LEIS, POLITICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO I

Prévia do material em texto

Autora: Profa. Angélica L. Carlini
Colaborador: Ricardo Sewaybriker
Leis, Políticas e Normas de 
Segurança da Informação
Professora conteudista: Angélica L. Carlini
Doutora em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie. Doutora em Educação pela 
Pontifícia Universidade Católica de São Paulo (PUC-SP). Mestre em Direito Civil pela Universidade Paulista (UNIP). 
Mestre em História Contemporânea e graduada em Direito pela PUC-SP. Pós-doutora em Direito Constitucional pela 
PUC do Rio Grande do Sul (PUCRS).
Docente na área de Direito da UNIP. Professora convidada do Programa de Mestrado em Administração da UNIP. 
Professora e Coordenadora do MBA de Gestão Jurídica de Seguros e Resseguros da Escola de Negócios e Seguros (ENS). 
Vice-presidente do Instituto Brasileiro de Direito Contratual (IBDCONT). Membro do Conselho Científico do Comitê 
Iberolatinoamericano da Associação Internacional de Direito de Seguro (Aida). Vice-presidente da Associação Brasileira 
de Auditoria, Riscos e Compliance (Abrarc). Advogada, parecerista e pesquisadora na área de Inovação e Seguro pelo 
Centro de Pesquisa e Economia do Seguro da ENS.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
C282l Carlini, Angélica L.
Leis, Políticas e Normas de Segurança da Informação / Angélica L. 
Carlini. – São Paulo: Editora Sol, 2020.
256 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Fundamentos de direito. 2. Segurança da informação. 3. 
Governança corporativa. I. Título.
CDU 681.3.004.4 
U508.67 – 20
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy 
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial: 
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Bruna Baldez
 Bruno Barros
 Giovanna Oliveira
Sumário
Leis, Políticas e Normas de Segurança da Informação
APRESENTAÇÃO ......................................................................................................................................................9
INTRODUÇÃO ........................................................................................................................................................ 10
Unidade I
1 SOCIEDADE DE INFORMAÇÃO .................................................................................................................... 15
1.1 Conceitos e princípios da segurança da informação ............................................................. 21
1.1.1 Conceitos relevantes para a segurança da informação .......................................................... 21
1.1.2 Princípios de segurança da informação ........................................................................................ 26
2 FUNDAMENTOS DE DIRETO ......................................................................................................................... 28
2.1 Compreensão do direito e sua finalidade ................................................................................... 28
2.2 Direito público e direito privado .................................................................................................... 31
2.3 Sistema jurídico brasileiro ................................................................................................................. 32
2.4 Fontes do direito: a lei e outras fontes importantes do direito brasileiro .................... 34
2.4.1 A Lei .............................................................................................................................................................. 36
2.4.2 Princípios .................................................................................................................................................... 39
2.4.3 Costumes .................................................................................................................................................... 41
2.4.4 Jurisprudência .......................................................................................................................................... 42
2.4.5 Doutrina ...................................................................................................................................................... 45
2.5 Direito constitucional ......................................................................................................................... 46
2.5.1 Definição de constituição e história da Constituição Federal brasileira .......................... 46
2.5.2 Direitos e garantias fundamentais constitucionais .................................................................. 49
2.5.3 Livre iniciativa e livre concorrência – princípios da ordem econômica 
na Constituição Federal brasileira ............................................................................................................... 59
Unidade II
3 DIREITO PRIVADO E APLICAÇÃO À SEGURANÇA DA INFORMAÇÃO........................................... 64
3.1 Direito civil: histórico e conceito ................................................................................................... 64
3.2 Pessoa natural ........................................................................................................................................ 65
3.3 Pessoa jurídica ....................................................................................................................................... 68
3.4 Direitos da personalidade ................................................................................................................. 70
3.5 Contratos ................................................................................................................................................. 79
3.5.1 Histórico e definição .............................................................................................................................. 79
3.5.2 Classificação .............................................................................................................................................. 81
3.5.3 Princípios .................................................................................................................................................... 83
3.5.4 Extinção dos contratos ......................................................................................................................... 83
3.5.5 Contratos e segurança da informação ........................................................................................... 84
3.6 Responsabilidade civil ........................................................................................................................ 85
3.7 Direito do consumidor ....................................................................................................................... 95
3.7.1 História do direito do consumidor ................................................................................................... 96
3.7.2 Conceito de consumidor e de fornecedor ....................................................................................96
3.7.3 A política nacional das relações de consumo ............................................................................. 98
3.7.4 Direitos básicos do consumidor ......................................................................................................100
3.7.5 Responsabilidade do fornecedor de produtos ou serviços ..................................................102
3.7.6 Da proteção contratual do consumidor ......................................................................................104
3.7.7 Sistema de proteção do consumidor ............................................................................................106
3.8 Direito empresarial ............................................................................................................................109
3.8.1 Empresa, empresário e estabelecimento empresarial .............................................................111
3.8.2 Obrigação dos empresários e registro da empresa ................................................................. 113
3.8.3 Tipos de organização empresarial mais utilizados no Brasil ............................................... 113
3.8.4 Desconsideração da personalidade jurídica .............................................................................. 120
3.8.5 Incorporação, fusão, cisão e dissolução de empresas ........................................................... 122
3.8.6 Falência e recuperação de empresa.............................................................................................. 122
4 PROPRIEDADE INDUSTRIAL.......................................................................................................................123
Unidade III
5 MARCO CIVIL DA INTERNET – LEI N. 12.965 DE 2014 ....................................................................130
5.1 Introdução à Lei Geral de Proteção de Dados (LGPD) .........................................................135
5.1.1 LGPD: principais aspectos ................................................................................................................ 136
5.2 Termos técnicos utilizados pela LGPD .......................................................................................137
5.3 Objetivos da lei ....................................................................................................................................141
5.4 Princípios da LGPD .............................................................................................................................142
5.5 Requisitos para tratamento e compartilhamento de dados pessoais ..........................145
5.5.1 Requisitos para tratamento de dados pessoais ....................................................................... 145
5.5.2 Requisitos para compartilhamento de dados pessoais ........................................................ 146
5.6 Direitos do titular de dados pessoais .........................................................................................147
5.7 Agentes de tratamento de dados pessoais e responsabilidades .....................................150
5.7.1 Agentes de tratamento ..................................................................................................................... 150
5.7.2 Responsabilidade dos agentes de tratamento de dados pessoais ....................................151
5.8 Segurança no tratamento de dados ...........................................................................................152
5.9 Comunicação imediata de riscos ou danos .............................................................................153
5.10 Boas práticas e governança .........................................................................................................154
5.11 Sanções aplicáveis aos agentes de tratamento de proteção de dados ......................155
5.12 Autoridade Nacional de Proteção de Dados (ANPD) .........................................................157
5.13 Tratamento de dados sensíveis e de dados de crianças e adolescentes ....................158
5.13.1 Dados pessoais sensíveis ................................................................................................................ 158
6 NORMAS DE SEGURANÇA DA INFORMAÇÃO ....................................................................................161
6.1 Segurança da informação e a família ISO/IEC 27000 .........................................................170
6.2 ISO/IEC 27000 ......................................................................................................................................175
6.3 ISO/IEC 27001 ......................................................................................................................................177
6.4 ISO/IEC 27002 ......................................................................................................................................180
6.5 Política de segurança da informação .........................................................................................184
Unidade IV
7 GOVERNANÇA CORPORATIVA NA SEGURANÇA DA INFORMAÇÃO ..........................................199
7.1 Histórico, definição e princípios ...................................................................................................199
7.2 Governança corporativa de tecnologia da informação ......................................................208
7.3 Ética: elemento fundamental da governança corporativa ...............................................213
7.4 Conceito de ética e moral ...............................................................................................................213
7.5 Ética empresarial ................................................................................................................................215
8 COMPLIANCE E SEGURANÇA DA INFORMAÇÃO ..............................................................................219
8.1 Lei Anticorrupção ...............................................................................................................................228
8.2 Lei de Lavagem de Dinheiro ...........................................................................................................232
8.3 Crimes cibernéticos ...........................................................................................................................235
8.4 Direito digital .......................................................................................................................................238
9
APRESENTAÇÃO
Você já deve ter ouvido ou lido que vivemos, na atualidade, em uma sociedade de informação. Essa 
afirmação é repetida na imprensa, nas redes sociais e no ambiente escolar e profissional com frequência, 
mas, acredite, nem sempre quem afirma que vive em uma sociedade de informação sabe exatamente 
o que isso significa ou, pelo menos, tem uma noção precisa das múltiplas possibilidades que estão 
contidas nessa afirmação.
Também é provável que você já tenha ouvido, por inúmeras vezes, as palavras que se tornaram 
parte do nosso vocabulário de alguns anos para cá: informação, big data, inteligência artificial, machine 
learning e sociedade em rede. Também mais recentemente, nosso vocabulário ficou repleto de termos 
como fintechs, insurtechs, sandbox, bitcoins, criptomoedas, entre tantos outros.
