LGPD, Cybersegurança e a nova era da proteção de dados no Brasil | Futuro do Compliance

Olá, seja muito bem-vindo ao futuro do compliance. O podcast dá OK. Eu sou Bruno Rodrigues CEOE, cofundador da OK, uma startup que simplifica o compliance regulatório. Para instituições financeiras, fintechs e bancos, combinando inteligência artificial de ponta com conhecimento humano especializado. No episódio de hoje, nosso tema é LGPDE cibersegurança em 2025. A lei geral de proteção de dados completou 5 anos. ANPD agora aplica sanções. E os incidentes de segurança viraram parte do noticiário cotidiano. Né, como no caso da semana passada mesmo aqui da data que a gente está gravando, em julho de 2025, é em que teve uma invasão a uma fornecedora ligada ao ecossistema do Pix. Nesse cenário, todo privacidade e segurança deixaram de ser, né? Vão deixando de se áreas separadas vão convergindo. E quem opera precisa quem? Quem opera dados precisa pensar nisso desde o início de qualquer processo, de qualquer produto, de qualquer operação. Para falar desses temas com profundidade, visão prática, eu tenho prazer de receber aqui com a gente hoje, 2 especialistas que vivem essa realidade no dia a dia. Começo apresentando a Paula pagani Paola pagani ou Paula pagani Paula? Kagany pagany perfeito é uma advogada com atuação sólida em proteção de dados e tecnologia, né? Hoje é uma sênior. Association no dias Carneiro. Antes disso, passou anos na rogan love. Eles, eu estou pronunciando corretamente isso? Mesmo participando de grandes investigações internas e projetos de compliance em múltipla jurisdições, a Paula é especialista em LGPD aplicada a bancos. Health-tex e startups com um olhar sempre atualizado sobre o que ANPDEO mercado Internacional esperam. Seja muito bem-vinda, Paula, obrigado por estar obrigada, Bruno. Não está certíssimo, muito obrigada. Maravilha, eu que agradeço e temos com a gente também. Oo. Airton Fernandes é especialista em segurança da informação, perícia digital e proteção de dados, com mais de 700 projetos desenvolvidos e 30 anos de experiência no setor. O Airton é mestre em segurança da informação, crimes cibernéticos e educação, formado pela anciber de Portugal, a universidade europeia do Atlântico, na Espanha, e pela PUC São Paulo. O Airton também é membro do conselho de períodos criminais e atua como professor consultor epito forense com forte presença em treinamentos corporativos acadêmicos, oferecendo soluções em cibersegurança, ele é reconhecido e referência à investigação digital, resposta a incidentes e formação dos especialistas em Cyber segurança. Pessoal, então, muito obrigado pela presença dos 2 aqui hoje, né? Vai começar uma conversa muito importante sobre é, né? Sempre olho do furacão, agora aparece. Não é todo mês com alguma coisa nova. EEEE difícil acontecendo. Vinculada a vazamento de dados, ALGPDA cibersegurança. É, né? Eu queria começar falando sobre ALGPD, né? Quando OLGLGPD entrou em vigor, há alguns anos. Muita empresa correu. Eu confesso que eu eu fiz parte desse movimento, né? Para montar um compliance de papel ali, né? Eu eu apoiei esse movimento. Então teve a parcela de culpa nisso, né? Políticas básicas, planilhas de registro, aviso de cookies, né? Mais agora, em 2025, a conversa é parece que está mudando, né? E a gente começa já a discutir assim. 11 foco em em privacidade e segurança. Mais bydesign, né? Desde o começo, desde a origem. Então, começando pela Paula. É qual foi a maior virada, né? Entre aquele momento inicial e o que é esperado hoje, né? É que que está mudando. É, é técnico, é mentalidade, né? Ou está uma pressão regulatória mais clara? Bom, vamos lá. Obrigada Bruno pela oportunidade. E eu acho que assim, em 5 anos, muita coisa mudou, né? 2020 foi o ano em que a proteção de dados era algo inédito no Brasil. ALGPD ela tinha 2 anos, né? Ela Foi promulgada em 2018. E 2020 ela entrou em vigor. Então era algo inédito, porque foi a primeira legislação brasileira a tratar sobre o tema especificamente. Antes, a gente tinha algumas legislações esparsas que falavam sobre o tema. Mas nenhuma específica. Como ALGPD? Então, o que que a gente sentia naquele naquele ano, né? Uma postura mais reativa, como você falou essas políticas de prateleira, projetos de adequação mais simples? Para justamente evitar uma eventual sanção por parte da NPD, né? As sanções? Elas entraram em 2021, mas as empresas já estavam se antecipando para isso. Então a gente vê que os programas de governança, eles não eram robustos, eles eram realmente só para um proforma, né? Para cumprir uma obrigação. E aí a gente vê que agora essa essa mentalidade reativa, ela está mudando. A gente passa a ter uma mentalidade mais proativa. As empresas, elas passam a entender que proteção de dados e privacidade é algo que agrega valor, que atrai a confiança dos seus. Usuários dos parceiros, enfim, da sociedade. Então a gente passa a ver que agora os investimentos em privacidade e proteção de dados, eles são muito