Livro-Texto Unidade III (2)

Prévia do material em texto

118
Unidade III
Unidade III
5 LEIS E REGULAMENTAÇÕES DE SEGURANÇA DA INFORMAÇÃO
5.1 Direto
O direito é uma ciência social formada por um conjunto de normas que visam regular as relações 
da vida em sociedade. No decorrer dos tempos, o direito adaptou-se a várias realidades da humanidade, 
impulsionado pelas mais diversas mudanças em nosso mundo. Atualmente, com os avanços da tecnologia 
e o advento da internet, mais uma vez o direito busca adaptar-se a mais essa grande mudança.
As pessoas estão migrando parte de sua vida para mundo virtual, relacionando-se com outras pessoas, 
físicas ou jurídicas, nesse ambiente, seja usando e-mails, celulares, smartphones, tablets, netbooks, 
chats, buscadores de informação, sites de notícia, redes sociais, sms, messenger, voip e computação em 
nuvem, entre outras ferramentas que até pouco tempo atrás não faziam parte de nossa rotina diária de 
trabalho e de lazer.
Nesse cenário de mudanças encontramos novos desafios, pois as novas formas de relacionamento 
afetam o comportamento humano e consequentemente todos os aspectos que envolvem o 
desenvolvimento de uma sociedade. Intencionalmente ou não, pessoas podem prejudicar outrem. As 
novas tecnologias da informação vieram para agregar pessoas e empresas, mas muitos acabam utilizando 
essa tecnologia de forma prejudicial, causando prejuízos em usuários domésticos ou em empresas.
A inclusão digital cresceu muito, porém a educação digital não acompanhou esse crescimento, 
propiciando um ambiente virtual perigoso para quem não visualiza os possíveis riscos contidos nesse 
ambiente. A falta de conhecimento e de treinamento dessas novas ferramentas podem levar as pessoas 
ou empresas a cometerem crimes sem a menor ciência de que sua ação seja um crime ou ato ilícito.
O direito, por meio de suas diversas legislações vigentes, vem regular as relações no mundo virtual, 
porém tornam-se necessárias a adequação e atualização das leis para o pleno atendimento das demandas 
ocasionadas pelo uso indevido das novas tecnologias. As pessoas e as empresas devem ter consciência 
de que tudo que fazem no mundo virtual gera um efeito jurídico com potencialidade maior do que algo 
que ocorra no mundo físico.
Atualmente a tecnologia também se tornou sinônimo de velocidade e de precisão das práticas 
empresariais, sendo fundamental para os negócios de muitas empresas, para a exposição e comercialização 
de seus produtos e serviços, mas também passou a representar um grande emaranhado de problemas 
sociais e jurídicos.
119
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
O comportamento inadequado no mundo virtual, além de contrariar o senso ético, pode expor dados 
pessoas ou estratégicos de empresas, causando prejuízos inestimáveis, por isso a conscientização do uso 
ético e legal das novas tecnologias é fundamental.
 Observação
As estruturas do direito brasileiro são fundamentadas no direito romano 
e altamente influenciadas até os dias de hoje pelo direito europeu, fruto da 
colonização portuguesa.
5.2 A sociedade digital
Na nova realidade todos vivem em uma sociedade digital, que a cada dia se renova. A sociedade 
está migrando para o mundo virtual, criando uma nova geração, com novos valores. Trata-se de uma 
nova sociedade, acostumada ao imediatismo, um bom exemplo é quando reclamamos da demora de 
entrega do correio eletrônico ao precisarmos esperar mais de três segundos para o envio de um e-mail.
Na sociedade da informação, todos estão conectados, não existem apenas os amigos do bairro, 
mas os amigos de qualquer parte do mundo. O mesmo se estende às empresas que passaram a atender 
clientes espalhados pelo mundo. Assim também os clientes podem procurar seus produtos e serviços 
preferenciais em empresas domiciliadas em outro continente.
Tudo isso demonstra que existe a interação humana e que é necessária a utilização das novas 
tecnologias. A sociedade passa por um grande processo de mudança pela qual as novas tecnologias são 
as principais responsáveis. A quebra de paradigmas é evidente, a nova sociedade tem como base um bem 
precioso: a informação.
A internet trouxe ao mundo muitas transformações, possibilitando a uma pessoa comum ou a 
uma grande empresa criar e compartilhar informações com o mundo todo em questão de segundos, 
independentemente da sua localização geográfica. As pessoas estão migrando suas vidas para o mundo 
virtual, a internet se tornou uma ferramenta fundamental na vida das pessoas, que passaram a comprar 
os mais variados produtos e serviços sem sair de casa. Comprar comida e até realizar transações bancárias 
sem ser ter que ir a uma agência bancária tornou-se uma tarefa comum para muitas pessoas. Ainda 
pode-se perceber a facilidade de comunicação e interação entre as pessoas, empresas, fornecedores e 
clientes com o uso da internet.
A internet criou uma nova forma de socialização, principalmente nos dias atuais, com o uso das redes 
sociais, o que para alguns estudiosos não é bom, pois afasta as pessoas do contato presencial e inibe seu 
lado humano, mas cabe salientar que, para outros estudiosos, o uso com discernimento da internet pode 
agregar e muito nas relações humanas, isso, porém, é algo a ser apreciado em outro estudo.
Escolas, hospitais, governos, forças armadas, igrejas e diversas outras instituições foram beneficiadas 
com a internet e também estão migrando/transformando seus ambientes físicos para o virtual.
120
Unidade III
O grande e rápido avanço tecnológico nos fez muito dependentes da tecnologia. No mundo atual é 
difícil imaginar como seriam as relações interpessoais e comerciais sem as ferramentas tecnológicas. As 
novas tecnologias de informação trouxeram várias vantagens, mas também trouxeram grandes conflitos, 
que antes no mundo físico não eram percebidos, principalmente devido à potencialidade proporcionada 
por esse ambiente sobre um fato ocorrido.
A migração da sociedade para o mundo virtual faz com que as pessoas mantenham suas relações 
pessoais e profissionais, antes estabelecidas no ambiente físico, agora no mundo virtual. Assim como 
ocorre no mundo físico, essas relações precisam ser reguladas para que não haja conflitos de direitos, 
deveres e obrigações das pessoas e instituições. O direito vem ao encontro dessas mudanças e se adapta 
para atender as novas demandas geradas por esse ambiente.
5.3 Direito digital
O direito digital é a evolução do próprio direito em novo ambiente e abrangendo os institutos e 
princípios fundamentais de áreas do direito. As novas tecnologias da informação, principalmente a 
internet, facilitam a geração, o compartilhamento e armazenamento das informações e isso precisa ser 
regulamentado, pois, por trás desse processo, existem pessoas se relacionando entre si ou com empresas 
por meio de produtos e de serviços.
Atualmente o Brasil não possui uma legislação especifica para regular as relações no mundo virtual, 
porém 95% dos casos levados ao ministério são solucionados com base na legislação vigente. Ainda 
existem algumas situações que a norma vigente não atende, mas isso já é objeto de apreciação em 
projetos de leis em andamento no Congresso Nacional.
Boa parte dos magistrados entende que a internet é apenas uma nova ferramenta que pode 
contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que 
podemos chamar de evidência ou até mesmo de prova e consequentemente gera um efeito jurídico. 
Elencamos a seguir alguns exemplos:
• O fechamento de um contrato por meio de um simples “Ok” em uma mensagem de e-mail gera 
compromissos para as partes.
• Uma ofensa deferida a uma pessoa ou empresa por meio de uma mensagem de e-mail ou post 
numa rede social gera uma obrigação de reparação ao autor da ofensa.
Em ambos os casos citados, o direito é que vai buscar a satisfação das partes conforme seus direitos 
ou deveres pleiteados, similar ao que ocorre no mundo real. Cabe salientar que as novas tecnologias 
potencializaram ocorrência de determinadas situações ou ações, tanto no número devezes que ela pode 
ocorrer quanto no resultado de qualquer ato praticado.
Muitas pessoas dizem que a internet é uma “terra sem lei”, porém isso não é uma verdade. A internet 
hoje é regulamentada da seguinte forma:
121
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Mundial:
— Organização das Nações Unidas (ONU).
— Internet Corporation for Assigned Names and Numbers (Icann): uma instituição sem fins 
lucrativos, formada para assumir responsabilidades e estabelecer normas acerca de aspectos 
técnicos da internet, como endereços de IP.
— United Nations Commission on International Trade Law/Comissão das Nações Unidas para o 
Direito Comercial Internacional (Uncitral).
• Brasil:
— Comitê Gestor da Internet (CGI): criado por meio do Decreto n. 4.829, de 3 de setembro de 2003.
Além de cumprir os acordos internacionais, o Brasil, mesmo sem ter uma lei específica sobre a 
internet, aplica para regulamentação de conflitos e delitos no mundo digital suas próprias leis internas, 
entre elas: Constituição Federal, Código Penal, Código Civil, Lei de Direitos Autorais e Propriedade 
Intelectual, além de outras, quando possíveis.
Atualmente existem projetos de lei sobre o assunto que visam preencher algumas lacunas existentes 
nas leis vigentes a fim de regulamentar a matéria.
A ética e a educação digital no mundo virtual são uma extensão das nossas atitudes da vida “real”, 
sendo assim também estão sujeitas às sanções legais.
A internet proporciona a praticidade de disseminar ou colher informações, o acesso a muitas 
informações, disponíveis para usuários domésticos, pessoas comuns ou empresas. Quando envolvemos 
o fator humano é necessário observar que no ambiente físico ou digital as pessoas são diferentes umas 
das outras, não apenas no aspecto físico, mas também no aspecto cultural; assim, o que é importante 
para uma pessoa pode não ser para outra. Ademais pessoas influenciadas pelas mais variadas razões 
podem se aproveitar desse “mundo de informações” e utilizar essas informações para cometer atos que 
vão contra a moral e os bons costumes e muitas vezes contra a legislação, ferindo direitos alheios. Cabe 
ressaltar que as diferenças culturais são importantes para o crescimento da sociedade, mas, quando 
são exploradas por pessoas mal-intencionadas, podem acarretar grandes perdas ou prejuízos, seja para 
pessoas, seja para empresas.
Os usuários, muitas vezes sem saber, acabam ferindo direitos alheios e cometendo delitos, pois, como 
já o afirmamos, para muitos desavisados, a internet é uma “terra sem lei”. As pessoas pensam que na 
internet estão no anonimato e que o que fizerem no mundo digital não será descoberto por ninguém, 
o que não é verdade.
122
Unidade III
Fazer um simples download de um conteúdo (vídeo, imagem, texto, áudio) sem a devida autorização, 
enviar mensagem com vírus de computador ou ofendendo alguém, inserir mensagens estimulando 
atitudes ruins em uma rede social, entre outras ações, podem constituir um crime.
Assim, notamos que a rede também pode ser usada na facilitação de atos ilícitos. Nesse consenso, 
o usuário da internet deve ter um mínimo de ética e tentar, sempre que possível, colaborar para seu 
desenvolvimento. O usuário pode colaborar tanto publicando informações úteis quanto melhorando 
informações já existentes.
A maioria dos crimes eletrônicos cometidos por meio da internet ocorre por falha humana. Mesmo 
com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um 
computador. O usuário pode ser enganado ao receber uma mensagem de e-mail contendo vírus 
de computador. Mesmo desconhecendo o assunto e o remetente, o usuário clica no link da mensagem 
com o intuito de visualizar o conteúdo, mas acaba instalando um vírus em seu computador, que, sem 
que ele saiba, coletará informações como senhas bancárias, números de cartão de crédito, CPF ou RG, 
entre outras informações confidenciais, e as enviará para uma outra máquina localizada em outra parte 
do mundo. De posse dessas informações, o golpista realizará fraudes na internet se fazendo passar 
pela vítima.
Vejamos a seguir um modelo do fluxo de um golpe. Cabe salientar que o fluxo dos golpes pode ter 
outras variações.
Figura 43 – O fluxo de um golpe na internet
Nesse novo cenário cada vez mais virtual, torna-se necessária a educação digital, para que os 
usuários desse ambiente reconheçam seus riscos inerentes e possam se proteger e agir de forma a não 
prejudicar outras pessoas ou empresas, sendo um bom cidadão digital.
123
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Lembrete
O direito digital é uma evolução do direito que deve acompanhar a 
própria evolução da sociedade e seu uso massificado de tecnologia 
que leva a novos formatos de infrações sociais e, dessa forma, a novos 
formatos de julgamento.
A responsabilidade civil definida pela legislação vigente, especificamente o Código Civil, regula 
a responsabilidade das pessoas físicas e jurídicas. Podemos entender que a responsabilidade civil é a 
obrigação imposta à determinada pessoa de direitos a reparar os danos causados a outrem por fato 
causado pela própria pessoa ou por terceiros a ela vinculados. Cabe lembrarmos que a lei determina 
que um ato ilícito ocorre quando o comportamento da pessoa se desvia do padrão de comportamento 
imposto pelo ordenamento.
O Código Civil descreve que havendo ou não culpa da pessoa que prejudica ou caso dano a outrem, 
esta terá que ressarcir a parte prejudicada pelo dano causado e na medida do dano causado.
A lei vigente requer atenção, porque tudo o que é realizado no mundo digital gera um efeito jurídico 
e deixa rastro que pode em muitos casos identificar o autor do dano causado.
Um fator importante a ser lembrado é que a nossa lei vigente descreve que nenhuma pessoa pode 
alegar desconhecimento da lei.
De acordo com o artigo 21 do Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal): 
“O desconhecimento da lei é inescusável, [...]” (Brasil, 1940).
As pessoas físicas têm sua responsabilidade determinada pelos dispositivos do artigo 186 da Lei 
n. 10.406, de 10 de janeiro de 2002 (Código Civil), segundo o qual “aquele que, por ação ou omissão 
voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente 
moral, comete ato ilícito” (Brasil, 2002b).
Deve ser considerado que:
• ação ou omissão = ter praticado ou deixado como estava;
• negligência ou imprudência = não ter tomado os devidos cuidados.
As pessoas jurídicas também têm sua parcela de responsabilidade civil, respondendo também pelo 
seu empregado quando do uso dos seus recursos, essa responsabilidade é prevista nos dispositivos do 
artigo 187 do Código Civil, que institui que “também comete ato ilícito o titular de um direito que, ao 
exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou 
pelos bons costumes” (Brasil, 2002b).
124
Unidade III
O Código Civil, em seu artigo 927, descreve que, aquele que, por ato ilícito, causar dano a outrem, 
fica obrigado a repará-lo:
Haverá obrigação de reparar o dano, independente de culpa, nos casos 
especificados em lei, ou quando a atividade normalmente desenvolvida, pelo 
autor do dano implicar, por sua natureza, risco para os direitos de outrem.
Já o artigo 1016 prevê que: “Os administradores respondem solidariamente perante a sociedade e os 
terceiros prejudicados, por culpa no desempenho de suas funções” (Brasil, 2002b).
Para entendermos o crime digital, é necessário entender o que é um crime comum. Podemos dizer 
que crime comum, sem o computador, é uma conduta típica, antijurídica e praticada por um ser humano, 
e a legislação é clara ao determinar que ninguém pode ser penalizado se a conduta prática não estiver 
prevista em lei, conforme determina os dispositivos legais descritos a seguir:
• Artigo 1º Código Penal: não há crime sem lei anterior que o defina. Não há pena sem prévia 
cominação legal.
• Art. 5º XXXIX Constituição Federal: não há crime sem leianterior que o defina, nem pena sem 
prévia cominação legal.
Entendendo o crime comum, pode ser analisado o que é o crime eletrônico. Trata-se na verdade 
do mesmo crime, mas que tem como ferramenta para sua consumação ou tentativa o “computador”. 
Quando usamos esse termo, precisamos lembrar que no mundo atual computador é entendido como 
qualquer equipamento que possa armazenar e processar dados ou informações seja de pequeno, seja de 
grande porte. A maioria dos celulares hoje tem essa funcionalidade.
Assim, podemos perceber o quão complexo se torna o crime eletrônico, pois, além da questão 
técnica, também há a dificuldade de sua comprovação. Com o advento das novas tecnologias, alguns 
paradigmas mudaram, antes percebíamos a perda física do bem, como o roubo de um cofre, ou víamos 
o bandido com uma arma na mão realizar um assalto, ou ouvíamos uma pessoa ofendendo outra, mas 
no mundo virtual essas percepções não são claras para todos e muitas vezes uma pessoa pode cometer 
um crime ou ser vítima de um e nem se dar conta do que está acontecendo.
Como visto anteriormente, no Brasil não há uma lei específica sobre crime digital, porém a maioria 
dos casos levados ao Ministério Público são solucionados com base em nossa legislação vigente.
Veja a seguir uma tabela com os possíveis crimes que podem ser cometidos pela internet ou no uso 
das novas tecnologias e suas devidas implicações jurídicos.
