LGPD

O processo teve origem por meio de ofício (SEI nº 2471078), recebido pela Autoridade Nacional de Proteção de Dados – ANPD, em que o Deputado Federal Filipe Barros (PSL/PR) alegou que o TikTok estaria em desacordo com os princípios elencados no art. 6º da Lei Geral de Proteção de Dados Pessoais – LGPD, especialmente os da finalidade, adequação, necessidade, livre acesso e transparência.

Após esclarecimentos prestados pela ByteDance Brasil, empresa desenvolvedora do TikTok, constatou-se que a plataforma realiza o tratamento dos dados pessoais de muitas pessoas menores de 13 anos, devido ao uso de mecanismo frágil para identificar a idade dos usuários quando do cadastro.

Segundo a Política de Privacidade do TikTok, a rede social não é direcionada a crianças com menos de 13 anos. Ainda, a empresa informou que utiliza do recurso de verificação etária, que exige que os usuários insiram data de nascimento antes da criação de uma conta. Entretanto, as ferramentas usadas pelo TikTok não têm sido efetivas, conforme evidenciado na pesquisa TIC Kids Online Brasil e no próprio relatório do TikTok.

Dessa forma, visando ao melhor interesse da criança, a ANPD recomendou que o TikTok reveja os mecanismos de verificação de idade utilizados, a fim de que adotem medidas efetivas, bem como reveja a Política de Privacidade para dar maior transparência no tratamento de dados pessoais de crianças e adolescentes.

A Nota Técnica emitida pela ANPD pode ser encontrada no link abaixo:

https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/tiktok-nota_tecnica_6_versao_publica.pdf

No dia 06 de outubro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD) finalizou um processo administrativo sancionador que movia em face do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), que é um órgão público. A investigação teve início em decorrência de denúncia reportando vulnerabilidades em sistemas de informação mantidos pelo IASMPE, afirmando que teria ocorrido incidente de segurança com relação aos dados pessoais mantidos em seus sistemas.

De acordo com o relatório, a denúncia inicial afirmava que um site específico sob controle do Governo do Estado de São Paulo possuía uma falha que permitia, sem o uso de credenciais válidas, o acesso a dados pessoais como CPF, Nome, R.G., endereço, telefone e salário.

Após ser oficiado pela ANPD o IASMPE encaminhou o formulário de comunicação de incidentes de segurança relatando o caso, porém, mesmo após reiteradas solicitações da Autoridade, o Instituto não realizou a comunicação completa do incidente aos titulares dos dados afetados. Os dispositivos infringidos pelo órgão foram os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), sendo aplicadas sanções de advertência.

De acordo com o relatório, a infração ao artigo 48 configurou-se pois o Instituto não realizou, dentro do prazo concedido pela ANPD, a comunicação completa aos titulares de dados afetados pelo incidente, pois não constava na comunicação realizada informações essenciais como a descrição da natureza dos dados e os motivos para a demora na comunicação, além de não ter apresentado justificativa razoável para tal atitude.

Com relação ao artigo 49, o relatório sinaliza que o IASMPE não implementou controles suficientes que garantissem a confidencialidade dos dados, não tendo assegurado que, conforme determina a legislação, os dados fossem acessados apenas por pessoas que tinham autorização, fazendo com que ocorresse o incidente de segurança.

Com relação ao artigo 48 determinou-se que o Instituto ajustasse o comunicado já existente em seu site complementando as informações sobre o incidente, devendo comprovar à Autoridade que atendeu a determinação, por fim, com relação à infração ao artigo 49, considerando que o Instituto informou que está implementando medidas para aprimorar os sistemas e corrigir as falhas, determinou-se que este apresentasse o cronograma do processo em curso comprovando os resultados dos programas, objetivos desenvolvidos e implementados.

Considerando a impossibilidade de aplicação da sanção pecuniária a órgãos públicos, percebe-se que a ANPD está determinando o cumprimento de obrigações com a fixação de prazos para cumprimento, demonstrando o compromisso da Autoridade em garantir a proteção dos dados pessoais inclusive nos órgãos públicos, percebe-se também a especificidade da sanção ao caso prático, tendo em vista que a Autoridade determinou qual o texto que o órgão deverá divulgar aos titulares sobre o incidente.