mais intensos do que eles deram em 2020. E aí, o que que a gente vê? Também uma preocupação crescente, implementar a privacidade e proteção de dados em todos os ciclos de vida das informações. O que antes era algo só para cobrir o papel, né? Pra a gente cobrir algum buraco. Agora é algo que é realmente importante, faz parte da cultura da empresa. Então a gente vê que os investimentos em segurança da da da informação, eles aumentaram sensivelmente nos últimos. Os anos também, porque o aumento do dos incidentes também é significativo, então a gente vê que as empresas, elas passaram a se preocupar mais com esse tópico. Então a gente vê que é medidas de privacy by design e privacy by. Elas passaram a ser algo constante nos projetos, nos sistemas de toda a empresa. Então eu acho que principalmente essa mudança de de mentalidade é. Preocupação com a atuação mais incisiva da NPD que a gente tem visto nos últimos meses, tá? Perfeito. E Paula, na sua visão? AA gente falou um bocado já então, né? AA sua sobre. Como que a gente ainda está atrás em alguns sentidos, né? Mas a coisa está caminhando. EE na sua visão, o que que para onde está caminhando agora, né? É o que que o que que você espera que. As empresas vejam mais nos próximos anos, né? Cedo de conformidade, a integração maior com reguladores internacionais, né? E junto com isso. É, qual que você acha que é a preocupação que as empresas deviam estar nesse sentido, né? Se é que você vê algo, já se avizinhando assim com mais claridade. É, já deviam ter nesse momento, né? É, é, é pensando nos próximos passos, do que vai acontecer com essas leis e com com essas tendências. Eu acho que Bruno, o principal ponto é que como a gente está caminhando, né? Para esse grau de maturidade em proteção de dados no Brasil, eu acho que a gente pode esperar uma tendência. Como que eu posso dizer assim? Uma atuação mais incisiva da NPD. Então, o que que a gente pode esperar agora? A gente pode começar a perceber que punições vão ser feitas das empresas por eventuais descumprimentos, né? Então, no começo, como a gente estava falando no tópico anterior, em 2020, quando o tema ainda como o tema ainda era muito novo, ANPD, ela tinha uma presença a mais no sentido de vamos conscientizar, vamos educar os os entes regulados, porque era algo que a gente não. Vi aqui no Brasil, então, como foi na Europa de instrução, a gente também estava passando por isso lá no começo. E foi nesse sentido que a gente viu a publicação de uma série de guias por parte da MPB. Então a gente teve o guia sobre tratamento de dados, sobre os agentes de tratamento, sobre cookies, utilização da base do legítimo interesse. Só que conforme a gente vai ganhando maturidade no assunto, a atuação da NPD também vai ganhando maturidade. Então ela passa desse passo de conscientização para um passo de de imposição da lei, né? De. Conhecimentos que a gente fala. Então, por exemplo, já em 2022, começaram os primeiros processos sancionadores e aí que culminou na primeira sanção. Foi uma empresa, uma pequena empresa, Ela Foi montada em cerca de 14000 BRL, mas embora o valor seja baixo, A gente vê que ele é significativo, porque foram 2 penalidades. Representando 2% do faturamento da empresa por é sanção, então isso é significativo para o tamanho dessa empresa? Né? Então a gente espera que agora que a nipide, ela também tá ganhando maturidade, mais autonomia técnica. Ela tenha um corpo, é é um corpo maior, né? De funcionários pra auxiliar Na Na, na fiscalização. A gente tende a acreditar que essa fiscalização ela seja mais. Forte nos próximos anos. Então aquelas empresas que estavam preocupadas em só fazer um programa de governança só pro forma, pra pra que eventualmente não fosse é sancionada, eles precisam rever esses processos que foram instaurados e criados lá no passado. Porque provavelmente ANPD. Agora ela também. Ela vai não só atuar mediante denúncia ou provocação. Ela vai ter uma atuação mais incisiva. E uma atuação é autônoma, né? Tá ótimo, obrigado, Paula. É pessoal. Agora mover um pouquinho, né? Pra. Falar sobre a diferença, né? EEA convergência também entre segurança e privacidade. Então fica cada vez mais difícil tratar como área isolada, né? Então, LGPD já entra início, exige controle técnico robusto, né? E é cada vez mais a gente tivesse integração entre entre OA, parte jurídica e o risco assessment técnico, né? E toda a parte técnica que isso exige. Então, Wellington, do ponto de vista técnico, né? Olhando para o artigo 46 da LGPD, olhando para o ISO 27001 que você já comentou. Né? Que controles práticos é que você enxerga aí que estão mais faltando nos ambientes clouds, né? Nos ambientes sasem, que tem um Monte de tecnologias integradas de fornecedoras diferentes que que te chama mais atenção? É o que? O que eu acho que AA qualificação profissional, ela é muito importante. Aí o exemplo da do do DLP foi justamente isso, porque se investe muito dinheiro em tecnologia. A gente fala na área de segurança da