125
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Quadro 25 – Infrações mais comuns na internet
Conduta Crime Artigo / Legislação Pena
Falar em um chat que alguém cometeu algum crime Calúnia 138 CP Detenção de seis meses a dois anos e multa
Dar forward para várias pessoas sobre um boato Difamação 139 CP Detenção de três meses a um ano e multa
Enviar um e-mail para uma pessoa ofendendo sua 
dignidade Injúria 140 CP
Detenção de um a seis 
meses ou multa
Enviar um e-mail para uma pessoa dizendo que vai lhe 
causar algum mal Ameaça 147 CP
Detenção de um a seis 
meses ou multa
Enviar um e-mail para terceiros com informação 
considerada confidencial Divulgação de segredo 153 CP
Detenção de um a seis 
meses ou multa
Enviar um vírus de computador que destrua 
equipamentos ou conteúdos Dano 163 CP
Detenção de um a seis 
meses ou multa
Enviar um vírus de computador que captura dados 
armazenados em equipamentos Furto 155 CP
Reclusão de um ano a 
quatro anos e multa
Enviar um vírus de computador que captura dados e 
usar esses dados para cometer fraudes Falsa Identidade 307 CP
Detenção de três meses a 
um ano ou multa
Copiar conteúdo e não mencionar a fonte Violação ao direito autoral 184 CP
Detenção de três meses a 
um ano e multa
Criar comunidade online que fale sobre pessoas e 
religiões
Escárnio por motivo de 
religião 208 CP
Detenção de um mês a um 
ano ou multa
Acessar sites pornográficos Favorecimento da prostituição 228 CP
Reclusão de dois a cinco 
anos
Postar em rede social descritivo que ensina como 
burlar procedimentos – por exemplo, fazer “um gato”
Apologia de crime ou 
criminoso 287 CP
Detenção de três a seis 
meses ou multa
Enviar e-mail com remetente falso (caso comum de 
spam) Falsa identidade 307 CP
Detenção de três meses a 
um ano, ou multa
Inserir dados falsos em sistema da administração pública Adulterar dados em sistema 313-A CP
Reclusão de dois a doze 
anos e multa
Mudar ou alterar dados em sistema da administração 
pública
Adulterar dados em 
sistema de informações 313-B CP
Detenção de três meses a 
dois anos e multa
Receber spam e devolver com vírus ou com mais spam Exercício arbitrário das próprias razões 345 CP
Detenção de quinze dias a 
um mês ou multa
Participar de cassino on-line Jogo de azar 50 do Decreto Lei n. 3.688/41
Prisão simples, de três 
meses a um ano e multa
Falar mal de alguém em um chat por sua cor
Preconceito ou 
discriminação por 
raça/cor/etnia
20 da Lei n. 
7.716/89
Reclusão de um a três anos 
e multa
Divulgar, armazenar, comercializar ou enviar fotos ou 
vídeos de crianças nuas pela internet Pornografia Infantil
241-A da Lei 
n. 8.069/90
Reclusão de três a seis anos 
e multa
Usar logomarca de terceiros na internet sem 
autorização do detentor da logomarca
Crime contra a 
propriedade industrial
195 da Lei n. 
9.279/96
Detenção de três meses a 
um ano ou multa
Usar nome do concorrente como palavra-chave em 
site visando afastar clientela
Crime de concorrência 
desleal
95 da Lei n. 
9.279/96
Detenção de três meses a 
um ano ou multa
Usar cópia de software sem ter a licença de uso Crimes contra software, “pirataria”
12 da Lei n. 
9.609/98
Detenção de seis meses a 
dois anos ou multa
Fonte: Pinheiro, 2009.
126
Unidade III
A Lei n. 12.965, de 23 de abril de 2014, trata dos princípios, garantias, direitos e deveres para o uso 
da internet no Brasil e determina as diretrizes para a atuação da União, dos estados, do Distrito Federal 
e dos municípios em relação à matéria. A lei determina os parâmetros que serão aplicados no Brasil ao 
uso dessa rede de computadores de alcance mundial que convencionamos chamar de internet.
Como estamos diante de temas novos que utilizam terminologia própria, a Lei n. 12.965/2014 utiliza 
um pequeno glossário para que todos compreendam da mesma forma os termos por ela utilizados. 
Assim, o artigo 5º especifica que:
Art. 5º – Para os efeitos desta Lei, considera-se:
I – internet: o sistema constituído do conjunto de protocolos lógicos, 
estruturado em escala mundial para uso público e irrestrito, com a 
finalidade de possibilitar a comunicação de dados entre terminais por meio 
de diferentes redes;
II – terminal: o computador ou qualquer dispositivo que se conecte à internet;
III – endereço de protocolo de internet (endereço IP): o código atribuído a 
um terminal de uma rede para permitir sua identificação, definido segundo 
parâmetros internacionais;
IV – administrador de sistema autônomo: a pessoa física ou jurídica que 
administra blocos de endereço IP específicos e o respectivo sistema autônomo 
de roteamento, devidamente cadastrada no ente nacional responsável pelo 
registro e distribuição de endereços IP geograficamente referentes ao País;
V – conexão à internet: a habilitação de um terminal para envio e recebimento 
de pacotes de dados pela internet, mediante a atribuição ou autenticação de 
um endereço IP;
VI – registro de conexão: o conjunto de informações referentes à data e hora 
de início e término de uma conexão à internet, sua duração e o endereço IP 
utilizado pelo terminal para o envio e recebimento de pacotes de dados;
VII – aplicações de internet: o conjunto de funcionalidades que podem ser 
acessadas por meio de um terminal conectado à internet; e
VIII – registros de acesso a aplicações de internet: o conjunto de informações 
referentes à data e hora de uso de uma determinada aplicação de internet a 
partir de um determinado endereço IP (Brasil, 2014).
A lei determina que o uso da internet no Brasil terá como fundamento a liberdade de expressão que, 
como vimos, é um direito fundamental garantido pela lei mais importante do país, a Constituição Federal.
127
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Além da liberdade de expressão também são fundamentos da utilização da internet no Brasil, 
conforme artigo 2º:
• o reconhecimento da escala mundial da rede;
• os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania por meios digitais;
• a pluralidade e a diversidade;
• a abertura e a colaboração;
• a livre iniciativa, a livre concorrência e a defesa do consumidor;
• a finalidade social da rede.
5.4 Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709 de 2018
A Lei n. 13.907, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais é 
conhecida pela sigla LGPD. Ela está dividida em dez capítulos e contém princípios e definições para a 
correta compreensão de seus objetivos e finalidades. A LGPD deveria entrar em vigor em agosto de 2020 
(foi adiada em decorrência da pandemia) e esse período de tempo, conhecidocomo vacacio legis, ou, 
vacância da lei, foi adotado para que as empresas públicas e privadas e as pessoas naturais tivessem 
tempo de se adequar às suas exigências.
A lei foi aprovada após a entrada em vigor do Regulamento Geral de Proteção de Dados da 
União Europeia, em maio de 2018, que motivou empresas de todo o mundo que têm negócios com 
empresas europeias a se adequarem àquele regulamento, de forma que pudessem continuar realizando 
atividades comerciais.
O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades 
de uma empresa que está estabelecida em países que compõem a União Europeia (Alemanha, Áustria, 
Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, 
Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos, Polônia, Portugal, 
Reino Unido, República Checa, Romena e Suécia) e se aplica as empresas que não estão na União 
Europeia, mas oferecem produtos e serviços para lá.
A necessidade de algumas empresas adequarem suas atividades ao Regulamento de Proteção de 
Dados Pessoais da União Europeia contribuiu para que o legislativo brasileiro agilizasse o debate sobre a 
lei geral de proteção de dados brasileira, que já tinha projetos de lei em andamento havia alguns anos.
A proteção de dados pessoais é muito importante na sociedade contemporânea. Todos somos 
portadores de dados e, diariamente, fornecemos esses dados em muitas situações diferentes, como no 
supermercado, no atendimento médico, na academia, para táxis ou serviços de aplicativo, nas compras 
128
Unidade III
pela rede mundial de computadores, nas redes sociais, nas transações bancárias, nos diversos aplicativos 
que utilizamos, entre outras muitas situações.
Nossos dados pessoais são utilizados tanto para transações de alto valor como a obtenção de 
empréstimo para compra de imóveis, como para transações de pequeno valor como a compra 
de medicamentos na farmácia. Por isso, é preciso proteger os dados pessoais para que não ocorra má 
utilização, porque os transtornos são enormes quando isso acontece.
Em geral, todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores 
e usuários, por isso foi preciso criar uma legislação para estabelecer regras claras para a coleta e 
tratamento de dados, bem como as punições para as práticas que descumprirem a legislação em vigor.
No âmbito da Segurança da Informação conhecer a Lei Geral de Proteção de Dados (LGPD) é muito 
relevante, por isso, vamos nos dedicar a esse estudo.
Tratamento de dados é toda operação realizada com dados pessoais como as de coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração. Essa definição foi a adotada pela LGPD e é importante 
para compreender a aplicabilidade da lei.
Sempre que uma pessoa natural ou jurídica, pública ou privada, solicitar os dados pessoais de alguém 
– nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, feminino 
ou outros) –, deverá cumprir a LGPD. A lei se aplica, portanto, às pessoas naturais ou jurídicas, da área 
pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital.
O objetivo da lei é proteger o titular dos dados pessoais para não haver utilização de dados 
sem consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular.
Assim, se alguma pessoa natural ou jurídica de direito privado atuar com dados pessoais arquivados 
em papel, meio físico, deve, do mesmo modo, seguir a lei, que também se aplica a essas situações. 
Aqueles que atuam com uso de meio digital, mais comum em nossos dias, igualmente estão obrigados 
a cumprir a lei.
A LGPD é aplicada a todas as operações de tratamento de dados realizadas em território nacional, 
quando os dados forem coletados para a oferta ou o fornecimento de bens ou serviços ou o tratamento 
de dados de indivíduos localizados no território nacional ou nas situações em que os dados pessoais 
objeto do tratamento tenham sido coletados no território nacional.
Mesmo que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país, 
se a operação de tratamento de dados se realizar no Brasil, a LGPD será aplicada. Não importa que os 
dados sejam coletados de pessoas físicas estrangeiras, porque se elas estiverem no Brasil no momento 
da coleta dos dados, também a lei brasileira será utilizada para sua proteção.
129
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A pessoa natural cujos dados tenham sido coletados e tratados em território nacional, mesmo que 
more em outro país, deve cumprir a LGPD.
O uso de dados pessoais para realização de negócios ou para atendimento no setor público já é 
utilizado há muitos anos. Tornou-se comum o fato de as pessoas fornecerem seu endereço, número de 
telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, 
entre tantos outros para serem atendidas em suas necessidades junto aos setores público e privado.
O fornecimento de dados cresceu exponencialmente nos últimos anos porque a internet passou a ser 
utilizada para muitas atividades que antes só fazíamos presencialmente como comprar uma televisão, 
um sofá ou um livro; assinar um jornal ou revista eletrônicos; comprar passagens aéreas e reservar 
hotéis para viagens de negócios ou de férias; contratar um plano de saúde ou seguro de vida; contribuir 
com uma associação não governamental; contratar acesso a canais de entretenimento para assistir a 
filmes, séries, ouvir música; não há limite para o que pode ser feito pela internet.
Em todos esses momentos, as pessoas disponibilizam dados pessoais que são coletados e 
armazenados pelo fornecedor de produtos e serviços. Por vezes, somos nós mesmos que, em nossa 
atividade profissional, coletamos e armazenamos dados pessoais de clientes ou usuários, necessários 
para o trabalho que fazemos.
Cada vez mais, as diferentes atividades profissionais praticadas no mercado exigem a coleta 
e tratamento de dados dos clientes, por isso, a importância de que essa atividade seja realizada 
corretamente, isto é, de acordo com a lei e com as melhores técnicas de segurança da informação.
A LGPD, além de criar objetivos e princípios que serão de cumprimento obrigatório para todos que 
utilizem dados pessoais, também uniformizou as expressões que deverão ser utilizadas por todas as 
pessoas físicas, jurídicas, públicas e privadas que utilizam dados pessoais em suas atividades.
 Lembrete
A nossa Lei Geral de Proteção de Dados (LGPD) é baseada na Lei Europeia 
– General Data Protection Regulation (GDPR), isso se dá pela influência que 
o direito da Europa exerce sobre as nossas bases legais e sociais.
A terminologia está no artigo 5º da LGPD, assim organizada:
Dado pessoal
Informação relacionada à pessoa natural identificada ou identificável. Pessoa natural identificada e 
pessoa natural identificável têm o mesmo sentido: ser humano que se torna sujeito de direitos e deveres 
em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas, que se 
organiza para exercer atividades econômicas (empresas) ou sociais (associações, sindicatos, organizações 
não governamentais, clubes desportivos, entre outras).
130
Unidade III
Dado pessoal sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato 
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa 
nem sempre deseja compartilhar, mesmo que se tornem conhecidos, seja para fins empresariais, seja 
para pessoas de seu convívio social e familiar. A denominação sensível indica que sãodados que, para 
serem tratados por pessoa natural ou jurídica, pública ou privada, vão demandar muito mais cuidado 
e especificidade.
Dado anonimizado
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento.
Anonimização de dados
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais 
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado pessoal passa a 
ser tratado de forma que não se possa identificar seu titular. Em lugar de constar o nome e o endereço 
do titular a anonimização fará constar, por exemplo, gênero masculino, 44 anos, casado, motorista 
de Uber, renda na faixa de R$ 3.000,00, domicílio bairro da Zona Norte de Belo Horizonte, casa 
própria financiada no Sistema Financeiro da Habitação. Os dados pessoais estão dispostos, sem que 
seja possível, porém, individualizar o titular desses dados.
Banco de dados
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte 
eletrônico ou físico. Exemplo: os dados utilizados por hospitais, clínicas, academias, escolas, universidades, 
lojas físicas e virtuais, serviços de compartilhamento de transporte, médicos, dentistas, advogados e 
muitas outras atividades. São dados de clientes e usuários tratados em bancos de dados que precisam 
ser legalmente organizados. É importante reparar que a LGPD tem determinações para banco de dados 
que podem estar em meio físico ou eletrônico e, em ambas as situações, a lei deverá ser cumprida. 
Muitas empresas menores, como escritórios de advocacia e contabilidade ou oficinas mecânicas e de 
marcenaria, que trabalham com fichas físicas guardadas em arquivos de aço, deverão ficar atentas para 
a necessidade de se adequarem às novas regras determinadas pela LGPD, porque os arquivos físicos 
também estão regulados por ela.
Titular
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Todas as pessoas 
naturais possuem dados pessoais dos quais são titulares e que só poderão ser compartilhados mediante 
seu consentimento expresso e específico.
131
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Tratamento de dados
Trata-se de toda operação realizada com dados pessoais, como as que se referem à coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração.
Uso compartilhado de dados
Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no 
cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com 
autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes 
públicos ou entre entes privados.
Consentimento
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada. É importante que fique claro que não é qualquer 
forma de consentimento que pode ser interpretada como adequada à lei. Somente o consentimento 
prestado de forma livre, informada e inequívoca que não crie dúvida de que se trata de 
consentimento para tratamento de dados pessoais.
Bloqueio
Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou 
do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública ou privada, for 
obrigada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. A 
ordem de bloqueio virá de decisão judicial, embora também possa ser resultado de um acordo entre 
as partes para cumprir um objetivo fixado por elas. Uma financeira faz acordo com uma loja para que 
o banco de dados de clientes da loja fique bloqueado, não possa ser utilizado para nada durante um 
determinado período ou até que seja apurada uma irregularidade investigada pela loja, em decorrência 
de inconsistências no seu balanço ou no seu relatório de resultados financeiros. Por acordo da loja e 
da financeira, durante o banco de dados de clientes ficará bloqueado sem que ninguém possa utilizar 
aqueles dados.
Eliminação
Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente 
do procedimento empregado. A eliminação ocorrerá a pedido do titular com concordância com os 
agentes de tratamento ou por ordem judicial, que determine a eliminação. Poderão ser eliminados 
bancos de dados eletrônicos ou físicos.
132
Unidade III
Transferência internacional de dados
Transferência de dados pessoais para país estrangeiro ou para algum organismo internacional do 
qual o país seja membro, como a Organização das Nações Unidas (ONU); a Organização Internacional 
do Trabalho (OIT), entre outros. A necessidade de transferência de dados pessoais para país estrangeiro 
poderá ocorrer, por exemplo, em casos de acidentes naturais como enchentes, passagem de tornados, 
terremotos, pandemias, ou em acidentes como queda de aviões, atos terroristas, incêndios, explosões, 
ou mesmo em situações em que os dados sejam importantes para localizar e ou identificar as vítimas 
de danos físicos ou de óbito.
Agentes de tratamento
Trata-se do controlador e o operador:
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as 
decisões referentes ao tratamento de dados pessoais em uma empresa privada ou órgão público.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de 
dados pessoais em nome do controlador.
