidos no seu tratamento. 2️⃣ Redes de Farmácia Em outro caso, a ANPD concluiu a fiscalização de redes de farmácias e exigiu ajustes como, por exemplo, facilitar o acesso dos titulares a informações sobre o tratamento dos seus dados. As farmácias também deverão entregar diversos documentos à Autoridade. Por ter identificado irregularidades, a ANPD também instaurou processo administrativo sancionador a fim de investigar a possibilidade de venda de perfis de consumo a partir do histórico de compras nas farmácias. Saiba mais clicando aqui. Para as cooperativas, fica a lição de que dados pessoais devem ser tratados sempre com transparência e a partir de objetivos legítimos. Documentar as operações de tratamento de dados pessoais e adotar medidas efetivas de transparência é essencial para que a cooperativa se mantenha em conformidade com a lei. 3️⃣ Reconhecimento facial em estádios A ANPD também está fiscalizando o uso de sistemas de reconhecimento facial por 23 clubes de futebol, que usam a tecnologia para a venda de ingressos e controle de entrada nos estádios. O reconhecimento facial depende do cadastro da biometria facial, que é um dado pessoal sensível. Por isso, seu tratamento exige uma série de cuidados especiais. Saiba mais clicando aqui. As cooperativas também usam dados pessoais sensíveis. Mesmo que a biometria não seja utilizada, informações de saúde, etnia ou eventual filiação sindical são dados pessoais sensíveis, e o tratamento deve ser realizado a partir de fundamentos legais específicos. Vamos com calma! Se a sua cooperativa tem dúvidas, não se preocupe. Cada uma dessas iniciativas da ANPD envolve novas tecnologias e complexidades. Além disso, aplicar a legislação de proteção de dados pessoais no contexto dessas tecnologias requer uma cautela ainda maior. O importante é saber que a ANPD está vigilante em relação às organizações que utilizam dados pessoais, incluindo as cooperativas. Acompanhe nossas publicações para manter sua organização informada e preparada.

A proteção de dados pessoais e a segurança das informações são cada vez mais relevantes diante do aumento de fraudes digitais. Com cada vez mais serviços e transações acontecendo no ambiente digital, garantir a privacidade e segurança das informações passou a ser uma necessidade estratégica para as cooperativas e para todo o tipo de organização. Não é à toa que a Autoridade Nacional de Proteção de Dados (ANPD), em parceria com as autoridades de proteção de dados da França (CNIL) e da Coreia do Sul (PIPC), elaborou um mangá educativo para conscientizar jovens sobre a importância da proteção de dados. O material, disponível aqui, mostra como boas práticas podem evitar riscos no ambiente digital. Além disso, o SERPRO lançou uma HQ educativa, que aborda privacidade e segurança da informação de forma acessível e lúdica. Saiba mais clicando neste link. O que isso significa para as cooperativas? Cooperativas lidam com grande volume de dados pessoais, incluindo informações cadastrais e financeiras, além de dados pessoais sensíveis de seus colaboradores, cooperados e diversas informações confidenciais. Além de empregar todos os meios para proteger os dados pessoais, as cooperativas também precisam mostrar à ANPD, que seguem a LGPD e que adotam uma série de controles de privacidade e de segurança. Um programa de conformidade com a LGPD permite: ✅ Reduzir riscos de fraudes, vazamentos e uso indevido de dados; ✅ Fortalecer a confiança dos cooperados e clientes; ✅ Demonstrar conformidade, a fim de prevenir sanções administrativas e processos judiciais. Como funciona um Programa de Conformidade com a LGPD? A implementação de um programa eficaz é um trabalho complexo, e envolve uma série de medidas multidisciplinares que afetam toda a cooperativa. Abaixo, algumas das tarefas mais importantes que compõem o Programa de Conformidade: 1️⃣ Mapeamento de dados: Identificação de todas as atividades da cooperativa que envolvem dados pessoais, incluindo sua coleta, uso e armazenamento. 