Caso Claro e Serasa: do score de crédito à proteção de dados
Recentemente a Agência Nacional de Proteção de Dados (ANPD) iniciou um processo administrativo sancionador contra a Claro e um processo de fiscalização contra a Serasa por indícios de irregularidades no compartilhamento de dados pessoais entre as empresas. Neste caso que mistura proteção de dados e direito do consumidor, destrinchamos a história dessa fiscalização.
Do CADE à ANPD
O compartilhamento de dados entre as duas empresas começou em 2021 e foi aprovado pelo CADE na ocasião (Ato de Concentração nº 08700.006373/2020-61).O acordo envolvia o fornecimento de dados de clientes da Claro à Serasa, para uso em soluções ligadas à análise de crédito, prevenção a fraudes e avaliação de mercado.
Na época, o CADE fundamentou sua decisão concluindo que o acordo das empresas não oferece riscos concorrenciais relativo ao fechamento de mercado para bureaus concorrentes das duas empresas, principalmente pelo fato de que na época não existiam contratos vigentes entre a Claro e demais empresas para comercialização das informações as quais serão fornecidas de forma exclusiva para a Serasa.
Muito embora o acordo foi aprovado pelo CADE por não haver riscos do ponto de vista concorrencial, o compartilhamento passou a ser analisado pela ANPD para verificar violações à LGPD. Ainda em 2021, O MPF junto ao CADE comunicou à ANPD a instauração do Procedimento Administrativo nº 1.00.000.011968/2021-49/2021, voltado ao acompanhamento das políticas comerciais da Claro e da Serasa. Também informou a aprovação, sem restrições, pelo CADE, do ato de concentração envolvendo o fornecimento de dados de clientes da Claro à Serasa.
Após receber os documentos do acordo entre as duas empresas pelo MPF e CADE, a ANPD entendeu que os documentos levantavam questões de LGPD sobre os princípios da lei como finalidade, adequação e necessidade, bases legais, deveres de transparência e não discriminação. Por isso, determinou a abertura de um Procedimento Preparatório em 2022, com base nos arts. 40 e 41 do Regulamento de Fiscalização.
No ano seguinte, a Agência emite a Nota Técnica nº 3/2023 no mesmo procedimento preparatório. De acordo com o documento (ANPD, 2023, p. 2), a continuidade do compartilhamento entre Claro e Serasa deveria ser condicionada à implementação de medidas de adequação. Na sequência, Claro e Serasa alegaram perda do objeto, uma vez que os contratos de compartilhamento haviam sido encerrados , o tratamento interrompido, os dados anonimizados e com a exclusão dos dados originais do compartilhamento.
Em 2026, a ANPD reconheceu perda de objeto quanto às medidas corretivas ligadas à continuidade da operação, mas afirmou que isso não impediria recomendações de conformidade na Nota técnica 02/2026. Em relação à Claro, sugeriu remessa à Coordenação-Geral de Sanções para avaliar a instauração de processo sancionador. Em relação à Serasa, recomendou procedimento fiscalizatório específico sobre transparência e exercício de direitos dos titulares.
O caso tem grande relevância na medida em que mobiliza o tema do score de crédito a partir do microssistema de proteção que articula a LGPD, Direitos do consumidor e Lei do Cadastro Positivo. É uma das primeiras manifestações da ANPD no tema e um primeiro passo na harmonização de diferentes diplomas legais
Abaixo, contamos os principais destaques do caso
Destaques da fiscalização
Nota técnica 3/2023
Escopo
A Nota Técnica n° 3/2023/FIS/CGF/ANPD compreende a análise detalhada da conformidade do compartilhamento de dados pessoais entre a empresa Claro S.A. e a Serasa Experian S.A. em relação a LGPD. O compartilhamento tinha como objetivo monetizar dados pessoais restritos por meio do desenvolvimento de tecnologias de pontuação de crédito (credit scoring) e soluções de prevenção a fraudes.
Para fundamentar a sua avaliação, a Agência examina o “microssistema de proteção de dados”, integrando a LGPD ao Código de Defesa do Consumidor e à Lei do Cadastro Positivo, conforme apontado pela ANPD na leitura de Bioni (2021). Tal microssistema também classifica as variáveis compartilhadas entre dados tradicionais e alternativos. O escopo da Nota técnica também abrange ainda a verificação da legitimidade das finalidades e das bases legais utilizadas pelas empresas, a observância de princípios fundamentais como transparência, necessidade e não discriminação, e o respeito aos direitos dos titulares, resultando na determinação de medidas corretivas e condicionantes para a continuidade dessa atividade de tratamento.
Discussões centrais
Para analisar a conformidade do compartilhamento de dados entre a Claro e a Serasa, a ANPD estruturou a sua discussão central em quatro pilares fundamentais: a) o microssistema de proteção de dados voltado ao “score” de crédito; b) a distinção entre dados tradicionais e alternativos; c) a verificação das hipóteses de tratamento (bases legais) aplicáveis; e, por fim, a observância dos princípios estabelecidos pela LGPD.
a) Microssistema de proteção de dados no tema “score” de crédito:
Inicialmente, a Agência fundamenta que a análise não deve se limitar às disposições da LGPD, mas sim considerar um ecossistema de proteção de dados, uma vez que o art. 64, da LGPD, estabelece que seus direitos e princípios não excluem outros previstos no ordenamento jurídicos brasileiros ou em tratados internacionais. Ou seja, existe uma relação de complementaridade e subsidiariedade entre a LGPD, o Código de Defesa do Consumidor (CDC), a Lei do Cadastro Positivo e o Marco Civil da Internet.
Nesse sentido, a Nota Técnica cita o entendimento consolidado do Supremo Tribunal de Justiça (STJ) de que o sistema de credit scoring é uma prática comercial lícita, sendo autorizada pela Lei do Cadastro Positivo, mas que deve respeitar rigorosamente a privacidade e a máxima transparência. Isto é, embora o consentimento do consumidor seja desnecessário para a consulta, ele tem o direito de receber esclarecimentos sobre as fontes dos dados e as informações valoradas em seu perfil. Com o contrário dessa atitude, ao utilizar informações excessivas, sensíveis ou incorretas, configura-se abuso de direito e gera responsabilidade objetiva e solidária entre os agentes envolvidos.
Neste caso concreto, também há aplicação do CDC em virtude da relação consumerista entre a Claro e os seus clientes, o que assegura aos titulares o direito básico à informação clara (art. 6°, III) e a proteção contra práticas abusivas (6°, IV), bem como a vedação do repasse de informações depreciativas (art. 39, VII) de ato praticado no exercício de seus direitos.