É importante observar que a LGPD permitiu que o controlador e o operador sejam pessoas 
jurídicas, ou seja, empresas contratadas para executarem essa atividade; e não impediu que sejam a 
mesma pessoa para exercer as tarefas ao mesmo tempo, o que poderia significar para as empresas 
menores custos na contratação de profissional.
Encarregado
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado 
poderá ser pessoa natural ou jurídica e não é preciso que seja uma pessoa com atividade específica, pode 
exercer outra atividade profissional na empresa e acumular com esta. Também poderá ser empresa 
contratada para atuar como encarregado perante a ANPD.
Autoridade Nacional de Proteção de (ANPD)
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dessa 
lei em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o 
tratamento de dados no Brasil, inclusive para aplicar as sanções previstas na LGPD. Sua composição, 
organização e funcionamento será semelhante às agências já existentes no país como a Agência Nacional 
de Saúde Suplementar (ANS), Agência Nacional de Vigilância Sanitária (Anvisa), Agência Nacional de 
Aviação (Anac), entre outras.
133
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Relatório de impacto à proteção de dados pessoais
Documentação do controlador que contém a descrição dos processos de tratamento de dados 
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, 
salvaguardas e mecanismos de mitigação de risco. Sendo o controlado o agente de tratamento de 
dados responsável pelas decisões, será dele a responsabilidade pela construção do relatório de impacto à 
proteção de dados, com objetivo de descrever os processos utilizados para tratamento de dados pessoais, 
bem como todos as medidas adotadas para prevenir a ocorrência dos riscos a que os bancos de dados 
estão sujeitos.
Órgão de pesquisa
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado 
sem fins lucrativos, legalmenteconstituída sob as leis brasileiras com sede e foro no País, que inclua 
em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de 
caráter histórico, científico, tecnológico ou estatístico.
A sigla DPO não está no glossário criado pela LGPD em seu artigo 5º, porém tem sido muito utilizada 
nas atividades empresariais privadas para designar o profissional responsável pela implementação da 
lei na empresa e, posteriormente, por toda a gestão da proteção de dados. DPO é a sigla para data 
protection officer, expressão em inglês que significa a pessoa designada na empresa privada ou pública 
para ser o responsável – diretor, gerente ou superintendentes – de toda a gestão de proteção de dados.
A LGPD estabelece como seus objetivos:
• Respeito à privacidade
Todo titular de dados pessoais tem direito de ser respeitado em sua privacidade, tem o direito de 
compartilhar dados apenas com as pessoas que escolher e para atender objetivos específicos. Exemplo: 
o entregador de pizza que leva o produto à casa de alguém não está autorizado a fornecer esse dado 
para ninguém, tampouco a pizzaria em que ele trabalha pode fornecer esse endereço para a loja de 
roupas sua vizinha, para que eles mandem uma mala direta de publicidade da loja. Ao compartilhar seu 
estado civil para um contrato de prestação de serviço bancário, ninguém autoriza que aquele dado seja 
fornecido para uma agência de viagem para que lhe ofereça pacotes de cruzeiro para solteiros. Os dados 
são fornecidos com uma finalidade e ela deve ser respeitada, sob pena de descumprimento da lei e das 
sanções que poderão ser aplicadas.
• Autodeterminação informativa
Autodeterminação é a capacidade de uma pessoa decidir de forma livre e autônoma o que é melhor 
para ela. Autodeterminação informativa é o poder para decidir sobre quais informações e para quem se 
deseja fornecê-las. A lei proíbe o compartilhamento de informações sem o consentimento do titular 
dos dados, em respeito ao princípio da autodeterminação informativa. O consentimento do 
titular de dados pessoais é essencial em qualquer atividade pública ou privada de tratamento de dados.
134
Unidade III
• Liberdade de expressão, informação e de opinião
Esses são fundamentos previstos na Constituição Federal. A LGPD, em conformidade com o disposto 
na Constituição Federal, tem expressa previsão de proteção desses direitos fundamentais.
• Inviolabilidade da intimidade, da honra e da imagem
Esses são direitos protegidos pela Constituição Federal e pelo Código Civil. Por isso, a LGPD garante 
que ninguém poderá ser invadido ou incomodado em sua intimidade, honra ou imagem pela divulgação 
de dados que não tenham sido expressamente autorizados. A nenhuma empresa, por exemplo, será 
possível divulgar dados pessoais sem que isso tenha sido autorizado.
• O desenvolvimento econômico e tecnológico e a inovação
A necessidade de proteção de dados pessoais não pode impedir que o Brasil tenha desenvolvimento 
econômico, tecnológico e de inovação. A LGPD não pode dificultar o desenvolvimento econômico 
porque contraria a Constituição Federal, que garante a proteção à livre iniciativa e à livre concorrência. 
Mas é importante salientar que o desenvolvimento econômico e tecnológico que o Brasil pretende 
ter está diretamente relacionado com a proteção de dados pessoais, porque na atualidade, em quase 
todo o mundo, existem leis de proteção de dados pessoais, em especial na União Europeia, e nenhuma 
empresa ou governo vai se relacionar com países que não tenham essa mesma preocupação – proteger 
dados pessoais –, porque seria um risco maior do que o eventual lucro que as transações econômicas 
pudessem gerar.
• A livre iniciativa, a livre concorrência e a defesa do consumidor
São princípios constitucionais que igualmente deverão ser respeitados pela LGPD. Por esses princípios 
se garante o equilíbrio entre a necessidade de desenvolvimento econômico pelas empresas privadas 
com o respeito aos consumidores, que não poderão ter seus dados pessoais utilizados de forma indevida 
nas atividades empresariais. A empresa que utilizar indevidamente dados pessoais poderá ser acusada 
de concorrência desleal e ser punida também por isso, além da punição pelo descumprimento da LGPD.
• Direitos Humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da 
cidadania pelas pessoas naturais
A LGPD adota esses objetivos para que possa estar em consonância com a Constituição Federal, 
com o Código Civil e com o Código de Defesa do Consumidor. A dignidade da pessoa humana é um 
fundamento da República Federativa do Brasil, disposto no artigo 1º da Constituição Federal e se aplica 
a todas as relações públicas ou privadas em que uma pessoa estiver envolvida. Toda atividade pública 
ou privada deve respeitar e proteger a dignidade da pessoa.
A disseminação de dados pessoais tem sido intensa na sociedade contemporânea. Dados pessoais 
são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, 
em especial para consumo, educação, serviços bancários, financeiros, de crédito, seguros, assistência 
135
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
médica, entretenimento, entre outros. Também os setores públicos coletam e utilizam dados pessoais 
como acontece com a receita federal, receita estadual e municipal, poder judiciário, polícias federal e 
estadual, serviços de expedição de documentos como cédula de identidade, carteira nacional de 
habilitação, expedição de passaportes, educação pública, unidades de atendimento do Sistema 
Único de Saúde (SUS), muitas outras situações em que os dados pessoais são indispensáveis para 
garantia do atendimento.
Se é preciso utilizar dados pessoais em tantas situações diferentes, é importante contar com uma 
estrutura legal de proteção para coleta e tratamento de dados pessoais, para proteger seus titulares 
contra uso indevido por terceiro e contra os danos materiais e imateriais consequentes.
A LGPD adotou princípios que terão de ser cumpridos pelas pessoas físicas ou jurídicas, públicas ou 
privadas, que realizarem tratamento de dados pessoais.
Os princípios estão no artigo 6° da lei e são:
• Boa-fé
Determina que as partes deverão agir sempre com honestidade e transparência na realização de 
tratamento de dados pessoais para fins públicos ou privados.
• Finalidade
A utilização dos dados pessoais terá que ser feita sempre com propósitos legais, específicos 
e informados ao titular dos dados. Coletados os dados para uma finalidade específica não poderão 
ser utilizados para outra. Assim, quando a operadora de cartão de crédito coleta seus dados para a 
formalização do contrato de prestação de serviços, não poderá fornecê-los para uma companhia de 
seguros, que os utilizará para fornecer proposta de contratação de seguro de vida ou de automóvel.
• Adequação
Os dados coletados deverão ser tratados em conformidade com a finalidade para a qual foram 
obtidos. Novamente, aqui, fica vedada a obtenção para finalidade e uso inadequados.
• Necessidade
Os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo necessário para 
que os objetivos sejam corretamente atingidos. Os dados pessoais solicitados deverão se limitar à 
quantidade mínima necessária para o cumprimento da finalidade a que eles se destinam. Por exemplo, 
é preciso saber o estado civil de alguém para contratar uma compra online parcelada? É preciso saber 
quantas pessoas moram com você para contratar os serviços de um cartão de crédito? Cada situação 
requer uma quantidade de dados pessoais e eles devem ser solicitados sempre tendo o mínimo como 
parâmetro, e não o máximo. Poderão ser coletados apenas os dados necessários para a operação pública 
ou privada que vai ser realizada, nada além disso se justifica.
136
Unidade III
• Livre acesso
Os titulares dos dados pessoais terão direito à consulta facilitada e gratuita de seus dados durante todo 
o período de sua utilização. A consulta poderáser à integralidade dos dados, ou seja, a todos os dados 
coletados pela pessoa natural ou jurídica, pública ou privada, ou pode ser parcial, por exemplo, referente 
apenas a última operação realizada com o banco ou com o cartão de crédito. A consulta de dados por 
parte dos titulares não poderá sofrer nenhum tipo de obstáculo desestimulante, por exemplo, demora no 
atendimento ou no envio da relação de dados solicitados, ou exigência de qualquer contrapartida.
• Qualidade dos dados
A lei obriga as pessoas naturais ou jurídicas, públicas ou privadas, que tratam dados pessoais, a 
garantir a exatidão, clareza, relevância e atualização dos dados, em conformidade com as necessidades 
e finalidades do tratamento. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam dados 
pessoais, devem coletá-los de forma objetiva, exata, clara, e mantê-los atualizados para que nenhum 
resultado adverso atinja o titular dos dados apenas por falta de atualização ou clareza. Se uma pessoa 
deixa de pagar no prazo uma parcela de seu financiamento da casa própria e esse dado é coletado 
pelo agente financeiro, no momento exato em que o pagamento for feito, o agente deverá atualizar o 
cadastro de dados, para que nenhum prejuízo possa decorrer de um dado desatualizado.
• Transparência
Significa que os titulares dos dados pessoais deverão ter a garantia de que as informações disponíveis 
a seu respeito sejam claras, precisas e facilmente acessíveis para qualquer verificação necessária, 
sempre respeitados os segredos industriais e comerciais utilizados pelos organizadores da coleta e do 
tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, pública ou privada, que utilizam aqueles 
dados em suas atividades. A exigência da transparência não pode ser superior ao direito das pessoas 
físicas ou jurídica em relação a suas patentes de invenção ou de modelo de utilidade, ou, ainda, ao 
direito de proteção a suas fórmulas ou direitos autorais sobre programas de computação, entre outros 
expressamente protegidos por lei. O titular de dados pessoais tem direito a saber quais os dados que 
foram coletados a seu respeito, mas não tem o direito de saber como funciona o sistema de cadastro da 
pessoa natural ou jurídica que coletou seus dados e os tem sob sua guarda. Há limites para a informação 
que será fornecida aos titulares de dados pessoais, para proteger a atividade da pessoa natural ou 
jurídica, pública ou privada, que coleta e armazena os dados.
• Segurança
O titular de dados pessoais deve ter garantia, por parte daquele que coleta e utiliza os dados em todas 
as medidas técnicas e de gestão, de proteção dos dados pessoais; de não acesso por não autorizados e 
de prevenção em casos de acessos acidentais ou ilícitos que resultem na destruição, perda, alteração, 
comunicação ou difusão de dados de maneira indevida. Esse é o ponto principal para os gestores e 
profissionais de segurança da informação. Todas as pessoas naturais e jurídicas que operam com dados 
pessoais terão que comprovar a eficiência e eficácia de seus sistemas de segurança da informação e 
comprovar ainda que a governança e compliance que adotam são suficientes para impedir ataques 
137
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
ou acesso indevido, ou, quando estes acontecerem, disporem de mecanismos para suportar os danos 
materiais e morais que afetarem o detentor dos dados pessoais. A segurança é questão fundamental 
para a LGPD e a implantação de sistemas de segurança da informação confiáveis será um intenso 
trabalho para pessoas naturais e jurídicas, públicas e privadas.
• Prevenção
Consiste na obrigatoriedade da adoção de medidas para prevenir qualquer fato ou ato que propicie 
danos aos titulares de dados pessoais. A prevenção é papel que deverá ser exercido pelos gestores de 
segurança da informação. Esse princípio da LGPD, aliado ao da transparência e segurança, demonstra 
claramente os objetivos da lei: regular o tratamento de dados por pessoas naturais e jurídica, públicas e 
privadas, não apenas para que existam regras de utilização, mas também para que a prevenção de danos 
decorrente de uso indevido de dados pessoais se torne obrigatória para todos que os utilizarem. É, sem 
dúvida, uma forma de responsabilizar quem utiliza dados pessoais em suas atividades, como também 
tornar mais seguro o compartilhamento de dados. Com isso, o Brasil avança no sentido de se tornar 
um país confiável para transações privadas e públicas que utilizem dados pessoas e se iguala a outros 
países do mundo.
• Não discriminação
A coleta de dados pessoais não pode ser realizada com finalidade discriminatória, por exemplo, para 
segregar raças, gêneros, hábitos alimentares, tipo físico, religiosidade, entre outros. O tratamento de 
dados não pode, de nenhuma forma, estimular práticas de discriminação
• Responsabilização e prestação de contas
O agente, pessoa natural ou jurídica, pública ou privada, que coleta e trata dados pessoais, 
tem de adotar todas as medidas legais e técnicas necessárias para a proteção desses dados e será 
responsabilizado, caso ocorram danos. Além disso, tem a obrigação legal de prestar contas de seus atos, 
sempre que solicitado pelo titular dos dados, como por autoridades com poderes para verificar a coleta 
e tratamento de dados pessoais.
Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados 
pessoais, para proteger seus titulares e garantir a segurança de todos, ou seja, tanto das atividades 
econômicas desenvolvidas como da sociedade.
É importante destacar que os princípios não são obstáculos para a efetividade das atividades econômicas 
e empresariais que utilizam dados pessoais. A expectativa é positiva, essas atividades continuarão sendo 
realizadas e em conformidade com a LGPD.
É por isso que a segurança da informação será cada vez mais requisitada pelas pessoas naturais 
e jurídicas, públicas e privadas que usem dados pessoais em suas atividades. A lei é rigorosa ao exigir 
segurança, transparência e, principalmente, prevenção de problemas para os titulares que tenham 
fornecido seus dados pessoais.
138
Unidade III
A LGPD regula dois importantes aspectos: os requisitos para tratamento de dados pessoais e a 
possibilidade de compartilhamento de dados. A LGPD estabeleceu que os dados pessoais só poderão 
ser tratados por uma pessoa natural ou jurídica, pública ou privada, em situações específicas:
• Mediante o fornecimento de consentimento pelo titular dos dados.
• Para o cumprimento de obrigação legal ou regulatória pelo controlador.
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à 
execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, 
convênios ou instrumentos congêneres.
• Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização 
dos dados pessoais.
• Para a execução, quando necessário, de contrato ou de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular dos dados pessoais, a pedido deste.
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último 
nos termos da Lei de Arbitragem.
• Para a proteção da vida ou da incolumidade física do titular ou de terceiros.
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, 
serviços de saúde ou de autoridade sanitária.
• Para atender, quando necessário, aos interesses legítimos do controlador ou de terceiros, exceto 
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos 
dados pessoais.
• Para a proteção do crédito, em consonância com a legislação existente sobre o assunto.
A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e poderá 
gerar a aplicação de sanções. Se provada a ocorrência de danos, o responsável é obrigado a arcar com 
sua indenização.
 Observação
A LGPD limita o usoe manipulação dos dados pessoais ao mínimo 
necessário, visando à proteção desses dados e, definitivamente, dando 
plenos poderes de limitação de uso e concessão de acesso ao dono da 
informação, aumentando assim a importância da conscientização da população 
sobre a importância e segurança de seus dados pessoais.
139
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Em muitas situações da vida empresarial é necessário compartilhar dados pessoais de clientes. 
Nesses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados 
pessoais com outros controladores deverá ter o consentimento específico do titular para essa 
finalidade, salvos os casos em que a lei, expressamente, dispensa necessidade de consentimento.
A LGPD estabelece também que o titular dos dados tem direito de saber sobre o compartilhamento 
e sua finalidade. Em quase todos os setores econômicos o compartilhamento de dados pessoais é feito 
de forma usual em muitas situações diferentes. Dados pessoais são compartilhados entre o banco e 
as operadoras de cartão de crédito para débito em conta corrente; entre os prestadores de serviços 
– médicos, hospitais, laboratórios de exames clínicos – e as operadoras de saúde; e, também entre 
empresas do mesmo grupo econômico para fins negociais, como a loja de departamentos e a agência 
de viagem do mesmo grupo. Em todas essas hipóteses o compartilhamento deverá ser autorizado 
expressamente e informado ao titular de dados pessoais.