A 3º Turma do Superior Tribunal de Justiça (STJ) decidiu que o Banco BV foi responsável pelo vazamento de dados pessoais de uma cliente, que teve seus dados utilizados para aplicação do “golpe do boleto”.

Segundo a cliente/titular dos dados, ela encaminhou um e-mail ao banco solicitando informações sobre como quitar o financiamento de seu veículo.

Na sequência, um suposto funcionário do banco entrou em contato com a cliente e encaminhou um boleto no valor de R$ R$ 19.225,00 (dezenove mil, duzentos e vinte e cinco reais).

Ocorre que o boleto não se tratava de um boleto emitido pelo banco, mas sim por criminosos.

O TJSP entendeu que houve falha da consumidora em seu dever de cautela, sob o argumento de que os dados que constavam no boleto falso divergiam dos dados do contrato de financiamento.

A Ministra Nancy Andrighi foi de encontro a decisão do TJSP sob o argumento de que, segundo dispõe a súmula 479 do STJ, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno relativos a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Ponderou ainda, que, em que pese não se possa imputar ao banco a culpa exclusiva pelos vazamentos de dados como nome e CPF, os quais são passíveis de obtenção através de outras fontes, a utilização de tais dados, associados ao envio de boleto falso para pagamento de parcela de financiamento, seguido do e-mail encaminhado pela cliente ao banco solicitando informações acerca de como realizar o pagamento do financiamento, comprova que houve falha do banco no armazenamento e proteção dos dados pessoais da cliente.

Desse modo, entendeu a ministra que o tratamento inadequado dos dados pessoais realizados pelo banco, possibilitou que terceiros tivessem conhecimento dessas informações e causassem prejuízo à cliente, configurando, portanto, em falha na prestação de serviço por parte do banco.

Evidentemente, devem ser avaliadas as particularidades de cada caso concreto, que podem levar a desfecho diverso do entendimento aqui destacado. Mas o precedente demonstra, mais uma vez, a importância de adequação às diretrizes da LGPD.

O Acórdão pode ser acessado na íntegra pelo link:

https://processo.stj.jus.br/processo/julgamento/eletronico/documento/mediado/?documento_tipo=integra&documento_sequencial=211820560&registro_numero=202301909798&peticao_numero=&publicacao_data=20231009&formato=PDF

Promulgada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem como intenção regulamentar o tratamento de dados, sejam em meio físico ou digital, com o objetivo de protegê-los para garantir o direito fundamental à liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Em agosto de 2023 a LGPD comemora cinco anos de promulgação, e dentro deste período, puderam ser percebidas algumas vantagens competitivas nas empresas que realizaram sua adequação à lei, seguem algumas delas:

Aumento da reputação pública da empresa – Percebe-se na grande mídia que o assunto privacidade e proteção de dados pessoais vem sendo abordado de forma abrangente, por isso as empresas que demonstram comprometimento com os dados de seus clientes e parceiros aumentam sua reputação perante o público.

Além disso, uma das sanções que podem ser aplicadas pela ANPD é a publicização da infração, portanto, mesmo se o valor de eventual multa for pago, os danos à reputação da empresa podem ser irreversíveis, ainda mais considerando que as pessoas tendem a consultar o nome da empresa em buscadores on-line antes de fazer negócios, razão pela qual, tal infração poderá ser levada em consideração negativamente, afetando a reputação pública.

Possibilidade de novas estratégias de Marketing – As empresas têm utilizado o fato de estarem adequadas à LGPD e preocuparem-se com a privacidade dos dados para conquistar a confiança de seus parceiros e clientes, pois conforme estudo encomendado pela Veritas Technologies e conduzido pela 3GEM[1], quase 69% dos consumidores brasileiros afirmaram que deixariam de comprar de uma empresa que não protege seus dados, e 60% que abandonariam sua lealdade a uma determinada marca e considerariam buscar um concorrente, ou seja, mais da metade dos consumidores consideram a proteção de seus dados como fator determinante para escolher uma empresa.

Vantagem competitiva em face de instituições não adequadas – Na dúvida entre duas empresas que prestam os mesmos serviços e aparentemente possuem a mesma qualidade, a empresa que está adequada à LGPD e possuí uma assessoria jurídica tem mais chance de ser escolhida, pois ela demonstra a preocupação com os dados que serão tratados na dinâmica da relação contratual. Além disso, a LGPD determina que uma empresa que compartilha dados pessoais na qualidade de Controladora, permanece sendo responsável por estes dados, portanto empresas que estejam adequadas evitarão fazer negócios com as que não estão, como medida de segurança dos dados pessoais que seriam compartilhados durante a dinâmica contratual.