Em outras palavras, a LGPD integra esse microssistema agregando parâmetros de governança e direitos específicos aos titulares. Como a atividade de pontuação de crédito envolve o processamento de variáveis para definir perfis, ela se enquadra perfeitamente na definição de tratamento de dados pessoais. Portanto, devem ser garantidos direitos como a transparência sobre finalidade específica, o livre acesso, a correção de dados e, crucialmente, o direito de solicitar a revisão de decisões automatizadas que afetem os interesses de crédito e consumo do indivíduo.
b) Dados tradicionais e dados alternativos
Neste segundo tópico, a Agência diferencia as variáveis tratadas pelas empresas em duas categorias principais: dados tradicionais e dados alternativo
Os dados tradicionais referem-se “às informações costumeiramente usadas por gestores na composição dos principais escores de crédito de pessoas naturais ou jurídicas” (Silveira apud Brasil, 2023, p. 4). A título de exemplo, temos o histórico de adimplemento, limites de crédito, contas bancárias, além de registros públicos de processos cíveis, falências e passivos tributários.
Já os dados alternativos englobam todas as informações que não são tradicionalmente empregadas para essa finalidade. Para isso, dividem-se em dados alternativos financeiros, que são as informações de natureza financeira que, por algum motivo específico, não são comumente integradas aos escores, e os dados alternativos não-financeiros, que são aquelas informações que não tem ligação direta com o aspecto econômico do titular, mas que viabilizam análises preditivas quando cruzadas com outros dados, como histórico profissional ou de escolaridade.
A partir disso, a Agência concluiu que o compartilhamento entre Claro e Serasa envolve uma alta gama de dados alternativos não-financeiros em razão tais dados utilizados só ganham relevância quando cruzados com outros dados, ou seja, só possuem relevância para o risco de crédito após cruzamentos e inferências, o que ressalta a importância de uma fiscalização rigorosa sob a ótica da LGPD.
c) Análise das hipóteses de tratamento no caso concreto
A ANPD examinou a validade das bases legais escolhidas pelas empresas, ressaltando que a ausência de uma hipótese de tratamento adequada torna o processamento de dados irregular. Resumidamente, as empresas envolvidas fundamentaram o compartilhamento de dados nos art. 7°, X (proteção ao crédito), e 11, II, ‘g’ (prevenção à fraude), da LGPD. Seguem as hipóteses levantadas:
Proteção ao crédito: refere-se ao tratamento de dados para avaliar a capacidade do titular de honrar compromissos financeiros e melhorar a análise de risco. A Agência considerou a base aplicável no caso da Serasa, dado que a construção de scores de crédito e o oferecimento de relatórios precisos ao mercado fazem parte da atividade-fim da empresa. Todavia, foi considerada inadequada no cenário da Claro, uma vez que ela não compartilha esses dados para analisar o risco de seus próprios clientes, mas sim para outros fins de estudos e monetização, ultrapassando o considerado razoável.
Prevenção à fraude: base legal que permite o tratamento dos dados para garantir a segurança do titular e do controlador, confirmando a identidade dos usuários para evitar fraudes. Após analisar as variáveis compartilhadas, a Agência não identificou o uso de dados sensíveis que justificassem a aplicação do art. 11, que aborda as hipóteses do tratamento de dados pessoais sensíveis, nem encontrou evidências de que o manejo dessa base serviria aos propósitos específicos do contrato entre as empresas. Dessa forma, concluiu-se que a prevenção à fraude não é apta a sustentar o compartilhamento de dados não sensíveis de clientes da Claro com a Serasa, exigindo que as empresas aloquem outras hipóteses legais adequadas para fundamentar a atividade.
d) Direitos dos titulares violados no caso concreto
A análise da Agência também identificou uma série de violações aos direitos dos titulares, fundamentadas principalmente na ausência de transparência e no impedimento do exercício de garantias fundamentais previstas na LGPD. abaixo destacamos os principais pontos levantados:
Direito à Informação e Transparência (Art. 9°, I, II, III, e IV): concluiu-se que a Claro não informou de maneira clara, adequada e ostensiva a finalidade específica do tratamento de dados dos consumidores. Os avisos de privacidade eram genéricos, mencionando apenas o compartilhamento com “empresas de crédito”, sem identificar a Serasa como controladora independente ou detalhar que os dados seriam usados para estudos e criação de perfis. Para mais, houve a omissão quanto à duração do tratamento, especialmente sobre o prazo de guarda de 10 anos adotado pela Serasa.
Dessa forma, com o intuito de reforçar a exigência de garantia de transparência sobre o ciclo de vida do dado da Claro, comenta-se “Não é demais lembrar que a responsabilidade do controlador (que tem os dados e vai cedê los) sobre os dados que compartilha não desaparece após eles serem compartilhados” (Brasil, 2023, p. 06).
Dificuldade no Exercício de Direitos dos titulares (Art. 18): como os titulares sequer tinham conhecimento de que seus dados de consumo telefônico estavam sendo enviados à Serasa para fins de pontuação de crédito, o exercício dos direitos de acesso, correção, anonimização ou exclusão tornou-se inviável na prática. Isto é, a falta de clareza sobre o compartilhamento esvaziou a eficácia das cláusulas contratuais que previam o atendimento a essas requisições. Por conta da falta de informação, ANPD apontou que não ficou demonstrado como os clientes da Claro poderiam solicitar a revisão ou obter explicações sobre os critérios e procedimentos das decisões automatizadas (perfis de crédito) tomadas pela Serasa a partir de seus dados.
Uso de Dados contra o Exercício de Direitos (Art. 21): identificou-se a utilização de dados referentes ao exercício regular de direitos pelos titulares, como o histórico de reclamações dos clientes, para compor o perfil de risco, o que é expressamente vedado pela LGPD por resultar em prejuízo ao titular, conforme o Art. 21.
e) Aplicação dos princípios da LGPD no caso concreto
Em resumo, essa etapa final da análise verificou se o tratamento de dados pessoais realizado pelas empresas respeita os princípios fundamentais estabelecidos no art. 6° da LGPD.
Princípio da Transparência (6°, VI, LGPD): A Agência considerou que houve violação ao princípio da transparência em razão dos avisos genéricos de privacidade da Claro, que não identificavam a Serasa como controladora, nem detalharam que os dados seriam utilizados para estudos de perfilização.
Princípio da Boa-fé (6°, caput, LGPD): exige que o tratamento respeite as expectativas legítimas dos titulares. No caso, a Agência concluiu que o princípio foi ferido em virtude do consumidor de serviços da empresa telefônica por não ser parte da expectativa do titular que seus dados de consumo sejam compartilhados com terceiros para a criação de perfis de crédito e avaliação de capacidade de pagamento. Ao citar Zanatta sobre perfilização, a ANPD destacou o dever da Claro e Serasa de informarem os consumidores da Claro sobre esse processo e de estabelecerem formas de comunicação com os titulares que viabilizem manifestações sobre as decisões automatizadas.