informação, tem rios de dinheiro, não é passando para tudo quanto é lado, que não são tecnologias baratas, é, é, existe, por exemplo, proteção de dados ainda, apesar que isso, essa cultura, na minha opinião, aí a Paula pode pode confirmar ou não, né? Mas na minha opinião, já quebrou um pouco esse negócio das plataformas internacionais, né, que eram as plataformas que nasceram lá na Europa e vieram para cá. Com custos é absurdos. Mais insegurança? A gente tem ainda muito disso da da plataforma da moda, né? O que está, por exemplo, começando AA crescer dentro do âmbito de segurança é a própria questão da perícia. É, muitas empresas estão olhando para a perícia digital. É com a intenção de sim, vou contratar um perito para fazer uma análise de segurança. E eu sempre falo que tecnicamente, Oo trabalho de um perito, na verdade é investigativo. Né, Oo perito, ele vai investigar, né? Alguma situação, uma determinado, um determinado cenário e aí sim, no final ele pode até te propor melhorias, mas não é esse o objetivo dele. Então, quando a gente fala tecnicamente. Eu acho que esse olhar para o profissional de segurança, ele falta ainda. Eu acho que o mercado brasileiro sofre muito com isso, que é o famoso jeitinho. Né? Então assim, eu eu não vou pagar caro num profissional, é do mercado e eu vou pegar o que? Não é nenhum demérito. Só as empresas só têm que entender que não tem tempo para isso, né? Eu vou investir num profissional aqui dentro, vou dar curso, vou dar treinamentos. Mas fica faltando ainda a vivência desse profissional, sem contar que muitos profissionais do final de todos esses treinamentos certificações acabam indo embora da empresa, né? Eu acho que falta ter essa visão para que a tecnologia ela funcione bem. Leia, a gente cumpre, né? Não, não se discute, discute só em em forma adequado. Tecnologia. Você tem de Monte, implementa e utiliza agora. Os profissionais que de fato conhecem e sabem dizer qual é o melhor caminho para garantir a sua segurança, né? O seu compliance, a sua conformidade. Eu acho que é isso, esse ponto que precisa ser investido. Perfeito. E aí, Paula? Do ponto de vista jurídico, né? É na prática, onde a avaliação de impacto jurídico e risco assessment técnico costumam divergir, né? Que que você sente aí de descasamento? EE, como alinhar essas 2 matrizes de risco para evitar gap, para evitar 11 interpretação conflitante? É, na verdade, Bruno, eu acho que as 2 elas caminham juntos, né? Então porque justamente que ALGPD, ela prevê que você precisa adotar medidas de segurança, né? Então, técnicas e administrativas para proteger os dados de eventuais acessos indevidos. E aí, ALGPD? Ela também impõe essa obrigação, de toda vez que um tratamento de dados puder ocasionar riscos, é relevantes aos titulares de dados. Você tem que fazer um relatório de impacto que chama de pia, né? Então, o que que acontece? Os 2 vão causar, vão andar juntos? Na medida em que esse relatório de impacto, ele vai ver os impactos que você tem do ponto de vista de privacidade e proteção de dados. Só que o substrato objetivo que você vai ter, você vai retirar dessa, desse risco assessment técnico. Então você vai verificar, né? Porque eles não se confundem. Isso que é o ponto principal. O depi, ele é uma exigência jurídica, está previsto na LGPDE ele. É do ponto de vista de privacidade, proteção de dados. Só que o risco assessment técnico, ele vai fazer essa análise do ponto de vista de segurança da informação, quais são as vulnerabilidades, quais são os controles, o que que precisa ser implementado, e isso vai é de certa forma. É casar com a parte de análise de riscos do depia, porque você vai pegar todos esses riscos que foram identificados do ponto de vista da segurança da informação e transformar eles em impactos jurídicos, e aí você consegue fazer também com que sua análise de. Riscos do ponto de vista de privacidade e proteção de dados, se torne uma ferramenta muito importante de governança, porque você vai conseguir ver quais são as medidas que precisam ser é implementadas para mitigar esses eventuais riscos que foram identificados. Então os 2 andam juntos nesse sentido de que um é o substrato objetivo do outro e eles são mecanismos muito efetivos de governança, principalmente em privacidade e proteção de dados. Perfeito, perfeito. Paula pessoal, e aí é entrando num numa num num tema aí, muito presente, né? A gente teve um incidente super Sério no Brasil na semana passada. E eu queria falar sobre isso, né? Incidentes e notificações. Então, com o aumento desses incidentes, né? Vazamento de dados o tempo todo, né? Inclusive foi mês passado, acho, né, que teve 11 vazamento aí. É lá de fora, com bilhões de de dados expostos, né? De de tudo que é serviço e senhas. É então esses vazamentos, ataques de ransomware, né, que ainda são bastante presentes. A invasão de fornecedores, né? Tem que ter uma resposta rápida, né? Não, não dá pra escapar. E. Eu queria trazer para a mesa com vocês esses primeiros