Mitigação de possíveis prejuízos financeiros – A LGPD prevê sanções para os agentes de tratamento que não estejam adequados à legislação, portanto investir em uma adequação e possuir uma assessoria é essencial para evitar tais prejuízos financeiros.

Mitigar danos e penas administrativas mais gravosas – A ANPD levará em consideração se a empresa adotou mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD antes de fixar a sanção, portanto, em caso de incidente de segurança ou de descumprimento da lei, a empresa adequada e que possuí uma assessoria teria uma pena menor que a que não possuí.

Divisão contratual da responsabilidade por danos ou incidente – De acordo com a LGPD, os Controladores respondem solidariamente por atos dos Operadores quando estão diretamente envolvidos no tratamento, porém, contratualmente é possível dividir as reponsabilidades e delimitar a possibilidade de ressarcimento ao Controlador em caso de condenações, multas ou danos que o Operador tiver dado causa em decorrência do tratamento inadequado de dados pessoais.

Contenção de danos decorrentes de incidentes de segurança – Todas as empresas podem sofrer um incidente, porém as que já estão adequadas terão planos de gestão destes incidentes que auxiliarão a lidar com a situação, além disso, a assessoria jurídica é essencial para orientar a empresa durante a apuração deste incidente trazendo as medidas jurídicas cabíveis com o fim de mitigar os prejuízos e evitar danos colaterais.

Revela possíveis vulnerabilidades desconhecidas pela instituição – Com o mapeamento das operações de tratamento de dados e a conscientização dos colaboradores é possível levantar vulnerabilidades desconhecidas pela empresa, possibilitando a definição de planos de ação e medidas para solucioná-las.

Aumentar a consciência e fomentar uma cultura de proteção de dados – Segundo dados levantados pela Verizon[1]  em seu relatório de investigação de violação de dados ocorridas em 2022, 82% dos incidentes foram ocasionados pela interação humana, portanto é essencial que os colaboradores tenham sido treinados para saberem como devem realizar o tratamento de dados pessoais e evitar que deem causa a um incidente, além disso, é importante que a empresa possua políticas internas orientando seus colaboradores para que estes possam ser responsabilizados caso realizem o tratamento inadequado de dados, bem como para demonstrar à ANPD que a empresa tomou as medidas necessárias para evitar a ocorrência de incidentes.

Aumento da possibilidade de negócios internacionais – Existem diversas normas internacionais que regulamentam privacidade e o tratamento adequado de dados pessoais que foram promulgadas antes da LGPD, considerando isto, muitas empresas multinacionais ou estrangeiras realizam negócios apenas com empresas que demonstrem o comprometimento com a privacidade e proteção de dados.

É importante ressaltar que a adequação à LGPD é obrigatória para todos os agentes de tratamento, ou seja, todos aqueles que realizam o tratamento de dados pessoais, e como já ficou demonstrado a partir da primeira sanção aplicada pela ANPD, a Autoridade não direcionará sua atuação apenas para empresas de grande relevância nacional ou multinacionais, mas para todos os agentes de tratamento, mesmo os de pequeno porte, razão pela qual a contratação de assessoria jurídica é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

[1] https://www.veritas.com/en/uk/news-releases/2018-05-15-consumers-vow-to-punish-businesses-that-fail-to-safeguard-their-data-and-reward-those-that-put-data-protection-first

[2] https://www.verizon.com/business/resources/reports/dbir/

No dia 06/07/2023, em decisão inédita no país, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira sanção, direcionada a uma micro empresa de telemarketing, por descumprimento à Lei Geral de Proteção de Dados Pessoais (LGPD). A lei foi promulgada em 2018, entrando em vigor em 2020, trazendo sanções que poderiam ser aplicadas por seu descumprimento, porém ainda não havia regulamentação sobre a dosimetria das penas, que foi publicada em 28/02/2023.

O processo administrativo para apuração da conduta foi instaurado em março de 2022, com a intenção de apurar se a empresa teria realizado tratamento de dados pessoais sem fundamento em base legal, deixado de nomear um encarregado pelo tratamento de dados, além das acusações de ausência de registro de operações de tratamento, não envio de relatório de impacto, bem como o não atendimento a requisições realizadas pela Autoridade, condutas vedadas pela legislação.