Princípio da Finalidade, da Adequação e da Necessidade (6°, I, II e III, LGPD): Tais princípios exigem que o tratamento tenha propósitos legítimos e se limite ao mínimo necessário, com a Agência apontando que o compartilhamento entre a Claro e Serasa utilizou variáveis excessivas e metadados que não guardam compatibilidade com as finalidade informadas, configurando um tratamento desproporcional e em desacordo com o contexto do serviço de telecomunicações.
Princípio do Livre Acesso (6°, IV, LGPD): corresponde a garantia de consulta facilitada e gratuita sobre a integralidade dos dados. Ele foi considerado prejudicado, visto que, sem o conhecimento específico de que seus dados estavam sendo enviados ao Serasa, os titulares da Claro não conseguiram exercer seu direito de consulta sobre o tratamento.
Princípio da Qualidade dos Dados (6°, V, LGPD): Exige que o agente de tratamento busque manter a exatidão, clareza e relevância dos dados pessoais. A ANPD questionou a aplicação deste princípio no prazo de guarda de 10 anos adotado pela Serasa, uma vez que não ficou comprovado como a manutenção de dados antigos garantiria a relevância e a atualização para a finalidade de proteção ao crédito.
Princípio da Segurança (6°, VII, LGPD): Foi o único princípio considerado atendido, já que a Claro demonstrou que o contrato com a Serasa previa regras de compliance, auditoria e segurança da informação adequadas.
Princípio da Prevenção (6°, VIII, LGPD): consiste na adoção de medidas para evitar danos aos titulares. Todavia, concluiu-se que este princípio não foi observado em razão do compartilhamento ter resultado em diversas violações de direitos dos clientes, sendo necessário a adoção de novas providências para mitigar os riscos identificados.
Princípio da Não Discriminação (6°, IX, LGPD): veda o tratamento para fins discriminatórios ilíticos ou abusivos. A ANPD , alerta sobre o uso de algoritmos de Machine Learning e metadados para predições comportamentais, já que é possível gerar resultados discriminatórios imprevisíveis, com o uso de informações excessivas para avaliações de crédito sendo considerado uma violação deste princípio pela empresa.
Na ocasião, a ANPD estabelece o argumento de que a falta de informações sobre como os perfis de pontuação de crédito são feitos não permite entender se tal tratamento pode ser discriminatório ou não. Dessa forma, a maneira de poder cumprir com o princípio da não discriminação nesse caso é o de estabelecer meios para que o titular faça frente a esse tratamento.
Princípio da Responsabilidade e Prestação de Contas (6°, X, LGPD): exige que o agente demonstre a adoção de medidas eficazes para cumprir as normas. A Agência determinou medidas corretivas para que as empresas envolvidas comprovem a adequação do tratamento com o objetivo de remediar conjunturas de risco ou dano aos titulares dos dados.
Nota técnica 6/2026 e auto de infração
Escopo
3 anos após a Nota Técnica 3/2023 ,a A Agência Nacional de Proteção de Dados (ANPD) deu novos encaminhamentos ao caso a partir da Nota Técnica nº 2/2026/ANPD e do Auto de Infração nº 1/2026/CGS/SFI.
A Nota Técnica nº 2/2026 tem como escopo principal avaliar os encaminhamentos do procedimento de fiscalização sobre o compartilhamento de dados pessoais coletados pela Claro e repassados à Serasa. O documento analisou o histórico do caso, os indícios de violação à LGPD pela Claro e a necessidade de apuração específica em relação à Serasa. Além disso, também determinou a abertura de processo administrativo sancionador contra a Claro e de processo fiscalizador contra a Serasa.
Já o Auto de Infração nº 1/2026 materializa a abertura de Processo Administrativo Sancionador contra a Claro. O documento descreve os fatos imputados, aponta os dispositivos da LGPD supostamente infringidos e informa as sanções administrativas que podem ser aplicadas ao fim do processo, conforme o art. 52 da LGPD .
Abaixo conectamos os dois documentos para melhor exposição do caso. Na questão, elementos presentes na Nota Técnica são complementados pela Auto de infração e vice-versa.
Discussões centrais
Perda de objeto
Após as recomendações da Nota Técnica 3/2023, Claro e Serasa alegaram que o contrato de compartilhamento havia sido encerrado em maio de 2023 e que os dados compartilhados teriam sido anonimizados, com posterior exclusão dos arquivos originais pela Serasa. Por conta disso, as recomendações feitas pela ANPD em 2023 haviam perdido seu objeto.
A ANPD reconheceu a perda de objeto quanto à adoção de medidas corretivas voltadas à continuidade daquela operação específica. No entanto, destacou que isso não impede a formulação de orientações, recomendações ou a avaliação de atividades de tratamento semelhantes dos agentes de tratamento em fiscalização (ANPD, 2026a, p. 3).
Indícios de violação à LGPD pela Claro
Após determinar a abertura do processo sancionador contra a Claro, a Agência recomendou a realização da adequação à LGPD de contratos atuais ou futuros que envolvam o compartilhamento de dados (ANPD, 2026a, p. 4). Foram 5 recomendações: (1) Delimitação da finalidade e definição criteriosa e correta da hipótese legal; (2) Máxima observância do princípio da necessidade; (3) Transparência específica e efetiva, (4) Exercício de direitos pelos titulares de dados pessoais e (5) Fortalecimento da governança e da prestação de contas (accountability)
1 – FINALIDADE E BASES LEGAIS: primeira recomendação diz respeito à (1) delimitação da finalidade e à definição criteriosa e correta da base legal. Para a Agência, é preciso que a finalidade seja específica e compatível com a base legal escolhida.
No caso de compartilhamento de dados com terceiros para desenvolvimento de produtos de crédito, a ANPD foi expressa ao afirmar que não seria possível utilizar automaticamente a hipótese legal de proteção ao crédito pelo controlador cedente dos dados (no caso, a Claro), prevista no art. 7º, X, da LGPD. Caso o tratamento se fundamente no legítimo interesse, a empresa deve realizar teste de balanceamento detalhado e documentado, demonstrando a ponderação entre seus interesses ou de terceiros e os direitos e liberdades fundamentais dos titulares (ANPD, 2026a, p. 4-5). Esse ponto é relevante porque afasta a ideia de que qualquer tratamento relacionado ao mercado de crédito pode ser enquadrado, de forma ampla, na hipótese de proteção ao crédito.
Além disso, a ANPD recomenda que contratos de compartilhamento de dados tratem expressamente do uso secundário dos dados pessoais compartilhados, preferencialmente vedando esse uso ou estabelecendo critérios claros para sua ocorrência (ANPD, 2026a, p. 5).
2 – MÁXIMA OBSERVÂNCIA AO PRINCÍPIO DA FINALIDADE: a segunda recomendação foi a de (2) máxima observância do princípio da necessidade. A ANPD recomenda que a Claro implemente processo rigoroso de avaliação para compartilhar apenas os dados estritamente necessários e adequados à finalidade pretendida.
