Segurança empresarial e patrimonial

Prévia do material em texto

29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 1/18
Segurança empresarial e
patrimonial
Unidade 4 – Lei geral de proteção de dados
Autor: Professora Amanda Kathleen Harrison
Revisor Técnico: Fábio Rodrigues
Iniciar
Introdução
Bem-vindo(a) novamente.
Nesta unidade abordaremos a Lei de Proteção de Dados, sua origem, seus aspectos
e impactos.
Trata-se de uma lei federal de agosto de 2018, com vigência prevista para iniciar em
agosto de 2020 (pode sofrer uma prorrogação em virtude da pandemia mundial do
coronavírus e ter sua vigência somente a partir de 01/01/2021), que modi�ca alguns
aspectos da Lei 12.965/14, mais conhecida como Marco Civil da Internet, que regula o
uso da internet no Brasil.
Já falamos da importância da segurança da informação dentro das organizações. A lei
geral de proteção de dados vem para regulamentar e aumentar o nível de segurança
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 2/18
de bancos de dados e informações pessoais de pessoas físicas nas empresas.
Todas as organizações brasileiras, de todos os setores e portes, públicas e privadas,
estarão enquadradas nesta lei e terão de adequar seus planos de segurança para
estarem em conformidade.
Deverão redesenhar seus planos para que estejam comprometidas com a proteção
da privacidade e segurança de informações de clientes e usuários e, por outro lado,
serão observadas e cobradas para que tratem essas informações com todo cuidado
e no rigor da lei.
Falaremos dos impactos, assim como do marco civil da internet, que deverá ser
alterado com a vigência da lei geral de proteção de dados e revolucionará o
tratamento de informações por parte das empresas e imperar em discussões
jurídicas, econômicas e sociais por algum tempo.
Por que a necessidade desta lei? Quais os direitos protegidos por ela e o que
exatamente são dados pessoais? Veremos como todos esses aspectos in�uenciam
no planejamento da segurança de informação de uma organização.
Você quer ler
Nome: Proteção de dados pessoais: a função e os limites do consentimento.
Autor: Bruno Ricardo Bione
Ano: 2019
ISBN: 978-85-309-8328-4
O livro traz, de forma extremamente detalhada, tudo o que diz respeito à
identidade de pessoas, dados pessoais e tratamento deles de acordo com a
nova Lei Geral de Proteção de dados.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 3/18
1. Lei geral de proteção de dados
A Lei 13.709/2018 – Lei Geral de Proteção de Dados, que chamaremos de LGPD,
regulamenta a proteção de dados pessoais. Como já dito, ela ainda não entrou em
vigor e tem sua vigência prevista para agosto de 2020.
No entanto, há um projeto de lei do dia 03/04/2020 que pede sua prorrogação para
01/01/2021 e que suas sanções passem a vigorar somente a partir de agosto de
2021, de modo que ainda não há informação concreta quanto à sua vigência efetiva.
A LGPD é inspirada na GDPR ( General data protection regulation) , lei de proteção de
dados que vigora desde maio de 2018 na União Europeia.
A nova lei brasileira regulamenta a segurança de informações de clientes e usuários
de todas as empresas instaladas em território nacional.
Vale lembrar que os órgãos estatais brasileiros que possuem negócios com a União
Europeia já são obrigados a garantir o tratamento de dados de acordo com a GDPR
para manter a relação, caso contrário correm o risco de sofrer penalidades e ainda
perder credibilidade no mercado internacional.
Primeiramente, devemos de�nir o que são dados pessoais:
Nome e sobrenome;
Endereços (comercial/residencial);
Endereço de e-mail ;
Números de RG e CPF;
Dados de localização do celular;
Endereço IP (Protocolo de Internet );
Cookies de internet (testemunhos de conexão).
Todos estes dados são chamados de pessoais, pois identi�cam o usuário. Além
destes, outros, como raça, etnia, cor, religião e informações sobre saúde e vida
sexual, também são considerados dados sensíveis e deverão ser protegidos. Na
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 4/18
vigência da nova lei, não somente dados colhidos nas formas digitais serão
protegidos, mas também os dados coletados em papel, por fotos e até por áudios.