2️⃣ Nomeação de um Encarregado de Proteção de Dados (DPO): Responsável pela coordenação do Programa de Conformidade, sendo sua nomeação uma imposição da Lei. 3️⃣ Definição de políticas internas: Elaboração de diversas Políticas e Normas Internas para adequar a conduta dos envolvidos à Lei, de forma que deverão seguir diversas regras sobre privacidade e segurança no seu dia a dia. 4️⃣ Treinamento da equipe: Conscientização sobre proteção de dados e segurança, com a adoção de boas práticas internacionalmente reconhecidas para conservar a privacidade dos titulares dos dados usados pela cooperativa. 5️⃣ Criação de canais de atendimento: Meios de comunicação específicos, nos termos da LGPD, para que os titulares dos dados pessoais possam exercer seus direitos. 6️⃣ Medidas de privacidade e segurança: Tecnologias e práticas para prevenir incidentes de segurança e manter a confidencialidade das informações críticas para a cooperativa. Saiba mais: Em Como se adequar à LGPD? As cooperativas têm à disposição um modelo de projeto de adequação à LGPD dividido em 05 (cinco) etapas. Não se esqueça! Adequar-se à LGPD vai além do cumprimento legal – é um diferencial para as cooperativas. Um Programa de Conformidade eficaz minimiza riscos, fortalece a transparência e garante privacidade e segurança. Quer saber mais? Nos acompanhe e fique sempre por dentro das informações mais relevantes sobre proteção de dados pessoais e segurança da informação.

A ANPD começou a fiscalizar 20 grandes empresas que não cumpriram as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD).

A gestão de senhas é um desafio comum e recorrente. As cooperativas precisam provavelmente de acesso a inúmeros sistemas, cada um exigindo uma senha diferente. Lembrar-se de todas elas e manter a sua confidencialidade pode ser uma tarefa árdua, especialmente quando elas seguem padrões complexos. Apesar dessas dificuldades, manter em segurança as senhas de acesso utilizadas é fundamental. Acontece que o ambiente digital é constantemente ameaçado por organizações criminosas e indivíduos mal-intencionados, que estão sempre renovando as suas técnicas para acessar os dados pessoais e informações relevantes das cooperativas. Se a sua cooperativa pensa que nunca será alvo de um ataque cibernético, lhe convidamos a refletir sobre este ponto. Dados pessoais e informações comerciais têm grande valor, e são negociadas por somas consideráveis em mercados paralelos. Como se prevenir? Com tantas ameaças, é essencial que as cooperativas revejam periodicamente as suas práticas na escolha e gestão de senhas. As boas práticas recomendadas há alguns anos podem já não ser mais suficientes atualmente. Abaixo, estão algumas das mais importantes orientações atualizadas, em acordo com as recentes boas práticas internacionais: Opte por senhas longas Em vez de focar em senhas excessivamente complexas com números e caracteres especiais, recomenda-se priorizar o comprimento. Uma prática moderna é utilizar uma frase inteira, que faça sentido apenas para o usuário. Quanto maior a senha, maior a segurança. Idealmente, as senhas devem ter, no mínimo, 15 caracteres. Pode parecer excessivo, mas uma senha longa é muito mais fácil de lembrar do que uma senha complexa. Adapte-se às limitações dos sistemas Alguns sistemas podem não aceitar senhas muito longas. Nesse caso, ainda vale a recomendação tradicional: inclua uma combinação de números, caracteres especiais e letras maiúsculas e minúsculas para aumentar a segurança. Habilite o duplo fator de autenticação (2FA) Sempre que possível, ative o duplo fator de autenticação. Esta funcionalidade adiciona uma camada extra de segurança, exigindo um segundo método de verificação além da senha, como um código gerado por aplicativos como o Microsoft Authenticator. Também é possível a utilização de reconhecimento da face ou da digital. Entretanto, estes métodos exigem uma atenção especial das cooperativas e o envolvimento