A Nota Técnica chama atenção para o compartilhamento de dados relacionados ao detalhamento de consumo de conteúdo, como histórico de pay-per-view e quantidade de megabytes utilizados por aplicativo, bem como para dados associados ao exercício de direitos pelo consumidor, como registros de reclamações, cancelamentos e ocorrências (ANPD, 2026a, p. 5).
No caso de dados de exercício de direitos pelo consumidor, cabe lembrar que o art 39, VII do Código de Defesa do Consumidor veda que seja repassada informação depreciativa referente a ato praticado pelo consumidor no exercício de seus direitos no contexto do score de crédito. Além disso, a própria Nota Técnica recorda o art. 21 da LGPD, segundo o qual dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo (ANPD, 2026a, p. 5).
Assim, o compartilhamento de registros de reclamações, cancelamentos ou ocorrências exige cuidado redobrado, pois pode gerar risco de uso discriminatório ou prejudicial ao titular em contextos de análise de crédito, prevenção a fraudes ou perfilamento.
3 – TRANSPARÊNCIA: A terceira dimensão envolve a (3) transparência específica e efetiva. A ANPD entende que políticas de privacidade e contratos não podem tratar o compartilhamento de dados pessoais de forma meramente genérica. No caso analisado, a agência recomenda que a Claro informe (i) quais dados pessoais são compartilhados, (ii) quem é o agente de tratamento destinatário, (iii) quais são as finalidades específicas do compartilhamento, (iv) se há perfilamento do titular, (v) qual hipótese legal fundamenta o tratamento e (vi) qual é a duração do compartilhamento (ANPD, 2026a, p. 6).
O Auto de Infração reforça essa leitura ao apontar que as informações disponibilizadas pela Claro sobre o tratamento de dados em relações com empresas de soluções de crédito seriam excessivamente abrangentes e genéricas, sem evidenciar, de modo claro, adequado e ostensivo, os elementos específicos do contrato celebrado com a Serasa.
Para a ANPD, isso comprometeria a compreensão do titular sobre características essenciais do tratamento, como extensão, duração, finalidade concreta e compartilhamentos específicos envolvidos (ANPD, 2026b, p. 2-3). O Auto de infração também descreve que a falta de informação sobre o compartilhamento com a Serasa teria prejudicado o exercício de direitos previstos no art. 18 da LGPD, como acesso, correção, eliminação e oposição ao tratamento (ANPD, 2026b, p. 3). Sem saber que seus dados foram compartilhados com determinado terceiro, o titular não consegue exercer seus direitos de forma efetiva.
4 – CANAIS DE EXERCÍCIO DE DIREITOS DOS TITULARES: Por isso, a Nota Técnica também recomenda (4) que a Claro ofereça canais eficazes para o exercício de direitos dos titulares perante os agentes de tratamento envolvidos no compartilhamento, respeitando os arts. 6º, 18 e 19 da LGPD (ANPD, 2026a, p. 6).
O Auto de Infração ainda acrescenta outro ponto: a ANPD identificou dificuldade de acesso às informações relativas ao encarregado pelo tratamento de dados pessoais no Portal da Privacidade da Claro, o que teria exigido múltiplos cliques e navegações sucessivas até que a informação fosse localizada (ANPD, 2026b, p. 3-4).
Essa estrutura foi considerada incompatível com a objetividade e a clareza exigidas pelo art. 41, §1º, da LGPD, combinado com o art. 9º, caput e inciso IV, da mesma lei, além das disposições detalhadas pela Resolução CD/ANPD nº 18/2024, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais (ANPD, 2026b, p. 4).
A descrição feita pela ANPD é importante porque parece dar concretude ao conteúdo jurídico das expressões “objetividade” e “clareza”. No caso analisado, a primeira aba do Portal da Privacidade indicava apenas um e-mail genérico para contato, sem informar a identidade do encarregado. Em seguida, a FAQ do portal respondia à pergunta “Quem é o Encarregado pelo Tratamento de Dados (DPO)? E qual canal de contato?” com uma explicação genérica sobre a função do encarregado e o email para o contato, novamente sem identificar a pessoa responsável. Apenas após acessar a Política de Privacidade e clicar na última informação disponível é que o usuário encontrava a seção de “Contato e identificação do Encarregado”.
Com isso, a ANPD parece indicar que objetividade e clareza não dizem respeito apenas ao conteúdo formal da informação, mas também à forma como ela é apresentada e encontrada pelo titular. Não basta que a informação exista em algum ponto do site, ela deve estar disponível de modo direto, acessível e compreensível, sem impor obstáculos desnecessários ao usuário. A exigência legal alcança a arquitetura da informação, o desenho da interface e o percurso necessário para que o titular consiga exercer seus direitos.
A partir dessa leitura, é possível aproximar a ausência de objetividade e clareza de práticas associadas a padrões manipulativos de design. Quando uma informação obrigatória é fragmentada, escondida em camadas sucessivas de navegação ou substituída inicialmente por respostas genéricas, cria-se uma fricção que pode desestimular ou dificultar o acesso do titular ao encarregado. Para a agência, isso também impacta a transparência e o acesso do exercício de direitos pelo titular.
Por fim, a Nota Técnica destaca a necessidade de (v) fortalecimento da governança e da prestação de contas, ou accountability. A ANPD recomenda que a Claro documente integralmente as decisões e controles implementados nos processos de compartilhamento, em aderência aos princípios da segurança, prevenção e responsabilização e prestação de contas. Também indica a elaboração de Relatório de Impacto à Proteção de Dados Pessoais quando o compartilhamento envolver tratamento de alto risco (ANPD, 2026a, p. 6).
A ANPD também recomenda que os contratos de compartilhamento contenham cláusulas robustas de auditoria e fiscalização do cumprimento das obrigações pelo controlador receptor dos dados, indo além de previsões genéricas de confidencialidade e segurança. Os instrumentos contratuais devem permitir identificar claramente as responsabilidades dos agentes envolvidos e prever como os dados compartilhados serão eliminados após o encerramento da atividade de tratamento ou do contrato (ANPD, 2026a, p. 6-7).
Após recomendar as adequações, a ANPD aplicou a medida preventiva de Aviso (art. 32, II, e art. 34 do Regulamento de Fiscalização) para que tais medidas sejam adotadas pela Claro. A medida preventiva de Aviso permite com que adequações dessa natureza sejam indicadas de forma suficiente para que o agente de tratamento tenha como identificar as providências necessárias para implementação.
Fiscalização para a Serasa
Em relação à Serasa, a Nota Técnica não recomenda a abertura de processo sancionador, mas sim a instauração de procedimento de fiscalização específico. A ANPD aponta que a análise do RIPD, da petição de defesa e dos instrumentos de transparência ativa da Serasa sinalizaria questões potencialmente graves sobre transparência e exercício de direitos dos titulares. A agência também destaca a centralidade da Serasa como uma das maiores processadoras de dados pessoais do Brasil, com impacto direto sobre acesso a crédito, serviços e participação na vida econômica.