Tratamento de dados, como menciona a lei, são todas as operações feitas com dados
pessoais, desde a coleta, registro e organização até a consulta e divulgação. Ou seja,
é o processo que permite que organizações obtenham dados pessoais de usuários e
os trate de acordo com os seus interesses.
A condição fundamental para o tratamento destes dados será o consentimento do
titular, que signi�ca a concordância deste em dar suas informações pessoais e o
tratamento dado pela empresa que os coletar.
Por isso, a �nalidade da coleta, meio de captura dos dados e tempo de armazenagem
em bancos de dados deverão ser informados claramente ao usuário, e este terá
pleno direito de revogar sua concordância a qualquer tempo, assim como solicitar
alterações, portabilidade e correções.
A lei cria a Autoridade Nacional de proteção de dados, que será um órgão ligado à
Presidência da República e que deverá zelar pela proteção de dados pessoais,
�scalizar e aplicar as penalidades administrativas, dentre outras competências.
A lei também criará o Conselho Nacional de Proteção de Dados Pessoais e
Privacidade, com representantes dos poderes executivo, legislativo e judiciário, além
do ministério público, sociedade civil e setor empresarial, que enviará propostas de
diretrizes, fará relatórios, estudos e debates sobre o tema.
Mas o que muda com a vigência da Lei?
Atualmente, quando um usuário informa seus dados pessoais a uma empresa,
qualquer que seja, ele não tem conhecimento de como estas informações são e
serão tratadas, se permanecem em um banco de dados, se são armazenadas com a
devida segurança, se são repassadas a outras empresas ou órgãos estatais, se são
vendidas.
Se houver um vazamento, este também não é comunicado, e muitas vezes o usuário
nem tem conhecimento de que seus dados foram invadidos e vazados e que
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 5/18
terceiros desconhecidos tiveram acesso. Quantos de nós nunca tiveram a surpresa
de ser contatado por uma empresa com a qual nunca tivemos contato anterior, por
exemplo?
O intuito da criação dessa nova lei é dar ao usuário segurança para informar seus
dados pessoais e saber o caminho que eles percorrem, além de ter o direito de
solicitar sua correção, portabilidade ou exclusão a qualquer tempo.
A vigência da lei fará com que a empresa que recolhe os dados pessoais do seu
cliente/usuário, estabeleça uma espécie de contrato, no qual o usuário permite o uso
de suas informações para determinado �m, ou seja, se não houver consentimento,
esses dados não poderão ser repassados ou utilizados.
Além disso, obriga as empresas detentoras destas informações a tratar os dados
com segurança para que não vazem e, se acontecer, que o usuário seja informado e
que providências sejam tomadas para cessar ou prevenir qualquer dano que possa
ser causado ao titular dos dados.
No que diz respeito às companhias públicas ou privadas, a lei estabelece algumas
funções necessárias para o tratamento de dados pessoais.
Quem decide sobre o tratamento das informações é chamado de controlador. A
empresa para a qual o titular fornece seus dados pessoais com um �m especí�co é
tida como coletora de dados.
O operador será quem realiza o tratamento em nome do controlador, e este tanto
pode ser uma pessoa natural, no casoum empregado, quanto jurídica, uma vez que
existem empresas especializadas em operar o tratamento de dados em nome de
uma empresa (controlador).
O controlador, junto com o operador, deverá providenciar um encarregado. Este
pro�ssional será denominado DPO (data protection o�cer/O�cial de proteção de
dados) e será a pessoa que fará o papel de canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de dados.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 6/18
Será também o responsável por orientar os demais funcionários de segurança da
informação sobre as práticas de proteção de dados pessoais, além de garantir o
cumprimento da lei.
Pode se entender também que a constituição desta lei é um instrumento jurídico
essencial para a proteção da pessoa humana e garantia de direito fundamental.
Considerando que a constituição federal é datada de 1988, quando a internet não
era usada como é atualmente, não havia necessidade de se pensar em tratar dados
informados eletronicamente.
Hoje, qualquer empresa solicita os dados pessoais de seu cliente ou usuário para
diversos �ns.
Normalmente o tratamento é automatizado, o que traz riscos para a empresa que os
armazena, visto que podem ser expostos, usados de forma indevida ou abusiva,
utilizados por terceiros mal intencionados.
