Durante os meses de março e abril, recebemos repetidos e-mails informando sobre o vencimento iminente de um dos nossos certificados digitais e solicitando o pagamento da taxa de renovação. Ao verificarmos internamente, constatamos que a empresa remetente desses e-mails não tinha qualquer vínculo com o nosso certificado digital, evidenciando que se tratava de uma tentativa de fraude, o que nos levou a ignorá-los.

Poucos dias depois, a empresa que efetivamente gerenciava nosso certificado digital nos comunicou sobre um vazamento de dados em sua base. Foi nesse momento que compreendemos a ligação entre os dois eventos: o vazamento de dados expôs nossas informações, o que resultou na tentativa de golpe relacionada à renovação do certificado digital.

Esse incidente deixou clara a relevância da proteção de dados e o papel essencial da LGPD na prevenção de fraudes e na proteção da reputação das empresas. Mais do que uma questão de conformidade legal, a implementação de medidas adequadas de segurança da informação é fundamental para evitar prejuízos financeiros, multas e ações judiciais, além de preservar a imagem da empresa no mercado.

Nesta situação específica, a empresa responsável pelo certificado digital tomou algumas medidas que foram fundamentais para nos ajudar a compreender o ocorrido. A notificação do vazamento de dados nos permitiu adotar uma postura preventiva, de modo que tivemos atenção e não fomos enganados pelos e-mails fraudulentos que solicitavam a renovação. Como temos uma organização interna eficiente, investigamos a veracidade dos e-mails antes de realizar qualquer pagamento e identificamos que não tinham relação com o nosso certificado. No entanto, sabemos que muitas empresas, especialmente as de menor porte e com equipes reduzidas, podem não ter a mesma estrutura ou tempo para esse tipo de verificação.

Nesses casos, a rotina intensa e o volume de trabalho podem fazer com que um e-mail falso passe despercebido, resultando em um pagamento indevido. A notificação sobre o vazamento de dados é crucial para alertar as empresas sobre possíveis fraudes e evitar que danos maiores ocorram, funcionando como um lembrete de que possíveis cobranças recebidas anteriormente são indevidas. Isso é especialmente importante para pequenas empresas, que, com equipes reduzidas e falta de tempo para análises detalhadas, ficam mais suscetíveis a esse tipo de golpe. A agilidade e transparência na comunicação do incidente são essenciais para prevenir fraudes e garantir que os clientes possam tomar decisões mais informadas e seguras.

Quando um vazamento de dados ocorre, é crucial agir rapidamente para mitigar os danos. As empresas devem seguir alguns passos importantes:

1. Notificação imediata: Comunicar o incidente às autoridades competentes, como a Autoridade Nacional de Proteção de Dados (ANPD), conforme as exigências da LGPD.

2. Transparência com os clientes: Informar prontamente os clientes cujos dados possam ter sido comprometidos, oferecendo orientações sobre como se proteger de possíveis golpes.

3. Adoção de medidas corretivas: Implementar as ações necessárias para reforçar a segurança dos sistemas, como auditorias, revisões de políticas internas e aprimoramento das ferramentas de proteção de dados.

As medidas adotadas foram cruciais para o nosso caso. A notificação rápida sobre o vazamento de dados possibilitou a remoção imediata de e-mails fraudulentos, evitando que o golpe prosseguisse. A transparência da empresa responsável foi fundamental para entendermos a gravidade da situação e estarmos cientes dos riscos envolvidos. Além disso, a empresa implementou ações corretivas para reforçar a segurança de seus sistemas, tranquilizando os clientes sobre a prevenção de novos incidentes.

Essas medidas não só evitam a recorrência do problema como demonstram o comprometimento da empresa com a proteção dos dados de seus clientes, o que é vital para manter a confiança e a credibilidade no mercado.