Esse encaminhamento ganha ainda mais relevância porque, segundo a Nota Técnica, a Serasa foi o controlador mais denunciado à ANPD no ciclo de monitoramento 2023-2025 e ocupou a segunda posição em número de petições de titulares (ANPD, 2026a, p. 8). Para a agência, esse histórico reforça a pertinência de medidas fiscalizatórias específicas, especialmente diante de possíveis riscos sistêmicos e da necessidade de assegurar a efetividade da LGPD.
Encaminhamentos da Nota Técnica e Auto de Infração
A Nota Técnica nº 2/2026 propõe quatro encaminhamentos principais.
-
Primeiro, o arquivamento do procedimento de fiscalização por perda de objeto, em razão do encerramento do contrato de compartilhamento entre Claro e Serasa.
-
Segundo, a instauração de processo administrativo sancionador contra a Claro.
-
Terceiro, a aplicação de medida preventiva de Aviso à Claro, para que as adequações indicadas pela ANPD sejam incorporadas a compartilhamentos atuais ou futuros.
-
Quarto, a instauração de procedimento de fiscalização para apurar as medidas de transparência e exercício de direitos adotadas pela Serasa
O Auto de Infração nº 1/2026, por sua vez, formaliza a abertura do Processo Administrativo Sancionador contra a Claro. A ANPD aponta possíveis violações aos arts. 6º, I, II e III; 9º, caput, IV, V, VI e VII; 18; e 41, §1º, da LGPD.
Tendência histórica
O caso Claro-Serasa mostra que a governança de dados não pode ser pensada de forma isolada. A operação analisada pela ANPD combina o microssistema de proteção de dados e consumidor no tema do score de crédito e mostra como as atividades de tratamento típicas do setor de crédito podem acarretar uma série de riscos aos direitos fundamentais dos titulares.
Os próximos passos serão decisivos para compreender o alcance dessa atuação. Em relação à Claro, será necessário acompanhar como a ANPD avaliará os indícios apontados. Em relação à Serasa Experian, o ponto central será verificar se o procedimento de fiscalização específico identificará indícios de infração relacionados à transparência e ao exercício de direitos dos titulares. O caso tende a se tornar uma referência importante para o debate sobre compartilhamento de dados, direitos do consumidor e governança de dados pessoais no Brasil. Ficaremos de olho nos próximos passos dessa história.
Até a próxima!
Referência Bibliográficas
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 3.ed., 2021. p. 271.
BRASIL. Agência Nacional de Proteção de Dados. Despacho Decisório nº 1/2026/CGS/SFI. Processo nº 00261.003285/2026-15. Interessado: Claro S.A. Brasília, DF: ANPD, 29 maio 2026. SEI nº 0286580. Boletim de Serviço Eletrônico, 8 jun. 2026.
BRASIL. Agência Nacional de Proteção de Dados. Auto de Infração nº 1/2026/CGS/SFI. Processo nº 00261.003285/2026-15. Autuado: Claro S.A. Brasília, DF: ANPD, 1 jun. 2026.
BRASIL. Agência Nacional de Proteção de Dados. Nota Técnica nº 3/2023/FIS/CGF/ANPD. Compartilhamento de dados pessoais coletados pela Claro S.A. à Serasa Experian S.A. com a finalidade de monetizar informações pessoais restritas de clientes. Processo nº 00261.000227/2022-06. Brasília, DF: ANPD, 21 nov. 2023.
BRASIL. Agência Nacional de Proteção de Dados. Nota Técnica nº 2/2026/CPDP/CGF/SFI/ANPD. Procedimento de Fiscalização sobre o compartilhamento de dados pessoais coletados pela Claro S.A. à Serasa S.A. Processo nº 00261.000227/2022-06. Brasília, DF: ANPD, 26 maio 2026. SEI nº 0275360.
SILVEIRA, Victor Doering da. O Uso de Dados Alternativos para a Elaboração de Escores de Crédito no Brasil: das Promessas aos Perigos. In: O consumidor na era da pontuação de crédito. Belo Horizonte: Casa do Direito, 2022. p.275-296 (p. 277-278).
ZANATTA, Rafael A. F.. Perfilização, Discriminação e Direitos: do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados Pessoais, 2019.
Veja também
-
Política Nacional de Proteção de Dados: Contribuição da Data ao debate
No dia 12 de junho de 2026, o Ministério da Justiça e Segurança Pública (MJSP), através da Secretaria de Direitos Digitais (Sedigi), realizou audiência pública sobre a Política Nacional de Proteção de Dados Pessoais e Privacidade (PNPD). Recebendo uma série de instituições e especialistas, inclusive o Conselho Nacional de Proteção de Dados (CNPD), o objetivo foi coletar contribuições de diferentes setores para a tão esperada PNPD. Saiba mais!
-
Transformação do Brasil em Estado de vigilância facial
PL do reconhecimento facial avança na Câmara e texto substitutivo não elimina riscos à vigilância biométrica em massa.
-
Comitê Gestor da Internet abre formação de Colégio Eleitoral até 10 de agosto de 2026
Organizações da sociedade civil têm até 10 de agosto para integrar o Colégio Eleitoral que elegerá 11 representantes titulares ao CGI.br. Confira mais informações aqui.
-
Data Privacy Brasil participa de audiência pública com contribuições para a Política Nacional de Proteção de Dados
Proposta inclui instrumentos de concretização da política, competências federativas, cooperação institucional e atenção a temas como segurança pública e transparência
-
Data Privacy Brasil debate aferição de idade e proteção de dados no 2º Workshop de Credenciais Verificáveis
Rafael Zanatta, codiretor da Data Privacy Brasil, participou no dia 18 de junho do painel "Verificação de idade: desafios complexos", no 2º Workshop de Credenciais Verificáveis, realizado em Brasília pelo Ceweb.br/NIC.br e pelo CGI.br. Na intervenção, ele apresentou uma leitura crítica sobre a implementação do ECA Digital (Lei 15.211/2025) e do Decreto nº 12.880/2026. Confira os destaques de sua apresentação.
-
Escopo e aferição de idade: entenda as propostas de Guias da ANPD!
Recentemente a Agência Nacional de Proteção de Dados abriu tomada de subsídios para dois temas centrais do ECA Digital: Mecanismos de Aferição Etária e Fornecedores de Produtos ou Serviços de Tecnologia da Informação. Mas o que exatamente a ANPD está propondo para nesses temas?
-
Câmara pode votar a qualquer momento projeto que transforma o Brasil em Estado de vigilância facial
PL 1828/2023, incluído na pauta do Plenário para 17 de junho de 2026, autoriza câmeras de reconhecimento facial em estações de metrô, trens, ônibus, vias públicas e repartições públicas em todo o país. Pedimos a sua retirada imediata da pauta.