Por isso, foi necessário construir diretrizes que permitem ao titular dos dados saber
como sua informação é utilizada e tratada por cada uma das empresas para as quais
os informar.
Mas, quais empresas estarão sujeitas à lei?
Todas as empresas privadas ou públicas que gerem base de dados pessoais com o
objetivo de oferecer produtos ou serviços. Estas empresas deverão se adequar à Lei
e tratar dados pessoais para de�nir o per�l de consumo de uma pessoa, porém será
necessário o consentimento do titular dos dados. Sem o consentimento, só se
poderá gerar base de dados com �m legitimado por lei.
O titular terá direito de pedir revisão das decisões tomadas com base em tratamento
automatizado de dados pessoais que afetem seus interesses. Dependendo do
tratamento que a empresa �zer, de seu objetivo e do consentimento ou não, isso
poderá ser considerado irregular.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 7/18
Por exemplo, selecionar um cliente para determinada ação de venda baseando-se
em dados sobre origem racial, religião, política, �liação sindical, vida sexual, dado
genético pode ser enquadrado como discriminação. E será preciso solicitar o
consentimento explícito para enviar, via e-mail, alguma promoção comercial aos
clientes.
Quando é permitido o tratamento de dados (compra de pacotes de dados com
somente informações que interessar)
1. Consentimento: Quando o titular consente de forma explícita.(Sugestão de
imagem: ( https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?
oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1
ah|&mediapopup=34138450 )
2. Obrigação: Quando houver determinação em lei para que os dados sejam
tratados. (Sugestão de imagem: https://br.123rf.com/stock-
photo/gest%C3%A3o_de_dados.html?
oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1
ah|&mediapopup=45471309 )
3. Política Pública ou órgão de pesquisa: Quando for necessário para planejar
políticas públicas ou órgãos de pesquisas realizarem estudos, neste caso o
titular não pode ser individualizado.                           (Sugestão de imagem:
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?
oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1
ah|&mediapopup=13275695 )
4. Garantia da Vida e da Saúde: Quando a questão tiver como objetivo a garantia
da integridade, da vida e relacionadas a saúde do titular.       (Sugestão de
imagem: https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?
oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1
ah|&mediapopup=52117446 )
5. Contratos e Processos: Na execução de contratos e assuntos relacionados e em
processos judiciais e administrativos. (Sugestão de Imagem:
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?
oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1
ah|&mediapopup=35164719 )
6. Crédito: Para proteção do crédito respeitando o disposto do Código de defesa
do consumidor. (Sugestão de Imagem: https://br.123rf.com/stock-
photo/cr%C3%A9dito.html?
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=34138450
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=45471309
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=13275695
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=52117446
https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=35164719
https://br.123rf.com/stock-photo/cr%C3%A9dito.html?oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|&mediapopup=27104717
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 8/18
oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|&
mediapopup=27104717 )
2. Política de tratamento de
dados
Algumas empresas já se anteciparam à lei e utilizam mensagens em suas páginas
eletrônicas sobre a utilização de cookies de navegação e marketing. Algumas
informam sua política de privacidade, sobre transparência nas informações coletadas
e na proteção dos dados pessoais de seus usuários e clientes.
Ao estabelecer uma política de tratamento de dados, a empresa precisa seguir
alguns princípios para que consiga atender o que demanda a lei que ainda entrará
em vigor, que por sua vez também seguiu os mesmos princípios quando foi
elaborada:
Princípio da publicidade (ou da transparência)
Princípio da exatidão
Princípio da finalidade
Princípio do livre acesso
Princípio da segurança física e lógica
https://br.123rf.com/stock-photo/cr%C3%A9dito.html?oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|&mediapopup=27104717
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 9/18
Quando falamos em segurança da informação, o departamento de segurança
patrimonial deve incluir a questão do tratamento de dados em seu planejamento.
Ainda que neste momento a lei não esteja em vigor, é preciso contar com essa
estrutura.
Se a organização faz coleta de dados pessoais para �ns comerciais, o gestor de
segurança deverá incluir em seu planejamento a implantação das medidas de
tratamento de dados, de acordo com o que estabelece a lei, e providenciar ou pelo
menos prever a contratação/nomeação do encarregado pelo tratamento.