dos Encarregados pelo tratamento de dados pessoais é de extrema importância. Evite trocas desnecessárias Há pouco tempo, era recomendada a troca periódica de senhas. Hoje, notou-se que mudar de senha acaba incentivando práticas muito perigosas, como o armazenamento das credenciais em planilhas de acesso amplo, o que deve ser evitado. Assim, as novas recomendações rejeitam a alteração programada de senhas. O foco deve se dar em senhas seguras, especialmente no seu comprimento. Reserve a troca de senhas para situações específicas, como o desligamento de um colaborador que conta com acesso a sistemas críticos. Utilize um gerenciador de senhas Para simplificar a gestão de diversas senhas, considere o uso de um gerenciador de senhas. Eles armazenam todas as senhas em um local especial e muito seguro. Essas ferramentas podem até preencher automaticamente as suas credenciais nas telas de acesso a sistemas. No entanto, é crucial que a senha de acesso ao gerenciador seja extremamente forte e que o duplo fator de autenticação também seja habilitado para proteger o acesso. Alguns exemplos de gerenciadores disponíveis no mercado incluem LastPass, 1Password e Proton Pass. Nunca reutilize senhas Vazamentos de credenciais são relativamente comuns. Quando uma das suas senhas é comprometida em um incidente de segurança de determinada plataforma ou sistema, agentes maliciosos irão verificar se você reaproveitou essa senha em algum outro sistema. Por isso, o uso da mesma senha em mais de um sistema deve ser evitado e desestimulado pelas cooperativas. Atenção! Colaboradores, cooperados e clientes das cooperativas devem ser conscientizados acerca dos riscos do uso de senhas com 7 caracteres ou menos, independentemente da complexidade. Tecnologias avançadas já permitem a quebra de segurança de senhas tão curtas com relativa facilidade. Não se esqueça... A segurança da informação é uma responsabilidade coletiva. A colaboração de todos é essencial para garantir a integridade do ambiente digital das cooperativas.

De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), todas as operações de tratamento de dados pessoais realizadas pelas cooperativas devem estar fundamentadas em uma das hipóteses de tratamento de dados pessoais previstas na legislação. Elas constituem os pilares que legitimam o tratamento de dados pessoais, sendo imprescindível indicar uma delas para cada finalidade existente nas atividades que envolvam dados pessoais.Por exemplo, se a cooperativa necessita utilizar dados pessoais para cumprir um contrato, a hipótese mais adequada é a da Execução de Contrato. Já quando o tratamento de dados é obrigatório para atender, por exemplo, uma legislação municipal, estadual ou federal, a justificativa do tratamento será o Cumprimento de Obrigação Legal ou Regulatória. Para saber mais sobre o tema, confira o nosso conteúdo LGPD | Bases Legais.Entre as hipóteses de tratamento disponíveis, o consentimento é uma das mais conhecidas. No entanto, o seu uso deve ser reservado a situações específicas e adequadas. Afinal, quando utilizar o consentimento para justificar o tratamento de dados pessoais na cooperativa? Embora não haja hierarquia entre as hipóteses de tratamento, o consentimento deve ser considerado uma das últimas opções entre as disponíveis devido a algumas dificuldades que ela pode introduzir. No entanto, ela pode ser utilizada em casos como: Uso de imagem: fotografias em eventos ou publicações institucionais envolvendo o titular, seja ele cooperado, colaborador ou terceiro sem vínculo com a cooperativa. Personalização de serviços online: A coleta de dados de navegação e cookies não essenciais, usados para análise comportamental ou personalização de anúncios e funcionalidades, requer a concordância do usuário. Contato para marketing: contato por e-mail e/ou telefone, só podem ser utilizados para ofertar produtos ou serviços da cooperativa mediante a anuência do titular. Como coletar o consentimento Embora a