Existe previsão legal de que o titular seja informado e dê seu consentimento para a utilização de seus 
dados pessoais para finalidades previstas na lei. Mas, quando se tratar de compartilhamento de dados 
pessoais, o consentimento deve ser informado e específico.
No preenchimento de documentos de autorização, em meio físico ou digital, a existência de dois 
campos específicos de consentimento poderá suprir o problema. Um campo para que o titular autorize o 
tratamento de dados pessoais e um campo específico para que ele autorize o compartilhamento de dados.
A LGPD especifica direitos do titular de dados pessoais que deverão ser respeitados por todos os que 
trabalhem com tratamento de dados. O princípio que rege esse direito é o do livre acesso, o que significa 
que o titular de dados poderá requerer informações a respeito de seus dados pessoais sempre que 
desejar, sem precisar justificar as razões do pedido. Esse é, aliás, o direito mais importante que o titular 
de dados pessoais possui: acesso facilitado às informações sobre o tratamento de seus dados.
As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, 
adequada e ostensiva sobre:
• Finalidade específica do tratamento: objetivo que motivou o tratamento dos dados.
• Forma e duração do tratamento, observados os segredos comercial e industrial: de que 
maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento 
poderá preservar os segredos comercial e industrial de sua atividade, porém, precisará informar 
que instrumentos utilizará para tratamento de dados.
• Identificação do controlador: responsável pelas decisões.
• Informações de contato do controlador: que forma de contato o titular de dados pessoais 
poderá ter com o controlador (acesso por telefone gratuito, como 0800; por endereço eletrônico; 
por aplicativo de mensagens entre outros meios devidamente informados para o titular de 
dados pessoais).
140
Unidade III
• Informações acerca do uso compartilhado de dados pelo controlador e a finalidade: é 
preciso informar se haverá compartilhamento de dados, com quem e com qual finalidade.
• Responsabilidades dos agentes que realizarão o tratamento: quem serão os responsáveis 
pelo tratamento dos dados pessoais.
• Direitos do titular: a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos 
titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador 
da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto 
de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa 
– controlador e operador –, bem como todos aqueles que atuam na equipe, estejam aptos a 
fornecer informações corretas e a esclarecer sobre direitos do titular de dados pessoais.
A resposta à consulta feita pelo titular de dados pessoais deverá confirmar ou negar a existência de 
dados pessoais e ser redigida de forma simples, clara e completa, que permita a imediata compreensão 
da origem dos dados pessoais, a finalidade do tratamento ou sua inexistência.
A resposta deverá ser fornecida para o titular de dados no prazo máximo de 15 dias contados da 
data do requerimento do titular. Em caso de existência de dados, a resposta deverá especificar quais 
são os dados pessoais cadastrados.
A falta de cumprimento desse prazo poderá ensejar aplicação de sanções, como multa, por isso 
é fundamental que as pessoas naturais ou jurídicas, públicas ou privadas, que operam com dados 
pessoais, estejam organizadas para que seus fluxos de gestão permitam atender corretamente o prazo 
fixado em lei.
A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, 
seguro e idôneo para essa finalidade, ou na forma impressa. A escolha da forma da resposta será 
do responsável pelo tratamento de dados, sempre respeitados os limites de acessibilidade do titular de 
dados pessoais. Assim, se um titular de dados pessoais declarar expressamente que não possui acesso 
ao computador ou a um aparelho de celular conectado à rede mundial de computadores, o responsável 
pelo tratamento de dados não poderá fornecer informações por meio eletrônico, uma vez que o titular 
dos dados pessoais não conseguirá acessar a resposta.
Nos casos em que o tratamento de dados pessoais tiver origem no consentimento do titular ou em 
um contrato, como ocorre nos contratos de seguros, planos de saúde ou bancos, o titular terá direito 
de solicitar cópia integral de seus dados pessoais, respeitados os segredos comercial e industrial 
que fundamentam a operação da empresa que utiliza os dados pessoais em sua atividade.
O titular de dados pessoais poderá solicitar revisão de decisões tomadas com base em tratamento 
automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram 
seu perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, 
conforme determina o artigo 20 da LGPD. Assim, se uma empresa resolver não fornecer crédito com 
base em dados pessoais do titular e este tiver motivos para pedir a revisão da decisão, poderá fazê-lo 
141
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
com a apresentação de argumentos ou de novos dados que levem à conclusão de que a decisão 
está equivocada.
Muitas empresas, na atualidade, já utilizam o instrumento da inteligência artificial, que são 
programas de computadores que, a partir da análise dos dados disponíveis, definem características 
de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento 
(viagens ou lazer), dados de crédito e bancários e criam perfis utilizados para novos produtos ou serviços, 
que serão oferecidos aos titulares dos dados pessoais, ou indicam opções que não devem ser oferecidas 
porque não são de interesse daquele grupo ou daquela pessoa em particular.
Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil 
automatizado, ele poderá solicitar que isso seja feito. Mas isso serve apenas para os perfis construídos 
de forma automatizada, por instrumentos semelhantes à inteligência artificial.
O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais:
• Confirmação da existência de tratamento de dados pessoais.
• Acesso aos dados pessoais que estão sendo tratados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em 
desconformidadecom o disposto na LGPD.
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, 
de acordo com a regulamentação que será criada pela autoridade nacional.
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em 
que a LGPD prevê a conservação dos dados (artigo 16).
• Informação das entidades públicas e privadas com as quais o controlador realizou uso 
compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências 
da negativa.
• Revogação do consentimento.
É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento 
e, se isso ocorrer, o contrato formalizado entre as partes poderá ser rescindido, caso os dados pessoais 
sejam essenciais para a correta formalização do instrumento contratual.
142
Unidade III
Também, se o titular não quiser informar dados pessoais relevantes para a operação comercial 
ou, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno 
direito. Nessas situações, no entanto, o operador de dados deverá demonstrar que os dados pessoais 
são essenciais para a concretização do contrato ou do negócio jurídico. Dados pessoais são essenciais 
para a formalização de muitos contratos como bancários, de financiamento, de seguros, de crédito 
pessoal, de cartão de crédito, com operadoras de planos de saúde, operadoras de saúde, serviços de 
internet, entre tantos outros.
Por essa razão é importante que os agentes de tratamento de dados informem o titular dos dados 
pessoais sobre as consequências de não fornecer o consentimento para o tratamento. Em muitos 
contratos, a falta de fornecimento de dados pessoas inviabilizará a realização do contrato. Se concedida 
a autorização e depois revogada, ensejará a rescisão do contrato sem ônus para o fornecedor de produtos 
ou serviços, diante da inviabilidade de prosseguir com as obrigações oriundas do instrumento contratual 
sem os dados pessoais essenciais do titular e contratante.
Outro aspecto importante, o titular dos dados pessoais não pode abusar de seu direito de pedir 
informações sobre os dados pessoais que estão sendo tratados. É uma hipótese típica do artigo 187 
do Código Civil brasileiro, que determina que comete ato ilícito o titular de um direito que, ao 
exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela 
boa-fé ou pelos bons costumes.
Se o titular de dados pessoais fizer grande número de consultas, de forma excessiva e claramente 
sem finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código 
Civil, por haver caracterizado a conduta abusiva no exercício de direitos.
O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante 
legalmente autorizado. O requerimento feito pelo titular de dados pessoais ou por seu representante legal 
não poderá ser objeto de cobrança de nenhum valor, e, exatamente por isso, não poderá ser 
solicitado de forma excessiva ou sem finalidade justificada.
Caso o pedido para verificação de dados não seja atendido de imediato pelos agentes de tratamento 
de dados, o titular de dados pessoais ou seu representante legal poderão comunicar o fato à Autoridade 
Nacional de Proteção de Dados (ANPD) ou aos órgãos de proteção e defesa do consumidor pertencentes 
ao Sistema Nacional de Direito do Consumidor (SNDC), do Ministério da Justiça.
A LGPD determina que o controlador e o operador designados pela pessoa natural ou jurídica, de 
direito público ou privado, deverão manter registro das operações de tratamento de dados pessoais que 
realizarem, principalmente quando esse tratamento for fundamentado em legítimo interesse, como 
ocorre com os setores empresariais – bancos, financeiras, seguradoras, operadoras de saúde, hospitais, 
clínicas, laboratórios de exames –, que precisam manter dados pessoais arquivados para cumprimento 
de disposições das leis que regem suas atividades e de seus órgãos reguladores (Banco Central, 
Superintendência de Seguros Privados, Agência Nacional de Saúde Suplementar, Agência Nacional de 
Vigilância Sanitária, entre outros).
143
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As atividades de controlador e operador poderão ser objeto de relatório solicitado pela ANPD, 
inclusive em relação a dados sensíveis, e o relatório deverá conter a descrição dos tipos de dados 
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações 
e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de 
risco adotados. Sendo necessárias, outras informações poderão ser solicitadas pela ANPD no exercício 
de sua atividade regulamentadora e fiscalizadora.
O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em 
conformidade com as instruções do controlador, por essa razão, cabe ao próprio controlador verificar 
se suas instruções estão sendo cumpridas corretamente e, principalmente, se estão adequadas ao que 
determina a legislação.
O controlador também tem a responsabilidade de indicar quem será o encarregado pelo tratamento 
de dados pessoais e de fornecer os dados sobre sua identidade e todas as informações para que seja 
possível o contato de forma pública, preferencialmente pelo site do controlador.
Pela LGPD, as principais atividades do encarregado são:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
• Receber comunicações da autoridade nacional e adotar providências.
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em 
relação à proteção de dados pessoais.
• Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas 
complementares que venham a ser criadas principalmente pela ANPD.
A atividade do controlador e encarregado poderão gerar responsabilidades e, consequentemente, 
a obrigação de reparar danos materiais e imateriais de que forem vítimas os titulares de 
dados pessoais.
As duas principais causas de danos para tratamento de dados pessoais são:
• Deixar de observar as determinações da Lei Geral de Proteção de Dados.
• Tratar dados sem segurança técnica adequada para a finalidade a que se destina.
Os agentes de tratamento de dados pessoais ou qualquer outra pessoa autorizada por eles que seja 
responsável por tratamento de dados pessoais têm a obrigação de garantir a segurança da informação em 
todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que dava sustentação 
ao tratamento.
144
Unidade III
O operador responderá solidariamente pelos danos que causar aos titulares de dados pessoais nos 
casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador.
O controlador, por sua vez, responderá solidariamente com operador quando estiverem diretamente 
envolvidos no tratamento de dados do qual resultaram danos para o titular.
Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis 
por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; quando um deles 
quitar integralmente terá direito de se ressarcir dos demais devedores solidários em relação às suas 
cota-partes. Assim, se o prejuízo for no valor de 10 mil reais, controlador e agente serão responsáveis 
perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, 
terá direito de se ressarcir cinco mil reais em relação ao agente.
O titular de dados pessoais terá em seu benefício o instituto da inversão do ônus da prova, previsto 
expressamente em favor do consumidor no Código de Defesa do Consumidor, que já foi estudado 
neste trabalho.
É importante observar que não haverá responsabilidade em todas as situações comprovadas em 
que os agentes:
• não realizaram o tratamento de dados pessoais que lhes foi atribuído;• tenham realizado o tratamento de dados pessoais, mas não ficar comprovada a violação da LGPD;
• não tenham nenhum relacionamento com o dano alegado pelo titular de dados pessoais, que 
decorre da ação exclusiva do titular ou de terceiros. Por exemplo, quando uma pessoa próxima do 
titular de dados, um amigo ou um parente, utiliza indevidamente seus dados pessoais.
A segurança no tratamento de dados pessoais é ponto fundamental para que não ocorram 
hipóteses de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os 
dispositivos de segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento 
de dados contra vazamento e outras possibilidades que causem prejuízos aos titulares. Nesse 
aspecto, a atividade do gestor de segurança da informação é essencial e, quanto melhor preparado 
estiver esse profissional, melhor será o trabalho de todos, especialmente dos agentes de tratamento 
de dados pessoais.
Esse é um ponto fundamental para a compreensão, porque os riscos para as pessoas físicas ou 
jurídicas, públicas ou privadas, que tratam dados pessoais têm aumentado muito nos últimos anos.
145
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Saiba mais
Acompanhe as notícias mais recentes sobre vazamento de dados de 
usuário de grandes empresas, como ocorreu com usuários do Facebook. 
Vazaram fotos, vídeos, informações sobre amigos, músicas, reservas de voos 
e hotéis, entre outros dados importantes. Veja mais em:
G1. 540 milhões de dados de usuários do Facebook ficam expostos em 
servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://glo.bo/3cbjbD3. 
Acesso em: 1º jun. 2021.
A LGPD determina que os agentes de tratamento – controlador e operador – deverão adotar as 
medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais de:
• acessos não autorizados;
• situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou 
qualquer outra forma de tratamento inadequado ou ilícito.
Para tornar o tratamento de dados pessoais seguro para os titulares e agentes de tratamento, a 
ANPD poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em 
especial com relação aos dados pessoais sensíveis.
O controlador de tratamento de dados pessoais está obrigado por lei a comunicar à ANPD e ao 
titular dos dados pessoais todo o incidente de insegurança que potencialmente possa causar riscos 
ou danos relevantes aos titulares.
Essa hipótese será aplicada apenas nos casos em que os riscos ou danos sejam relevantes, como 
acontecerá nos casos de vazamentos de dados ou de acesso indevido feito por pessoas não autorizadas.
A LGPD determina que a comunicação deverá ser feita em um prazo razoável e, embora não haja 
estipulação do prazo em dias ou horas, é possível interpretar que esse prazo deverá ser estabelecido para 
cada situação concreta e aplicado sempre com critério de maior brevidade possível para transmissão 
da informação.
Não é recomendável que o prazo seja tão curto que a informação não seja confirmada nem tão 
longo que não seja mais possível tomar providências de gerenciamento de crise e prevenção de 
extensão de danos.
Os agentes de tratamento de dados, ao prestarem informação a ANPD e ao titular dos dados pessoais 
sobre situações de risco ou de danos, serão obrigados a reportar os seguintes dados:
146
Unidade III
• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados 
os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata;
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ao ter conhecimento da informação sobre riscos, a ANPD deverá avaliar a gravidade do fato ocorrido 
levando em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis 
para terceiros não autorizados ao tratamento.
Após a avaliação técnica, a ANPD poderá determinar as seguintes providências:
• ampla divulgação do fato em meios de comunicação;
• medidas para reverter ou mitigar os efeitos do incidente.
A divulgação em meios de comunicação de grande circulação de riscos de vazamento de dados 
pessoais ou de acesso indevido ou as notícias publicadas a esse respeito representarão, quase sempre, 
forte abalo à reputação da empresa que for obrigada a adotar essas medidas.
Em áreas como bancos, cartões de crédito, financeiras, seguros, operadoras de saúde, laboratórios 
de exames clínicos, hospitais, escolas, universidades, clínicas médicas, entre outros, o abalo reputacional 
provocará impacto negativo no vínculo de confiança, que é imprescindível para que o contratante 
escolha aquela empresa para contratar ou fazer negócios.
Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas devem adotar com 
especial atenção e cuidado.
Para que o objetivo seja atingido, LGPD determinou que regras para boas práticas e governança 
são imprescindíveis para os controladores e operadores de dados pessoais.
As boas práticas e a governança terão regras construídas a partir da avaliação da natureza, o 
escopo, a finalidade e a probabilidade e a gravidade dos riscos, e dos benefícios decorrentes de 
tratamento de dados do titular.
A lei determina que as regras de boas práticas e de governança deverão estabelecer, entre outros 
aspectos ao tratamento de dados pessoais:
147
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• condições de organização;
• regime de funcionamento, procedimentos, incluindo reclamações e petições de titulares;
• normas de segurança;
• padrões técnicos;
• obrigações específicas para os diversos envolvidos no tratamento;
• ações educativas adotadas para os funcionários e prestadores de serviços das pessoas naturais ou 
jurídicas, públicas ou privadas, que utilizem tratamento de dados pessoais em suas atividades;
• mecanismos internos de supervisão e de mitigação de riscos.
O controlador de dados pessoais avaliará a estrutura, escala e volume de suas operações, bem 
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão 
ser causados aos titulares de dados pessoais, para:
• Implementar programa de governança em privacidade.
• Demonstrar a efetividade de seu programa de governança em privacidade a pedido da ANPD 
ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de 
conduta, os quais, de forma independente, promovam o cumprimento da LGPD.
As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados 
pessoais deverão ser publicadas e atualizadas periodicamente; a ANPD poderá reconhecê-las e divulgá-las 
quando necessário.
A LGPD determina que, em razão das infrações cometidas por falta de cumprimento da lei, os agentes 
de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser:
• Advertência: com indicação de prazo para adoção de medidas corretivas.