Os serviços de inteligência da empresa também deverão estar integrados e alinhados
com o encarregado do tratamento de dados, pois existem diversos tipos de ataques
cibernéticos e os bancos de dados conectados à internet são extremamente
vulneráveis, caso a empresa não possua um sistema de segurança avançado e
e�ciente para bloquear estes ataques.
3. Violação de dados
Um caso bastante conhecido de falta de tratamento e falha de segurança foi o
vazamento de dados de milhões de usuários do Facebook .
No Brasil, existem con�rmações de vazamentos em alguns casos. O primeiro ocorreu
com a Netshoes , que sofreu ataques em 2017 e 2018, e foi penalizada em 500 mil
reais pelo vazamento de dados de mais de 2 milhões de clientes.
Houve também o caso do BancoInter, que teve os dados pessoais de seus
correntistas vazados. A multa foi de 1,5 milhão de reais.
Além destes exemplos, a empresa de proteção de crédito Boa Vista, que faz
concorrência com SPC e Serasa, foi atacada por um hacker, mas após dois meses de
investigações o Ministério Público concluiu que não houve vazamento.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 10/18
As Lojas C&A foram atacadas em 2018 e o próprio hacker con�rma que dados de
pelo menos 2 milhões de pessoas podem ter sido expostos a terceiros.
A legislação europeia tem a de�nição para a caracterização da violação de dados
pessoais:
“uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda,
a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos,
conservados ou sujeitos a qualquer outro tipo de tratamento”. ( UNIÃO EUROPEIA, 2016 )
Desta forma, como exposto acima, mesmo no caso da C&A, embora o vazamento
tenha sido somente com a visibilidade dos dados por terceiros, já aconteceu a
violação.
Por isso, a empresa controladora das informações precisa minimizar os danos e
responder de forma satisfatória aos titulares interessados e também à sociedade.
É dever das empresas possuir dispositivos de proteção de dados pessoas, como a
criptogra�a. Em caso de vazamentos, os titulares devem ser comunicados
imediatamente, o encarregado será o ponto de comunicação e junto com o operador
deverá antecipar os impactos e tomar todas as providências possíveis para minimizar
os danos.
Na vigência da Lei 13.709/2018, deverá comunicar a Autoridade Nacional de Proteção
de Dados sobre o vazamento dentro do prazo estabelecido por este órgão.
O titular também poderá denunciar irregularidades caso identi�que alguma violação
das normas de proteção de dados.
Inicialmente, o ideal é entrar em contato com o controlador por meio de
requerimento expresso para que sejam tomadas providências. Caso não haja
nenhuma resposta, poderá também requerer aos órgãos de defesa do consumidor e
peticionar à Agência Nacional de Proteção de dados, informando a violação.
Apurada a veracidade da denúncia e a efetiva violação da lei, o controlador/empresa
pode ser penalizado com sanções que partem de simples advertência, multa de 2%
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 11/18
de seu faturamento anual até 50 milhões de reais por infração.
O titular lesado também poderá exercer seu direito e requerer em juízo a reparação
de danos materiais e morais, e, claro, a empresa poderá amargar os efeitos de sua
má gestão, com as notícias dadas pela mídia e sua exposição negativa.
Você quer ver
Nome: Black Mirror
Ano: 2007
Uma série britânica exibida em 5 temporadas retrata uma realidade futurística
com diversos capítulos que retratam os problemas de segurança de dados
pessoais.
4. A relação da lei geral de
proteção de dados, o cadastro
positivo e o marco civil da
internet
Falamos da Lei Geral de Proteção de Dados, que a partir da sua vigência,
complementa a lei 12.965/14 – Marco Civil da Internet, no que diz respeito aos
direitos e garantias, como a liberdade de expressão, a privacidade online e a
proteção de dados pessoais.
O Cadastro positivo foi criado pela Lei 12.414/2011 e está ativo desde 2013. Porém,
na época de sua criação, o titular dos dados deveria aderir ao programa. Atualmente,
por força da alteração trazida pela Lei Complementar 166/2019,   a adesão é
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 12/18
automática para consumidores e empresas e o titular deve manifestar-se caso queira
sair do cadastro.
Este cadastro é utilizado por bancos, instituições �nanceiras, lojas e outras empresas.