São esses elementos que nos fazem ter certeza de que estamos de fato em um mundo que muda 
rapidamente em razão das novas tecnologias. Essas mudanças estão presentes na nossa forma de 
falar – com a inserção desses novos termos que nos referimos anteriormente –, na forma de nos 
comunicarmos uns com os outros, na nossa maneira de trabalhar e até nas nossas diferentes formas de lazer.
O trabalho da ciência e da educação universitária profissional é criar ambientes e possibilidades que 
levem o aluno a conhecer e refletir sobre a realidade em que ele vive, de forma observadora e crítica, ou 
seja, em condiçõesde avaliar os principais aspectos de mudança que ocorrem na sociedade e exprimir suas 
opiniões a respeito deles. Neste momento, especificamente, que a sociedade sofre mudanças significativas 
em decorrência da tecnologia e da inovação, é essencial que a relação ensino-aprendizagem seja focada em 
ensinar o aluno a aprender sempre, ou, de forma mais objetiva, ensinar a aprender, porque já temos 
consciência de que o conhecimento produzido no mundo contemporâneo se renova de maneira muito 
rápida, e todos nós devemos buscar continuamente conhecimento para estarmos em condições de viver 
e trabalhar nesta quadra da história da humanidade.
Dados ou informações se tornaram riqueza na economia mundial contemporânea. Possuir dados, 
organizá-los de forma objetiva e com vistas ao desenvolvimento de atividades econômicas já se tornou, 
inclusive, objeto de estudo das ciências, a chamada ciência de dados, que hoje já é curso superior em algumas 
universidades do mundo. Universidades na Holanda, França, Alemanha, Espanha e Bélgica, entre outros 
países, já possuem cursos de ciência de dados, que formam profissionais capacitados a gerenciar, analisar 
e tratar dados para que sejam utilizados por diferentes áreas da produção econômica em fornecimento de 
produtos e serviços. No Brasil, os estudos de ciência de dados também avançam de forma muito rápida e 
mostram claramente as muitas utilidades econômicas de organizar, gerenciar, analisar e tratar dados.
Toda essa movimentação requer, no entanto, segurança. Por isso, a segurança da informação se 
tornou também um objeto de estudo da ciência e uma formação profissional da maior importância.
Segurança da informação é um tema recorrente de muitas áreas da atividade empresarial e 
pessoal na atualidade. Como pessoas naturais, somos titulares de uma grande quantidade de dados 
e informações e, como participantes da vida produtiva – profissionais, empreendedores, empresários –, 
também utilizamos uma enorme quantidade de informação para produzir produtos e serviços.
10
Todas as atividades econômicas hoje utilizam informação, e a perspectiva é de que utilizarão cada 
vez mais. A importância da informação e dos dados não está restrita às atividades de maior envergadura 
econômica; também as atividades corriqueiras utilizam cada vez mais dados e informações que são 
essenciais e precisam ser protegidos com segurança.
Ao abastecer o veículo no posto de gasolina, cortar o cabelo na barbearia, utilizar a academia para 
exercitar-se, fazer compras no supermercado, levar os filhos para a aula de natação, reservar alguns 
minutinhos durante o dia para tomar um café com os amigos na padaria ou cafeteria preferida, ou seja, 
em todos os lugares, geramos dados a nosso respeito e recebemos informação dessas atividades. Os cartões 
 de débito e de crédito, os cartões de afinidade das lojas e dos supermercados, nossas consultas e compras 
na rede mundial de computadores, os perfis que criamos em redes sociais: todas essas atividades, que 
muitas vezes executamos sem nos preocupar, geram dados e informações que podem ser utilizadas de 
forma lícita ou ilícita por alguém.
Nas atividades empresariais acontece o mesmo que na vida das pessoas naturais: todas essas geram 
algum tipo de informação que pode ser útil de forma lícita ou ilícita. Quando as atividades econômicas 
armazenam dados de terceiros, como acontece com bancos, seguradoras, financeiras, operadoras de 
saúde, laboratórios clínicos e hospitais, o gerenciamento da informação e a proteção dela se tornam 
essenciais para que a empresa tenha credibilidade, solvência e continuidade.
No mundo exponencialmente digital em que vivemos, a segurança da informação se tornou necessária 
a ponto de criar novas carreiras profissionais, como: coordenador de segurança da informação, analista 
em segurança de redes de dados, analista em segurança de processos, administrador de redes com perfil 
de segurança, especialista em segurança da informação e consultor em segurança da informação.
Para todas essas carreiras citadas, é fundamental o conhecimento sobre o direito, ou, mais 
especificamente, sobre as leis e as normas que regem cada atividade profissional. Para os profissionais 
de segurança da informação, o conhecimento sobre leis, normas e políticas de segurança da informação 
é ainda mais relevante, porque cabe a eles proteger um valor que se tornou essencial para a existência 
de inúmeras empresas e pessoas em todo o mundo.
Bem-vindo ao mundo jurídico da proteção à informação! Que ele o torne ainda mais capacitado 
tecnicamente para dar conta dos desafios da vida pessoal e profissional.
INTRODUÇÃO
Informação é um valor para a sociedade em que vivemos e para as organizações que nela se formam. 
Todas as informações são relevantes para alguém e para alguma finalidade, lícita ou ilícita. Organizar 
com segurança e preservar as informações é hoje objeto de estudo de uma área do conhecimento, que 
recebe o nome de segurança da informação.
Dados pessoais, conhecimento, processos de gestão, fluxos de produção, planilhas de dados 
operacionais, todos esses são exemplos de informação que as instituições produzem em seu cotidiano 
e que precisa ser organizada, analisada, utilizada, mas, principalmente, muito bem protegida contra a 
utilização ou o compartilhamento indevido.
11
Por vezes, a atividade empresarial compartilha uma informação como forma de produção de riqueza, 
e, nesse caso, é essencial que a informação seja compartilhada apenas com os destinatários previamente 
identificados, de forma segura e controlada, para evitar que aqueles que não estão autorizados tenham 
acesso a ela.
Esse compartilhamento se tornou muito comum na sociedade contemporânea, conhecida como 
sociedade em rede, como definiu Manuel Castells:
Rede é um conjunto de nós conectados. Nó é ponto no qual uma curva 
se entrecorta. Concretamente, o que é um nó depende do tipo de redes 
concretas de que falamos. São mercados de bolsas de valores e suas centrais 
de serviços auxiliares avançados na rede dos fluxos financeiros globais. São 
conselhos nacionais de ministros e comissários europeus da rede política 
que governa a União Europeia. [...] A topologia definida por redes determina 
que a distância (ou intensidade e frequência de interação) entre dois pontos 
(ou posições sociais) é menor (ou mais frequente, ou mais intensa), se ambos 
os pontos forem nós de uma rede do que se não pertencerem à mesma 
rede. Por sua vez, dentro de determinada rede os fluxos não têm nenhuma 
distância, ou a mesma distância, entre dois nós. Portanto a distância (física, 
social, econômica, política, cultural) para um determinado ponto ou posição 
varia entre zero (para qualquer nó da rede) e infinito (para qualquer ponto 
externo à rede). A inclusão/exclusão em redes e a arquitetura das relações 
entre redes, possibilitadas por tecnologias da informação que operam à 
velocidade da luz, configuram os processos e funções predominantes em 
nossas sociedades (CASTELLS, 2016, p. 554).
Observe que Castells se refere às redes como processos e funções 
predominantes em nossas sociedades e sinaliza que essas redes estão 
presentes em todas as formas de organização social contemporânea, tanto 
na área econômica e política, que ele menciona no início do texto, quanto em 
todas as demais que compõem a vida humana como social, cultural e física.
No entanto, Castells afirma ainda mais:
Uma vez que as redes são múltiplas, os códigos interoperacionais e as 
conexões entre redes tornam-se as fontes fundamentais da formação, 
orientação e desorientação das sociedades. A convergência da evolução 
social e das tecnologias de informação criou uma nova base material 
para o desempenho de atividades em toda a estrutura social. Essa base 
material construída em redes define os processos sociais dominantes, 
consequentemente dando forma à própria estrutura social.
[...]
12
Em razão da convergência da evolução histórica e da transformação 
tecnológica, entramos em um modelo genuinamentecultural de interação 
e organização social. Por isso é que a informação representa o principal 
ingrediente de nossa organização social, e os fluxos de mensagens e imagens 
entre as redes constituem o encadeamento básico de nossa estrutura social 
(CASTELLS, 2016, p. 554-560)
Se a informação representa o principal ingrediente de nossa organização social contemporânea, como 
afirma Castells (2016), então podemos avaliar com razoável precisão a importância da segurança de 
informação para a sociedade em que vivemos, considerando o fato de que as informações não param 
de circular entre as redes de relações sociais, econômicas, culturais e políticas, porque esse é o modo de viver do 
nosso tempo atual. O texto de Castells nos permite ter uma boa dimensão da relevância de garantir 
que a informação circule com segurança e, principalmente, que os fluxos de informação não parem 
de existir, para que a vida em sociedade aconteça e atenda aos objetivos aos quais se destina.
