Brasil e UE avançam: ANPD prevê reconhecimento de adequação da LGPD à GDPR até o fim do ano
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou que as negociações com a União Europeia para um acordo de transferência internacional de dados pessoais estão avançadas e devem ser concluídas até o final de 2025. Segundo o presidente da ANPD, Waldemar Gonçalves, o objetivo principal é obter a chamada “decisão de adequação”, que reconhece a Lei Geral de Proteção de Dados (LGPD) brasileira como equivalente ao Regulamento Geral de Proteção de Dados (GDPR) europeu.
Atualmente, já estão em vigor cláusulas contratuais específicas que permitem a transferência de dados, mas a formalização da adequação trará maior segurança jurídica e eliminará barreiras burocráticas entre os países. A expectativa é que a União Europeia reconheça a adequação da LGPD até novembro ou dezembro deste ano, o que permitirá ao Brasil firmar novos acordos com outros países que já têm relações similares com a UE, como Japão e Reino Unido.
Em relação aos Estados Unidos, o presidente da ANPD destacou que será necessário um modelo baseado em certificações e selos, o que ainda depende de uma regulamentação mais madura da legislação brasileira. A formalização desse acordo com a União Europeia é vista pela ANPD como uma grande vitória, pois reforça o reconhecimento internacional da LGPD e contribui para a inserção do Brasil no cenário global da proteção de dados.
Hack na Betfair/Paddy Power expõe dados de 800 mil usuários; Flutter confirma contenção do incidente
A plataforma de apostas esportivas Betfair e sua marca irmã Paddy Power, controladas pela Flutter Entertainment, sofreram um ataque cibernético que expôs dados pessoais de cerca de 800 000 usuários na Irlanda e no Reino Unido. O incidente foi causado por falha em um sistema terceirizado, permitindo acesso não autorizado a informações como nomes de usuário, e-mails, endereços de IP, ID de dispositivos e detalhes sobre atividade recente nas contas.
Segundo a empresa, dados mais sensíveis — como senhas, documentos de identidade e detalhes de pagamento — não foram comprometidos. A brecha foi contida rapidamente com apoio de especialistas externos; todas as autoridades competentes — como a ICO do Reino Unido e a DPC da Irlanda — foram notificadas, e os usuários afetados foram informados diretamente.
A Flutter alerta que, apesar dos dados não serem suficientes para permitir transações ou acesso direto às contas, os usuários devem estar atentos a possíveis golpes de phishing, já que informações como e-mail e IP podem ser usadas para personalizar fraudes. A empresa promete reforçar a segurança dos sistemas para prevenir novos incidentes, reafirmando que proteger os clientes é prioridade máxima.
Fonte: Casa de apostas Betfair sofre ataque hacker e ação afeta 800.000 usuários
McDonald’s: bot de seleção com IA vaza dados de 64 milhões de candidatos por falha de segurança
A plataforma de recrutamento automatizada do McDonald’s, McHire — que utiliza o chatbot de inteligência artificial “Olivia”, da Paradox.ai — apresentou uma falha grave de segurança, expondo dados de cerca de 64 milhões de candidatos a emprego. Pesquisadores de cibersegurança, Ian Carroll e Sam Curry, descobriram que bastava usar as credenciais padrão “123456” para acessar o painel administrativo, o que permitiu acesso a nomes, e-mails, números de telefone, endereços residenciais, registros de chat com o bot e tokens de autenticação.
Além da senha fraca, havia uma falha do tipo IDOR que permitia recuperar dados alterando apenas parâmetros em URLs — o que ampliou ainda mais o alcance do vazamento. Os pesquisadores relataram que, em menos de 30 minutos, conseguiram visualizar praticamente todos os registros registrados desde anos anteriores.
A Paradox.ai reconheceu a vulnerabilidade e informou que apenas uma fração dos registros continha dados pessoais. A falha foi corrigida em poucas horas após o aviso dos especialistas, e não houve evidência de que terceiros mal-intencionados tenham acessado os dados. O McDonald’s, por sua vez, afirmou estar “decepcionado com a vulnerabilidade inaceitável” em fornecedor terceirizado e garantiu que a correção foi imediata.