passos, né? Tanto lá do técnico, quanto lá do regulatório e começando pelo o Airton, né? Aí do de fazer o log de tudo isso, né? Até a cadeia de Custódia. Quais os passos forenses? É o Airton essenciais nas primeiras 24 horas depois de um incidente, né? EE, onde que as empresas mais erram nesse processo? Inicial. É eu. Eu acho que acho não, né? Na verdade, o que que a gente encontra aí, né, que é o maior erro das empresas, é quando se tem um incidente. É aquela primeira atitude que eles têm. Esse último incidente aí da da semana passada, né, que ele é público, não vejo problema nenhum da gente citar nomes aqui, porque ele se tornou público, né? Da CEM, junto com o sistema Pix. É primeira. Até a própria divulgação na empresa veio com a questão que foi um ataque, que foi um roubo de dados e et cetera. É inclusive falando de engenharia de depois mudou-se para engenharia social. E na verdade, não foi nenhum desses casos, né? Ali não foi 11. A origem não foi um crime cibernético. Na verdade, é um profissional da empresa que foi cooptado para cometer um crime. Né? Então ali não foi inicialmente um ataque hacker, é, não foi engenharia social. Muitos falam não é engenharia social, fala não, não é. A pessoa foi cooptada em troca de valores, ela tomou as ações. Que tomou, né? Então eu acho que falta, né? Assim, o erro nas empresas, primeiro é a própria cultura interna de segurança da informação. É, não é comum você ter um programa de segurança da informação, de treinamento. Você tem um programa muito técnico que geralmente as áreas técnicas passam por isso, né? Você tem, por exemplo, que se faz muito testes de phishing. Então se contrata empresas para fazerem teste de fishing, disparar e-mails para ver o índice, né, de pessoas que caem no e-mail dessa forma ou de outra forma. E muitas vezes, após o resultado final, os relatórios, a empresa não dá continuidade. É no sentido de trazer uma cultura de segurança, né? De informar para o colaborador, por exemplo, que toda vez que ele recebeu um e-mail que ele acha suspeito. Ele não delete ele. Encaminhe isso para área de segurança ou área de TI da empresa para que ela faça uma análise. Depois ele deleta. Porque é importante para a área de segurança ela avaliar qual é o modus operandi, como é que esse criminoso está tentando, né? Entrar na empresa, quais são os caminhos que ele está seguindo. Então, acho que as empresas falham muito justamente nisso, de dar essa cultura interna de. Explicar quais são os caminhos de, por exemplo, quando você tem um incidente é o ataque de Hanson. Ele ele trazia muito isso lá no início. O pessoal descobria que estava sendo atacado, iam lá e chutava a tomada, desligava a tomada, desligavam tudo. Né? A gente ficava de cabelo em pé assim, né? Oo que pouco eu tenho de cabelo, né? Bruno ficava com cabelo em pé no sentido de que eles quebravam justamente não só olhando uma cadeia de Custódia judicial, mas. De análise de investigação, porque você derrubava como tudo estava acontecendo. E aí a gente pessoal até comentar, pô, mas como é que a gente vai fazer? Porque a gente tem que conter. Eu falei, então, contenção de um ataque é uma coisa, destruição de, de de. Trilha de investigação ela é outra, você desligar tudo. De repente você destrói essa trilha e ainda é praticado isso hoje em dia, né? As empresas, quando elas descobre que estão tendo um incidente, elas vão lá e. Praticamente desligo, né? Ou coletam equipamentos. E aí parte para um outro caminho que, olhando de uma forma investigativa pericial que é muito errado, é a caça às bruxas. As eu me deparo muito com isso quando sou contratado para fazer uma investigação, uma perícia. Pessoal já fala, fala olha, nós já temos suspeitos, nós já levantamos, nós já falamos com diretoria, tudo eu falo gente, quando vocês tomam essa ação? A gente cria a famosa rádio peão, a empresa 1 hora vão ficar sabendo o que está acontecendo e aí você muitas vezes perde linha de investigação no sentido de que a pessoa que estava cometendo um crime. Ela pode começar a destruir, né? Informações que podem ser muito importantes. OK, digitalmente existe o hadge digital, você não tem como ocultar. A gente consegue resgatar, mas isso aumenta o seu Delta t. Né? Isso te leva para um caminho de uma solução, às vezes muito mais demorada. Então, as empresas, elas cometem muito erro nesse sentido. Falta de cultura, insegurança interna, né? E falta de conhecimento técnico de quais as ações executarem. E não é incomum essas empresas terem procedimentos de segurança, mas na hora que precisa ser aplicado, ninguém sabe aonde está e nem como fazer. Né? Então isso a gente encontra muito ainda dentro desse cenário. E Paula Na Na dúvida sobre notificação, né? Quais são os critérios objetivos para ligar o botão vermelho ali comunicar NPD? Os titulares. E a imprensa, né? Que é seria é o pior dos cenários, né? Para, para quando tem que chegar nisso, né? Tem. Tem um padrão Internacional, né? O você acha que o Brasil está criando os próprios