Todos nós já lemos notícias sobre vazamentos de dados ou de informações que provocaram prejuízos 
financeiros para empresas e, principalmente, prejuízos reputacionais. Ninguém confia em uma empresa 
que não consegue organizar e proteger adequadamente a informação que utiliza e arquiva.
A proteção da informação é uma atividade que ocorre no plano nacional e internacional porque, já 
há alguns anos, a transferência de informação se faz em segundos, por meio eletrônico, com notável 
facilidade, mas nem sempre com a segurança necessária.
Tornar a produção, o gerenciamento, a utilização e a transferência de informação uma prática 
sempre segura é o principal objetivo de inúmeros profissionais nas mais variadas áreas de produção de 
serviços, produtos, conhecimento, pesquisa, ciência, tecnologia, entre outras.
Nos últimos anos, várias leis, normas e regulamentos foram criados com o objetivo de regular a 
maneira pela qual a informação pode ser produzida, armazenada e transferida, sempre com o objetivo 
de proteger dados relevantes, cuja divulgação indevida pode causar danos a pessoas e organizações.
Essas leis, normas e regulamentos são a contribuição da área do conhecimento do direito para 
que a sociedade possa se desenvolver por meio de redes e transitar as informações necessárias para seu 
desenvolvimento econômico, social, político e cultural, porém respeitando princípios essenciais da 
dignidade e da personalidade humana.
O ponto central da contribuição do direito – como área do conhecimento que regula as relações 
sociais por meio de leis e sanções – é equilibrar a liberdade de captação e tratamento de informações 
e sua circulação em nível mundial, com o direito que todas as pessoas têm de ter sua dignidade e 
privacidade respeitadas.
Nenhum interesse econômico, político, social ou cultural deve ser superior à proteção da dignidade, 
da personalidade e da privacidade dos seres humanos em todas as épocas de sua vida, em todos os 
lugares e em todas as práticas sociais e profissionais às quais eles possam se dedicar.
13
Equilibrar o direito daqueles que utilizam informações e as fazem circular com o direito daqueles 
que possuem privacidade e dignidade a proteger é o principal papel das normas que regulam a 
segurança da informação, e, por isso, conhecê-las e refletir sobre sua aplicabilidade prática é um dos 
objetivos deste livro-texto.
Entretanto, o esforço para a criação de leis e sistemas de proteção à informação não alcançará seus 
objetivos se as pessoas que trabalham com informação não forem capacitadas para conhecer e executar 
as regras de segurança, fiscalizar e exigir que sejam cumpridas no cotidiano e, principalmente, capacitar 
outras pessoas para que adotem os mesmos cuidados. É preciso que a segurança da informação, mais do 
que o conhecimento de leis e regras, se torne parte da cultura dos diferentes grupos sociais, em especial 
aqueles que utilizam a informação como parte essencial de sua atividade econômica.
Este livro-texto tem por objetivo, portanto, demonstrar a importância das leis e normas que regulam 
a segurança da informação no Brasil e no ambiente internacional, e a melhor forma para atingir esse 
objetivo é permitir que as principais leis e normas sejam compreendidas em sua finalidade, de modo 
que a vida profissional se desenvolva sempre acompanhada desta premissa: a proteção e a segurança 
da informação são essenciais no mundo contemporâneo porque são parte fundamental das 
relações sociais.
15
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
Unidade I
Nesta unidade, vamos tratar dos aspectos conceituais daquilo que convencionamos denominar de 
sociedade de informação ou sociedade digital. Também vamos compreender os conceitos e princípios 
essenciais da segurança da informação. Com esses conhecimentos, estaremos preparados para começar 
a pensar na forma como o direito pode atuar para garantir a segurança da informação. Para isso, 
precisamos compreender os fundamentos do direito e começar a conhecer o direito constitucional, 
que é a área do direito público mais importante no sistema legislativo brasileiro, porque a Constituição 
Federal é a lei maior de nosso ordenamento jurídico.
Vamos ao trabalho!
1 SOCIEDADE DE INFORMAÇÃO
Como vimos na introdução, vivemos em uma sociedade em rede e com grande circulação de dados 
e informações. Os estudiosos têm utilizado a denominação sociedade de informação ou sociedade 
digital para caracterizar esse período em que vivemos, e isso tem uma explicação histórica.
Luiz Akutsu e José Antonio Gomes de Pinho nos remetem à história da construção do termo 
“sociedade de informação”. Afirmam os autores:
A informação, não só como conceito, mas também como ideologia, está 
intrinsecamente ligada ao desenvolvimento do computador durante e 
após a II Guerra Mundial (Kumar, 1997). Dois pontos focais aparecem 
como determinantes para a formação da sociedade da informação: a 
computação e a comunicação, que, por sua vez, são diretamente ligadas 
a “dois objetos tecnológicos”: o microcomputador e a rede Internet (Bell, 
citado por Kumar, 1997).
A teoria da sociedade da informação procura não somente analisar as 
transformações provocadas pelas novas TIs, mas também prever mudanças 
que poderão ocorrer em um futuro próximo. Um dos pressupostos da teoria 
da sociedade da informação é que o advento de novas TIs, ao possibilitar o 
acesso a informações a um maior número de pessoas, com maior rapidez e 
menor custo, não somente aumentaria a oferta de bens disponíveis para a 
humanidade por meio da melhoria do gerenciamento dos bens de produção, 
como também diminuiria os conflitos sociais, ao permitir aos cidadãos 
melhor acesso às informações acerca da gestão dos administradores 
públicos, permitindo-lhes acompanhar as administrações, avaliar e escolher 
melhor seus governantes.
16
Unidade I
Kumar (1997:212) registra que “a ideia de uma sociedade de informação foi 
elaborada sistematicamente, pela primeira vez, por estudiosos japoneses 
em fins da década de 1960”. Citando como exemplo obras de Masuda e 
Kishida, o autor afirma ainda que “os pensadores japoneses figuraram 
entre os mais ativos proponentes da ideia” (Kumar, 1997:212). O mesmo 
autor avalia, entretanto, que o expositor mais eminente do modelo teórico da 
sociedade da informação foi Daniel Bell, cuja teoria coloca o computador como 
o “símbolo principal” e “motor principal” das mudanças advindas. Na sua obra 
O Advento da Sociedade Pós-Industrial, Bell formulou inicialmente a ideia de 
uma sociedade pós-industrial: “A tese apresentada neste livro afirma que 
no decorrer dos próximos trinta ou cinquenta anos presenciaremos o 
aparecimento do que designei como ‘sociedade pós-industrial’, [...] [que] 
constituirá uma característica primordial do século XXI, nas estruturas 
sociais dos Estados Unidos, Japão, União Soviética e Europa Ocidental” 
(Bell, 1977:10).
Já nessa obra, Bell (1977:516) deixava implícita a denominação de sociedade 
da informação: “a sociedade pós-industrial é umasociedade de informação, 
assim como a sociedade industrial é uma sociedade de produção de bens”. 
Em outro trecho da mesma obra, reforça essa denominação: “a sociedade 
pós-industrial representa o aparecimento de novas estruturas e princípios 
axiais: uma sociedade produtora de bens transformada em sociedade de 
informação, ou erudita” (Bell, 1977:538) (AKUTSU; PINHO, 2002, p. 726-727).
Repare que os aportes teóricos utilizados por Akutsu e Pinho referem-se, principalmente, a aspectos 
da produção econômica e tecnológica para construir um conceito de sociedade de informação. De 
fato, a caracterização da sociedade de informação como pós-industrial está relacionada diretamente ao 
modo de produção e aos novos elementos que ele requer para se desenvolver.
Assim, as sociedades pós-industriais ou de informação possuem, quase sempre e respeitadas as 
diferenças econômicas, sociais e culturais que lhes são particulares, as características a seguir:
• Crescimento do setor econômico de serviços: bancos, seguradoras, financeiras e, mais 
recentemente, aplicativos que podem ser utilizados nos mais diversos equipamentos eletrônicos, 
como celulares, tablets, notebooks ou computadores pessoais. O setor de serviços se torna tão 
relevante economicamente quanto o setor industrial.
• Crescimento rápido das tecnologias de informação (TICs): esse crescimento se dá tanto 
em quantidade quanto em possibilidades de acesso. O mundo contemporâneo tem diferentes 
possibilidades de acesso à informação, seja para captação, seja para armazenamento ou 
tratamento dos dados, seja para utilização na vida pessoal ou profissional. Até os bens, ou as 
coisas, já possuem acesso à internet, como televisões, carros, relógios e mesmo alguns modelos 
de geladeira; também sistemas de alarme, de iluminação, que podem ser acessados à distância ou 
monitorados por seus proprietários. O mesmo acontece na área de produção econômica, em que 
17
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
muitos dispositivos estão conectados à internet e podem ser monitorados e acessados à distância 
por seus usuários.