lei não determine uma forma específica para a coleta do consentimento, é fundamental que se mantenham registros que comprovem a autorização do titular para o tratamento dos seus dados pessoais.Sempre que possível, recomenda-se a assinatura de um termo de consentimento, que pode ser inserido em formulários eletrônicos, por exemplo. Nestes casos, é importante que a leitura e concordância com o termo sejam confirmadas por meio de campos obrigatórios.Nos acessos a websites, o consentimento pode ser obtido por meio de banners de cookies. Acerca do assunto já publicamos material abordando o guia orientativo da ANPD sobre cookies (Acesse aqui).Não é recomendável incluir termos de consentimento em contratos, uma vez que o tratamento de dados vinculado à execução de um contrato geralmente se fundamenta na Execução Contratual, e não no consentimento. Dificuldades relacionadas ao consentimento como base legal Como mencionado, o consentimento traz alguns desafios, como: Coleta e armazenamento: Diferentemente de outras hipóteses de tratamento, o consentimento exige uma manifestação específica do titular, de modo que a cooperativa precisa empregar esforços para coletar e registrar o consentimento. Revogação: O titular pode revogar o consentimento a qualquer momento, obrigando a cooperativa a interromper o tratamento, o que pode impactar processos organizacionais. Validade do consentimento Para não ser considerado inválido, o consentimento deve atender aos requisitos previstos na legislação:  Específico: O titular deve concordar com o tratamento de dados específicos para finalidades previamente determinadas. A cooperativa deve informar claramente quais dados pretende coletar e para que serão utilizados. Livre: O titular não pode ser coagido a conceder o consentimento; ele deve fazê-lo de forma voluntária. Informado: É essencial que a cooperativa forneça informações claras sobre o uso dos dados. O termo de consentimento deve ser redigido em linguagem acessível e incluir detalhes sobre os dados coletados e as suas finalidades, especialmente no caso de dados pessoais sensíveis. Crianças e adolescentes É importante lembrar que crianças e adolescentes não possuem capacidade civil para consentir de forma independente. Nesses casos, é necessário obter o consentimento de um dos pais ou do responsável legal, conforme dispõem o §1º do artigo 14 da LGPD. Lembre-se... O uso correto do consentimento não é apenas uma exigência da LGPD, mas também um instrumento para fortalecer a transparência e a confiança entre a cooperativa e os titulares dos dados. Ao aplicar essa prática de forma responsável, a cooperativa reforça seu compromisso com a proteção de dados e o respeito aos direitos de cooperados, de colaboradores e dos demais envolvidos nas atividades de tratamento de dados pessoais desenvolvidas.

O que é “Privacy by Design”? Conhecer o conceito de "Privacy by Design" (ou também chamado “Privacidade desde a concepção”) é indispensável para as cooperativas que buscam respeitar a Lei Geral de Proteção de Dados Pessoais (LGPD). Essa ideia, que surgiu no âmbito da engenharia de sistemas informáticos, pode ser aplicada não só na criação de soluções tecnológicas, mas também nos processos internos das cooperativas, isto é, nos fluxos de trabalho que envolvem o tratamento de dados pessoais. O objetivo é que a privacidade seja parte integrante das atividades desenvolvidas desde o seu surgimento, em vez de ser uma preocupação que surge depois, atrapalhando um fluxo de trabalho já estabelecido. Assim, é possível antecipar e prevenir riscos aos direitos dos titulares dos dados pessoais, cumprindo a LGPD de maneira eficiente. Os sete princípios: A seguir, destacamos os sete princípios do “Privacy by Design” aplicados ao cooperativismo. Vamos conferir: Proatividade, não reatividade; prevenção, não remediação: Em vez de esperar que os problemas ocorram para depois remediá-los, a cooperativa deve atuar de forma preventiva, antecipando os riscos