• Multa simples: de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou 
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 
milhões de reais por infração.
• Multa diária: observado o limite total de 50 milhões de reais.
• Publicização da infração: após devidamente apurada e confirmada a sua ocorrência.
• Bloqueio dos dados pessoais: até a regularização.
• Eliminação dos dados pessoais: somente os que tiverem sido a causa da infração.
148
Unidade III
A ANPD promoverá processo administrativo para garantir a ampla defesa dos agentes de 
tratamento de dados pessoais, somente após a decisão do processo administrativo serão aplicadas 
as sanções, de forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada 
caso concreto.
Para a fixação da sanção serão levados em conta, obrigatoriamente,os seguintes critérios:
• gravidade e natureza das infrações e dos direitos pessoais afetados;
• boa-fé do infrator;
• vantagem auferida ou pretendida pelo infrator;
• condição econômica do infrator;
• reincidência;
• grau do dano;
• cooperação do infrator;
• adoção de mecanismos de prevenção e minimização dos danos;
• política de boas práticas e governança;
• pronta adoção de medidas corretivas;
• proporcionalidade entre a gravidade da falta e a intensidade da sanção.
É importante ressaltar que a LGPD não exclui a aplicação de sanções administrativas, civis ou 
penais definidas no Código de Defesa do Consumidor e em outras leis específicas sobre o tema 
da proteção de dados pessoais. Essas sanções poderão ser cumuladas com aquelas aplicadas pela 
LGPD, o que poderá representar um forte impacto negativo para empresas, além do prejuízo para 
sua reputação.
O valor arrecadado com as multas não se destina às vítimas de danos, mas ao Fundo de Defesa 
dos Direitos Difusos, que utilizará para a efetivação de projetos de educação e proteção nas áreas 
de meio ambiente, direitos do consumidor, proteção do patrimônio cultural, artístico e histórico, 
entre outros.
149
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Saiba mais
O Google foi multado pela Comissão Nacional de Informática e Liberdade 
(CNIL), órgão regulador francês para a área de privacidade. O valor da multa 
foi de 50 milhões de euros e a infração foi caracterizada como falta de 
transparência, informação insatisfatória e falta de consentimento válido 
para a personalização da publicidade. A multa foi aplicada com fundamento 
no Regulamento Geral de Proteção de Dados da União Europeia e ficou 
conhecida como um dos primeiros casos em que esse regulamento foi 
aplicado. Leia mais em:
GOOGLE multada em 50 milhões por violar RGPD em França. Dinheiro 
Vivo, 21 jun. 2019. Disponível em: https://bit.ly/2S4EPSm. Acesso em: 
1º jun. 2021.
A ANPD (que, como vimos, é órgão da administração pública federal vinculada à Presidência da 
República) tem várias competências estabelecidas pela lei, entre elas, as mais relevantes são:
• Zelar pela proteção dos dados pessoais, nos termos da legislação.
• Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais 
e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os 
fundamentos da LGPD.
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à 
legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o 
direito de recurso.
• Promover na população o conhecimento das normas; das políticas públicas sobre proteção de 
dados pessoais; das medidas de segurança.
• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados 
pessoais e de privacidade.
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos 
titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das 
atividades e o porte dos responsáveis.
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, 
de natureza internacional ou transnacional.
150
Unidade III
• Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados 
os segredos comercial e industrial.
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem 
como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o 
tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais 
previstos na LGPD.
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos 
prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais 
de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, 
possam adequar-se à LGPD.
• Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e 
adequada ao seu entendimento.
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas 
competências e os casos omissos.
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de 
reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
A ANPD atuará como órgão regulador e fiscalizador de todos os setores econômicos que atuem com 
tratamento de dados e será mais uma entidade administrativa à qual todos que trabalham com dados 
pessoais deverão se reportar.
A LGPD prevê, ainda, a criação de um Conselho Nacional de Proteção de Dados Pessoais e Privacidade, 
que terá vinte e três representantes, escolhidos entre membros do Legislativo, Executivo, Judiciário, 
Ministério Público, instituições científicas, sociedade civil, representação sindical entre outras.
Os dados pessoais sensíveis e os dados pessoais de crianças e adolescentes mereceram cuidados 
especiais que foram definidos na Lei Geral de Proteção de Dados.
 Lembrete
Dados sensíveis foram definidos pela própria LGPD como dado pessoal 
sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, filosófico ou político, dado 
referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural.
151
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Como já mencionado, dados sensíveis são dados que uma pessoa nem sempre deseja compartilhar – 
nem mesmo quer torná-los conhecidos para outras pessoas ou empresas –, mas que, por alguma razão 
relevante, seu fornecimento se torna necessário.
O adjetivo sensível impõe que os dados pessoais sejam tratados com muito mais cuidado pelas 
pessoas naturais, jurídicas, públicas ou privadas, porque o vazamento de dados poderá provocar 
danos gravíssimos.
A professora Laura Schertel Mendes, a respeito de dados sensíveis, afirma:
[...] parece haver um consenso de que o tratamento de dados sensíveis acarreta 
riscos, e, portanto, merece uma atenção especial do legislador. Mas quais 
são, de fato, os dados sensíveis e por que eles precisam de maior proteção?
[...] Embora as listas variem de país para país, há várias categorias que se 
repetem, como os dados relativos à origem racial, vida sexual e convicções 
religiosas e políticas. Desse modo, para fins de sistematização dogmática, 
pode-se afirmar que a categoria dos dados sensíveis está relacionada à 
percepção de que o armazenamento, o processamento e a circulação de 
alguns tipos de dados podem se constituir em um risco maior à personalidade 
individual, especialmente se utilizados com intuito discriminatório. Os dados 
referentes a raça, opção sexual, saúde e religião são exemplos desse tipo 
(MENDES, 2014, p. 73).
E, para que fique ainda mais claro, vejamos o que o professor Danilo Doneda, um dos melhores 
pesquisadores na área de proteção de dados no Brasil, afirma:
[...] a prática do direito da informação deu origem à criação de uma categoria 
específica de dados, a dos dados sensíveis. Estes seriam determinados tipos 
de informação que, caso sejam conhecidos e processados, prestar-se-iam 
a uma potencial utilização discriminatória ou particularmente lesiva e que 
apresentaria maiores riscos potenciais que a média, para a pessoa e não raro 
para uma coletividade. Alguns destes dados seriam as informações sobre 
raça, credo político, religioso, opções sexuais, o histórico médico ou os dados 
genéticos de um indivíduo.
A categoria de dados sensíveis é fruto de uma observação pragmática da 
diferença que apresentam o efeito do tratamento destes dados em relação 
aos demais (DONEDA, 2006, p. 160).
Os dados sensíveis mereceram especialtratamento da Lei Geral de Proteção de Dados exatamente por 
serem muito mais suscetíveis de provocarem situações de discriminação, segregação ou de humilhação 
e constrangimento para seus detentores, caso sejam indevidamente divulgados.
152
Unidade III
Imagine que o prontuário médico de uma pessoa portadora de câncer é utilizado de forma indevida, 
por exemplo, nas redes sociais ou em seu ambiente de trabalho. Será que essa é uma informação que as 
pessoas querem compartilhar com todos? A informação sobre tratamento para implante de cabelo, por 
exemplo, ou para emagrecimento, é o tipo de informação que as pessoas querem ver compartilhadas 
de forma pública? Para alguns pode não ser um problema, mas não se pode afirmar que todos tenham 
a mesma opinião sobre esses assuntos, por isso o melhor a ser feito é que esses dados sejam ainda mais 
protegidos que os demais dados pessoais.
Em razão da importância de sua proteção, os dados pessoais sensíveis só poderão ser tratados por 
agentes nas seguintes hipóteses:
• Com consentimento do titular ou do responsável legal, de forma específica, destacada e com 
finalidade específica.
• Sem consentimento do titular ou do responsável legal para cumprimento de obrigação legal 
ou regulatória do controlador; para execução de políticas públicas; realização de estudos por 
órgãos de pesquisa e, sempre que possível, na forma anonimizada; para proteção da vida e da 
incolumidade física do titular ou de terceiro; para exercício regular de direitos, inclusive em 
contratos e em processos administrativos, judiciais ou arbitrais.
A LGPD, quando entrar em vigor, deverá ser aplicada em consonância com o Marco Civil da Internet, 
porque são ambas leis que tratam de aspectos semelhantes, mas com distinções no tocante à sua 
abrangência. Os estudiosos afirmam que a LGPD é protetiva de dados pessoais e de dados pessoais 
sensíveis com maior abrangência e especialidade que o Marco Civil da Internet e, por isso, nesses dois 
temas sua aplicação será prevalente, ou seja, terá mais força que o Marco Civil da Internet, que trata de 
outros temas além da proteção de dados pessoais.
O tratamento de dados pessoais e de dados pessoais sensíveis vai assumir um novo patamar a 
partir da entrada em vigor da LGPD. O Brasil estará na mesma linha dos principais países do mundo 
que já protegem dados pessoais e dados pessoais sensíveis, normatizam sua coleta, tratamento e 
compartilhamento e, com isso, garantem às pessoas maior segurança e respeito pelos dados que são 
utilizados nas diversas atividades, em especial naquelas de caráter econômico.
Os profissionais de segurança da informação deverão conhecer com profundidade o Marco Civil da 
Internet e a Lei Geral de Proteção de Dados e, quando estiverem em atividades empresariais de caráter 
internacional, deverão conhecer também as principais normas dos países com os quais se relacionam e 
regulamentos de grupos de países como o Regulamento Geral de Proteção de Dados da União Europeia, 
que entrou em vigor em maio de 2018.
Essas medidas são importantes para que a atividade empresarial que utilizar dados, seja no comércio, 
seja na prestação de serviços, seja na indústria e no agronegócio, esteja segura de que está atendendo 
corretamente a legislação e, com isso, evite a aplicação de sanções pecuniárias que poderão chegar à casa 
de 50 milhões de reais, no Brasil, e de muitos milhões de dólares ou de euros em outras partes do planeta.
153
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Na atualidade, a segurança de dados pessoais e de dados pessoais sensíveis é tão importante quanto 
eles próprios o são nas atividades empresariais. Os agentes econômicos, por meio de seus setores de 
segurança da informação, precisarão proteger corretamente os titulares de dados pessoais se quiserem 
continuar a fazer bons negócios com eles.
 Lembrete
A Lei Geral de Proteção de Dados deveria entrar em vigor em 2020, 
porém, com a pandemia da covid-19, foi adiada para 2021. Os dois projetos 
em tramitação, que adiaria para janeiro de 2021 e outro para maio de 
2021, não foram votados em definitivo ainda, portanto, fique atento para 
acompanhar as notícias e saber com certeza quando a LGPD entrará em 
vigor no Brasil.
6 CONFORMIDADE E AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
Os controles internos são ferramentas que visam minimizar problemas que podem causar impacto 
nas operações e no cotidiano das organizações. Os controles internos podem ou não utilizar recursos 
computacionais. Eles podem ser preventivos, quando visam evitar erros, falhas e promover boas práticas, 
detectivos quando identifica ou corrige problemas e corretivos quando visa sanar o problema ocorrido.
O controle interno pode ser definido como um plano de organização e todos os métodos e medidas 
coordenadas, aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a 
fidelidade de seus dados contábeis, promover a eficiência operacional e estimular a obediência às 
diretrizes administrativas estabelecidas.
Planejamento Padrão
Execução Medida
Padrão
Controle Desvios
Medidas
= X
Figura 44 – Ciclo gerencial dos controles internos
Alguns parâmetros de controle interno devem ser compreendidos na esfera administrativa para a 
formação dos padrões que serão definidos pela organização e, logo após, auditados e consequentemente 
protegidos nos quesitos relacionados à segurança da informação.
Na esfera contábil é necessário garantir parâmetros como: fidelidade da informação em relação 
ao dado, segurança física, segurança lógica, confidencialidade e obediência à legislação em vigor. Os 
parâmetros administrativos devem garantir: eficácia, eficiência e obediência às diretrizes administrativas.
154
Unidade III
É necessário garantir a fidelidade da informação em relação ao dado; deve ser verificado se as saídas 
das informações estão corretas e são provenientes dos dados de entrada, deve-se validar os resultados 
em banco de dados, arquivos, documentos, relatórios, medir o efeito de um determinado processo de 
sistema, detectar e evidenciar o grau de falha ou erro existente no sistema de informação.
Quando o assunto é segurança física, os controles internos devem avaliar os recursos materiais e 
humanos aplicados ao ambiente de sistemas de informação; validar o grau de segurança proporcionado 
aos recursos envolvidos no ambiente de sistemas em relação às ameaças existentes e prováveis sinistros 
que podem ocorrer; analisar a segurança do ambiente de tecnologia de informação e utilizar as 
ferramentas como procedimentos de controle, dispositivos de segurança etc.
A segurança lógica também tem fundamental importância e deve avaliar o nível de segurança e 
controle empregados com recursos tecnológicos nos processos de um sistema, programas de computador, 
procedimentos mecanizados ou manuais. Deve-se dar atenção também aos procedimentos operacionais 
e de controle para transformação dos dados em informação.
A confidencialidade deve ser preservada pelos controles internos. Deve-se avaliar o grau de sigilo que 
um sistema consegue manter perante acessos de terceiros ou pessoas não autorizadas; deve-se revisar 
e avaliar os recursos tecnológicos empregados como criptografia, senhas, bem como fator humano. O 
estabelecimento de nível de confidencialidade é estabelecido pela análise de dados a ser feita pelos 
administradores de dados e usuários finais.
Os controles internos devem prestar obediência à legislação em vigor, ou seja, deve ser verificado se 
os processos ou rotinas de sistemas estão processando de acordo com as leis vigentes no país, estado, 
município e em entidades externas responsáveis pelo estabelecimento de normas e procedimentos.
Deve-se garantir a eficácia dos ativos de informação, verificando o atendimento adequado dos 
objetivos e necessidades da empresa ou organização através do seu recurso tecnológico; deve-se 
também revisar e avaliar os dados e as informações processadas pelo sistema e utilizados pelos usuários.
É também necessário assegurara eficiência dos controles através da verificação do aumento da 
produtividade proporcionado pela melhoria de um determinado processo, e revisar e avaliar a forma 
ótima de utilização dos recursos em geral.
A necessidade de obediência às diretrizes administrativas se dá pela verificação do cumprimento das 
normas e procedimentos determinados pelos diversos setores da organização e avaliação da adequação 
dos processos e resultados do sistema às políticas e normas estabelecidas pela alta administração.
A adoção de controles internos aufere custos à organização. Esses custos são necessários, mas 
a simples introdução de investimentos não garante a eficácia dos controles internos, é necessária 
uma avaliação para conhecermos a faixa que maximiza os investimentos e a eficácia do processo de 
controles internos.
155
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Os controles internos são a base para processo de auditoria que pode ser representado pelas palavras 
exame, investigação e perícia.
A auditoria pode ser definida como:
Uma técnica contábil que, através de procedimentos que lhe são peculiares, 
objetiva obter elementos de convicção que permitam julgar se os registros 
contábeis foram efetuados de acordo com os princípios fundamentais 
e normas de contabilidade e se as demonstrações contábeis refletem 
adequadamente a situação econômico-financeira da empresa, num 
determinado período (CASSARO, 1997, p. 21).
Os trabalhos de auditoria são necessários para analisar se as demonstrações financeiras e contábeis 
e os relatórios apresentados à administração de uma organização: não evidenciam todas as transações 
econômicas e financeiras de um exercício contábil; contêm registros incorretos e incompletos, válidos, 
mas com problemas de integridade; apresentam, intencionalmente, demonstrações enganosas; não 
são apresentados conforme demandam as legislações locais; omitem informações relevantes para 
a compreensão das demonstrações financeiras; perdem a consistência das informações devido às 
complexidades das operações empresariais.
Os objetivos das auditorias estão ligados às necessidades de auxiliar a alta administração a atingir 
os objetivos da organização, desenvolvendo: assessoria nos processos de planejamento, execução e 
controle das operações empresariais; assessoria nas implementações de tecnologias gerenciais e de 
processos; avaliação do sistema de controle interno aplicado pela empresa para a realização de suas 
transações e operações; investigação de irregularidades, desfalques para quantificar os efeitos nos 
resultados dos negócios, prevenção de fraudes e erros relevantes em tempo; adequação na utilização de 
recursos humanos, materiais e tecnológicos envolvidos no ambiente de sistemas de informação.
O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o resultado. 
Existem três tipos de órgãos responsáveis pelo processo de auditoria.
A auditoria interna é realizada por departamento interno responsável pela verificação e avaliação 
dos sistemas e procedimentos internos de uma entidade. Avalia a eficiência e a eficácia das tarefas. Visa 
assessorar a alta administração no cumprimento de suas funções de controle das operações da empresa.