• Importância do conhecimento e das práticas criativas: o conhecimento e as práticas criativas 
são fundamentais na sociedade de informação porque o crescimento das possibilidades de utilização 
dos recursos tecnológicos está diretamente relacionado com a criatividade de quem trabalha com 
eles. A maior prova disso são os incontáveis aplicativos que surgiram nos últimos anos para as mais 
diversificadas finalidades, inclusive para serviços de intermediação de transporte e hospedagem.
Assim, a sociedade pós-industrial ou sociedade de informação, ou, ainda, sociedade digital, vai 
aos poucos substituindo a ideia de produção industrial que a humanidade conheceu após o período 
da Revolução Industrial – que marcou profundamente a história e gerou resultados relevantes, como 
a produção em massa e a urbanização – e deixando ainda mais longínquo o período da produção 
essencialmente agrícola que a humanidade conheceu em seus primórdios.
No âmbito da abordagem da área do conhecimento do direito, a sociedade de informação ou digital 
tem outra perspectiva. Ana Elizabeth Lapa Wanderley Cavalcanti afirma:
A ciência, as novas descobertas e as novas tecnologias fazem parte da sociedade 
moderna de tal forma que não conseguimos mais pensar em nossas vidas sem 
o uso de equipamentos eletrônicos, mecanismos digitais etc. A vida hoje gira ao 
redor das tecnologias de informação e conhecimento (TICs), muitas das nossas 
atividades são totalmente mecanizadas. Esta é uma realidade, a nosso ver, sem 
volta. Daqui para frente teremos cada dia mais uma novidade tecnológica que 
iremos acrescentar ao nosso dia a dia, seja no trabalho, na nossa residência, na 
relação com os amigos, com nossos médicos, com o governo etc.
Essa nova realidade nos traz muita coisa positiva, o desenvolvimento, o 
progresso, a possibilidade de intercâmbio maior entre os povos, maior 
compartilhamento de informações e descobertas, mas também nos traz 
muita coisa negativa, como por exemplo, mudança de comportamento social 
com o afastamento físico entre as pessoas (as cidades estão cada dia mais 
“virtuais”, fazemos praticamente tudo pela internet, por exemplo), circulação 
maior de informações sem confirmação do conteúdo com velocidade 
recorde, produzindo cada vez mais as chamadas fake news (contribuindo 
até mesmo para um movimento de desinformação em massa, já que muitos 
buscam apenas informações em redes sociais na internet), e, até mesmo a 
violação de direitos personalíssimos como é o caso da privacidade com a 
manipulação de dados pessoais sem a segurança e o sigilo adequados.
[...] vemos que essa “revolução tecnológica” que estamos presenciando na 
Sociedade de Informação, impacta não somente nossas vidas, mas também 
a estrutura governamental, de poder e, logicamente, o sistema jurídico 
(CAVALCANTI, 2020, p. 15).
18
Unidade I
As abordagens podem ser construídas por diferentes áreas do conhecimento – administração, 
economia, direito –, mas o tema continua sendo da mais alta relevância para todas: como compreender 
as características da sociedade de informação e como avaliar os riscos que dela decorrerem para que 
possamos pensar em mecanismos de segurança. Repare que a ideia de segurança da informação também 
pode ser abordada a partir de diferentes perspectivas, seja da repercussão para a economia, seja para a 
administração pública e privada, seja para o direito.
Mais recentemente, a sociedade de informação introduziu em seu vocabulário diário um conceito 
importante que tem sido muito difundido: o big data, ou, em tradução literal, o grande volume de dados. 
Big data é a forma como estamos nos referindo ao volume gigantesco de dados que são produzidos 
pelas pessoas em seus movimentos diários, seja na atividade profissional, seja na atividade particular. 
Mesmo quando não temos nenhuma intenção de produzir dados a nosso respeito ou a respeito das 
atividades que exercemos, vamos deixando nossas “pegadas digitais” espalhadas por aí, e esses dados 
podem significar algumas vantagens ou uma grande quantidade de problemas.
Walter Sosa Escudero, economista pela Universidade de Buenos Aires, especialista em estatística 
e econometria teórica e aplicada a questões sociais, professor da Universidade de San Andrés e da 
Universidade Nacional de La Plata, ambas na Argentina, afirma:
O mais óbvio é dizer que big data são “dados maciços”. Porém na realidade 
se refere a um volume e tipo de dados provenientes da interação com 
dispositivos interconectados, como telefones celulares, cartões de crédito, caixas 
automáticos, relógios inteligentes, computadores pessoais, dispositivos de GPS 
e qualquer objeto capaz de produzir informação e enviá-la eletronicamente a 
outra parte (ESCUDERO, 2019, p. 31).
E o professor argentino provoca nossa reflexão quando afirma:
Pensem no que fizeram nas últimas duas horas. Se caminharam com o celular, 
muito provavelmente tenham gerado dados de endereços geográficos, isso 
sem falar no uso do GPS para viajar em um carro. Ou mesmo se saíram para 
correr com seu relógio inteligente que lhes informa o ritmo cardíaco e o 
número de passos. Ou se usaram o cartão de crédito, viajaram no metrô, se 
assistiram Netflix, ou deram um curtir em uma foto de sua tia no Facebook, 
se mandaram ou receberam um e-mail ou si buscaram um par de sapatos na 
Amazon. Tudo gerou dados.
[...]
A diferença entre uma pesquisa sistemática, como uma pesquisa política ou 
essas que são feitas pelo telefone fixo, os dados de big data são anárquicos e 
espontâneos. Toda vez que abrimos o celular para que um aplicativo de GPS 
nos guia até algum lugar, geramos dados, não com o propósito de contribuir 
para nenhuma pesquisa nem estudo científico, mas para evitar o trânsito ou 
19
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
se perder. Quer dizer, os dados não são gerados com o propósito de criá-los, 
como as respostas de uma pesquisa tradicional,mas como resultado de uma 
outra ação: ir a uma reunião, pagar um cartão de crédito, entrar em um site 
da web, etc.
Então, os dados do big data não são mais dos mesmos velhos dados (de 
pesquisas, registros administrativos, etc.), mas sim um animal completamente 
distinto (tradução da autora) (ESCUDERO, 2019, p. 31).
O professor Escudero parece estar completamente correto. Os dados que produzimos na sociedade 
de informação são diferentes daqueles que produzíamos há 10 anos, quando ainda tínhamos algum 
controle de nossos dados, sabíamos onde estavam e podíamos gerenciá-lo. Eram tempos razoavelmente 
recentes, há 10 ou 20 anos, mas que tinham uma dinâmica de produção e utilização de dados bastante 
diferente. Quem tinha nossos dados pessoais – nome, endereço, número do documento, estado civil, 
gênero, profissão – era a nossa escola, o trabalho, o plano de saúde, o clube, o banco e o cartão de 
crédito. Hoje, nossos dados estão em milhares de arquivos que desconhecemos, aos quais não temos 
acesso, e não podemos sequer gerenciar a forma como esses dados são acessados por aqueles que têm 
interesse neles.
Quando fazemos uma pesquisa na rede mundial de computadores sobre um produto ou um serviço 
no qual temos interesse, por exemplo, uma viagem para a Europa para conhecer Portugal, é muito 
comum que no momento seguinte ao que acessamos a rede social de nossa preferência, Facebook ou 
Instagram, comecem a ser veiculadas publicidades sobre passagens aéreas, hotéis e pousadas, pacotes 
de viagem e outras ofertas relacionadas com a pesquisa anterior. Não geramos dados porque desejamos, 
e sim porque na sociedade de informação eles se tornaram importantes para quase todas as atividades 
da vida cotidiana e, principalmente, para a produção econômica.
Organizar e proteger esses dados é tarefa de grande importância à qual muitas áreas do conhecimento 
têm se dedicado, entre elas o direito, que é o nosso assunto fundamental neste livro-texto.
O bom uso dos nossos dados e da organização que eles recebem, que geram as informações, 
pode gerar oportunidades. Em contrapartida, o mau uso pode gerar danos e prejuízos, e isso é uma 
característica importante da sociedade de informação: os mesmos instrumentos que facilitam nossa 
vida podem se tornar um grande problema, por exemplo, quando nossa conta bancária é invadida ou 
nosso cartão de crédito é utilizado por criminosos para compras que não fizemos. O mesmo problema 
pode acontecer para empresas em relação a dados de seus clientes ou para órgãos públicos em relação 
a dados de contribuintes ou eleitores. Em todas essas situações, existem possibilidades concretas de 
prejuízos materiais e imateriais – danos à imagem ou danos morais, como são mais conhecidos –, que 
serão fonte de problemas para as vítimas.
A vida na sociedade de informação tem criado problemas e respostas em alta velocidade. A área do 
direito, por exemplo, já se preocupa com os crimes cibernéticos e tem construído pesquisas para definir, 
caracterizar sua prática e adotar punições para os praticantes.