e evitando incidentes de segurança ou infrações à privacidade dos titulares de dados pessoais (colaboradores, cooperados ou até mesmo clientes). Privacidade como padrão: A proteção de dados ocorre automaticamente. Ou seja, o titular dos dados não deve precisar solicitar a sua privacidade e nem a procurar, nos sistemas, por configurações que protejam os seus dados pessoais. Isso porque as práticas da cooperativa já respeitam a privacidade do usuário e as configurações padrão dos sistemas já são as melhores para proteger os seus direitos. Importante: Isso não exclui a necessidade de manter canais de comunicação e de receber solicitações dos titulares dos dados pessoais. Privacidade incorporada ao design: Quando surgem novas atividades ou fluxos de trabalho, as ações necessárias para manter a privacidade das pessoas devem ser pensadas e aplicadas desde o início. Essa abordagem evita a necessidade de modificações posteriores, prevenindo violações e incidentes, além de poupar esforço desnecessário. Funcionalidade completa ou ganho positivo: Pensar a privacidade desde o início permite planejar o processo ou o fluxo de trabalho para não causar prejuízo aos objetivos da cooperativa. Em outras palavras, essa abordagem permite que as medidas de proteção aos dados pessoais não interfiram negativamente no trabalho das cooperativas, que poderão conservar a privacidade de todos sem abdicar da eficiência. Segurança em todo o ciclo de vida: A cooperativa deve estabelecer as medidas de proteção de privacidade antes mesmo da primeira coleta de dados pessoais de qualquer pessoa. Deve também manter essas medidas até que seja encerrado o processo que envolve esses dados. Dessa forma, fica garantida a proteção da privacidade desde o primeiro usuário até o último. Visibilidade e transparência: Os processos que tratam de dados pessoais devem ser transparentes, garantindo que todos os interessados possam confiar na cooperativa. Para isso, é importante manter atualizado o Aviso de Privacidade no site da sua cooperativa, para incluir, desde o início, novas atividades ou tecnologias que envolvam dados pessoais. Lembrando: O Aviso de Privacidade é um texto que fica no site da sua cooperativa e que explica em que casos dados pessoais são usados pela sua organização e em quais circunstâncias são transferidos para organizações parceiras, dentro e fora do Brasil (Confira a matéria publicada no nosso site sobre este documento e a sua distinção da política interna). Foco no usuário: As necessidades e direitos dos indivíduos devem ser colocados em primeiro plano. Isso significa que as cooperativas devem se empenhar em facilitar a experiência das pessoas preocupadas com os seus dados pessoais ao interagirem com a organização. Isso quer dizer, por exemplo, que o site da cooperativa deve indicar e manter canais de comunicação de maneira clara e acessível, facilitando as solicitações relacionadas a dados pessoais, como indicado na LGPD. Como implementar na cooperativa? Para aplicar o Privacy by Design, as cooperativas devem ficar atentas ao surgimento de novos processos que envolvam dados pessoais. Isso inclui, por exemplo, o uso de um novo sistema, o oferecimento de um novo serviço e também a realização de um novo evento ou atividade educacional. Assim que a área da cooperativa tiver a ideia de uma nova atividade, é importante comunicar e envolver o Encarregado pelo tratamento de dados pessoais, para que esse profissional se envolva com o novo processo e contribua com a manutenção da conformidade com a LGPD desde o início. Lembre-se: O “Privacy by Design” é uma abordagem estratégica para cooperativas que pretendem não só se adequar à legislação, mas também melhorar a qualidade dos seus serviços e a satisfação dos titulares alcançados pelas atividades de tratamento de dados pessoais. Ao incorporar a privacidade desde a concepção dos seus processos, as cooperativas criam um ambiente mais seguro, mais eficiente e mais confiável para todos.