Conforme informações publicadas no despacho, as sanções foram:

• Advertência, sem imposição de medidas corretivas, pela ausência de um encarregado (infração ao artigo 41 da LGPD); e
• Multa simples, no valor de R$7.200,00, pela ausência de base legal para o tratamento de dados pessoais (infração ao art. 7° da LGPD), e no valor de R$7.200,00, pelo não fornecimento de documentos e o suporte à atuação de fiscalização da autoridade (infração ao art. 5º do Regulamento de Fiscalização), totalizando R$14.400,00.

Percebe-se a relevância da decisão, pois nela a ANPD demonstra como será a sua atuação, deixando claro que não terá foco apenas nas grandes empresas, podendo a próxima sanção ser aplicada a agentes de tratamento de qualquer porte, mesmo se este for micro ou pequena empresa.

Apesar de ser considerada como uma micro empresa de telemarketing, ela não se enquadrou como agente de tratamento de pequeno porte. De acordo com a Coordenação-Geral de Fiscalização, a empresa não comprovou que não fazia tratamento de alto risco, que é uma das condições essencial para o enquadramento, e por esta razão, não fez jus aos benefícios trazidos para este tipo de empresa, como a possibilidade de não designação do encarregado, fazendo com que fosse aplicada sanção.

Mesmo considerando que o valor da penalidade imposta possa não parecer vultuoso, o impacto à reputação desta empresa é muito significativo, tendo em vista que toda pesquisa na internet sobre ela, trará informações sobre as infrações que cometeu, além disso, o valor demonstra que a Autoridade levará em conta critérios trazidos na lei e regulamento sobre a dosimetria das penas, fixando valores condizentes com o porte do infrator.

Muitas empresas têm postergado sua adequação aos ditames da LGPD, pois tinham a crença que a ANPD iria começar sua atuação em grandes empresas, nas que tivessem relevância nacional ou multinacionais, porém a sanção demonstra que todos os agentes de tratamento devem estar aderentes à lei, razão pela qual a contratação de assessoria jurídica para apurar o nível de adequação, auxiliar na conformidade e nas respostas aos titulares e à Autoridade é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

O tratamento de dados pessoais pode gerar riscos, de modo que a Lei Geral de Proteção de Dados Pessoais – LGPD impõe que os agentes de tratamento devem adotar medidas eficazes para proteger os dados pessoais dos titulares. No entanto, mesmo adotando tais medidas, as empresas estão suscetíveis a sofrer um incidente de segurança.

Desse modo, na ocorrência de um incidente de segurança com dados pessoais, verificando que tal incidente possa acarretar risco ou dano relevante aos titulares, a lei estabelece que deve haver, por parte do controlador, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.

Não há prazo estabelecido na legislação sobre quando o incidente deve ser comunicado, mas apenas que seja comunicado em “prazo razoável”, a ser definido pela ANPD. Assim, recentemente a ANPD recomendou que a comunicação de incidente seja realizada em até 2 (dois) dias úteis da ciência do fato.

Outrossim, a lei estabelece que essa comunicação deve conter no mínimo:

• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Ocorre que, além das disposições mínimas que a comunicação do incidente deve conter, restam dúvidas não esclarecidas pela lei, como o que seria considerado um risco de dano relevante e até mesmo sobre a definição de um prazo concreto para comunicação do incidente. Visando esclarecer essas questões, a ANPD abriu consulta pública para regular de maneira mais detalhada sobre a comunicação de incidentes de segurança.

Nessa linha, a minuta da resolução considera que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

• dados sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas; ou
• dados em larga escala.

Outro ponto abordado pela minuta da resolução é o prazo de comunicação de incidente de segurança, que deverá ser realizado em 3 (três) dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança.

Por fim, a minuta da resolução estabelece que o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares.

A Consulta Pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais pode ser encontrada no link abaixo:

https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf

Enunciados são instrumentos deliberativos que têm a finalidade de trazer a interpretação de uma legislação. No caso em tela, a ANPD publicou enunciado com efeitos vinculativos sobre o artigo 14º da Lei Geral de Proteção de Dados Pessoais (LGPD). O supracitado artigo define como deverá ser realizado o tratamento dos dados pessoais das crianças e adolescentes.

A celeuma instalou-se pois o parágrafo 1º do artigo em questão afirma que o tratamento deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, e de acordo com “Estudo Preliminar” publicado pela ANPD intitulado “Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes”, muitos estudiosos estavam trazendo interpretações diversas sobre o artigo.

Uma das correntes defendia que a única hipótese legal para o tratamento deste tipo de dados seria o consentimento, outros defendiam que outras hipóteses legais previstas nos artigos 7º e 11º da LGPD, tais como execução de políticas públicas e realização de estudos por órgãos de pesquisa, poderiam legitimamente amparar o tratamento, além destes entendimentos, alguns defendiam que o tratamento destes dados seria equiparado ao dos dados sensíveis, portanto deveriam ser respeitadas as bases legais trazidas no artigo 11º, que traz as hipóteses para tratamento de dados sensíveis.

Além da controvérsia jurídica, o tema é relevante considerando a possibilidade de exposição das crianças e adolescentes a perigos, bem como a necessidade de proteção de sua privacidade, pois diversas legislações garantem proteção diferenciada a este tipo de pessoas. Segundo o estudo muitos destes indivíduos tem seus dados inseridos em ambientes virtuais antes mesmo de seu nascimento, por exemplo, por meio de aplicativos desenvolvidos para gestantes, gerando riscos como exploração comercial, uso indevido de dados e discriminação de crianças e adolescentes.

Ao fim do estudo, chegaram à conclusão de que podem ser aplicadas as bases legais previstas nos artigos 7º e 11º da LGPD, não sendo o consentimento a única base legal que permite o tratamento deste tipo de dados pessoais, porém deverá ser observado sempre o princípio do melhor interesse do titular considerando a sua vulnerabilidade. O Enunciado CD/ANPD Nº 1, de 22 de maio de 2023 define: “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”.

O Sistema Administrativo de Conflitos de Internet – SACI-Adm é um mecanismo qualificado de solução de conflitos relacionado à domínio sob o “.br”, mais rápido, menos custoso do que uma ação judicial, e altamente qualificado.

A alteração no regulamento da SACI-Adm, adotada desde o dia 1º de outubro, visou a adequação à LGPD, prevendo coleta reduzida dos dados pessoais, além de utilização de técnicas de pseudonimização das decisões, com o fim de coibir a divulgação desnecessária de dados pessoais dos titulares de domínio.

Com sua aprovação desde 2010 pelo CGI.br (Comitê Gestor da Internet no Brasil), possui um índice de sucesso relevante a solução administrativa de conflitos relacionados a nomes de domínios sob o “.br”, com mais de 560 procedimentos instaurados, sendo que em 98% dos casos não houve recurso pelas partes ao Judiciário.

Dessa forma, foi removido o artigo 24, que definia o procedimento como não sigiloso, e inseriu-se o artigo 26, com a previsão de que as publicações das decisões serão realizadas sem a identificação das partes e serão submetidas ao procedimento de pseudonimização, com acesso restrito apenas aos advogados.

Além disso, outros artigos sofreram modificações, como é o caso do art.4º, no qual é assegurado igualdade entre as partes, mencionando os princípios do contraditório, imparcialidade, igualdade e livre convencimento, e o acréscimo do art. 15º, que estabelece que a revelia não induz a procedência do feito, sendo necessário que haja fundamentação em outras razões.

A íntegra do novo Regulamento do SACI-Adm pode ser acessada pelo link: https://registro.br/dominio/saci-adm/regulamento/

A Black Friday é um evento originalmente criado nos Estados Unidos da América (EUA) que ocorre sempre na sexta-feira após o dia de ação de graças, que é comemorado naquele país na última quinta-feira de novembro. Produtos são divulgados com condições e descontos tentadores a fim de aquecer o consumo de produtos e serviços para as festas de final de ano.

Atualmente, muitos países fora dos EUA também aderiram a este evento, inclusive o Brasil, onde diversas empresas de varejo criam promoções e campanhas, sabendo que os consumidores irão em busca destes produtos e serviços promocionais, levando a fazerem compras por impulsos motivados pelo clima de descontos, porém além das empresas idôneas, muitos se aproveitam deste período para praticarem golpes. Por esta razão é importante estar atento e entender como é possível proteger seus dados pessoais neste período.

Optar por fornecedores reconhecidos ou já utilizados por pessoas de confiança:
Muitos sites são criados neste período apenas para tentar ludibriar as pessoas com promoções falsas que têm por finalidade roubar dados pessoais ou implantar algum vírus ou malware nos dispositivos da vítima. Por esta razão, é recomendável que as compras sejam feitas em sites de empresas já conhecidas ou que foram indicadas por pessoas que já utilizaram.

Realizar compras sempre no domínio oficial da empresa:
Caso identifique uma promoção proveniente de uma empresa de sua confiança, entre no site oficial dela e busque pelo produto, considerando que muitos sites são criados com o fim de imitar o site oficial para convencer o consumidor a fornecer seus dados pessoais ou mesmo realizar transferências de valores.

Não clique em links sem ter certeza da origem destes:
Esta medida deve ser sempre adotada a todo tempo, considerando que ao clicar em um link é possível que dados sejam furtados ou que programas maliciosos sejam instalados nos dispositivos, porém neste período, a atenção deve ser redobrada, já que muitos golpistas criam anúncios falsos ou divulgam produtos com ótimos descontos para ludibriar os consumidores. Por isso, confirme sempre a procedência dos anúncios ou links antes de clicar, preferindo sempre utilizar os domínios oficiais das empresas.

Evite realizar transações em computadores e redes públicas ou lan houses:
Além do cuidado com os sites que acessa, é importante também ficar atento para os dispositivos e redes que são utilizados para realizar transações. Dispositivos ou redes públicas podem possuir programas maliciosos que irão furtar os dados pessoais, como dados de identificação, bancários e senhas do usuário. Portanto, ao realizar transações, prefira sempre redes de internet privadas e dispositivos pessoais para evitar ser vítima destas práticas.

Tome muito cuidado com e-mails de marketing:
Além dos links fraudulentos, uma prática muito comum é o envio de e-mails com o fim de ludibriar os consumidores. Confirme sempre a origem deste e-mail, verificando se o remetente efetivamente é a loja que está descrita e, em caso de dúvidas, entre em contato com a empresa para confirmar se aquele e-mail é oficial, porém dê sempre preferência para comprar diretamente no domínio oficial das lojas, com o fim de evitar ao máximo clicar em links sem ter certeza da origem.

Tenha sempre muita atenção quando for realizar o pagamento:
É importante estar atento do início ao fim da transação. No momento do pagamento, o consumidor deve confirmar os dados da compra para ter certeza de que está realizando a transação com a empresa que quer fechar negócio.

Quando o meio de pagamento for o PIX confirme os dados de pagamento, principalmente quando utilizar QR Code, com o fim de verificar se o valor e nome da loja estão corretos. Caso utilize o Boleto Bancário, confirme os dados da empresa no boleto, e antes de finalizar a transação, confirme se o nome que consta no boleto é o mesmo que aparecerá ao final do procedimento. Por fim, caso opte por realizar o pagamento via Cartão de Crédito, além de confirmar todos os dados, dê preferência para cartões virtuais, o que dificultará a tentativa de clonagem do cartão ou mesmo a tentativa de uso por terceiro para furto dos dados.

Além dos consumidores, as empresas devem ser diligentes no tratamento dos dados pessoais, em respeito à LGPD, principalmente com relação ao envio de e-mails de marketing, que são extremamente comuns neste período.

Medidas para empresas – Atentar-se aos e-mails de marketing:
Não há regras com relação à quantidade de e-mails, mas sim com relação ao conteúdo e a base de titulares que este será enviado. É necessário ter uma base legal para enviar estes e-mails, sendo o consentimento a mais utilizada, em que é colhida a permissão do titular para coletar os dados e usá-los para uma finalidade específica, que neste caso costuma ser o envio de promoções.

Para que tal consentimento possa ser legítimo, é importante observar se o titular fez a escolha de forma livre, espontânea e se estava claramente informado sobre a finalidade deste tratamento, devendo haver a guarda do registro de tal consentimento para eventual comprovação.

Por fim, é muito importante estar ainda mais atento neste período, que leva muitos a comprarem por impulso sem tomar as medidas de cautela necessárias. Caso você seja vítima de algum golpe ou for lesado de qualquer forma, entre em contato com a empresa, e caso não haja solução, abra imediatamente uma denúncia junto ao Procon de seu Estado e busque auxílio de seu advogado para reverter ou ao menos mitigar, os danos sofridos.