20
Unidade I
A área da educação busca meios pelos quais os estudantes possam tirar o melhor proveito em um 
ambiente no qual podem ter o protagonismo na relação ensino-aprendizagem, podem escolher várias 
possibilidades com a ajuda do professor para identificar o material didático que melhor se adequa às 
suas necessidades e preferências – textos, documentários, filmes, games, trabalho em equipe –, todas 
essas são possibilidades de construção do conhecimento na sociedade de informação.
A área da saúde tem utilizado a tecnologia de múltiplas formas tanto na pesquisa quanto nos 
diagnósticos e tratamentos. Em nenhuma outra época da história da humanidade foi possível obter 
tantos dados sobre a saúde como neste momento, em que alguns aparelhos conseguem medir o 
tempo dos batimentos cardíacos, a pressão arterial, a taxa de glicose, e até mesmo adotar providências 
necessárias, como injetar insulina no caso de portadores de diabetes.
A sociedade de informação é, portanto, o local em que os dados se tornaram elementos para uma 
nova forma de sociabilidade, de relacionamento entre as pessoas e dessas com os novos instrumentos 
de comunicação. Para além disso, a sociedade de informação é a sociedade em que os dados pessoais 
e não pessoais se tornaram fonte de recursos econômicos para quem os coleta e os organiza com 
finalidade específica. Nesse sentido, Barreto Júnior e Venturi Junior afirmam:
A revolução tecnológica fez com que a informação fosse alçada ao status de 
mercadoria e os dados pessoais de usuários de equipamentos informáticos 
tornaram-se um dos insumos mais atraentes dessa nova economia. Os dados 
transformaram-se em commodities, sendo que a aplicação de tecnologias, 
como a inteligência artificial, permite o processamento e análise dessas 
informações, o que faz dos registros pessoais ativos tão valiosos (BARRETO 
JÚNIOR; VENTURI JUNIOR, 2020, p. 337).
Os dados não pessoais são igualmente valiosos, em especial quando se referem a segredos comerciais 
ou industriais que as empresas precisam proteger, como fórmulas, projetos, características técnicas, 
programas de computadores, fluxos de produção ou logística, resultados de testes de resistência de 
materiais, entre outras informações geradas no ambiente empresarial que são relevantes e precisam ser 
protegidas de forma eficaz.
A segurança da informação para as empresas se tornou, na sociedade em que vivemos, uma área de 
aporte de grande volume de recursos econômicos tanto para a aquisição de sistemas e equipamentos 
que viabilizem segurança quanto para a contratação e capacitação de pessoal qualificado para a tarefa 
e, finalmente, para o desenvolvimento de estratégias e processos contínuos de gerenciamento de riscos.
O grau de confiabilidade na área de segurança da informação é hoje um bônus para as empresas, 
um elemento de qualificação em relação à concorrência e decisivo para a consecução de parcerias com 
empresas clientes de produtos e serviços. Nenhuma empresa quer contratar uma parceria com outra 
que não comprove os cuidados que adota na área de segurança da informação. Por exemplo, quando 
um empresa de logística contrata um banco para movimentar valores de folha de pagamento, de capital 
de giro ou de investimentos, deseja ter total certeza de que os mecanismos de gerenciamento de risco 
na área de segurança da informação são eficientes e não criarão problemas durante o período em que 
21
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
a parceria perdurar. Quando um hospital contrata serviços de laboratório de análises clínicas para que 
ele realize exames de sangue, por exemplo, precisa ter certeza de que o laboratório adota medidas de 
segurança de informação compatíveis com sua responsabilidade, principalmente para que os usuários 
do hospital tenham seus dados protegidos e os médicos tenham confiança no resultado dos exames 
apresentados, porque esses dados vão nortear o tratamento do paciente.
Assim, tanto no âmbito das relações empresariais quanto das relações pessoais, a segurança da 
informação se tornou essencial para a garantia do equilíbrio e da viabilidade das relações econômicas, 
sociais e políticas.
A sociedade de informação é, por tudo isso, um vasto campo para pesquisas e reflexões sobre a 
segurança da informação, com possibilidades a serem construídas e experienciadas em muitas áreas 
do conhecimento. Para essas áreas do conhecimento, os desafios serão enormes, mas também serão a 
perspectiva de adequação do saber aos novos tempos que a humanidade vivencia.
 Saiba mais
Vale a pena assistir ao filme a seguir, que conta a história de Snowden, 
funcionário terceirizado de uma agência de segurança do governo 
norte-americano que ficou famoso por provar, por meio de vazamento 
de dados, que o governo praticava atos de espionagem contra cidadãos 
comuns e autoridades internacionais:
SNOWDEN – herói ou traidor. Diretor: Oliver Stone. França; Alemanha; 
EUA: 2016. 135 minutos.1.1 Conceitos e princípios da segurança da informação
1.1.1 Conceitos relevantes para a segurança da informação
Vamos identificar alguns conceitos importantes da área de segurança da informação para depois 
aplicá-los ao campo da ciência do direito e compreender mais objetivamente a necessidade de aplicação 
de leis e normas para regular a segurança da informação.
Eduardo Fontes define:
Segurança da informação é o conjunto de orientações, normas, 
procedimentos, políticas e demais ações que tem por objetivo proteger 
o recurso informação, possibilitando que o negócio da organização seja 
realizado e sua missão seja alcançada.
22
Unidade I
A segurança da informação existe para minimizar os ricos do negócio em 
relação à dependência dos recursos de informação para o funcionamento da 
organização. Sem a informação ou com uma incorreta, o negócio pode ter 
perdas que comprometam o seu funcionamento e o retorno de investimento 
dos acionistas (FONTES, 2006, p. 31).
Repare que o autor associa a segurança da informação à própria manutenção do negócio empresarial, 
à sua continuidade no mercado e, principalmente, à viabilidade de que seus objetivos institucionais 
sejam atingidos. A segurança da informação não é a atividade fim da organização empresarial, mas 
possui igual importância.
Imagine que a empresa seja uma loja de eletrodomésticos que vende por meio físico e digital e que a 
segurança da informação é planejada e executada por amadores, pessoas que não possuem conhecimento 
técnico adequado para desenvolver meios confiáveis na área de segurança da informação. Que resultado 
se pode esperar? Negativo, evidentemente. Os dados pessoais de clientes podem ser vazados para pessoas 
indesejáveis, assim como os produtos podem não ser entregues no prazo e na forma corretos, por erro 
na captação e no tratamento da informação do endereço, por exemplo. Poderão ocorrer consequências 
ainda mais graves se, por exemplo, a falta de segurança da informação inviabilizar que a empresa receba 
os créditos decorrentes das vendas que realizou ou que deixe de pagar as mercadorias que comprou 
dos fabricantes para revender. Nas duas hipóteses, os resultados serão os piores possíveis: a execução dos 
débitos por parte dos fornecedores e a falta de capital para pagar os custos.
A partir do exemplo anterior, o que pode acontecer? Falência da empresa, com desemprego para seus 
funcionários, falta de pagamento para fornecedores, que também poderão ter dificuldades para manter 
seus compromissos com empregados, e ações judiciais dos consumidores, que vão pleitear a entrega 
dos produtos que compraram ou a devolução do preço pago com juros e correção monetária, como 
permite a lei. Uma reação em cadeia de resultados negativos, todos decorrentes de falha na segurança 
de informação da empresa.
Difícil de acreditar? Nem tanto. Isso pode realmente ocorrer com empresas que não se preocupam 
com políticas sérias de segurança da informação. E sempre é importante destacar que, na atualidade, 
todas as empresas utilizam algum sistema de informação que pode ter maior ou menor sofisticação ou 
complexidade, mas que pode ser encontrado em todas as empresas contemporâneas.
Hintzbergen et al. (2018) nos fornecem conceitos importantes para compreendermos o que é sistema 
de informação e os riscos de que cuida a área de segurança da informação:
Sistema de informação – aplicação, serviços, recursos de tecnologia da 
informação ou de qualquer outro componente de manejo da informação. 
Em um sentido amplo, o termo sistema da informação é frequentemente usado 
para se referir à interação entre pessoas, processos, dados e tecnologia. Nesse 
sentido, o termo é usado para se referir não somente à Tecnologia da Informação 
e de Comunicações (TIC) que uma organização usa, mas também à forma como 
as pessoas interagem com essa tecnologia em apoio aos processos de negócio.
23
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
Risco – a probabilidade de um agente ameaçador tirar proveito de uma 
vulnerabilidade e o respeito impacto comercial. Efeito da incerteza sobre os 
objetivos. É a combinação da probabilidade de um evento e sua consequência.
Tratamento do risco – o processo de seleção e implementação de medidas 
para modificar o risco.
Análise de riscos – uso sistemático de informações para identificar fontes 
e estimar o risco.