A distinção entre Aviso de Privacidade e Política de Privacidade é de extrema relevância, especialmente com a recente publicação da Resolução CD/ANPD n.º 20/2024, que estabelece a política interna de proteção de dados pessoais pela Autoridade Nacional de Proteção de Dados (ANPD). Confira a matéria sobre o assunto no nosso site. A confusão entre esses termos é bastante comum, principalmente porque o conceito de "Política de Privacidade" já era amplamente utilizado no mercado antes da entrada em vigor da LGPD. No entanto, é essencial que as cooperativas compreendam as diferenças entre esses dois documentos fundamentais para assegurar a conformidade com a legislação de proteção de dados. Ambos desempenham papéis importantes na proteção de dados pessoais, mas com propósitos distintos. Aviso de Privacidade O Aviso de Privacidade é o documento utilizado para comunicar ao público em geral como a cooperativa trata os dados pessoais. Ele deve ser facilmente acessível, normalmente publicado no site da cooperativa, para garantir que titulares de dados — como colaboradores, cooperados, parceiros comerciais e outros — estejam cientes de como suas informações são coletadas, utilizadas e protegidas. Além de detalhar quais dados são armazenados, como são usados e os motivos para isso, o Aviso de Privacidade também deve fornecer informações sobre como os titulares podem exercer os seus direitos, como solicitar o acesso, a correção ou a exclusão dos seus dados. É imprescindível que esse documento seja redigido em uma linguagem clara e acessível, facilitando a compreensão por parte de todos os envolvidos. Política de Privacidade Por sua vez, a Política de Privacidade é um documento mais extenso e técnico, voltado para a definição das normas internas da cooperativa relativamente à proteção de dados pessoais. Ele estabelece diretrizes que os colaboradores e parceiros devem seguir para garantir a conformidade com a LGPD, abordando desde rotinas de exclusão de dados até procedimentos para o compartilhamento de informações com terceiros. A Política pode prever, por exemplo, os processos para atender às solicitações dos titulares, as responsabilidades das áreas envolvidas nas operações de tratamento de dados, bem como as sanções aplicáveis em caso de descumprimento das normas. Este documento é essencial para estruturar um sistema de governança de dados sólido dentro da cooperativa, assegurando que todas as operações de tratamento de dados sejam realizadas com segurança e de acordo com a legislação. Importância de Ambos os Documentos A criação e a implementação tanto do Aviso quanto da Política de Privacidade são passos indispensáveis para garantir a conformidade com a LGPD e, ao mesmo tempo, assegurar a proteção dos dados pessoais. A compreensão clara das diferenças entre esses documentos permite que os cooperados e demais stakeholders possam se comunicar de maneira mais assertiva, promovendo uma cultura de privacidade e transparência dentro da organização. Além disso, ao capacitar seus cooperados e colaboradores sobre as boas práticas de proteção de dados, a cooperativa pode se destacar no mercado, atraindo associados e clientes que valorizam a privacidade e a segurança das suas informações pessoais. Gostou do tema? Nos acompanhe e fique por dentro de todas as novidades e informações essenciais para o fortalecimento da cultura de proteção de dados pessoais.

A  Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e regulamentar a proteção de dados pessoais no Brasil, instituiu a sua Política Interna de Proteção de Dados Pessoais através da Resolução CD/ANPD n.º 20/2024 (Confira a íntegra do documento aqui). O documento é para uso interno pela Autoridade, mas serve de inspiração para todas as cooperativas, que também são obrigadas a elaborar normas internas de proteção de dados pessoais para estarem em conformidade com a LGPD. Abaixo, destacamos alguns dos principais pontos da política aprovada pela ANPD: Princípios e Objetivos: estabelece regras básicas para o tratamento de dados pessoais, os quais devem estar de acordo com a LGPD, seguindo os valores de transparência e de responsabilidade. Tratamento de Dados: define que o tratamento de dados pessoais deve ocorrer somente com os dados pessoais estritamente necessários para cumprir as suas finalidades, devendo eliminar os dados quando encerrado o tratamento. Segurança dos Dados: prevê o dever de implementação de medidas de segurança da informação, a fim de proteger os dados contra acessos não autorizados. Direitos dos Titulares: destaca que devem ser adotadas medidas para garantir o exercício dos direitos dos titulares dos dados e de forma gratuita. Conscientização e Capacitação: estabelece o compromisso de promover campanhas para conscientizar e qualificar os colaboradores em matéria de proteção de dados pessoais. Fique atento! A Política de Privacidade é documento interno da cooperativa que estabelece normas a serem seguidas pelos colaboradores. Ela não se confunde com o Aviso de Privacidade, direcionado ao público e normalmente disponibilizado no site institucional da cooperativa, o qual tem por objetivo informar ao titular de que forma a organização trata dados pessoais.   Para que a sua cooperativa esteja em conformidade com a Lei, ela precisa criar regras internas de proteção de dados similares às da Política Interna disponibilizada pela ANDP. A LGPD e os regulamentos aplicáveis exigem a elaboração de diversos documentos internos que formalizem o compromisso das cooperativas em proteger os dados pessoais dos seus colaboradores, cooperados e clientes. Lembre-se: implementar políticas robustas de proteção de dados não apenas protege a cooperativa, mas também fortalece a confiança dos titulares e a integridade da organização no mercado em que atua. E a sua cooperativa? Já implementou uma política interna de proteção de dados pessoais que foi devidamente aprovada e comunicada a todos? Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais.