A auditoria externa é realizada por instituição externa e independente da entidade auditada, com 
o objetivo de assegurar aos proprietários e/ou acionistas, ao conselho de administração e ao mercado 
em geral que as demonstrações financeiras da empresa espelham o real resultado das transações de um 
determinado período que constituem a situação patrimonial da empresa.
A auditoria articulada é realizada em conjunto pelas auditorias internas e externas, devido à 
superposição de responsabilidades dos órgãos fiscalizadores. É caracterizada pelo uso comum de recursos 
e comunicação recíproca dos resultados.
156
Unidade III
6.1 Personagens envolvidos no processo de auditoria
Entre os personagens envolvidos no processo de auditoria, temos:
• Cliente
É aquele que solicita ou contrata a auditoria. Sua função é de determinar o propósito da auditoria; 
informar aos funcionários envolvidos os objetivos e o escopo do trabalho de auditoria; apresentar os 
principais responsáveis para participar da auditoria como auditado; fornecer recursos adequados e 
acessos a instalações e materiais relevantes; receber o relatório de auditoria e fazer análise crítica.
• Auditado
É avaliado na auditoria. Sua responsabilidade é de cooperar apresentando as informações e 
documentos solicitados pelo auditor; participar de reuniões e entrevistas, sempre que solicitado; 
acompanhar os trabalhos de auditoria; coordenar e/ou implementar as recomendações apresentadas 
pela auditoria.
• Auditor
É aquele que coordena e/ou realiza os trabalhos de auditoria. É responsável pelo trabalho de auditoria; 
organiza e propõe o plano de auditoria; cumpre e comunica os requisitos de auditoria, filosofia e ética; 
documenta as observações; coleta e evidencia as informações; apresenta o relatório de auditoria; faz o 
acompanhamento das ações corretivas (quando aplicável).
6.2 Pareceres de auditoria
Diante de uma auditoria, após a análise, cabe ao auditor emitir um relatório chamado de parecer, 
que é um documento no qual o auditor expressa sua opinião, de forma clara e objetiva, pelo qual analisa 
se os resultados apurados estão representados adequadamente ou não, em todos os aspectos relevantes, 
na data do levantamento e para o período correspondente. Os pareceres podem ser sem ressalva; com 
ressalva; adverso; com abstenção de opinião; de incerteza.
O parecer sem ressalva indica que o auditor está convencido de que as demonstrações foram 
elaboradas consoantes às disposições contidas nos controles internos ou nas normas, em todos os aspectos 
relevantes. O auditor não deve emitir parecer sem ressalva quando existir alguma das circunstâncias 
seguintes (que, na sua opinião, tenham efeitos relevantes para as demonstrações): discordância com 
a administração da entidade a respeito do conteúdo e/ou forma de apresentação das demonstrações 
contábeis; limitação na extensão do seu trabalho.
O parecer com ressalva é emitido quando o auditor conclui que o efeito de qualquer discordância ou 
restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção 
de opinião. Trata-se de exceções.
157
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
O parecer adverso é utilizado quando o auditor emite opinião de que as demonstrações não estão 
adequadamente representadas, nas datas e períodos indicados, de acordo com as disposições contidas 
nos controles internos ou nas normas. O auditor deve emitir parecer adverso quando verificar que 
as demonstrações estão incorretas ou incompletas em tal magnitude que impossibilite a emissão do 
parecer com ressalva.
O parecer com abstenção de opinião é aquele em que o auditor deixa de emitir opinião sobre 
as demonstrações, por não ter obtido comprovação suficiente para fundamentá-la. A abstenção 
de opinião em relação às demonstrações tomadas em conjunto não elimina a responsabilidade do 
auditor de mencionar, no parecer, qualquer desvio relevante que possa influenciar a decisão do usuário 
dessas demonstrações.
A incerteza pode ocorrer quando, em relação a fato relevante, o desfecho afetar significativamente 
a posição patrimonial e financeira da entidade, bem como o resultado das suas operações. O auditor 
deve adicionar um parágrafo de ênfase em seu parecer, após o parágrafo de opinião, fazendo referência 
à nota explicativa da administração, que deve descrever, de forma mais extensa, a natureza e, quando 
possível, o efeito da incerteza.
6.3 Auditoria de sistemas
Segundo Arima (2000), a auditoria de sistemas é a adequação, avaliação e recomendação para 
o aprimoramento dos controles internos nos sistemas de informação da empresa na utilização dos 
recursos humanos, materiais e tecnológicos envolvidos no seu processamento.
Os trabalhos de auditoria devem ser desenvolvidos nos sistemas em operaçãonormal, nos sistemas 
em desenvolvimento, administrativo e operacional do ambiente e eventos específicos
Os trabalhos de auditoria nos sistemas em operação normal consistem na revisão e na avaliação de 
procedimentos e resultados dos sistemas de informação. Suas características são preventiva, detectiva 
e corretiva.
Já os trabalhos em sistemas em desenvolvimento consistem na revisão e na avaliação do processo 
de construção de sistemas de informação. Sua característica é preventiva.
Quanto aos trabalhos de auditoria de sistemas no ambiente administrativo e operacional 
do ambiente, estes abrangem todo o ambiente de tecnologia da informação em termos de 
infraestrutura, normas e procedimentos, custos, nível de utilização de recursos, planos de segurança 
e de contingência.
A auditoria de sistemas para eventos específicos abrange a análise da causa, da consequência e da 
ação corretiva cabível de eventos específicos e localizados, detectados por outros órgãos e levados para 
seu conhecimento. Sua característica é corretiva.
Os pontos de controle de um processo de auditoria de sistemas demonstram uma situação levantada 
que merece ser validada pela auditoria, segundo determinados parâmetros de controle interno.
158
Unidade III
Os processos são representados por rotina operacional, rotina de controle, etapas de desenvolvimento 
ou manutenção de sistemas, procedimentos administrativos.
O resultado dos pontos de controle é demonstrado por meio de documentos, relatórios, arquivos, 
pontos de integração, estrutura lógica/física de sistema, modelo entidade-relacionamento etc.
Quadro 26 – Comparativo entre processo e resultado
Natureza do processo/resultado Tipo Exemplos
Rotina operacional Processo
Rotina de atualização do cadastro de itens em estoque
Rotina de cálculo do saldo em estoque
Informação operacional Resultado
Informações do cadastro de estoque atualizado
Informação do saldo em estoque
Rotina de controle Processo
Rotina de gravação ou impressão de tentativa de inclusão de item já 
existente no cadastro de estoque
Rotina de verificação quanto ao fato de o saldo do item em estoque 
ser negativo
Informação de controle Resultado
Item a ser incluído, já existente no cadastro de estoque e listado no 
relatório de erros de atualização
Item em estoque com saldo negativo e impresso em relatório de erros
Rotina de projeto Processo
Etapas de desenvolvimento ou manutenção de sistemas
Processos e procedimentos administrativos
Informação de projeto Resultado
MER, estrutura dos projetos lógico e físico do sistema, banco de dados
Documentos, relatórios
Adaptado de: Gil (2000, p. 43).
O ponto de auditoria é um ponto de controle já validado que apresentou fraqueza e que constará no 
relatório de avaliação do controle interno. É caracterizado por documentação comprobatória, descrição 
do tipo de fraqueza e alternativa de solução recomendada.
Caracterização e inventário 
dos pontos de controle
Implementação da 
solução recomendada
Avaliação dos pontos de 
controle selecionados
Caracterização do 
ponto de auditoria
Apresentou 
fraqueza?
Não
Sim
Fim
Figura 45 – Ciclo de vida dos pontos de controle e de auditoria
159
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
O ciclo de auditoria de sistemas inicia-se como o processo de auditoria de posição, em que é 
diagnosticado como a organização está atuando em relação aos controles definidos, após a avaliação 
dos pontos de controle, que são selecionados e testados, são verificadas suas fraquezas. Caso possuam 
fraquezas, os pontos de controle se tornam pontos de auditoria que devem ser avaliados.
Quadro 27 – Ciclo de auditoria de sistemas
Auditoria de posição Auditoria de acompanhamento
Avaliação dos pontos de controle
Avaliação dos pontos 
de auditoriaPontos de 
controle 
caracterizados
Pontos de controle não selecionados
Pontos de controle 
testados
Não apresentam fraquezas
Apresentam fraquezas Pontos de auditoria
Fonte: Arima (2000, p. 43).
Diante do ciclo do projeto de auditoria, planejamento e controle referem-se à definição das 
necessidades de recursos humanos, tecnológicos, materiais e financeiros, em função do enfoque, 
abrangência e delimitação do sistema a ser auditado em relação ao prazo estabelecido pela alta 
administração. Devem ser formadas equipes de trabalho para coordenação e execução, bem como a 
elaboração de cronogramas, quadro de recursos, orçamentos etc.
Na fase de levantamento, os pontos devem ser caracterizados em nível macro, suficiente e 
abrangente para o entendimento pleno e global das características do sistema. Essa fase será promovida 
por meio de entrevistas. A análise da documentação é necessária à elaboração do diagrama de fluxo de 
dados, dicionário de dados, modelo entidade-relacionamento, diagrama hierárquico de funções.
O inventário de pontos de controle identifica os diversos pontos que poderão vir a ser avaliados pelo auditor 
e que podem agrupar-se através de processos informatizados ou manuais e de resultados de processamento.
São exemplos de pontos de controle os documentos de entrada, relatórios e telas, arquivos 
magnéticos, rotinas ou programas de computador e pontos de integração.
A eleição dos pontos inventariados consiste em estabelecer prioridades para avaliação dos pontos 
inventariados. São aspectos comumente observados para priorização desses pontos a análise de risco, a 
disponibilidade de recursos, os prazos e cronogramas de trabalho, a decisão gerencial, a relevância dos 
aspectos a serem avaliados, a natureza da avaliação e o foco dos trabalhos de auditoria.
Revisão e avaliação consistem em executar testes de validação dos pontos de controle, segundo 
parâmetros de controle interno determinado para auditoria do sistema de informação. Aplicam-se as 
técnicas de auditoria que evidenciem as falhas ou fraquezas de controle interno, tais como “ao redor”, 
“através de” ou “com” computador.
160
Unidade III
Detectando falhas ou fraquezas, elabora-se o relatório de fraqueza de controle interno, apontando e 
recomendando as alternativas de solução que minimizem ou até eliminem as fraquezas.
O ponto de controle transforma-se em ponto de auditoria, o qual deverá acompanhar em função 
do prazo dado para correção por parte dos analistas e usuários responsáveis pela manutenção. Uma vez 
solucionado, volta ao processo de um novo inventário ou segunda auditoria.
A conclusão consiste em apresentar, através do relatório de auditoria, a opinião final sobre a situação 
do controle interno do sistema de informação que pode ser satisfatório, com baixo, médio ou alto risco, 
ou não satisfatório.
Há a possibilidade de alguns pontos elencados não serem avaliados na sua totalidade ou de o 
processo de avaliação ainda não fornecer elementos que possam dar suporte à opinião do auditor. 
Especificamente para esses casos, o status do parecer será “não avaliado”, e na sequência apresentam-se 
os motivos pelos quais se chegou a esse parecer.
O follow-up consiste em revisar, dentro de um novo projeto de auditoria, os pontos de controle 
que apresentaram deficiências em trabalhos anteriores. A atividade de follow-up tem por finalidade 
identificar se os problemas foram resolvidos; se medidas estão sendo adotadas no sentido de eliminar tais 
deficiências; adequar e atualizar as recomendações face a novas realidades tecnológica e organização 
empresarial; avaliar o comprometimento da administração frente à segurança computacional.
Auditoria de posição
Planejam
ento e controle
 1. Levantamento
 2. Inventário de pontos de controle
 3. Eleição e seleção de pontos inventariados
 4. Revisão e avaliação
 5. Conclusão (relatório de auditoria)
Auditoria de acompanhamento
 6. Follow-up
Figura 46 – Ciclo do projeto de auditoria
Fonte: Arima (2000, p. 34).
6.4 Técnicas de auditoria de sistemas
As técnicas para auditoria de sistemas são ferramentas que auxiliam os trabalhos de auditoria para 
os processos de verificação nas análises de resultados.
161
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Ferramentaspara suporte 
aos trabalhos de auditoria
Verificação e 
confrontação de output 
em relação ao input
Questionários de 
controle interno
Checklist
Ao redor de computador Através de computador
Teste-deck Programas 
desenvolvidos 
pelo usuário
Software geral 
de auditoria
Gerenciador de 
banco de dados
Facilidade de teste integrado
Tracing
Mapeamento do programa
Snapshot
Processamento simultâneo
Simulação paralela
Análise de job accouting / log
Análise de instruções do programa
Com computador
Técnicas de verificação das 
fases de processamento
Técnicas de verificação dos 
resultados de processamento
Figura 47 – Técnicas de auditoria
Fonte: Arima (2000, p. 34).
A técnica de verificação das fases de processamento denominada ao redor de computador faz uma 
análise comparativa dos dados de entrada e das informações de saída dos processos do computador 
com a elaboração da mesma tarefa por meio manual e conveniente para sistemas simples e menores.
A técnica de verificação das fases de processamento denominada através de consiste na identificação, 
análise e teste dos pontos de controle interno do sistema de informação em nível computadorizado.
A técnica de verificação dos resultados do processamento denominada com computador 
consiste no uso do computador para verificar e testar os dados processados pelo sistema de 
informação computadorizado.
O método implica a elaboração de programas de computador que executam testes de prolongamentos 
e condições, seleção e impressão para confirmações e amostras para auditoria, comparação de dados da 
auditoria com registros do sistema e análise das amostras da auditoria.
As técnicas para avaliação dos processos podem ser manuais ou adicionadas em processos informatizados.
As principais técnicas manuais são as entrevistas, a verificação in-loco, questionários, análise de 
documentos, diagrama de causa e efeito (espinha de peixe), diagrama de pareto e método 5W1H.
162
Unidade III
Causa Efeito
Inexistência de 
metologia de 
desenvolvimento 
de sistemas
Ferramentas de 
desenvolvimento 
de sistemas são 
ultrapassadas
Analistas de 
sistemas encaram 
o usuário como um 
mal necessário
Prazos de 
desenvolvimento 
de sistemas não são 
estimados de forma 
coerente
Os sistemas 
não atendem 
as necessidades 
dos usuários
Servidores 
são máquinas 
ultrapassadas
Infraestrutura da 
empresa é deficiente
Figura 48 – Exemplo de técnica manual de avaliação dos processos
Fonte: Arima (2000, p. 38).
As principais técnicas de avaliação em processos informatizados são o test-deck, a simulação 
paralela, o teste de recuperação, o teste de desempenho, o teste de stress, o teste de segurança, o base 
case system evalution (BCSE), o integrated test facility (ITF), o teste alfa e beta, o teste de caixa preta e 
caixa branca, o mapping, tracing e snapshot.
A técnica de test-deck envolve o conceito de massa de dados, em que informações fictícias são 
submetidas ao processamento nos programas informatizados. A massa de dados em questão deverá 
apresentar uma diversidade de combinações extrema, que nem sempre será encontrada no ambiente 
original. Após o processamento em análise dos resultados obtidos, é possível aferir a segurança lógica 
e/ou a eficiência do sistema auditado.
É importante ressaltar que, embora não observado na prática, o presente teste deve ser apontado 
como obrigatório para homologação de novos sistemas.
Na técnica de simulação paralela é desenvolvido um programa independente que simula as 
funcionalidades do sistema/módulo que está sendo auditado. Idealmente, o programa em questão 
deverá utilizar tecnologia (linguagem e ambiente) distintos do sistema original. Ao submeterem-se 
dados idênticos para processamento nos dois sistemas (paralelo e original), confrontam-se as saídas, 
aferindo-se dessa forma a confiabilidade do sistema informatizado. Um exemplo dessa técnica é o 
programa paralelo para simular contabilização automática.
A técnica de mapping debuga um programa e verifica a frequência em que cada linha de código 
é executada.
A técnica de tracing debuga um programa e verificam-se quais instruções do programa são 
executadas e em que ordem.
A técnica snapshot debuga um programa e verificam-se os diferentes valores atribuídos às 
variáveis auditadas.
163
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Algumas técnicas complementares também são utilizadas como: avaliações sob arquivos 
magnéticos; análise de dados; comparação de dados; confirmação de dados; system control 
audit review file (Scarf); avaliações focadas em rotinas operacionais; análise de design; análise de 
distribuição de trabalho e análise de distribuição de documentos.
Algumas ferramentas dão suporte e auxilam os processos de auditoria de sistemas como: softwares 
para gerenciamento de cronogramas; facilidades para trabalho em equipe; e-mail; grupos de trabalho; 
videoconferência; compartilhamento de documentos; controles e documentação do projeto e softwares 
específicos para auditoria.
O papel do auditor de sistemas diante desse processo é de identificar anomalias e recomendar a 
implementação ou aprimoramento de controles preventivos e detectivos; caso os encontre, apontar 
indícios de possíveis fraudes.