Identificação do risco – é o processo de encontrar, reconhecer e descrever 
riscos. A identificação do risco envolve a identificação das suas fontes, 
eventos, causas e suas potenciais consequências. A identificação do risco 
também pode envolver dados históricos, análise teórica, opiniões, pareceres 
fundamentados e de especialistas, e necessidades das partes interessadas.
Risco residual – risco que permanece após o tratamento do risco. O risco 
residual pode conter riscos não identificados e também pode ser conhecido 
como “risco retido”.
Aceitação do risco – reconhecimento do fato de que certos riscos são 
aceitos. Isso pode ocorrer quando os custos das medidas de segurança 
excedem os possíveis danos. Mas também pode ser que a gestão decida não 
fazer nada, mesmo que os custos não sejam superiores aos possíveis danos. 
As medidas que uma organização com aceitação de risco adota no domínio 
da segurança da informação geralmente são de natureza repressiva.
Mitigação do risco – as medidas de segurança tomadas são tais que 
as ameaças já não se manifestam ou, se o fizerem, o dano resultante é 
minimizado. A maioria das medidas tomadas no domínio da segurança da 
informação por uma organização que neutraliza os riscos é uma combinação 
de medidas preventivas, de detecção e repressivas.
Prevenção de riscos (ou evitar) – medidas tomadas para que uma ameaça 
seja neutralizada a tal ponto que já não leve a um incidente. [...]
Gerenciamento de risco – o processo de planejar, organizar, liderar e 
controlar as atividades de uma organização a fim de minimizar os efeitos do 
risco sobre o capital e os ganhos de uma organização (HINTZBERGEN et al., 
2018, p. 377).
Compreendido o risco no campo da segurança da informação, os mesmos autores nos fornecem 
alguns conceitos igualmente relevantes, agora para melhor compreendermos o campo do conhecimento 
de segurança da informação. Assim, nos ensinam que:
24
Unidade I
Segurança da informação – preservação da confidencialidade, integridade 
e disponibilidade da informação. Adicionalmente, outras propriedades como 
autenticidade, responsabilidade, não repúdio e confiabilidade, também 
podem ser incluídas. [...] segurança da informação é a proteção da 
informação contra uma ampla gama de ameaças, a fim de garantir a 
continuidade dos negócios, minimizar os riscos de negócio e maximiza 
o retorno sobre os investimentos e as oportunidades de negócios 
(HINTZBERGEN et al., 2018, p. 69).
Repare que eles se referem a garantir a continuidade do negócio, o que demonstra que o exemplo 
usado anteriormente – da loja de eletrodomésticos que não cuidou da segurança da informação e teve 
problemas que resultaram em falência – não é um fato tão difícil de ser encontrado na vida prática. Além 
desse exemplo, outro facilmente encontrado na vida cotidiana é a empresa que perde sua reputação 
positiva com os clientes ou usuários, exatamente por falhar na proteção da segurança da informação.
Leia a reportagem a seguir publicada pela Exame, uma das maiores revistas de negócios do país:
Vazamento de dados empresariais: por que ele é tão perigoso
As empresas brasileiras, principalmente as pequenas, estão muito vulneráveis aos 
ataques hackers, podendo sofrer não só com o roubo de informações, mas, principalmente, 
com o roubo de dados corporativos. Um estudo elaborado pela IBM mostrou que, apenas 
em 2017, as empresas nacionais perderam R$ 4,7 milhões com vazamento de dados. 
O levantamento indicou também que essas informações foram coletadas, em sua maioria, 
via ataques maliciosos (44%).
No entanto, um estudo conduzido pelo Instituto IPSOS trouxe um dado preocupante:apesar do impacto financeiro que esses eventos trazem para as empresas, sobretudo as 
menores, o Brasil é um dos países que menos se preocupa com segurança digital.
A média do país fica em 74%, muito abaixo de outras nações. Para que se tenha uma 
ideia, os Estados Unidos, o país mais preocupado com invasões digitais, tem um índice de 
88% sobre a crença de que podem ser invadidos.
Sócio da Strong Security Brasil, empresas especialista em cibersegurança, Dario 
Caraponale mostra como os brasileiros precisam mudar essa visão e como o vazamento de 
dados pode ser perigoso para uma corporação: Prejuízos financeiros
A primeira consequência de uma empresa que tem dados confidenciais vazados sofre 
são os prejuízos financeiros. Dependendo da área de atuação desta companhia, esse volume 
poderá ser tão grande que chegará até mesmo a inviabilizar a manutenção do negócio.
25
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
“Recentemente, tivemos uma amostra do quão prejudicial financeiramente pode ser o 
vazamento de dados de uma empresa com o incidente envolvendo o Facebook. Em dois dias, 
a perda superou os R$ 77 milhões. Que empresa teria capital suficiente para aguentar esse 
prejuízo e continuar funcionando? Apenas uma gigante. Para uma companhia menor, essa 
perda levaria à falência certa”, alerta o executivo.
Além disso, graças à LGPD (Lei geral de proteção de dados), poderão ser cobradas outras 
multas, assim como geração de prejuízo de imagem.
Impacto na credibilidade
Quando uma empresa sofre um ataque e tem os dados de seus funcionários ou clientes 
expostos, não é apenas dinheiro que ela perde. Sua credibilidade é afetada. Isso pode ser 
verificado se usarmos como exemplo o incidente envolvendo a Apple, há alguns anos. 
Embora o vazamento de fotos tenha atingido apenas usuários famosos da iCloud, muitas 
pessoas ficaram inseguras, temendo também ser impactadas com o incidente.
“Imagine uma empresa do tamanho da Apple, conhecida por desenvolver celulares 
seguros e revolucionários, de repente se envolver em um evento onde informações pessoais 
foram vazadas? Embora esse fato não tenha destruído sua credibilidade, acabou trazendo 
algumas marcas. Certamente, muitos usuários não veem mais o sistema em nuvem da 
empresa com a mesma segurança e confiança que viam antes do ataque”, explica.
O sócio da Strong Security Brasil compara, ainda, o que aconteceu com a Apple com um 
incidente, da mesma magnitude, em uma companhia menor. Segundo ele, caso a empresa 
lidasse com dados sensíveis e, como informações bancárias, e elas tivessem sido divulgadas, a 
quebra de credibilidade seria ainda maior.
Muitas pessoas podem deixar de fazer negócios com essa empresa, por acreditar que 
eles não são confiáveis e não conseguem proteger dados que são pagos para guardar. Em 
uma companhia menor, essa seria uma perda gravíssima (VAZAMENTO..., 2019).
Fonte: Vazamento... (2019)
Perda de credibilidade ou abalo na reputação é um dos riscos que podem afetar uma empresa cuja 
segurança de informação seja frágil ou mal planejada. Esse resultado negativo – perda da reputação e 
da credibilidade – pode se estender por muito tempo e tornar os negócios inviáveis. A marca deixa de 
ter valor para se tornar um problema para a empresa.
Por essa razão, a segurança da informação é um ativo das empresas, um valor a ser protegido e 
gerenciado de forma altamente técnica, sem margem para amadorismo ou práticas contrárias aos bons 
princípios e às normas legais.
26
Unidade I
1.1.2 Princípios de segurança da informação
Os estudiosos da área de segurança da informação quase sempre são unânimes em identificar três 
princípios fundamentais dessa área do conhecimento: confidencialidade, integridade e disponibilidade.
Conhecer os princípios não é uma opção meramente teórica, mas essencial para que se tenha sempre 
presentes as linhas mestras, as diretrizes que devem conduzir os estudos, as reflexões e as práticas da 
área de segurança da informação.
Assim, quando se trata de planejar uma ação em segurança da informação, criar os processos de 
comunicação, capacitar pessoas para executar as tarefas, gerenciar fluxos e, principalmente, avaliar se 
os objetivos traçados estão sendo cumpridos e o que é possível aprimorar, é fundamental ter em mente os 
princípios que vão guiar todas as operações.
Para Felipe Nery Rodrigues Machado, esses princípios podem ser assim definidos:
Confidencialidade – é a capacidade de garantir que o nível necessário de 
sigilo seja aplicado em cada junção de dados em processamento. Além disso, 
trata-se da prevenção contra a divulgação não autorizada dos mesmos. [...]
Integridade – é a garantia de rigor e confiabilidade das informações e 
sistemas e de que não ocorrerão modificações não autorizadas de dados. 
Os mecanismos de hardware, software e comunicação devem trabalhar 
de maneira conjunta para manter e processar dados corretamente e 
movimentar dados para os destinos desejados sem qualquer alteração não 
autorizada ou não esperada.
Disponibilidade – é a capacidade que os sistemas e as redes devem ter 
para executar e disponibilizar os dados de forma previsível e adequada às 
necessidades da empresa. Eles devem estar aptos a recuperar quedas de 
disponibilidade de forma rápida e segura e a garantir que a produtividade 
das operações da empresa não seja afetada significativamente (MACHADO, 
2014, p. 27).
Fábio Cabral Torres, por sua vez, com apoio de outros autores, define:
Confidencialidade – garantia de que o acesso à informação é restrito aos 
seus usuários legítimos (BEAL, 2008, p. 1). Ou seja, seu acesso é permitido 
apenas a determinados usuários.