Veja Também
-
Política Nacional de Proteção de Dados: Contribuição da Data ao debate
No dia 12 de junho de 2026, o Ministério da Justiça e Segurança Pública (MJSP), através da Secretaria de Direitos Digitais (Sedigi), realizou audiência pública sobre a Política Nacional de Proteção de Dados Pessoais e Privacidade (PNPD). Recebendo uma série de instituições e especialistas, inclusive o Conselho Nacional de Proteção de Dados (CNPD), o objetivo foi coletar contribuições de diferentes setores para a tão esperada PNPD. Saiba mais!
-
Comitê Gestor da Internet abre formação de Colégio Eleitoral até 10 de agosto de 2026
Organizações da sociedade civil têm até 10 de agosto para integrar o Colégio Eleitoral que elegerá 11 representantes titulares ao CGI.br. Confira mais informações aqui.
-
Data Privacy Brasil participa de audiência pública com contribuições para a Política Nacional de Proteção de Dados
Proposta inclui instrumentos de concretização da política, competências federativas, cooperação institucional e atenção a temas como segurança pública e transparência
-
Data Privacy Brasil debate aferição de idade e proteção de dados no 2º Workshop de Credenciais Verificáveis
Rafael Zanatta, codiretor da Data Privacy Brasil, participou no dia 18 de junho do painel "Verificação de idade: desafios complexos", no 2º Workshop de Credenciais Verificáveis, realizado em Brasília pelo Ceweb.br/NIC.br e pelo CGI.br. Na intervenção, ele apresentou uma leitura crítica sobre a implementação do ECA Digital (Lei 15.211/2025) e do Decreto nº 12.880/2026. Confira os destaques de sua apresentação.
-
Escopo e aferição de idade: entenda as propostas de Guias da ANPD!
Recentemente a Agência Nacional de Proteção de Dados abriu tomada de subsídios para dois temas centrais do ECA Digital: Mecanismos de Aferição Etária e Fornecedores de Produtos ou Serviços de Tecnologia da Informação. Mas o que exatamente a ANPD está propondo para nesses temas?
-
Câmara pode votar a qualquer momento projeto que transforma o Brasil em Estado de vigilância facial
PL 1828/2023, incluído na pauta do Plenário para 17 de junho de 2026, autoriza câmeras de reconhecimento facial em estações de metrô, trens, ônibus, vias públicas e repartições públicas em todo o país. Pedimos a sua retirada imediata da pauta.
-
Campanhas eleitorais inteligentes: Data Privacy Brasil contribui para trilha do RenovaBR sobre segurança digital
A Data Privacy Brasil participou da trilha online sobre segurança digital em campanhas eleitorais promovida pelo RenovaBR, iniciativa voltada à formação de lideranças políticas e equipes de campanha para os desafios do ambiente digital contemporâneo. A atividade reuniu especialistas para discutir riscos, responsabilidades e boas práticas relacionadas ao uso de tecnologias, dados pessoais e inteligência artificial durante os processos eleitorais.
-
Data Privacy Brasil adere à mobilização Brasil Contra Bets
A Data Privacy Brasil comunica a adesão à mobilização Brasil Contra Bets, iniciativa que defende a proibição de jogos de alto risco, a restrição da propaganda de apostas online e a responsabilização das plataformas como medidas de proteção à saúde pública, à integridade das famílias e aos direitos de crianças e adolescentes.
-
Data Privacy Brasil integra debate sobre o papel do Congresso Nacional na regulação da Inteligência Artificial (IA) no FIB16
O 16º Fórum da Internet no Brasil (FIB16), realizado entre 25 e 29 de maio de 2026 em Belém (PA), reuniu parlamentares, pesquisadores, representantes do setor empresarial e da sociedade civil em torno de uma das questões mais urgentes da agenda digital brasileira: como regular a inteligência artificial e as grandes plataformas tecnológicas sem abrir mão de soberania, proteção de direitos e desenvolvimento econômico próprio. Confira o relato de um dos painéis com participação da Data.
-
Prompt injection no Judiciário expõe o custo da IA sem governança
A inteligência artificial já faz parte da rotina do Judiciário brasileiro. Sistemas de triagem, apoio à análise processual, classificação de documentos e automação de fluxos têm sido incorporados em diferentes tribunais. Mas, à medida que essas ferramentas se tornam mais presentes, também aumentam os riscos de uso indevido, manipulação e exploração de vulnerabilidades. Confira nosso novo artigo.
-
A ANPD cresceu. O que isso exige de quem trabalha com proteção de dados?
Recentemente, a Agência Nacional de Proteção de Dados solicitou autorização para a realização de concurso público. O pedido se soma a um movimento mais amplo de fortalecimento institucional da Agência, especialmente após a entrada em vigor do ECA Digital e a ampliação de suas atribuições regulatórias, fiscalizatórias e sancionatórias. Saiba mais sobre o tema!
-
Data no FIB16: IA, soberania digital e governança da Internet
Nesta semana, a Data Privacy Brasil participa do 16º Fórum da Internet no Brasil (FIB16), em Belém, integrando debates centrais para a agenda digital brasileira e global. As atividades passam por IA e eleições, Pacto Global Digital, WSIS+20, responsabilidade de plataformas, infraestruturas críticas, soberania digital, NetMundial+10 e multissetorialismo.
-
Proteger crianças em um ecossistema digital que ainda falha
O 18 de maio lembra que proteger crianças e adolescentes exige mais do que atenção familiar. Em ambientes digitais mediados por plataformas e IA, abuso, exploração sexual e uso indevido de imagem ganham escala. Enfrentar essa violência exige denúncia, cuidado, políticas públicas e responsabilidade das empresas e instituições envolvidas.
-
Avatares sintéticos usados para atacar políticos e instituições democráticas no Brasil
Entre janeiro de 2025 e abril de 2026, o Observatório IA nas Eleições identificou 18 casos de avatares gerados por inteligência artificial usados para comentar política no Brasil. Em 61% das ocorrências, os conteúdos não traziam qualquer sinalização de que haviam sido produzidos com tecnologia. Em 78% dos casos, os perfis sintéticos disseminaram alegações enganosas sobre políticos ou instituições democráticas.
-
Data integra debate sobre ECA Digital no São Paulo Innovation Week
A participação da Data Privacy Brasil no debate sobre o ECA Digital durante o São Paulo Innovation Week foi destacada em matéria do Estadão publicada nesta quinta-feira (14). O codiretor da associação, Rafael Zanatta, participou do painel “Crianças e Adolescentes nas Redes: O ECA Digital Mudou Mesmo o Cenário no País?”, ao lado da juíza Vanessa Cavalieri e com mediação da jornalista Renata Cafardo. Foto: Isabella Finhold/Estadao
-
Campanhas ampliam ataques e alimentam guerra judicial após IA inundar redes
A Folha de S.Paulo publicou reportagem que repercute achados do Observatório IA nas Eleições, iniciativa da Data Privacy Brasil em parceria com o Aláfia Lab, evidenciando como o uso de inteligência artificial já impacta o ambiente eleitoral brasileiro.