Esse caso reforça uma lição valiosa: a segurança de dados vai além de evitar multas. É uma questão estratégica para proteger a integridade dos negócios e assegurar a tranquilidade dos clientes. Implementar a LGPD com seriedade é mais do que uma obrigação legal; é uma vantagem competitiva em um ambiente empresarial cada vez mais desafiador.

Vale destacar que, de acordo com a Lei Geral de Proteção de Dados (LGPD), informações de saúde são classificadas como dados sensíveis. Isso significa que seu uso e tratamento exigem um nível maior de cuidado, incluindo consentimento explícito e garantias de segurança. O profissional não forneceu essas explicações, e só quando questionei sobre o uso das fotos recebi a resposta de que não seriam publicadas. Mesmo assim, não sei como elas são armazenadas ou protegidas.

Além disso, o personal trainer oferecia uma política de devolução de dinheiro caso eu não me adaptasse ao método após um mês. No entanto, essa devolução era apresentada como um diferencial, sem critérios específicos ou condições estabelecidas. Não foi explicado se a devolução seria integral ou parcial, nem se haveria alguma regra que pudesse protegê-lo financeiramente. A falta de clareza e a ausência de um contrato formal que aborde esses pontos geram riscos significativos, tanto para o profissional quanto para o cliente.

Como advogada empresarial, enxergo três grandes riscos para ele:

1. Uso de Imagens e Dados Sensíveis: A ausência de uma cláusula clara sobre o uso de imagens e a proteção de dados sensíveis, como informações de saúde, pode resultar em violação da LGPD. Isso expõe o profissional a possíveis ações judiciais, especialmente se as imagens forem utilizadas sem autorização explícita.
2. Política de Devolução Mal Definida: Sem critérios para a devolução de valores, o profissional pode se ver em uma situação financeira insustentável. Se vários clientes solicitarem reembolso ao mesmo tempo, sem regras claras, ele pode enfrentar dificuldades para devolver os valores ou até comprometer a continuidade do negócio.
3. Segurança Jurídica: Um contrato formal, que contemple o uso de dados sensíveis, garantias e condições claras para a devolução, protege o profissional e o cliente, assegurando que ambos compreendam suas responsabilidades e direitos.

A falta de um contrato bem estruturado me deixou desconfortável. A ausência de explicações sobre o uso das fotos e a política de devolução me preocupou, e foi somente após questioná-lo que obtive respostas parciais. Isso reforça a necessidade de que, ao prestar serviços online, o profissional se preocupe não apenas com a qualidade da entrega, mas também com a segurança jurídica e transparência de suas relações comerciais.

Ter conhecimento técnico e realizar boas entregas é importante, mas não é suficiente para alavancar um negócio de forma sustentável. Estar atento à segurança jurídica e à credibilidade, através de contratos bem elaborados e uma comunicação transparente, é um diferencial essencial que pode proteger o profissional e fortalecer sua reputação no mercado.

Fica o alerta para todos os profissionais que trabalham online: um contrato bem elaborado não é apenas um detalhe, é uma necessidade. Ele garante que tanto o cliente quanto o prestador de serviços estejam protegidos e que o serviço seja prestado de forma ética, legal e segura.

Após diversos questionamentos, entendi qual seria o cenário e segui com a contratação dele, contudo, apenas tive a clareza de entender que esses pontos são importantes e pedi esclarecimento prévio pois trabalho com essas questões, e sei como é desconfortável ter que alinhar tudo isso quando o problema já está acontecendo, por isso a preocupação em entender corretamente antes de iniciar o trabalho. Minha experiência também me fez perceber que nunca deveria ser o cliente a questionar sobre a utilização e proteção de suas imagens ou dados sensíveis. Isso deve partir do profissional. Garantir que o cliente esteja ciente de como seus dados serão tratados é um sinal de respeito e profissionalismo, além de ser um requisito legal.

#LGPD #Contratos #ProteçãodeDados #ServiçosOnline #AdvocaciaEmpresarial

Gabrielli Koizumi

OAB/SP 461.634