critérios aí? Então, Bruno, a npd, ela publicou ano passado uma resolução específica sobre incidentes de segurança, porque o que que acontecia? AALGPD, ela fala que toda e qualquer incidente de segurança que possa ocasionar risco ou dano relevante aos titulares. Precisa ser notificado só que durante muito tempo ficou uma questão no ar de o que exatamente é o dano e risco relevante e o que que precisa ser notificado? E aí também durante esse período AMPD, ela já sinalizava, olha, não é todo e qualquer incidente que precisa ser notificado para tentar barrar essas notificações excessivas. E aí o ano passado, então, ela ela trouxe esses critérios objetivos e ela fala, o quê? Que um incidente ocasiona risco ou dano relevante quando ele puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, englobar alguns dos critérios. Então, por exemplo, se tiver dado pessoal sensível, dado de criança e adolescente ou de idoso. Dados é de autenticação de sistema. Então agora ficou mais claro como é que você tem que notificar ou não, só que o que que acontece, Bruno, como o Everton ele mencionou, né? Na hora da crise, na hora de um incidente? É aquele pânico, então, ou desliga da tomada ou ninguém sabe o que que precisa ser feito. Então, quem que comunica, como vai comunicar? Por que que vai comunicar? Então, o que que precisa ser feito, né? Uma análise, fazer um plano de resposta, incidentes que. Defina muito bem as atribuições de cada um dos atores envolvidos no incidente de segurança. Só que mais importante que isso, como o Airton falou, é que essas pessoas compreendam. Então, quem vai reportar precisa saber que vai reportar. Quem precisa contratar a perícia forense precisa saber que vai é contratar essa perícia. E outro ponto também importante é definir uma matriz de riscos que seja objetiva, no sentido de orientar aqueles responsáveis dentro da empresa. A saber objetivamente quando é que vai ter que notificar. Então, essa matriz, ela precisa estar alinhada com a resolução da NPD, que é a resolução 15, justamente porque na hora de uma crise, na hora da pressão, não fica aquela questão, Ah, notifica, não, não notifica. Aí você faz notificações que sejam excessivas e que não tenham necessidade, ou você deixa de notificar e corre o risco depois de ser penalizado. Então, é sempre muito importante investir em cultura e ampla divulgação dos protocolos e procedimentos internos. E outro ponto muito importante, Bruno, é sempre documentar tudo o que você tem. Então, como é que você chegou nessa matriz para notificar ou não notificar? Você tem que ter um embasamento, porque não basta você simplesmente definir uma matriz e ela está em desconformidade com a resolução. Ou porque a empresa achou que era assim? Porque depois se você viesse questionado, você tem que ter mecanismos para comprovar? Não? Olha, eu não notifiquei porque eu tinha uma matriz de riscos assim, com base na resolução. Então é muito importante que tudo seja muito bem documentado e difundido. Dentro da empresa? Está ótimo, Paula, obrigado. É, e aí, vamos falar agora um pouquinho então, de de PO as a service, eu aposto que não há nenhuma controvérsia aí nesse assunto. Assunto bastante tranquilo, a gente vai passar rápido nele. É muita empresa hoje recorre, né? Audip ou terceirizado ou a equipe híbrida, né? Mas isso naturalmente é levanta dúvidas sobre eficácia, né? De de quem tá com um papel dividido desse, né? E sobre conflitos de interesse, né? Então, Paula é, queria sua opinião sobre um modelo de pioza service, né? É os principais riscos que que você vê de. Conflito de interesse e que cláusulas é contratuais você recomenda, né, pra proteger o board, digamos, né? Mais do que isso, né? É, acho que a gente pode falar das 2 coisas, né, separadamente, né? Então as cláusulas contratuais e também quanta quanto que você acredita nesse modelo, ver ele funcionar. Bruna, a questão do do DPO exorserv service, ela era um tema muito recorrente de discussões, né? Porque as pessoas ficavam com medo, será que vai ser aceito pelo MPD ou não vai ser aceito? E aí também todo o tema, que gera muita polêmica, AMPD ela. Ela vem com algum guia orientativa ou uma resolução, e a gente teve também o ano passado uma resolução específica sobre a atuação do do encarregado e ela determinou que sim, pode ser uma pessoa interna da empresa ou uma pessoa externa. Inclusive uma pessoa jurídica. Então, muitas pessoas. Eu acho que até pegando o gancho do que o werton falou no passado, né? Não temos muitos profissionais que estejam habilitados e capazes de de entender AALGPD, tanto da parte técnica como da. A parte jurídica. Então, o que a gente vê no que tem muitos profissionais? Ah, ou pega alguém do jurídico ou pega alguém do TI. Só que muitas vezes essa essa é é. Essas áreas não se comunicam e acabam dificultando a atuação desse encarregado. E aí então a gente vê que muitas empresas estão optando por esse DPO. É terceirizado? Só que tem que sim ter alguns cuidados, principalmente com relação