Nele consta o histórico de operações �nanceiras do titular, ou seja, dá a
possibilidade, a quem consulta, de saber o comportamento do titular, se é bom
pagador, e assim traçar um per�l de crédito e poder oferecer melhores e maiores
oportunidades para este “cliente” com base em seu histórico de pagamentos.
Este sistema é controlado pelos bureaus de crédito (SPC, Serasa e Boa Vista), e as
informações não são disponibilizadas a qualquer interessado, é necessária uma
autorização prévia.
A ideia deste cadastro é permitir que o consumidor tenha sua análise de crédito o
mais justa possível. Suas transações e pagamentos formam o que é chamado de
score, que é uma espécie de pontuação pela qual é medido o nível de adimplemento.
Se o titular não autorizar que suas informações pessoais sejam disponibilizadas,
somente seu score será divulgado. Com autorização, bancos e empresas terão
acesso ao histórico detalhado com indicação do costume de cumprir com prazos de
pagamento.
Informações como valor de salários, saldos bancários, limites de cartão de crédito,
aplicações �nanceiras e outras que não estejam diretamente ligadas à oferta de
crédito jamais poderão ser divulgadas ou compartilhadas por estes bancos de dados.
Podemos traçar um paralelo entre a Lei Geral de Proteção de Dados e o Cadastro
Positivo, e entender que neste caso especí�co, de alguma forma, podemos já
enxergar o cumprimento da Lei de Proteção.
Veja que os dados do titular só podem ser compartilhados sob seu consentimento e
este tem a opção de se retirar do cadastro a qualquer tempo. Sendo bancos de
dados pessoais, os controladores (SPC, Serasa e Boa Vista) precisam tratar os dados
e garantir a segurança contra ataques e vazamentos.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 13/18
Já o Marco Civil da Internet, instituído pela Lei 12.965/2014, regula o uso da internet
no território nacional, estabelece princípios, garantias, direitos e deveres das partes.
O objetivo desta lei é disciplinar a relação entre empresas prestadoras de serviços de
internet (provedores) e o usuário.
Provedores são tanto as empresas que o usuário contrata para acessar a internet
(provedores de conexão) como também as empresas que fornecem serviços como e-
mails, sites, blogs e redes sociais (provedores de aplicação). O provedor de conexão é
o meio usado para acessar o provedor de aplicação, e a lei dispõe sobre cada um
deles de forma distinta.
O Marco Civil possui alguns princípios gerais:
Princípio da neutralidade
Princípio da Privacidade
Princípio da Fiscalização
O decreto desta lei marca também a distinção entre os conceitos de dados pessoais,
as informações como CPF, RG, dados da sua localização e identi�cações eletrônicas e
as formas que eles serão tratados, a coleta, a classi�cação, a produção e a utilização.
Mais uma vez, podemos comparar o Marco Civil com a Lei Geral de proteção dados e
veri�car que, para as empresas de serviços de telefonia e internet, o tratamento de
dados já funciona em seus departamentos de segurança e coleta de dados.
Concluímos que a Lei Geral de Proteção de dados virá para regular outras empresas
diversas das empresas reguladas pelo Marco Civil e pelo Cadastro Positivo, ou seja,
empresas que vendem produtos ou serviços e que possuem um banco de dados de
seus clientes, com informações pessoais que os identi�cam.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 14/18
E como garantir a segurança dos dados pessoais nos bancos de registros de uma
empresa?
As empresas que coletam informações pessoais de seus consumidores deverão dar
atenção redobrada à segurança de dados, já que são responsáveis por guardar e
criar mecanismos que protejam tais informações de terceiros.
A nova Lei Geral de Proteção deDados (LGPD) estabelece várias diretrizes para
disciplinar a forma como eles são coletados, utilizados, repassados e, inclusive,
comercializados.
O primeiro passo para se adequar diz respeito à criação de uma Política de
Privacidade para a página de internet que a empresa utiliza ou venha a utilizar para
fazer suas vendas ou qualquer outro meio de captação e gestão de informações
pessoais dos usuários. Nesta política, a empresa é obrigada a informar, clara e
objetivamente, quais os dados colhidos e de que forma serão utilizados.