Fonte: Vazamento de Dados no McDonald’s: Bot de Contratação Expondo Informações de Milhões
Telefónica investiga suposto vazamento de 106 GB de dados internos após ataque ao Jira
Um hacker com o pseudônimo “Rey”, associado ao grupo Hellcat (responsável por ataques via ransomware), afirma ter acessado o servidor Jira interno da Telefónica no dia 30 de maio de 2025 e exfiltrado 106 GB de dados (~385 311 arquivos), incluindo tickets, e-mails, registros internos, ordens de compra, além de dados de clientes e funcionários. Como prova, o invasor liberou cerca de 5 GB de conteúdo em um arquivo com mais de 20 000 itens.
O ataque teria explorado uma falha de configuração no Jira, ativada depois de um incidente anterior ocorrido em janeiro de 2025, quando o mesmo grupo teria obtido acesso continuado ao sistema por cerca de 12 horas.
A Telefónica (divisão O2) nega se tratar de uma violação recente. Alega que os dados vazados são antigos, com o último arquivo datado de 2021, e classifica as afirmações como tentativa de extorsão, já que o hacker ameaça divulgar todo o conjunto completo se a empresa não ceder. Mesmo assim, algumas evidências mostram que muitos e-mails presentes no conteúdo vazado pertencem a funcionários ainda ativos, reforçando dúvidas sobre a versão da empresa.
Reconhecimento facial se generaliza em condomínios brasileiros sem transparência nem segurança de dados
A adoção de sistemas de reconhecimento facial em prédios residenciais e comerciais no Brasil já atinge cerca de 1 milhão de condomínios, segundo estimativa da Abrascond com dados do IBGE. Entretanto, não há clareza sobre quem coleta esses dados sensíveis nem se ocorre o armazenamento e exclusão com segurança, pois ainda não existe regulamentação específica sobre o tema.
Empresas de tecnologia que fornecem esses serviços mantêm em mãos imagens faciais, CPFs, números de apartamento e histórico de acessos — até de crianças — sem supervisão adequada. Casos recentes, como vazamento de fotos de moradores em Jundiaí e fraudes envolvendo perfis no gov.br para empréstimos do INSS, evidenciam riscos concretos.
A LGPD considera esses dados como sensíveis e impõe à ANPD a responsabilidade de fiscalizar. A agência informa que acompanha o crescimento do uso da biometria facial em áreas públicas e privadas, mas ainda não realizou auditorias específicas em condomínios. Em fevereiro, detectou indícios de irregularidades no uso dessa tecnologia em estádios de 23 clubes de futebol.
A ANPD abriu uma consulta pública em junho, com prazo até 1º de agosto, para discutir a regulamentação da tecnologia — porém recebeu apenas 22 contribuições até 11 de julho. Especialistas como Ronaldo Lemos (ITS-Rio) criticam a falta de ação antecipada da agência, já que a tecnologia já está amplamente disseminada.
Patrícia Peck, advogada de direito digital, destaca que a fiscalização da ANPD só ocorre por denúncias, sem monitoramento proativo, e defende a participação de Anatel, MJSP e Ministério Público nessa regulação. Já representantes de síndicos e empresas do setor reforçam que não existem relatórios exigidos que confirmem a segurança, exclusão ou transferência responsável das biometrias — tudo é tratado de forma informal.
O Brasil está entre os 15 países com mais redes de reconhecimento facial no mundo, com mais de 266 000 sistemas — muitos equipados com câmeras de marcas chinesas como Hikvision e Dahua. Normalmente, o equipamento e o armazenamento dos dados são fornecidos por empresas diferentes, o que cria uma cadeia de responsabilidade pouco transparente.
A Importância do DPO as a Service na Proteção de Dados
Os casos recentes de vazamento de dados, ataques cibernéticos e uso indevido de informações pessoais demonstram que empresas e órgãos públicos precisam reforçar suas políticas de privacidade e segurança da informação.
O DPO as a Service surge como uma solução eficaz para organizações que buscam conformidade com a LGPD e outras normas de proteção de dados.
Clique aqui e veja como a DPO Expert pode proteger sua empresa.