O Conselho Diretor da ANPD negou o recurso do INSS e confirmou a sanção que obriga a divulgação da infração à LGPD cometida pela autarquia, que não notificou os titulares sobre o vazamento de dados. Com essa decisão, o INSS terá que publicar um comunicado em sua página principal detalhando quais dados podem ter sido comprometidos. Ainda, o Instituto deve enviar notificação a todos os beneficiários sobre o incidente de segurança. O que aconteceu com o INSS? O INSS sofreu um incidente de segurança em 2022, que levou ao vazamento de dados pessoais de pessoas cadastradas, como CPF, dados bancários e data de nascimento. Esses dados podem ser usados por criminosos para cometer vários tipos de fraudes. A LGPD determina que incidentes de segurança que possam causar danos aos titulares devem ser comunicados a todos os afetados, mas o Instituto preferiu não divulgar o problema, e foi sancionado pela ANPD. O INSS alegou que seria impossível saber quais beneficiários foram afetados, de modo que não haveria possibilidade de comunicação individualizada. Ainda, argumentou que a divulgação poderia causar pânico e desconfiança. Entretanto, a ANPD decidiu que a comunicação é indispensável, e poderia ter sido feita de forma indireta, ou seja, com ampla divulgação em seus canais de comunicação. O INSS foi penalizado, sendo obrigado a publicar aviso sobre o incidente de vazamento de dados em seu site e no aplicativo Meu INSS pelo prazo de 60 dias. Lições para as cooperativas Esse caso oferece lições valiosas para todos os controladores de dados pessoais, dentre eles as cooperativas: Cumprimento da LGPD: A LGPD estabelece regras sobre como os dados pessoais devem ser protegidos e como os incidentes de segurança devem ser comunicados. É crucial seguir essas regras para evitar as sanções e proteger os dados dos associados. Política de Segurança da Informação: As organizações devem adotar os meios técnicos e as boas práticas necessárias para evitar os incidentes envolvendo dados, como os vazamentos. É importante que os todos colaboradores que têm contato com dados pessoais tenham esses riscos em mente (Saiba mais sobre os documentos essenciais para a conformidade com a LGPD). Comunicação de Incidentes: Em caso de vazamento de dados, a comunicação com os titulares afetados é essencial. A transparência ajuda a diminuir os danos, porque permite que os indivíduos tomem medidas para proteger suas informações. As cooperativas devem observar as disposições do Regulamento de Comunicação de Incidente de Segurança (saiba mais sobre o assunto). Responsabilidade: A decisão da ANPD demonstra que não há tolerância para o descumprimento da LGPD. As cooperativas devem adotar boas práticas de proteção de dados e demonstrar que têm processos adequados para prevenir e gerenciar incidentes de segurança. Resumindo... Para as cooperativas, seguir a LGPD não é apenas uma obrigação legal, mas uma medida fundamental para conservar a confiança dos associados. Um incidente de violação de dados pessoais ou uma penalização pela ANPD pode ferir a reputação da Cooperativa e do Cooperativismo. A recente decisão da ANPD sobre o INSS destaca a necessidade de ter políticas claras e eficazes para proteger informações pessoais e comunicar incidentes de forma apropriada. O esforço na proteção de dados é crucial para evitar problemas legais e proteger o bom nome da organização. Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais.