MGI regulamenta compartilhamento seguro de endereços por prestadoras para qualificar benefícios sociais
Em 13 de agosto de 2025, o Ministério da Gestão e da Inovação em Serviços Públicos (MGI), por meio da Secretaria de Governo Digital, publicou a Portaria SGD/MGI nº 6.545/2025, que regulamenta o Decreto nº 12.428/2025 e disciplina o compartilhamento, por prestadoras de serviços públicos, como empresas de energia elétrica e telecomunicações, dos endereços residenciais de seus clientes com órgãos federais. A medida tem como objetivo aprimorar as políticas de seguridade social, facilitando a verificação de residência e a composição familiar de beneficiários do Benefício de Prestação Continuada (BPC), do Programa Bolsa Família e de outros programas públicos, além de reduzir fraudes e melhorar a precisão na entrega dos benefícios. O texto foi submetido à consulta pública entre 20 de maio e 9 de junho de 2025, recebendo 113 contribuições de diversos segmentos da sociedade, das quais 58% foram incorporadas na versão final. Para proteger a privacidade dos cidadãos, os dados compartilhados deverão ser pseudonimizados, conforme determina a Lei Geral de Proteção de Dados (LGPD), sendo a identificação efetiva restrita a órgãos designados, como o Ministério do Desenvolvimento e Assistência Social. O conjunto de dados incluirá CPF pseudonimizado, endereço completo com coordenadas geográficas, data da última atualização e CNPJ da prestadora. A portaria também estabelece um cronograma escalonado para o envio das informações, com prazos que variam de 30 a 90 dias conforme o porte das empresas de telecomunicações e de energia elétrica. Segundo o secretário de Governo Digital, Rogério Mascarenhas, a regulamentação visa fortalecer a integração dos sistemas, melhorar a qualidade dos dados utilizados na formulação de políticas públicas e promover maior equidade no acesso aos benefícios.
Ratinho Jr. convoca audiência virtual para debater a venda de dados dos paranaenses com a privatização da Celepar
O governador do Paraná, Ratinho Junior (PSD), marcou uma audiência pública virtual para o dia 3 de setembro com o objetivo de debater o processo de privatização da Celepar, estatal responsável pela gestão de dados dos paranaenses. A iniciativa ocorre após o governo não enviar representantes para audiências anteriores na Assembleia Legislativa, em novembro de 2024, e no Senado Federal, em julho de 2025. A audiência será realizada exclusivamente de forma remota e com inscrição controlada pelo governo, incluindo perguntas prévias por escrito conforme o regulamento da Casa Civil. A privatização da Celepar tem sido fortemente criticada por entes como o Instituto Sigilo, que encaminhou uma notificação extrajudicial ao governo exigindo esclarecimentos sobre os riscos da transferência de controle sobre dados sensíveis referentes à saúde, à educação, à segurança pública e à gestão fiscal. O debate anterior na Assembleia chegou a afirmar que a eventual venda da companhia colocaria os cidadãos sob o domínio de “milícias digitais”. Enquanto isso, especialistas ressaltaram que, se a privatização avançar, o Estado do Paraná precisa manter-se como o controlador dos dados pessoais, conforme exige a Lei Geral de Proteção de Dados (LGPD). A situação se agrava com declarações públicas do presidente da Celepar, André Gustavo Souza Garbosa, que admitiu que a estatal está “trabalhando forte” na monetização dos dados dos cidadãos. Essa postura foi criticada pelo Comitê de Funcionários contrários à privatização, que alertou para os riscos éticos e de segurança envolvidos no tratamento e potencial venda de dados sensíveis.
Fonte: Governador Ratinho Jr. marca audiência virtual para tratar da venda de dados dos paranaenses
Fiocruz, Idec e Intervozes lançam coletânea sobre proteção de dados na saúde digital
A Fiocruz, em parceria com o Instituto Brasileiro de Defesa do Consumidor (Idec) e o coletivo Intervozes, lançou em 2025 o livro Proteção de dados pessoais nos serviços de saúde digital, uma coletânea de reflexões e análises sobre os desafios da digitalização na área da saúde. A obra é fruto de uma pesquisa realizada entre 2021 e 2022 pelo Icict/Fiocruz, Intervozes e Idec, com o objetivo de mapear práticas cotidianas de coleta e uso de dados pessoais em serviços de saúde digital, como o recebimento de propagandas de medicamentos e casos de vazamento de informações do SUS, e refletir sobre a cultura de proteção dos dados sensíveis em saúde. O livro reúne contribuições de especialistas provenientes de diversas áreas oferecendo uma abordagem plural e interdisciplinar sobre a privacidade e os processos de tratamento de dados em saúde digital. Ainda de acordo com a publicação, a Lei Geral de Proteção de Dados (LGPD) reconhece os dados de saúde como sensíveis e destaca seu caráter como direito fundamental, mas sua aplicação prática enfrenta diversos desafios.
Fonte: Fiocruz, Idec e Intervozes lançam livro sobre proteção de dados pessoais na saúde digital
Pandora confirma ciberataque via plataforma terceirizada e expõe dados básicos de clientes
A rede de joias Pandora confirmou, em nota enviada à imprensa no dia 8 de agosto de 2025, ter sido vítima de um ciberataque via plataforma terceirizada, que resultou no vazamento de dados pessoais básicos de clientes, como nomes e endereços de e-mail. A empresa assegurou que nenhuma informação sensível ou financeira, como senhas ou dados de cartão de crédito, foi comprometida e que seus sistemas internos permanecem operando normalmente. De acordo com investigações e reportagens especializadas, o incidente faz parte de uma série de ataques contra usuários da plataforma Salesforce, possivelmente perpetrados pelo grupo ShinyHunters, que utiliza técnicas de engenharia social e phishing para obter acesso a tais dados. Em resposta, a Pandora garantiu ter contido o ataque, fortalecido suas medidas de segurança e não ter encontrado evidências de que os dados vazados foram publicados ou usados de forma indevida até o momento. A empresa recomendou que seus clientes fiquem alertas frente a mensagens suspeitas ou tentativas de phishing.
Fonte: Pandora confirma incidente cibernético com vazamento de dados
Air France e KLM sofrem violação via plataforma externa, mas dados sensíveis de passageiros não foram expostos
No início de agosto de 2025, as companhias aéreas Air France e KLM confirmaram ter sido vítimas de um incidente cibernético que resultou no acesso não autorizado a uma plataforma de atendimento ao cliente operada por um fornecedor terceirizado. A falha comprometeu dados pessoais de usuários, incluindo nomes, informações de contato (e-mail e telefone), números e status do programa de fidelidade Flying Blue, além de assuntos de e-mails de serviço enviados pelos clientes. Apesar da gravidade, nenhum dado sensível foi exposto, como senhas, números de passaporte, dados bancários, saldos do programa de milhagem ou detalhes de viagens. As empresas afirmaram que os sistemas internos permanecem seguros e não foram afetados, e que ações rápidas foram tomadas para interromper o acesso dos invasores e implementar medidas preventivas. Além disso, tanto a CNIL, na França, quanto a Autoridade Holandesa de Proteção de Dados receberam notificações formais sobre o incidente. Os clientes afetados estão sendo contatados diretamente e orientados a ficarem alertas a possíveis tentativas de phishing ou mensagens fraudulentas, especialmente aquelas que utilizem detalhes reais como desculpas para enganar usuários. O ataque é visto como parte de uma série mais ampla de incidentes envolvendo cadeias de fornecedores e plataformas SaaS, como a Salesforce, com a atuação de grupos como ShinyHunters e Scattered Spider, que vêm explorando vulnerabilidades em sistemas compartilhados por grandes empresas.
Fonte: Air France Sofre Ataque Cibernético e Dados de Passageiros São Comprometidos
Decisões judiciais já citam LGPD de forma isolada, diz pesquisadora
Conforme destaca a pesquisadora Laura Schertel Mendes, diretora do CEDIS IDP, a LGPD — antes mencionada de modo acessório ao lado de outras normas como o Código de Defesa do Consumidor e o Código Civil — já aparece isoladamente em fundamentações judiciais, com crescente relevância nas decisões. Entre outubro de 2023 e outubro de 2024, o número de decisões judiciais que citaram a LGPD dobrou, passando de 7.503 para 15.921. Esse crescimento evidencia um amadurecimento da aplicação da lei, que passa a ser tratada com maior densidade técnica no processo decisório. Os artigos mais mencionados nas decisões são o 5º (dados pessoais sensíveis), o 7º e o 44 (responsabilidade objetiva). Mesmo diante desse avanço, a pesquisa mostra que, em muitos casos, a LGPD ainda é utilizada de forma superficial em 46 % das decisões, sendo apenas tema central em cerca de 33 % dos julgados. Além disso, chama atenção a pouca presença da Autoridade Nacional de Proteção de Dados (ANPD) nos processos, surpreendendo os pesquisadores e indicando um protagonismo ainda mais forte do Judiciário nessa fase inicial de consolidação da lei.
Fonte: Decisões judiciais já citam LGPD de forma isolada, diz pesquisadora
A Importância do DPO as a Service na Proteção de Dados
O DPO as a Service surge como uma solução eficaz para organizações que buscam conformidade com a LGPD e outras normas de proteção de dados.
Clique aqui e veja como a DPO Expert pode proteger sua empresa.