Integridade – toda informação deve ser mantida na mesma condição em 
que foi disponibilizada por seu proprietário, visando protegê-las contra 
alterações indevidas, intencionais ou acidentais (SÊMOLA, 2003, p. 45). Ou seja, 
informação não adulterada.
27
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
Disponibilidade – garantia de que a informação e os ativos associados 
estejam disponíveis para os usuários legítimos de forma oportuna (BEAL, 
2008, p. 1). Ou seja, independente da finalidade, a informação deve estar 
disponível (TORRES, 2015, p. 25).
Marcos Aurelio Pchek Laureano e Paulo Eduardo Sobreira Moraes entendem que os princípios são 
confidencialidade, integridade e disponibilidade, porém existem critérios que precisam ser respeitados. 
Afirmam esses pesquisadores que:
Alguns autores defendem que, para que uma informação seja considera 
segura, o sistema que o administra ainda deve respeitar os seguintes critérios:
• Autenticidade. Garante que a informação ou o usuário da mesma 
é autêntico.
• Não repúdio. Não é possível negar (no sentido de dizer que não foi feito) 
uma operação ou serviço que modificou ou criou uma informação; não 
é possível negar o envio ou recepção de uma informação ou dado.
• Legalidade. Garante a legalidade (jurídica) da informação; a aderência 
de um sistema à legislação; e as características das informações 
que possuem valor legal dentro de um processo de comunicação, 
onde todos os ativos estão de acordo com as cláusulas contratuais 
pactuadas ou a legislação nacional ou internacional vigente.
• Privacidade. Foge do aspecto de confidencialidade, pois uma 
informação pode ser considerada confidencial, mas não privada. 
Uma informação privada deve poder ser vista / lida / alterada 
somente pelo seu dono. Garante ainda, que a informação não será 
disponibilizada para outras pessoas (neste caso é atribuído o caráter 
de confidencialidade à informação). É a capacidade de um usuário 
realizar ações em um sistema sem que seja identificado.
• Auditoria. Rastreabilidade dos diversos passos de um negócio ou 
processo, identificando os participantes, os locais e horários de cada 
etapa. A auditoria aumenta a credibilidade da empresa e é responsável 
pela adequação da empresa às políticas legais e internas (LAUREANO; 
MORAES, 2005, p. 41).
Observe que alguns critérios como legalidade, privacidadee auditoria, que serão tratados mais 
minuciosamente neste livro, estão relacionados com aspectos legais, ou seja, com as normas que 
regulam as atividades econômicas que utilizam informação e que devem obedecer ao ordenamento 
jurídico específico sob pena de receberem sanções como multas ou até a imposição estatal para que a 
atividade seja interrompida.
28
Unidade I
 Lembrete
Legalidade, privacidade e auditoria são critérios muito importantes 
para a segurança da informação.
As normas jurídicas têm por principal objetivo garantir que a utilização de informações em caráter 
econômico não prejudique ou coloque em risco a privacidade das pessoas naturais e jurídicas, salvo 
naquilo que elas próprias autorizarem que seja divulgado. Assim, adotar os critérios de legalidade e de 
privacidade é prática fundamental para todos aqueles que operam com informação.
No entanto, não haverá resultado positivo no cumprimento das normas de legalidade e 
privacidade se não houver processos de monitoramento, ou seja, a adoção do critério da auditoria. 
A auditoria, que também será tratada neste livro com maior detalhamento, consiste em ações que 
monitoram ou rastreiam o uso e armazenamento da informação, de forma que seja sempre possível 
para o gestor identificar os caminhos que ela percorre, os níveis de segurança com os quais está 
sendo tratada e, especialmente, os mecanismos por meio dos quais se possa ter certeza de que os 
dados não serão utilizados por nenhuma pessoa natural ou jurídica que não esteja rigorosamente 
autorizada para isso.
Compreendidos os princípios e os critérios que sustentam a atividade de segurança da informação, 
podemos começar a estudar os fundamentos jurídicos aplicados à matéria.
 Observação
Os autores e estudiosos de segurança da informação podem adotar 
princípios e critérios distintos, correspondentes à abordagem metodológica 
que fazem sobre o objeto de estudo. Para aumentar seu conhecimento 
na área, sugerimos que pesquise em portais confiáveis outros princípios e 
critérios utilizados por diferentes autores.
2 FUNDAMENTOS DE DIRETO
2.1 Compreensão do direito e sua finalidade
Para os leigos, quase sempre a palavra “direito” é associada a leis que são de cumprimento obrigatório 
e cujo desrespeito pode gerar sanções. A sanção mais conhecida em toda a sociedade é a privação 
de liberdade, ou seja, a prisão. O direito é muito mais do que isso, e é importante compreender seus 
objetivos antes de aprender sobre leis, normas e princípios.
O direito existe para regular a vida dos homens em sociedade e adota o pressuposto de que todos 
os seres humanos concordaram em deixar de ser absolutamente livres para poder contar com relativa 
29
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
segurança em suas relações. Assim, abrimos mão de uma parte de nossa liberdade, mas, em troca, 
teremos direitos que deverão ser respeitados por todos aqueles que vivem na mesma sociedade que nós.
O direito substitui o império da força, a chamada lei do mais forte, que durante muito tempo na 
história da humanidade permitiu que os homens e grupamentos sociais mais fortes subordinassem os 
mais fracos conforme sua vontade, sem reconhecer a eles nenhum tipo de direito. Assim, tribos mais 
fortes tomaram as terras de tribos mais fracas; exércitos mais bem equipados com armas e cavalos 
destruíram aldeias e roubaram toda a produção agrícola de grupos sociais despreparados para lutar; reis 
poderosos ocuparam terras de outros reinados pelo uso da força e com grande quantidade de mortes. O 
direito é a forma de organização social que prioriza a existência de direitos e deveres para todos e que 
exige que as regras sejam cumpridas, tendo como pressuposto o interesse público ou o bem comum.
O primeiro objetivo do direito é garantir que, em um grupo social, todos tenham direitos e deveres 
compatíveis com suas necessidades e que o interesse coletivo prevaleça sobre os interesses individuais. Os 
direitos individuais deverão ser protegidos sempre que não colidirem com o interesse público. Havendo 
algum tipo de colisão nesses interesses, o coletivo se sobrepõe ao individual e deve ser priorizado.
É exatamente o que acontece com a aplicação da desapropriação da propriedade privada. Suponha 
que você tem um imóvel no qual reside com sua família e a prefeitura da cidade pretende fazer um 
viaduto naquele local, que será muito útil para ligar um bairro afastado ao centro da cidade, permitindo 
que a população residente naquele bairro economize em tempo e transporte. A própria prefeitura vai 
economizar porque o transporte público vai circular por uma área menor, já que o viaduto vai encurtar 
as distâncias, e, com isso, vai haver menor gasto de combustível e de manutenção dos veículos. Porém, 
para que isso aconteça, será necessário desapropriar uma área em que se encontram vários imóveis 
residenciais, e o seu imóvel é um deles.
Considerando a suposição anterior, você será indenizado pelo valor do imóvel, mas terá que deixar 
de morar na casa que construiu ou que comprou, ou até na casa que já pertence à sua família há 
muitos anos. Isso é justo? Do ponto de vista individual, parece que não, mas, do ponto de vista social 
ou coletivo, sim, porque os benefícios para a coletividade são mais importantes do que os benefícios de 
cada cidadão de forma individualizada.
O mesmo acontece com as cidades que adotam o rodízio de veículos. Nessas cidades, você é 
proprietário de um automóvel, paga para comprá-lo, paga o imposto sobre a circulação de veículos 
automotores (IPVA) e, no entanto, não pode utilizar o veículo todos os dias da semana porque em alguns 
dias a circulação é proibida por lei municipal. O rodízio de veículos normalmente é implantado para 
facilitar o trânsito e conter a poluição ambiental, mas significa uma restrição ao livre uso de veículos 
por seus proprietários. Novamente, aqui estamos diante de uma situação em que o interesse coletivo 
prevalece sobre o individual. A restrição para alguns proprietários de veículos é organizada para que 
todos tenham maior facilidade de circulação, uma vez que o trânsito diminui, e, principalmente, para 
que todos possam ter uma vida mais saudável, porque a poluição também vai diminuir.
Essa é a ideia central que faz com que o direito seja adotado por todas as sociedades 
contemporâneas que conhecemos, embora ele possa ser bastante diferente a depender da história, 
30
Unidade I
dos costumes, dos valores e da forma de viver que cada sociedade adota. Em algumas sociedades, 
ainda temos a pena de morte como punição para crimes mais graves, como o homicídio; em outras 
sociedades, essa forma de punição foi completamente abolida; em outras, ainda, o uso de algumas 
drogas é regulado por lei e permitido, e, em muitas sociedades, o uso de drogas é completamente 
proibido, como acontece no Brasil.