-
Por que estamos lançando um curso sobre ECA Digital?
Data Privacy Brasil lança um curso inédito sobre ECA Digital voltado exclusivamente para membros do sistema de justiça, com enfoque em Defensores Públicos, Promotores de Justiça e membros do Sistema Nacional de Defesa do Consumidor, como os Procons.
-
Data participa do 13º Digital Rights and Inclusion Forum (DRIF)
Entre 14 e 16 de abril, a Data Privacy Brasil esteve presente no Digital Rights and Inclusion Forum (DRIF), em Abidjan, Costa do Marfim. Em sua 13ª edição, o evento é uma das principais conferências sobre direitos digitais no continente africano. Confira nosso relato!
-
Entre o direito e a prática: a consulta pública do Guia de Uso Ético de IA
O Ministério da Justiça e Segurança Pública (MJSP), por meio da Secretaria de Direitos Digitais (Sedigi), abriu consulta pública para o Guia de Uso Ético de Inteligência Artificial para o Usuário Brasileiro. A Data Privacy Brasil contribuiu no âmbito do projeto IA com Direitos, em trabalho colaborativo entre as áreas Plataformas e Mercados Digitais, Governança e Regulação e Assimetrias e Poder.
-
PL n° 4.675/2025: onde estamos e para onde podemos ir?
Com o regime de urgência aprovado pela Câmara, o PL 4.675/2025 entra em fase em que incidência e disputa de narrativa importam tanto quanto o desenho técnico da proposta. Saiba mais com o nosso artigo.
-
O dever de transparência de datacenters
O PL nº 278/2026 prevê benefícios fiscais para a instalação de datacenters no Brasil. A renúncia de receita pública exige uma contrapartida: transparência ativa sobre os impactos ambientais das instalações. Confira o editorial da semana!
-
Dos júris civis nos EUA ao ECA Digital: a emergência dos ilícitos de design
O julgamento de dois júris civis envolvendo as Big Techs nos EUA tem provocado uma mudança paradigmática na aplicação do direito com relação às tecnologias da informação. Saiba mais no editorial da semana!
-
Data Privacy Brasil divulga nota pública de apoio ao PL de mercados digitais
A Data Privacy Brasil se posiciona a favor da aprovação do Projeto de Lei 4.675/2025, que modifica a legislação de direito da concorrência no Brasil e institui um novo modelo regulatório para os mercados digitais.
-
ECA Digital entra em vigor: o que a lei prevê e o que ainda falta regulamentar
A Lei nº 15.211/2025, conhecida como Estatuto Digital da Criança e do Adolescente, entra em vigor hoje, 17 de março de 2026. Sancionada em setembro de 2025, a lei define novas obrigações para plataformas digitais — redes sociais, aplicativos, jogos eletrônicos, lojas de aplicativos e sistemas operacionais — que sejam direcionadas a crianças e adolescentes ou de acesso provável por eles, independentemente de onde a empresa esteja sediada.
-
IA nas eleições: as novas regras do TSE para propagandas eleitorais e plataformas
Na sessão de 2 de março, o TSE aprovou regras que reposicionam a inteligência artificial no centro da propaganda eleitoral de 2026. O texto cria uma janela de restrição para conteúdos sintéticos novos nas 72 horas antes e nas 24 horas depois da votação, reforça rotulagem e deveres de informação ao eleitor e limita recomendações eleitorais por sistemas de IA.
-
Tabuleiro #144 | A IA já causa danos: nossa biblioteca os torna visíveis
No Tabuleiro realizamos uma curadoria semanal com o que há de mais atual e relevante no campo da proteção de dados. Confira a edição desta semana!
-
Data Privacy Brasil publica Nota Técnica sobre o PL que institui o Regime Especial de Tributação para Serviços de Datacenter – REDATA
Histórico O Projeto de Lei (PL) nº 278/2026, de autoria do Deputado José Guimarães, foi apresentado em 4 de fevereiro de 2026. Ele tem origem na Medida Provisória nº 1.318, de 17 de setembro de 2025, e busca dar continuidade à política proposta por ela, mas por meio do trâmite legislativo ordinário, a fim de […]
-
Roda de Conversa: Implementando o ECA Digital
O ECA Digital entra em vigor em breve e impõe uma nova camada de responsabilidades para empresas, plataformas digitais e profissionais que atuam com proteção de dados, compliance, jurídico e tecnologia. Mais do que compreender o texto legal, o grande desafio está em como implementar, na prática, as obrigações relacionadas à proteção de crianças e adolescentes no ambiente digital. Participe deste evento gratuito com a gente!
-
Os caminhos para uma Internet Segura
Mais de 180 países celebram hoje o Dia da Internet Segura (Safer Internet Day). Trata-se de uma iniciativa internacional para promover o uso seguro, ético, responsável e respeitoso da internet e das tecnologias digitais. A experiência na internet não é igual para todas as pessoas e é um dever coletivo torná-la melhor.
-
Data Privacy Brasil leva propostas à audiência pública do TSE sobre a minuta da resolução de propaganda eleitoral
No dia 5 de fevereiro de 2026, a Data Privacy Brasil participou da audiência pública no Tribunal Superior Eleitoral (TSE) sobre a minuta da resolução que dispõe sobre propaganda eleitoral e sobre regras relacionadas ao ambiente digital nas Eleições Gerais de 2026. Representada por Bruno Bioni, a organização levou contribuições ancoradas em um ponto de partida: “Os danos no processo eleitoral são tipicamente irreversíveis, por isso a arquitetura regulatória precisa ser mais preventiva”.
-
Tabuleiro #141 | A construção das regras das Eleições Gerais de 2026
No Tabuleiro realizamos uma curadoria semanal com o que há de mais atual e relevante no campo da proteção de dados. Confira a edição desta semana!
-
Dia Internacional da Proteção de Dados: uma data cada vez mais relevante
Neste Dia Internacional da Proteção de Dados, traçamos um panorama sobre sua origem, a evolução do conceito de privacidade, as diferentes abordagens regulatórias ao redor do mundo e o novo marco da adequação entre Brasil e União Europeia.
-
O que esperar de 2026 na agenda de direitos digitais?
A Data Privacy Global Conference encerrou 2025 com algumas mensagens importantes para o campo da governança de dados e tecnologias. Uma delas foi a centralidade das escolhas de design de produtos e serviços para a proteção de direitos fundamentais no ambiente online, em particular de crianças e adolescentes. Também central foram as altas expectativas, e incertezas, sobre […]
-
Já ajustou sua agenda com a da ANPD?
Talvez o local mais propício para entender o futuro da proteção de dados e proteção da criança online seja a Agenda Regulatória e o Mapa de Temas Prioritários de 2026 publicados pela Agência Nacional de Proteção de Dados. Fique por dentro das expectativas regulatórias do ano!