ao conflito de interesses, porque a resolução da NPD do ano passado ela é expressa. Em vetar conflitos de interesses e punir eventuais situações que possam acarretar conflitos de interesse. Então, isso é um ponto que tem que sim, ser pauta de discussão nas empresas para tomar muito cuidado na hora dessa contratação. E como que você pode tomar cuidado então, antes de. De você contratar, você verificar, tentar verificar quem é esse encarregado, que é essa empresa que você está tentando contratar e quem e para quem ela presta serviços para justamente verificar se é compatível ou não com a sua empresa, uma vez que você verifique que sim, não teria. E há nenhum problema. É importante que você formalize essa contratação em um contrato muito bem delineado. Então que você tenha cláusulas de confidencialidade, cláusulas que defira muito bem. Quais são as atribuições e responsabilidades? Para quem é o canal de reporte dessa dessa empresa? Porque justamente para você blindar empresas de eventuais responsabilidades, então eu acho que acima de tudo, um contrato e que você também, quando você permita essa atuação desse, desse encarregado, que ela seja 11. Uma atuação técnica, ética. Então você tem que fazer toda essa essa do dimensions prévia de quem que você está contratando para se certificar de que sim, essa contratação não vai trazer nenhum problema futuro para a empresa. Tá ótimo, e aí, ô hércul? Na sua visão, como melhor media, a eficácia desse dipo? Terceirizado, né? Quais métricas aí não podem faltar? Outro é a eu acho que um ponto aí é o que é o que a Paula comentou, né? É você você colocar primeiro que eu acho que AAA opção. Do depoes a service, eu ainda acho a melhor para o mercado, OK? É a autoridade, por exemplo, supervisora da Itália, ela promulgou. Agora, no primeiro semestre, vamos lembrar quanto, né? Uma regulamentação aonde? Lá ela deixou claro o conflito de interesse, por exemplo, de nomear gestores. Então autoridade supervisor italiana. Ela não aceita, né? Como encarregar de dados pessoais a nomeação de gestores internos. Se você pegar gerentes, coordenadores, diretores e nomeá-los? Como depo também, que é uma prática comum aqui no Brasil, né? Você pega um profissional de dentro da empresa, fala, você também será encarregado de dados. Então eu vejo um DPO as a service. E aí não importa, né, se a gente tá falando, né um. Um Cyber ou um leagles, ou seja, um depo que vem da área jurídica é advocatícia ou da área tecnológica, eu acho uma boa opção porque você quebra um pouco do conflito de interesse interno da empresa. Não é? Só tem que tomar. Acho que os cuidados que a Paula bem colocou ali, né? No cenário que esse dipo já já atua e ele é uma boa opção porque você acaba tendo um profissional, é um pouco mais calejado, digamos assim. É um profissional mais experiente. É um profissional que está passando por dificuldades, né? Muitos na prática mesmo, né? Um profissional que está passando por diversos cenários e que ele pode trazer todo esse conhecimento, né? Que um profissional interno você não vai conseguir ter isso. Você pode ter um profissional dentro do mercado financeiro, ulturamente, especializado no mercado financeiro, se você quiser esse profissional, depois em outro setor, no setor de saúde, você já não vai ter ele com tanta qualidade, porque é um profissional que foi formado. Dentro daquilo. E quando a gente fala de de atuação, de de proteção de dados e a segurança também não é principalmente de proteção de dados, tem que levar em consideração a vertical de negócio, que existe muita regulamentação, dependendo do setor, né? Tem muita legislações que gira em torno. Se for falar que é uma multinacional, tem todas as regras de de trabalho também das suas matrizes, que precisam ser ajustados e adaptadas para trabalhar aqui. Então, depoesa service, eu eu entendo ele como uma boa, uma excelente opção. Na verdade, justamente por isso é um profissional com mais experiência de mercado, com mais vivência, né? Hoje nós temos tanto profissionais que vêm da área jurídica como da área de tecnologia. No es acerds que estão conseguindo casar um pouco melhor essas questões, né? Porque já vende mais tempo e a entenderam que se você firmar não é posição ao pé em cima de um lado, de outro, você não consegue trazer benefícios para a empresa. Então eu entendo que isso é melhor e por um outro motivo também, técnico, esses profissionais, eles estão investindo muito no seu conhecimento, então é muito comum encontrar de POS hoje no mercado, com diversas certificações, certificações excelentes internacionais e et cetera. Mas com também é. É evolução técnica em outros setores, não é eu, eu, eu, por exemplo, eu não sou não é advogado, eu sou bacharel, mas eu não não atuo na área do direito. Na verdade, ele foi uma complementação. Mas eu fiz há 2 anos atrás, eu fui atrás de uma pós-graduação também, né? Em proteção de de dados, direitos cibernética, direito digital e et cetera. Da mesma forma que a gente está