6.5 Auditoria de dados
Trata-se do trabalho de auditoria cuja principal “matéria-prima” são as informações contidas em 
registros magnéticos. O auditor promove os testes acessando diretamente o banco de dados dos sistemas 
auditados, isso permite que seja avaliada uma quantidade maior de registros (espaço amostral de 100%) 
e oferece maior precisão sobre os resultados.
A auditoria geralmente é executada por um auditor com perfil técnico, que se utiliza do 
desenvolvimento de rotinas eletrônicas para extração e confronto de dados, geração de gráficos e 
confecção de relatórios e elabora análise criteriosa sobre o modelo de dados, com vistas a identificar as 
informações mais relevantes e plausíveis de avaliação.
Por fim, a confecção de uma documentação extremamente técnica objetiva atender eventuais 
questionamentos sobre os programas de auditoria utilizados na avaliação.
No conceito de auditoria de sistemas, podemos afirmar que a auditoria de dados representa um 
segmento da auditoria de resultados.
Entrada Processamento Saída
Auditoria de 
processos
Auditoria 
de dados
Auditoria 
de resultados
Banco 
de 
dados
Figura 49 – Fluxograma de auditoria de dados
164
Unidade III
As principais etapas do processo de auditoria são:
• Primeiro: localização das informações a serem testadas.
• Segundo: obtenção dessas informações através do acesso direto a tabelas do banco de dados; 
do acionamento de rotinas específicas para geração de arquivos à auditoria; da interceptação 
dos buffers para impressão; da recepção de arquivos disponibilizados pelos próprios analistas da 
entidade auditada.
• Terceiro: pré-validação e refinamento dos dados obtidos.
• Quarto: padronização dos campos segundo critérios de auditoria (nomenclatura, tipo, tamanho 
e formato).
• Quinto: aplicação dos testes, visando à integridade implícita (exemplo: campos de preenchimento 
obrigatório e código verificador do CPF); às regras de negócio (exemplo: cliente inadimplente 
não deve possuir autorização para pagamento a prazo); ao cruzamento e confronto de dados 
(exemplo: saldo do contas a receber contra saldo da contabilidade).
• Sexto: validação e refinamento dos testes, pelo confronto com os documentos fontes; pelas 
circularizações e entrevistas; pelos questionamentos; pelas indagações; pelos reprocessamentos 
dos testes.
• Sétimo: confecção do relatório de auditoria.
6.6 Avaliação através dos pontos de controle
Os pontos de controle nas organizações geralmente são definidos como padronizados alinhados 
com as melhores práticas estabelecidas por códigos de prática. Os códigos de prática são determinados 
por organizações no âmbito internacional ou nacional, conforme mostra a próxima figura.
Organizações 
internacionais
Organizações 
nacionais
Divisões de 
organizaçõesnacionais
ISO
BSI
DISC
IEC
NIST NIST
CB
Figura 50 – Instituições que deliberam sobre as melhores práticas
Vejamos a seguir alguns pontos de controle a serem avaliados no procresso de auditoria de segurança 
da informação.
165
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Para ambiente dos servidores, é necessária a avaliação da restrição de acesso físico, limpeza e 
organização, dispositivos para monitoramento 7x24, equipamentos para combate a sinistros, segregação 
de ambientes, localização física das instalações e condições ambientais (ruído, temperatura, umidade etc.)
Para infraestrutura para as estações, é necessário avaliar a infraestrutura; rede elétrica estabilizada; 
cabeamento estruturado; identificação e proteção dos dispositivos de rede, como hubs, roteadores, 
cabos; estações de trabalho; mobília adequada (princípios ergonômicos); equipamentos protegidos com 
lacres ou cadeados; limpeza; configuração compatível com a carga de trabalho.
Para a restrição de acesso aos sistemas é necessário avaliar a política de senhas (tamanho mínimo, 
periodicidade para troca e senhas frágeis); níveis de acesso diferenciados por usuário; procedimentos para 
concessão e manutenção das permissões de acesso; nível de formalização; conscientização dos usuários. 
Exemplos de teste: funcionários ativos x acessos concedidos e acessos concedidos e pouco utilizados.
Na prevenção e combate a sinistros é necessária a avaliação dos controles para equipamentos de 
segurança, alarmes, extintores, splinkers, treinamentos e simulações, portas para saída de emergência, e 
formalização do procedimento (Quem? Fará o quê? Em que momento?)
Para o plano de continuidade de negócios é necessário responder às seguintes questões: quais 
são as atividades críticas? Quais os possíveis riscos? Quais os mecanismos contingenciais? Há um plano 
formal e claro (nível de atualização, coerência dos controles Implementados e grau de envolvimento 
de pessoas)?
Para LOG de operações dos sistemas é necessária a verificação das facilidades de acesso ao LOG 
operacional; diferentes níveis de LOG; mecanismos para integridade do LOG; período mínimo de retenção; 
facilidades para configuração e sistemática para avaliação contínua das transações registradas.
Para cópias de segurança (backup), deve-se verificar a periodicidade; o tempo de retenção; os 
ciclos de backup; os locais de guarda; a restrição de acesso; os backups dos arquivos dos usuários; o nível 
de formalização dos procedimentos e a análise do LOG de backup.
Os bancos de dados devem ser avaliados pela tecnologia utilizada x criticidade dos dados; versão do 
software; parâmetros de configuração; regras de negócios; normatização de tabelas em BD relacionais; 
documentação (dicionário de dados, MER etc.); segregação de ambientes para testes e desenvolvimento 
de programas.
Na prevenção e controles contra vírus, há a avaliação da instalação e configuração de softwares; 
antivírus (atualização da lista de vírus); conhecimento e conscientização por parte dos usuários; nível 
de formalização das regras e avaliação por amostragem de alguns equipamentos.
Para a documentação dos sistemas, é feita a avaliação da padronização dos documentos; do nível 
de detalhamento e abrangência; do grau de atualização; da facilidade de acesso e manuseio; das ferramentas 
Case (exemplos: diagrama de fluxo de dados, modelo entidade relacionamento e fluxogramas).
166
Unidade III
Para manuais e usuários, devem ser avaliados a padronização dos documentos; o nível de 
detalhamento e abrangência; o grau de atualização; a facilidade de acesso e manuseio (help on-line); a 
facilidade de entendimento e se os usuários estão efetivamente utilizando esses manuais.
Referente à formalização de atividades críticas, devem ser analisados os critérios para seleção 
e eleição das atividades; padronização dos documentos; nível de detalhamento e abrangência; grau 
de atualização; facilidade de acesso e manuseio (help on-line); facilidade de entendimento; exemplos; 
conciliação bancária; conciliação contábil; processos de compras e pagamentos; análise crítica de 
clientes para concessão de crédito.
Nos controles mantidos pelos usuários devem ser avaliados o inventário dos controles (quais 
são e quem são os responsáveis); tecnologia utilizada x criticidade do controle; se existem padrões para 
desenvolvimento; se são adotados procedimentos básicos de segurança (exemplo, backup) e se estes são 
realmente necessários.
Nos relatórios impressos devem ser avaliados os relatórios impressos; a sistemática para emissão; 
manuseio; transporte; guarda e destruição; padrões de layout (cabeçalho e rodapé); análise do 
conteúdo x finalidade; conhecimento e conscientização por parte dos usuários; nível de formalização 
das regras.
Os softwares alternativos devem ser avaliados com base nos padrões para instalação de 
programas; nos controles que permitam avaliar irregularidades; nos recursos que impedem a instalação 
de programas não autorizados; no conhecimento e conscientização por parte dos usuários; no nível de 
formalização das regras.
O inventário de software e hardware deve ser avaliado nos quesitos como: grau de atualização; 
facilidades para acesso e atualização; nível de detalhe das informações; hardware (configuração, modelo, 
periféricos, componentes etc.); software (nome, versão, licença etc.) para ambos (nota fiscal, fornecedor, 
departamento, data de compra etc.) e ferramentas para inventário on-line.
Faz-se necessária a análise da política para investimentos em TI através da avaliação do plano 
diretor de informática (PDI); do cenário atual e expectativas para médio e longo prazo; dos parâmetros 
formais e criteriosos para identificar onde e quanto investir em tecnologia (hardware e software, 
peopleware e consultoria de segurança).
O grau de integração entre sistemas deve ser avaliado com base na incidência de lançamentos 
manuais que poderiam ser promovidos de forma automática; na capacidade de os sistemas compartilharem 
um mesmo banco de dados; nos recursos para geração e importação de arquivos de dados.
Os pontos de auditabilidade dos sistemas também requerem avaliação dos pontos de auditoria, 
totais de controle; relatórios de consistência; ferramentas para extração de dados para a auditoria; 
módulos para cruzamento de informações; documentação técnica; qualidade e precisão do código-fonte 
dos programas.
167
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
O processo de homologação de novos sistemas requer avaliação dos critérios para aplicação dos 
testes; critérios para homologação de cada sistema; histórico de avaliações; ambientes distintos para 
desenvolvimento; testes e operação; controle de versões.
6.7 Conformidade de segurança da informação
Igualmente importante ao processo de auditoria, estudaremos neste tópico a conformidade 
com as leis e regulamentações que devem compor as análises de riscos. Muitas vezes, ou na 
maioria das vezes, o não cumprimento de uma exigência regulatória pode impedir o próprio 
funcionamento da organização. Quando o assunto é legislação, existem outros impedimentos 
que vão além do impedimento operacional, como multas expressivas. Em termos de segurança da 
informação, a conformidade com as políticas e normas internas de segurança da informação que 
foram estabelecidas pela organização muitas vezes não atende apenas às melhores práticas, como 
leis e regulatórios. Se realmente eficiente, está alicerçada e amparada na análise e gestão dos riscos 
corporativos destinados à segurança da informação e cibernética.
Evidentemente que um processo de auditoria deve ser implantado para verificar se a aderência do 
que está declarado realmente reflete a realidade do cotidiano corporativo, mas até mesmo as auditorias 
apresentam riscos que serão devidamente analisados.
A importância de implantação de um processo de conformidade de segurança da informação está 
evidenciada na ISO 27002 (ABNT, 2013b), capítulo 18, que descreve o objetivo da conformidade em 
segurança da informaçãocomo sendo o processo de evitar violação de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer 
requisitos de segurança.
Para isso, é importante identificar toda a legislação aplicável ao ramo de negócio da organização, 
bem como todos os requisitos contratuais que lhe são exigidos, devidamente documentados e mantidos 
atualizados para cada sistema de informação da organização.
A norma também recomenda que algumas diretrizes de implantação sejam seguidas como premissas 
básicas para uma aferição de conformidade eficiente:
• É recomendado que os controles específicos e as responsabilidades individuais para atender a 
esses requisitos sejam definidos e documentados.
• É recomendado que os gestores identifiquem toda a legislação aplicável à sua organização, para 
atender aos requisitos relativos ao seu tipo de negócio. Caso a organização realize negócios em 
outros países, convém que os gestores considerem a conformidade em todos esses países.
Ainda, segundo a norma, é importante que os direitos à propriedade intelectual sejam preservados, 
devidamente documentados e aferidos continuamente conforme os seguintes aspectos:
168
Unidade III
• Devem ser adotados procedimentos apropriados, que sejam implementados para garantir a 
conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos 
direitos de propriedade intelectual, e com o uso de produtos de softwares proprietários.
• Devem ser adotados mecanismos de implantação que sigam procedimentos específicos para 
preservar a propriedade intelectual evitando dessa forma que a organização sofra qualquer tipo 
de sanção ou processo legal.
• Deve-se divulgar uma política de conformidade com os direitos de propriedade intelectual que 
defina o uso legal de produtos de software e de informação.
• Deve-se adquirir software somente por meio de fontes conhecidas e de reputação, para assegurar 
que o direito autoral não esteja sendo violado.
• Deve-se manter a conscientização das políticas para proteger os direitos de propriedade intelectual 
e notificar a intenção de tomar ações disciplinares contra pessoas que violarem essas políticas.
• Deve-se manter, de forma adequada, os registros de ativos, e identificar todos os ativos com 
requisitos para proteger os direitos de propriedade intelectual.
• Deve-se manter provas e evidências da propriedade de licenças, discos-mestres, manuais etc.
• Deve-se implementar controles para assegurar que o número máximo de usuários permitidos, 
dentro da licença concedida, não esteja excedido.
• Deve-se conduzir verificações para que somente produtos de software autorizados e licenciados 
sejam instalados.
• Deve-se estabelecer uma política para a manutenção das condições adequadas de licenças.
• Deve-se estabelecer uma política para disposição ou transferência de software para outros.
• Deve-se cumprir termos e condições para software e informação obtidos a partir de redes públicas.
• Deve-se não duplicar, converter para outro formato ou extrair de registros comerciais (filme, 
áudio) outros que não os permitidos pela lei de direito autoral.
• Deve-se não copiar, no todo ou em partes, livros, artigos, relatórios ou outros documentos, além 
daqueles permitidos pela lei de direito autoral.
Importante ressaltar que os direitos de propriedade intelectual incluem direitos autorais de software 
ou documento, direitos de projetos, marcas, patentes e licenças de código-fonte.
169
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Produtos de softwares proprietários são normalmente fornecidos sob um contrato de licenciamento 
que especifica os termos e condições da licença, por exemplo, limitar o uso dos produtos em máquinas 
especificadas ou limitar a reprodução apenas para a criação de cópias de backup. Dessa forma, deve ser 
dada a devida importância à conscientização dos direitos de propriedade intelectual de software pelos 
responsáveis pelo desenvolvimento de software na organização.
Requisitos legais, regulamentares e contratuais podem colocar restrições sobre a cópia de material 
proprietário. Em particular, eles podem exigir que apenas o material desenvolvido pela organização ou o 
que está licenciado ou fornecido pelo desenvolvedor para a organização possa ser utilizado. A violação 
de direitos autorais pode levar à ação judicial e pode envolver multas e processos criminais.
Outra fonte importante de conformidade faz referência à gestão e proteção dos registros. A ISO 27002 
(ABNT, 2013b) recomenda que registros sejam protegidos contra perda, destruição, falsificação, acesso 
não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, 
contratuais e do negócio.
Dessa maneira, é importante se ficar atento no momento da implantação dos controles necessários 
para devida proteção dos registros. Assim, recomenda-se que:
• A classificação dos registros específicos, quando da decisão da organização por protegê-los, seja 
baseada no esquema de classificação da organização.
• Os registros devem ser categorizados em tipos de registros, como registros contábeis, registros de 
base de dados, registros de transações, registros de auditoria e procedimentos operacionais, cada 
qual com detalhes do período de retenção e do tipo de mídia de armazenamento, como papel, 
microficha, meio magnético ou ótico.
• As chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais devem 
ser armazenadas para permitir a decifração de registros pelo período em que os registros 
serão mantidos.
• As mídias usadas no armazenamento dos registros devem receber o devido cuidado para se evitar 
sua deterioração.
• Os procedimentos de armazenamento e manuseio implementados devem ser feitos de acordo 
com as recomendações dos fabricantes.
• As mídias eletrônicas armazenadas escolhidas devem incluir procedimentos para assegurar a 
capacidade de acesso aos dados (leitura tanto na mídia como no formato utilizado) durante 
o período de retenção, para proteger contra perdas ocasionadas pelas futuras mudanças 
na tecnologia.
170
Unidade III
• Os sistemas de armazenamento de dados devem ser escolhidos de modo que o dado solicitado 
possa ser recuperado de forma aceitável, dependendo dos requisitos a serem atendidos.
• Os sistemas de armazenamento e manuseio devem assegurar a clara identificação dos registros 
e dos seus períodos de retenção, conforme definido pela legislação nacional ou regional ou por 
regulamentações, se aplicável.
• É fundamental que o sistema permita a destruição apropriada dos registros após esse período, 
caso não sejam mais necessários à organização.
Para atender aos objetivos de proteção dos registros, convém que os seguintes passos sejam 
executados pela organização:
Emitir diretrizes gerais para 
retenção, armazenamento, 
tratamento e disposição de 
registros e informações
Elaborar uma programação 
para retenção, identificando 
os registros essenciais e o 
período recomendado para 
que cada um seja mantido
Manter um inventário 
das fontes de 
informação-chave
Figura 51 – Processo para proteção dos registros
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutários, 
regulamentares ou contratuais, bem como para apoiar as atividades essenciais do negócio. Exemplos 
incluem os registros, que podem ser exigidos como prova de que uma organização opera dentro de 
normas estatutárias ou regulamentares, para assegurar a defesa contra potencial ação civil ou criminal, 
ou para confirmar a situação financeira de uma organização perante os acionistas, partes externas e 
auditores. A legislação nacional ou a regulamentação pode definir conteúdo de dados e o período para 
a retenção de informações.