-
Agenda de direitos digitais em 2026: adequação ao ECA Digital, regulação de IA e concorrência
O início de 2026 já dá o tom das principais discussões em direitos digitais deste ano. Casos recentes, que vão de plataformas de jogos a assistentes de inteligência artificial, ajudam a entender como conflitos concretos de design, mercado e governança estão sendo rapidamente conectados a iniciativas legislativas e regulatórias no Brasil. Afinal, o que esse começo de ano propõe para o campo dos direitos digitais?
-
Como participar da construção das regras das Eleições Gerais de 2026
A participação na elaboração das normas eleitorais importa. Ela reforça a legitimidade, melhora a qualidade do debate público e reduz a distância entre o que está no papel e o que acontece na prática. Saiba como você pode fazer a diferença!
-
A Cúpula de Impacto de IA de 2026 (“AI Impact Summit”)
A Cúpula de Impacto da Inteligência Artificial, internacionalmente conhecida como AI Impact Summit, é um evento que será realizado pelo governo da Índia em fevereiro de 2026, em Nova Délhi, em continuidade às cúpulas anteriormente promovidas pelos governos do Reino Unido e da França. Fique por dentro!
-
Caso Grok: quando imagens sintéticas produzem danos reais
Nas últimas semanas, o chatbot Grok (da xAI), que integra o mesmo grupo da rede social X (ex-Twitter), está no centro de uma controvérsia que envolve a geração de imagens sexualizadas sem consentimento. Saiba mais sobre o caso.
-
Dados ecossistemas e Infraestruturas: A 1ª Edição da Escola de Governança de Dados
Entre 10 e 14 de novembro de 2025, a Data Privacy Brasil com apoio do CEDIS-IDP fez a primeira edição da Escola de Governança de Dados no IDP, em Brasília. Com apoio do CEDIS-IDP o curso promoveu um espaço de discussão qualificada dessa forma de enxergar dados e infraestrutura de maneira integrada a partir da governança de dados. Vem ver o que rolou no curso!
-
COP30, dados e uso da terra: conversando sobre agendas de combate à grilagem
No dia 12 de novembro de 2025, a Data Privacy Brasil realizou uma roda de conversa sobre dados e grilagem de terras, como parte da programação da COP do Povo, evento paralelo à COP30. Intitulada “COP30, dados e uso da terra: conversando sobre agendas de combate à grilagem”. Confira nosso relato!
-
Em memória de Danilo Doneda
Hoje, quatro de dezembro, completam-se três anos sem Danilo Doneda, um dos pioneiros e condutores do campo da proteção de dados pessoais no Brasil. A presença dele na Data Privacy Brasil segue sendo marcante e inspiradora.
-
Nota pública sobre o PL 5582/2025 (PL Antifacção)
A Data Privacy Brasil vem a público externar sua preocupação com as propostas voltadas para tratamento de dados pessoais e criação do Banco Nacional de Dados de Organizações Criminosas Ultraviolentas, Grupos Paramilitares ou Milícias Privadas e dos Bancos Estaduais de Dados de Organizações Criminosas Ultraviolentas, Grupos Paramilitares ou Milícias privadas.
-
Nota pública sobre Sistema Nacional de Regulação e Governança de Inteligência Artificial
A Data Privacy Brasil vem a público reforçar a necessidade de uma legislação de Inteligência Artificial que preveja um sistema robusto de aplicação de normas, tal como proposto com o Sistema Nacional de Regulação e Governança de Inteligência Artificial, batizado de “SIA” no Projeto de Lei 2338/2023, em discussão na Câmara dos Deputados.
-
Caso Córtex: o Combate ao Megazord da Vigilância
O sistema Córtex, regulamentado em 2021, é uma grande plataforma de vigilância criada pelo governo federal, capaz de unificar e cruzar informações de mais de 160 bases de dados, públicas e sigilosas, sobre pessoas, veículos e empresas. Seu propósito é definir alvos para cercamento eletrônico e monitoramento persistente. O acesso é capilarizado, alcançando Polícias Militares, Civis e até Guardas Civis Metropolitanas. Conforme detalhamos em nossa análise “Por que precisamos rever o uso do Córtex no Brasil?”, publicada em dezembro de 2024, a decisão de revisão do programa Córtex não surgiu como uma iniciativa espontânea, mas sim como uma reação a pressões feitas pela sociedade civil nos últimos quatro anos.
-
Caminhos para a regulação de IA no Brasil
Nos últimos meses, a Data Privacy Brasil reuniu seu time de pesquisa para refletir sobre mudanças possíveis no texto do Projeto de Lei 2338/23, que define princípios, direitos e regras de governança para sistemas de Inteligência Artificial (IA) no Brasil.
-
Proteção de dados e transparência pública em prol de políticas ambientais
Decisão da 9ª Vara Federal Ambiental e Agrária da Justiça Federal do Pará garante abertura de dados da Guia de Trânsito Animal no estado.
-
Governança da IA de baixo para cima
Nos dias 25 e 26/09/25, participamos do evento “Workers Governing Technologies Workshop”, promovido pelo grupo de pesquisa Creative Labour and Creative Futures na Universidade de Toronto no Canadá.
-
A transformação da ANPD: de Autoridade à Agência Nacional de Proteção de Dados
A ANPD encontra-se em um momento decisivo de consolidação institucional, marcado por mudanças normativas e estruturais que reforçam sua posição como órgão regulador central no ecossistema de proteção de dados brasileiro.
-
Já é Carnaval, meu amor, proteja-se!
O Carnaval do Brasil é mundialmente conhecido, seja pela tradição do samba na avenida ou pela imensidão dos blocos de rua. Na euforia dos blocos, muitas vezes encontramos um problema crítico: danos causados a pessoas que tiveram celulares furtados ou roubados, com invasões de contas, redes sociais e aplicativos de mensageria. Confira as dicas para você curtir com segurança!
-
O que está por trás do CPF nas farmácias?
4 conteúdos para você se aprofundar na relação entre dados e farmácias
-
Contribuição para audiência pública sobre aspectos concorrenciais dos ecossistemas digitais
Contribuição da Data Privacy Brasil para a audiência pública do Conselho Administrativo de Defesa Econômica (CADE) sobre os aspectos concorrenciais dos ecossistemas digitais de sistemas operacionais móveis, realizada no dia 19 de fevereiro de 2025.
-
Glossário 2024: os principais temas do nosso ano em um só lugar
Confira cinco conceitos que marcaram o ano de 2024 selecionados pela equipe Data!
-
Conheça a norma do encarregado!
Recentemente a Autoridade Nacional de Proteção de Dados (ANPD) publicou o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. O Encarregado é uma figura central uma vez que ele é o canal de contato entre o titular dos dados, o agente de tratamento e a ANPD. Separamos tudo o que você precisa saber sobre a nova norma!
DataPrivacyBr Research | Conteúdo sob licenciamento CC BY-SA 4.0