encontrando muitos da área do do direito, indo atrás de evolução. Com esse mestrados, pós-graduações na área cibernética, na área de segurança, né? Pós-graduação que eu dou aula. Eu estou tendo cada vez mais advogados. Fazendo curso de pós-graduação em sabe, segurança para poder trazer esse conhecimento. Então acho que isso enriquece muito. E aí não só na proteção de dados, né? Quando a gente fala no compliance de segurança. Como um todo corporativamente, você passa a ter profissionais mais experimentados, com maior conhecimento. O que você dentro da empresa? Você tem um tempo muito maior aí de maturação dele. Está ótimo. E aí pessoal falando agora um pouquinho do futuro, né? A gente está aí vendo inteligência artificial, generativa, que está vindo numa velocidade assim frenética, né? É biometria, porque continua avançando, né? Dados sensíveis. Então, tecnologia evoluir rápido, né? Em novas frentes essas novas frentes vão aparecendo no Congresso. A gente tem Oo projeto de lei de inteligência artificial, né? Que pode mexer nas bases. Legais da LGPD Na Na exigência de explicabilidade aí me corrijam se eu se eu tiver desatualizado aqui. E aí queria começar perguntando para Paula, né? Como que esse PL é de a pode alterar as bases legais LGPD, né? Especialmente em processamento de alto risco. E critérios de explicabilidade, né? EEE que que vocês estão vendo aí já de é e agenerativa e o que que as empresas já deviam estar se preocupando? Já que todos querem estar com IA generativo agora no produto e nas cortinas internas, né? E muitas vezes trabalhando com dados sensíveis também. É bom, Bruno, eu acho que o primeiro ponto, né? OPL? Se ele for aprovado, ele não vai ter a capacidade de alterar formalmente, ALGPDE as bases legais. O que precisa ser, né? O que muito tem se discutido hoje em dia é como que as legislações de de proteção de dados, dentre elas então ALGPD, elas vão regular o uso de inteligência artificial, né? Principalmente se a gente parar pra pensar que ALGPD. Ela começou a ser discutida lá em 2012 e o uso da inteligência artificial naquela época não estava bem difundido como ele está hoje em dia e provavelmente não vai ser o mesmo daqui 5 anos. Então, assim, o que tem se discutido é, como que a essa legislação ela vai se aplicar efetivamente pro uso de sistemas de inteligência artificial? A gente fala, né? Um dos principais pontos da LGPD é a questão de transparência. Então, todo o titular de dados, ele tem direito a receber informações. É claras e acessíveis sobre o tratamento de dados que é feito. Só que como isso vai se aplicar no uso de sistemas de a, por exemplo? Como é que você vai explicar de uma maneira? É clara para esse usuário que os dados pessoais dele estão sendo tratados dentro de um sistema de a. Então essa questão da explicabilidade, como ela vai ser feita na prática, né? E outro ponto muito importante também, como é que você consegue fornecer certas informações, sendo que os algoritmos, eles são muito, eles estão, né? Eles são alterados, eles são dinâmicos. Como é que você vai fornecer esse tipo de informação se às vezes no próprio desenvolvimento? Dor não sabe como que esse algoritmo funciona, né? Então, esse é uma grande questão de como que a aplicação da LGPD vai se dar na prática e outras questões muito importantes também. Oo sistema de área alimentado por 11 quantidade maciça de dados pessoais. De diversos titulares de dados e, às vezes, como é que você vai dar exercer esse direito de explicação, que é o que está previsto No No PL, sem ferir direitos de de de outros usuários, né? Então, essa é uma discussão que está tendo também. É não só aqui no Brasil, mas no mundo inteiro, né? A gente já teve a legislação europeia, que foi, que está vigente, né? E foi regulada e regulou esse uso de sistemas de AE ele. Que AO nosso PL ele é muito baseado nessa nessa legislação europeia. Da mesma forma que o que ALGPD se baseia na GDPRA nossa está no EI act da da Europa. Então é aquela abordagem baseada em riscos, né? Os riscos excessivos são. Proibidos o alto risco? Você tem que implementar uma série de medidas de governança. Então, assim, a discussão sobre privacidade, eu acho que ainda vai ter muito pano para Manga, porque a gente realmente precisa entender como que é que ela vai se dar na prática. Tem mais perguntas que respostas, então, por enquanto, exato. Perfeito. E aí, Wellington, que que que que você entende aí de anonimização? Né processamento é No No Edge, ali, segregação de camadas, né? Que que é viável hoje no Brasil para tentar mitigar um pouco desses riscos. É o só 11 corrorando ali com a com a Paula, né? Quando a gente fala de a. Eu acho que precisa ainda entender e aprender o que é e a. Eu acho que falta isso é no mundo, né? AA, ela virou uma moda. Se a gente parar para pensar, não tem 2 anos que se fala de a no mundo. Né, com essa, com esse peso todo. Então eu acho que falta primeiro entender OQIA, né? As empresas, é muito comum, você roda qualquer empresa e todas