Com essas ideias, já podemos pensar em definir o direito como um conjunto de princípios, leis e 
costumes que são adotados para organizar a vida de um determinado grupo social e para proteger 
os valores que aquela sociedade adota. Esse conjunto pode ser modificado frequentemente para que 
esteja sempre atualizado com os valores que a sociedade pretende proteger, porque é historicamente 
comprovado que as sociedades se modificam, adotam novos valores e abandonam valores que se tornam 
arcaicos. Na atualidade, isso tem ocorrido com cada vez maior velocidade.
Basta lembrarmos que, no Brasil, o adultério, a infidelidade conjugal, já foi um crime passível de 
punição com prisão, e somente em 2005 deixou de ser considerado crime. Em outros países do mundo, 
continua sendo uma prática punida com severidade, até mesmo com a pena de morte, mas a sociedade 
brasileira entendeu que a infidelidade é um assunto para ser solucionado pelas partes diretamente 
interessadas, aquelas que mantinham o relacionamento afetivo. Elas é que devem resolver o problema, 
e não o Estado.
O Estado protege a família, os filhos, mas não deve se imiscuir na forma como as pessoasquerem 
organizar suas relações afetivas. Tanto isso é verdade que, na atualidade, já são aceitas na sociedade 
brasileira organizações familiares conhecidas como poliamor ou poliafetiva. Essas novas formas 
de organização social ainda não são aceitas de maneira homogênea pela sociedade brasileira e, 
provavelmente, vão demorar para que tenham uma convivência harmônica com o modelo de família 
que a maior parte da sociedade considera o ideal. Porém, as pessoas que livremente optarem por 
viver relações familiares de forma diferente não estão praticando nenhum crime, porque não há 
previsão legal contra isso, e exatamente por isso compete ao direito proteger as pessoas que não 
estão praticando nenhum crime, para que possam viver da forma como consideram mais adequada. 
São novos valores que já se tornaram aceitos por uma parte da sociedade, são rejeitados por outra 
parte e demonstram que existem mudanças ocorrendo mesmo em organizações muito tradicionais 
como a da família.
No campo das tecnologias e da informação, as mudanças são muito mais velozes e bem aceitas, e 
algumas práticas tradicionais também foram modificadas nos últimos tempos na sociedade brasileira 
e exigiram a adaptação do direito. É o caso do trabalho em casa, também conhecido pela terminologia 
em inglês home office. Antes considerado uma forma de exploração do trabalhador, hoje é aceito e 
regulamentado por lei, porque a sociedade adotou novas formas e exigiu que o direito se adaptasse.
São inúmeros os exemplos que mostram como as sociedades se modificam e obrigam o direito a 
fazer o mesmo. Essas mudanças evidenciam que novos valores surgiram, e a sociedade deseja que eles 
sejam protegidos.
31
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
Gustavo Filipe Barbosa Garcia ensina que:
Definir um objeto significa definir o seu verdadeiro sentido, ou seja, a sua 
significação precisa. Ao se procurar apresentar uma definição do Direito, 
primeiramente, deve-se ter em mente que o vocábulo “direito” compreende 
enfoques e significados diversos. Exemplificando, o termo em questão pode 
ser utilizado para significar o justo, ou o conjunto de normas jurídicas, ou a 
prerrogativa que tem a pessoa de fazer valer determinada posição jurídica etc.
O Direito, assim, pode ser visto sob diversas perspectivas, como as que 
seguem: Direito como justiça, Direito como ordenamento jurídico, Direito 
como direito subjetivo. [...] Apresentamos, aqui, o conceito de Direito em seu 
aspecto objetivo, entendido como a realidade, presente na vida social, que 
regula as relações entre as pessoas.
Nesse enfoque, o Direito pode ser definido como o conjunto de normas 
imperativas que regulam a vida em sociedade, dotadas de coercibilidade 
quanto à observância.
Os seres humanos, por viverem em sociedade, necessitam de regras e 
princípios que possibilitam o convívio entre as pessoas, permitindo a 
evolução, a harmonia e a paz nas relações sociais.
O Direito é justamente esse conjunto de normas, estabelecidas com essa 
finalidade. Os preceitos jurídicos são normas imperativas de comportamento, 
no sentido de que a sua observância é obrigatória (GARCIA, 2017, p. 15).
Todos os grupos sociais, em diferentes épocas históricas, adotaram regras de conduta com o objetivo 
de organizar a vida social e impedir que a força física prevalecesse. Na atualidade, além de as sociedades 
se organizarem adotando normas de direito, elas precisam organizar o relacionamento entre elas 
próprias. Por isso, o campo denominado direito internacional tem ganhado cada vez mais espaço para 
organizar a circulação de bens e pessoas entre diferentes países do mundo.
2.2 Direito público e direito privado
No Brasil, uma das classificações mais utilizadas para o direito é a que define duas categorias básicas: 
direito público e direito privado.
Direito público é a denominação utilizada para caracterizar a área do direito que tem por objetivo 
regular o interesse público, ou seja, os interesses gerais da sociedade, aqueles que protegem o bem 
comum. Os principais ramos do direito público são: direito constitucional, direito administrativo, direito 
penal, direito processual (civil ou penal), direito ambiental e direito internacional.
32
Unidade I
Direito privado é a área do direito que tem por objetivo regular os interesses dos particulares nas 
relações que estabelecem entre eles mesmos. É o que acontece, por exemplo, quando as pessoas querem 
contratar a compra de um imóvel ou a locação de um imóvel, ou constituir uma empresa (sociedade 
empresária na terminologia do Código Civil). Também é o direito privado que regula o casamento, as 
relações familiares, a filiação e a sucessão, ou seja, a destinação dos bens depois da morte da pessoa. 
Essa área do direito unifica dois ramos: o direito civil e o direito empresarial.
No campo do direito civil, estão todas as questões tratadas no Código Civil brasileiro, ou seja, na Lei 
n. 10.406, de 2002 (BRASIL, 2002). E no campo do direito empresarial, estão as normas tratadas pelo 
Código Civil e as normas esparsas que foram criadas para regular temas específicos, como a Lei das 
Sociedades Anônimas (BRASIL, 1976) ou a Lei de Falência e Recuperação de Empresas (BRASIL, 2005), 
entre várias outras.
As classificações são adotadas para facilitar o estudo e a compreensão; não são rígidas e variam 
entre os autores e estudiosos da matéria.
2.3 Sistema jurídico brasileiro
O Brasil adota um sistema jurídico que é regido principalmente por leis. Elas estão organizadas em 
leis esparsas, que são aquelas que tratam de uma única área, como a Lei de Locação, ou em códigos, 
que tratam de vários temas, como é o caso do Código Penal ou do Código Civil. Há prevalência da 
lei, que é o instrumento adotado preferencialmente no Brasil, para que as pessoas exijam seus direitos 
e para que os magistrados decidam os conflitos que são levados ao poder judiciário. Por priorizar a lei 
como instrumento do direito, o nosso sistema é conhecido como civil law, que é uma denominação 
adotada em vários países do mundo para definir essa característica: a lei como elemento primordial 
do direito. Vários países do mundo adotam a civil law, entre eles países da América Latina como Chile, 
Argentina, Colômbia, Bolívia, Uruguai, Paraguai, Peru etc.
Entretanto, outros países do mundo adotam um sistema diferente, conhecido como sistema da 
common law. É o caso da Inglaterra, da Escócia, da Irlanda, da Austrália e dos Estados Unidos. Nesse 
sistema, as decisões tomadas pelo poder judiciário nos processos são mais relevantes para a decisão de 
casos futuros do que o texto da lei. O juiz de direito, ao decidir um conflito, forma sua opinião por meio 
da análise de casos semelhantes decididos no passado e julga com base nessas decisões anteriores.
No Brasil, as decisões anteriormente adotadas por um tribunal também são estudadas pelas 
partes litigantes e pelo magistrado, ou pelo próprio tribunal que vai decidir o conflito. A isso 
chamamos de jurisprudência.
Jurisprudência é o conjunto de decisões semelhantes adotadas em casos anteriores e que podem ser 
aplicadas para a solução de um caso ocorrido posteriormente, no qual estejam presentes semelhanças 
que autorizem a utilização do julgado anterior.
33
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
A jurisprudência se caracteriza por decisões uniformes, semelhantes, que os tribunais adotam para 
casos concretos com as mesmas características. Quando uma jurisprudência se forma pela decisão 
reiterada dos tribunais, sempre no mesmo sentido, as partes, seus advogados, o magistrado singular e os 
tribunais, que são órgãos de decisão colegiados, todos ficam atentos, porque essa jurisprudência sinaliza 
como aquele tipo de conflito vai ser solucionado se chegar aos tribunais.
No Brasil, não se adota uma posição automática porque cada caso deve ser conhecido em suas 
peculiaridades; às vezes é semelhante, mas não pode ser caracterizado como rigorosamente igual. No 
entanto, em outros casos, as decisões