Quando o assunto é a proteção e privacidade de informações de identificação pessoal temos 
legislações consolidadas na Europa com a General Data Protection Regulation (GDPR) de 2016 e no 
Brasil a Lei Geral de Proteçãode Dados, que instituíram a posse das informações pessoais aos seus 
verdadeiros donos, as pessoas que podem determinar onde, quando, quem, para que e por quanto 
tempo suas informações poderão ser utilizadas pelas organizações, aplicando sanções e multas para 
às organizações que de alguma forma desrespeitarem esse direito individual de uso e acesso as 
informações. Diante desse cenário, é muito importante que as organizações mantenham um programa 
de conformidade devidamente instituído para atender a esse requisito legal e fundamental. Uma ação de 
não conformidade à LGPD pode levar a multas que podem simplesmente levar a organização à falência. 
Isso eleva a conformidade ao nível máximo na matriz de risco das organizações, independentemente do 
seu ramo de atuação.
171
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Saiba mais
Recomenda-se ao profissional de segurança da informação a leitura 
integral da LGPD, que influencia todas as atividades da Segurança das 
Informações das Organizações e também na esfera pessoal:
BRASIL. Presidência da República. Secretaria-Geral. Lei n. 13.709, de 14 
de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, 2018. 
Disponível em: https://bit.ly/3hZwQkd. Acesso em: 28 maio 2021.
A NBR ISO 27002 (ABNT, 2013b) dedica um item inteiro da norma para tratar o assunto da proteção e 
privacidade de identificação pessoal, em que recomenda que a privacidade e a proteção das informações 
de identificação pessoal sejam asseguradas conforme requerido por legislação e regulamentação 
pertinente, quando aplicável.
Para que isso ocorra de forma segura e para que os riscos sejam mitigados se faz necessário seguir 
algumas diretrizes, conforme demonstra o quadro seguinte.
Quadro 28 – Diretrizes para implantação da proteção de dados pessoais
Controle Descrição 
Política de dados
Convém que uma política de dados da organização para proteção e privacidade da informação 
de identificação pessoal seja desenvolvida e implementada. Essa política deve ser comunicada a 
todas as pessoas envolvidas no processamento de informação de identificação pessoal
Conformidade da 
política de dados
A conformidade com essa política e todas as regulamentações e legislação relevantes, relativas à 
proteção da privacidade das pessoas e da proteção da informação de identificação pessoal, requer 
um controle e uma estrutura de gerenciamento apropriada
Privacy officer ou, 
segundo a LGPD, data 
protection officer (DPO)
Tem a função de fornecer orientações aos gestores, usuários e provedores de serviços sobre as 
suas responsabilidades individuais e procedimentos específicos que devem ser seguidos. Em seu 
trabalho, auxilia a empresa a adaptar seus processos para estruturar um programa de compliance 
com foco em maior segurança das informações que estão sob a sua tutela
Manuseio das 
Informações 
Convém que a responsabilidade pelo manuseio da informação de identificação pessoal e a 
garantia da conscientização sobre os princípios da privacidade sejam tratadas de acordo com 
as regulamentações e legislações pertinentes. Convém que técnicas apropriadas e medidas da 
organização para proteger a informação de identificação pessoal sejam implementadas
Adaptado de: Brasil (2013b, p. 94).
Cabe ressaltar que a tendência introduzida pelas leis GDPR/2016 e LGPD/2018 visa à transparência 
na coleta, transmissão e uso dos dados pessoais dos clientes e parceiros, que exigirá ainda mais da 
segurança da informação e das áreas de controles internos das organizações, estabelecendo análise 
de riscos específica para o risco de não conformidade com as leis e regulamentações nacionais e, se 
for o caso, internacionais.
172
Unidade III
Dependendo da respectiva legislação nacional, esses controles podem impor direitos sobre a 
coleta, tratamento e divulgação de informação de identificação pessoal, e podem também restringir 
a capacidade de transferência de informação de identificação pessoal para outros países.
Da mesma forma que a proteção à privacidade deve estar na pauta das aferições de conformidade da 
segurança da informação, a regulamentação de controles focados em criptografia, segundo a ISO 27002 
(2013), também requer a implementação de controles. Devem existir controles de criptográficos que 
sejam usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.
A implantação dos controles criptográficos requer especial atenção para que sejam considerados 
itens que estejam em conformidade e de acordo com as leis, acordos e regulamentações relevantes à 
atividade da organização:
• Devem existir restrições à importação e/ou exportação de hardware e software de computador 
para execução de funções criptográficas.
• Devem existir restrições à importação e/ou exportação de hardware e software de computador 
que foi projetado para ter funções criptográficas embutidas.
• Devem existir restrições no uso de criptografia.
• Devem existir métodos mandatórios ou discricionários de acesso pelas autoridades dos países à 
informação cifrada por hardware ou software para fornecer confidencialidade ao conteúdo.
• Deve existir a garantia da assessoria jurídica para a conformidade com as legislações e 
regulamentações vigentes.
• Devem ser avaliadas pela assessoria jurídica antes de serem transferidas as informações cifradas 
ou controles de criptografia para além das fronteiras jurisdicionais.
Outro ponto importante para a definição de um modelo de aferição de conformidade está disposto 
na análise crítica da segurança da informação, que tem como objetivo assegurar que a segurança da 
informação esteja implementada e operada de acordo com as políticas e procedimentos da organização.
Importante reforçar que a ISO 27002 (BRASIL, 2013b) recomenda que o enfoque da organização para 
gerenciar a segurança da informação e a sua implementação (por exemplo, objetivo dos controles, controles, 
políticas, processos e procedimentos para a segurança da informação) sejam analisados criticamente, de 
forma independente, a intervalos planejados ou quando ocorrerem mudanças significativas.
Dessa maneira a sua implantação depende dos fatores aqui elencados:
• A análise crítica independente é iniciada pela direção (é recomendável que o seja). Essa análise 
crítica independente é necessária para assegurar a contínua pertinência, adequação e eficácia do 
enfoque da organização para gerenciar a segurança da informação.
173
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• A análise crítica deve incluir processo de avaliação de oportunidades para melhoria e a 
necessidade de mudanças para o enfoque da segurança da informação, incluindo a política 
e os objetivos de controle.
• A análise crítica deve ser executada por pessoas independentes da área avaliada, como uma 
função de auditoria interna, um gerente independente ou uma organização externa especializada 
em essas análises críticas.
• As pessoas que realizam essas análises críticas devem possuir habilidade e experiência apropriadas 
e comprovadas.
• Os resultados da análise crítica independente devem ser registrados e relatados para a direção 
que a iniciou e que esses registros sejam mantidos por prazos estabelecidos e homologados 
pela direção.
• A direção deve considerar a tomada de ações corretivas imediatas, apresentando plano de ação, 
caso a análise crítica independente identifique que o enfoque da organização e a implementação 
para gerenciar a segurança da informação sejam inadequados ou não conformes com as 
orientações estabelecidas pela segurança da informação.
Cabe ao modelo de conformidade estruturado pela organização aferir a conformidade com as 
políticas e procedimentos de segurança da informação.
Dessa forma recomenda-se que os gestores analisem criticamente, a intervalos regulares, a 
conformidade dos procedimentos e do processamento da informação, dentro das suas áreas de 
responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos de segurança 
da informação.
É recomendado que a implementaçãodos controles voltados à aferição das políticas e normas 
internas seja voltada também para as melhores práticas de mercado benchmark e até mesmo para as 
leis e regulamentações.
Os gestores devem identificar e analisar criticamente se os requisitos da segurança da informação 
estabelecidos nas políticas, procedimentos, normas e outras regulamentações aplicáveis são atendidos. 
Ferramentas de notificação e medições automáticas podem ser consideradas para alcançar uma análise 
crítica regular de forma eficaz.
Caso qualquer não conformidade seja encontrada com o resultado da análise crítica, os responsáveis 
para aferição devem seguir os procedimentos estabelecidos para reportar a análise aos gestores, que por 
sua vez, deverão estabelecer um plano de ação que vise a eliminação da não conformidade, cabendo aos 
responsáveis pela aferição acompanhar os prazos e, ao término, novamente aferir para verificação dos 
controles adotados, se realmente atendem as recomendações de segurança da informação.
A figura a seguir demonstra o processo de aferição de conformidade e seu tratamento destinado à 
política e normas de segurança da informação.
174
Unidade III
Identifique quais 
as causas da 
não conformidade
Avalie a necessidade 
de ações para atender 
à conformidade
Registre o resultado 
para aferições futuras
Implemente ação 
corretiva apropriada
Subdivisão do 
processo/instalação em 
módulos de análise
Figura 52 – Processo para tratamento de não conformidades
É prudente que os resultados das análises críticas e das ações corretivas realizadas pelos gestores 
sejam registrados e que esses registros sejam mantidos. Dessa maneira é necessário que os gestores relatem 
os resultados para as pessoas que realizam a análise crítica independente, quando a análise crítica 
independente for realizada na área de sua responsabilidade.
Assim como vimos anteriormente, o risco técnico e eminente à segurança da informação e, dessa 
maneira, a análise crítica da conformidade técnica é um dos requerimentos recomendados pela 
ISO 27002 (BRASIL, 2013b), é recomendado que os sistemas de informação sejam analisados 
criticamente, a intervalos regulares, para verificar a conformidade com as normas e políticas de 
segurança da informação da organização.
Essa verificação de conformidade técnica deve ser analisada criticamente, preferencialmente 
com o apoio de uma ferramenta automática, a qual gera relatórios técnicos para a interpretação 
dos especialistas técnicos. Alternativamente, análises críticas manuais (auxiliadas por ferramentas de 
software apropriadas, se necessário) podem ser realizadas por um engenheiro de sistemas experiente, 
recomendado a organizações de porte médio ou pequeno.
Caso sejam utilizados testes de invasão ou avaliações de vulnerabilidades, convém que sejam tomadas 
precauções, uma vez que tais atividades podem conduzir a um comprometimento da segurança do 
sistema. Recomenda-se que tais testes sejam planejados, documentados e repetidos.
Qualquer verificação de conformidade técnica somente é executada por pessoas autorizadas e 
competentes ou sob a supervisão de tais pessoas. A verificação da conformidade técnica envolve a análise 
dos sistemas operacionais para garantir que controles de hardware e software sejam corretamente 
implementados. Essa análise crítica de conformidade exige conhecimentos técnicos especializados.
A análise de conformidade também engloba, por exemplo, testes de invasão e avaliações de 
vulnerabilidades, que podem ser realizadas por peritos independentes, contratados especificamente 
para essa finalidade. Isso pode ser útil na detecção de vulnerabilidades no sistema e na verificação da 
eficiência dos controles na prevenção de acessos não autorizados devido a essas vulnerabilidades.
175
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Os testes de invasão e avaliação de vulnerabilidades fornecem um snapshot de um sistema em 
um estado específico para um tempo específico. O snapshot está limitado àquelas partes do sistema 
realmente testadas durante a etapa da invasão. O teste de invasão e as avaliações de vulnerabilidades 
não são um substituto da avaliação de risco.
 Resumo
Os usos das novas tecnologias trouxeram mudanças consideráveis para 
todos os segmentos da sociedade. A popularização da internet com os mais 
diversos serviços disponibilizados na rede a tornou um dos meios mais comuns 
de se comunicar e de obter informações, seja para uso pessoal, seja para 
uso profissional.
O direito, ciência que sempre buscou resguardar os direitos e deveres das 
pessoas, físicas e jurídicas, se estende também ao mundo virtual, faltando 
ainda alguns ajustes, buscados por meio de projetos de leis que tramitam 
no Congresso Nacional.
Perante os enormes desafios que a sociedade em rede nos coloca, temos 
que agir com prudência e responsabilidade, pois todo cidadão e instituição 
devem fazer valer os seus direitos e deveres na consecução de seus objetivos 
e agir de forma a não prejudicar a si nem a outrem.
Ao utilizar qualquer nova tecnologia, principalmente no mundo virtual, 
precisamos nos lembrar de que temos responsabilidades e de que tudo o 
que fazemos nesse ambiente deixa um rastro que pode determinar a culpa 
de uma das partes O direito tem o papel importante de regular o uso e 
coibir violações no uso das novas tecnologias.
Definitivamente a internet e as novas tecnologias trouxeram uma 
grande revolução tecnológica, cultural, comercial e social para nossas 
vidas. O direito tem acompanhado e colaborado no desenvolvimento da 
sociedade digital.
Dessa forma é necessário estabelecer processo que garantam a 
conformidade com esses aspectos sob pena de multas, processos, danos à 
imagem e até mesmo impedimento de atuação; sendo assim, é importante 
que as organizações mapeiem todos as leis e regulamentações que 
regem seu ramo de atividade, estabelecendo critérios de mapeamento e 
de controles que resultarão na própria governança da conformidade de 
segurança da informação. Assim que uma não conformidade é encontrada, 
ela deve ser devidamente tratada e esse processo pode ser descrito em 
um passo a passo, que se inicia com a identificação das causas da não 
176
Unidade III
conformidade por meio dos controles implantados. Logo depois é feita a 
avalição da necessidade de ações para atender à conformidade, as quais 
podem ocorrer quando a não conformidade é causada por uma falha 
isolada. Posteriormente, é implementada ação corretiva apropriada para a 
não conformidade, lembrando sempre de registrar o resultado para aferições 
futuras. Por fim, é estabelecida a subdivisão do processo/instalação em módulos 
de análise, que deve ser realizada para melhor registro e tratamento da 
não conformidade.
As auditorias são importantes para averiguar a eficácia dos processos de 
todas as áreas administrativas da empresa. Já a segurança da informação é 
importante para processos sistêmicos, dados, aplicativos, enfim, para toda 
a área de tecnologia da informação.
 Exercícios
Questão 1. Avalie as afirmativas a seguir em relação à Lei n. 13.709 de 2018, também chamada de 
Lei Geral de Proteção de Dados Pessoais ou LGPD.
I – A LGPD só se aplica a dados armazenados em computadores, e não a dados armazenados em 
meios físicos, como papel.
II – A LGPD não é válida em todo o território nacional, sendo aplicada apenas em alguns lugares 
específicos, como o Distrito Federal.
III – A LGPD prevê que, para a coleta, tratamento e utilização dos dados com determinada finalidade, 
deve existir o consentimento claro do seu titular.
É correto o que se afirma em:
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) I e II, apenas.
E) I, II e III.
Resposta correta: alternativa C.
177
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Análise das afirmativas
I – Afirmativa incorreta.
Justificativa: a LGPD aplica-se tanto a dados armazenados em meios digitais quanto a dados 
armazenados em outros meios físicos, como o papel.
II – Afirmativa incorreta.
Justificativa: a LGPD é válidaem todo o território nacional, e não apenas em dada região.
III – Afirmativa correta.
Justificativa: o titular sempre deve ser informado do registro, do uso e da finalidade da coleta de 
dados. Adicionalmente, isso só pode ser feito mediante o seu claro consentimento.
Questão 2. Sabemos que a auditoria de sistemas é fundamental em toda organização moderna. Por 
meio dos seus resultados, é possível avaliar o funcionamento dos controles internos de uma empresa e 
orientá-la para que sejam feitas correções e melhorias. Especificamente em um processo de auditoria 
de segurança da informação, podemos avaliar uma série de pontos de controle diferentes relacionados, 
por exemplo, ao ambiente dos servidores e à infraestrutura dos computadores dos funcionários, entre 
outros. Nesse contexto, avalie as afirmativas a seguir.
I – Com relação aos pontos de controle do ambiente de servidores, devemos focar apenas nos 
programas que são executados nos servidores, e não em questões físicas, como restrição de acesso, 
limpeza e condições ambientais.
II – Com relação à restrição de acesso aos sistemas, devemos avaliar, entre outros aspectos, qual é a política 
de senhas da organização. Isso inclui verificar a periodicidade de troca das senhas e analisar aspectos como a 
fragilidade das senhas e o seu tamanho. Além disso, deve-se verificar a política da área com relação aos níveis 
de acesso disponíveis nos sistemas e aos procedimentos necessários para sua concessão e sua manutenção.
III – Com relação à infraestrutura das estações de trabalho dos funcionários, devemos nos preocupar 
com os aspectos ligados à rede de dados (como o cabeamento estruturado), mas não com a rede elétrica.
É correto o que se afirma em:
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) I e II, apenas.
E) I, II e III.
Resposta correta: alternativa B.
178
Unidade III
Análise das afirmativas
I – Afirmativa incorreta.
Justificativa: os aspectos físicos do ambiente dos servidores, como a restrição de acesso físico (ou 
seja, os servidores devem estar localizados em um ambiente cujo acesso seja cuidadosamente controlado 
e monitorado), são muito importantes e devem ser levados em consideração na auditoria.
II – Afirmativa correta.
Justificativa: a política de senhas é um aspecto particularmente importante, uma vez que sistemas 
com senhas fracas se tornam alvo fácil de invasão e exploração, mesmo estando fisicamente protegidos 
e livres de outras vulnerabilidades.
III – Afirmativa incorreta.
Justificativa: falhas na rede elétrica podem implicar danos de equipamentos, interrupção do trabalho 
e perda de dados. Esses aspectos devem ser levados em consideração em uma auditoria.