as empresas estão falando, não estamos usando tecnologia, estamos usando inteligência artificial. Nós vamos liberar o uso do chá de GPT dentro ou vou usar? A iea pra fazer análise de dados, e você fala, tá bom, e o que que é? IA para você e aí, né, vai pra brita, sai do trilho. Aí que o pessoal acho que falta o conhecimento ainda da tecnologia, isso mundialmente. Não é, acho que falta muito disso. O outro ponto aí, né, Paula? É dentro do PL 2638, tem uma coisa que é legal, né? Por solicitação da NPDO encarregado de dados passa a ser responsável também. Né? Pela inteligência artificial dentro das empresas. Então você imagina AA atuação desse profissional, né? Que hoje é. E eu acho que foi uma excelente oportunidade que perderam quando foi feita a resolução de delimitar um pouco mais o perfil profissional. Né? Deste, desta pessoa. E aí agora coloca uma questão tecnológica muito pesada, porque ele vai ter que conhecer de tecnologia. Não vai ser mais só legislação ou algumas teorias, né? Eu acho que isso piora mais ainda. E aí, Bruno, é quando a gente fala de anonimização, pseudoanonização, é, é um outro conceito que precisa ser também absorvido e entendido pelo mercado. Né? É, a maioria das vezes, quando você fala desse tema, as pessoas vêm com a palavra anonimização. Até porque eu acho mais difícil falar pseudo anonimização, não é? Então, não, aqui nós anonimizamos tudo. Empresa de crédito eu tive numa semana passada, não, aqui, aqui tudo é anonimizado, tudo tranquila. Eu olhei e falei, tá bom, vamos lá, o que que você anonimiza? Aí veio o exemplo que eles deram, não, por exemplo, quando eu entro em contato aqui. Né? Que um operador vai atender? E abriu a tela falar, ó, os dados estão anonimizados Pra Ele. Eu falei, que dados? Ah, o dado do cartão de CPF. Eu falei, isso aqui tá pseudo anonimizado. Não, não, não. Não é bem assim. Nós de peo falou que está anonimizado. Eu falei, não, não vou discutir o que o dipo, porque não era minha função ali, né? Eu falei, não vou discutir o que ele falou, mas isso é pseudomonizado. Por que pseudoonizado? Porque quando você conhece os 3 primeiros dígitos de seu celular, os 4 últimos do seu cartão e os demais estão ocultos, você consegue ter acesso a esses dados, né? Se eu for o seu coordenador, eu tenho autorização de ir lá e abrir o dado, acabou. A anonimização, ela é uma técnica aonde você tira todo e qualquer vínculo pessoal de um determinado dado de uma determinada informação, né? É o é o é o exemplo, por exemplo, de de pesquisa do IBGE, que depois é divulgado na empresa. Eles vão falar. Na região nordeste tem tantas pessoas com nível superiores, na sul tem isso, tem aquilo, mas você não consegue pegar esse milhares de pessoas com nível superior e chegar a uma pessoa que você queira identificar, por exemplo, para praticar um crime. Isso é uma anonização e ela é muito mais simples até, né? É. Procuram muitas tecnologias para isso, existem excelentes tecnologias. Para todos os gostos, para todos os bolsos também. Mas ela é muito mais simples do que a gente imagina, né? Fazer uma anonização é, por exemplo, pegar é dado de salários, né? De de um determinado grupo empresarial, e você tirar todas as colunas que identifiquem as pessoas que recebem aquele salário. Então, inclusive, dependendo da situação, você tirar às vezes até o cargo, que é isso que as pessoas não entendem do conceito, não, eu vou anonimizar, eu vou pegar meu Excel, vou tirar o nome de todo mundo, vou deixar cargos e salários e benefícios, OK? Só que dentro de uma determinada área, por exemplo, encarregar os dados pessoais. Eu tenho lá encarregado de dados pessoais, salário, tanto benefício, tanto isso. Deixou de ser uma anonização. Porque você tem um encarregado de dados dentro da empresa, então você chega essa pessoa. Então você tem formas mais complexas, mas tem formas simples. O que falta é justamente o entendimento do conceito. E, principalmente, para quê? Ela virou uma onda. É uma moda lá no início da da LGPD, por questões, né, da própria legislação. Citar tudo, então vamos anonizar, vamos pseudo anonimizar, mas muitos, como é AIA não sabiam pra quê. Para que que eu vou anonimizar? O que eu preciso anonimizar eu sempre comento que tecnologia ela precisa ter algumas perguntas antes, não é? E não você comprar tecnologia para depois você entender para quê? Então assim, o que que eu quero proteger? Do que que eu quero proteger? Em que momento eu quero proteger e aí eu vou saber como eu vou proteger. Então se eu quero anonimizar um dado pseudoanonimizar, tá bom, o que eu quero? Né, o porquê eu quero, porque não adianta você pegar uma base de dados aí com. Terabytes ou zetabytes que eu já vi que é muito mais que Tera, né, tecnicamente falando, e o pessoal tá criptografando tudo. Eu falo, vocês estão criptografando isso. Para quê? Não, porque nós vamos gerar segurança, sim. Mas você tem receita de bolo a grosso modo, né? Você tem receita de bolo aqui dentro dessa base, você precisa criptografa isso.