Para as empresas que operam seus negócios no meio virtual, a base para passar
credibilidade aos usuários é manter sigilo das informações coletadas, o que também
contribui para afastar consequências negativas como multas aplicadas por
autoridades administrativas e processos judiciais que lhes obrigue a indenizar
clientes lesados.
Para isso, o investimento em tecnologia de ponta deve ser primordial, para bloquear
qualquer tipo de acesso de terceiros mal-intencionados, invasões para apropriação
de dados e até mesmo evitar que os próprios clientes vejam os dados uns dos
outros. Uma das formas e�cientes de garantir a segurança de dados é a implantação
de criptogra�a em todo o sistema de tratamento de dados.
No Brasil, temos um exemplo bastante comentado, que foi o fato de a justiça
brasileira ter suspendido os serviços do comunicador virtual Whatsapp por não
informar dados pessoais, conversas e outros conteúdos de determinado usuário,
prática que é protegida pelo Marco Civil.
Porém, como o comunicador é protegido por um sistema de criptogra�a de ponta a
ponta, o controlador não possui acesso aos dados solicitados pela justiça e, desta
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 15/18
forma, não tinha condição de cumprir a determinação judicial e não seria justo
suspender seus serviços.
Por isso, a política de privacidade se torna tão importante, é a forma mais e�caz de
cumprir a Lei e informar aos clientes as condições de funcionamento de uma página
da internet, aplicativo, ou outra plataforma que funcione através da coleta de dados.
É uma obrigação da organização e a comunicação precisa ser transparente.
Nesta política, é importante esclarecer como serão utilizados os dados coletados, e
se limitar à �nalidade que ensejou a coleta, discriminar as razões da coleta, se
somente para cadastro, se podem ser base para outros planos comerciais ou
estratégias ou se poderão eventualmente ser cedidos a parceiros comerciais.
Neste caso, é importante informar o usuário de que suas informações poderão ser
acessadas por parceiros ou colaboradores que tenham acesso ao banco de dados.
Outro ponto de atenção são os anúncios de outras marcas inseridos nas páginas de
internet. Eles funcionam de forma independente da empresa proprietária da página,
e desta forma podem ser uma porta para o levantamento de dados por terceiros.
É preciso que a empresa proprietária da página tenha o cuidado de informar seus
clientes sobre meios de prevenção para barrar estes anunciantes e divulgar a lista de
parceiros que poderão ter acesso às informações coletadas.
Existem algumas informações de usuários que independem de preenchimento, sua
coleta é automática e o acesso é livre, como no caso do endereço IP, do browser e do
tempo de permanência em cada página da web visitada, o que não exime a empresa
de ser transparente.
Diante dos recursos que temos atualmente, as empresas e marcas se utilizam das
redes sociais para �carem mais próximas de seu público.
Daí surgem outras necessidades de segurança, como por exemplo incluir na política
de privacidade capítulo especí�co para estas plataformas digitais, listando todos os
canais utilizados, informando que não possui o direito de compartilhar informações
ou fotos de seus clientes e usuários em seus per�s.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 16/18
Um exemplo de má conduta é utilizar foto de um cliente para promover uma ação de
marketing em sua página. No entanto, através do comportamento de seus clientes e
da interação, é possível planejar ações adequadas e direcionadas ao público que a
empresa deseja atingir.
Quando as empresas efetuam vendas através de seus sites, é importante que proteja
também os dados �nanceiros de seus clientes. Esta exposição é um dos tópicos mais
procurados em políticas de privacidade e, por isso, é essencial que as garantias de
segurança sejam extremamente claras e que o cliente tenha certeza de que não
serão acessadas por terceiros.
Por �m, é fundamental que a empresa possua um canal de comunicação com o
cliente/usuário para dar suporte e esclarecer sobre os padrões de segurança no
processamento de pagamentos, quais os procedimentos de compra, como se dá o
armazenamento dos dados �nanceiros, se usa criptogra�a, se o pagamento é
intermediado por parceiros, por quanto tempo os dados pessoais �cam
armazenados, informar política de cookies .
Vemos que, com o advento da nova lei, o departamento de segurança de uma
empresa que efetua coleta de dados pessoais de seus usuários ou clientes para
quaisquer �ns, terá de se adequar.
Neste caso, em conjunto com o departamento de tecnologia da informação, terão de
providenciar dispositivos de segurança de dados pessoais para tratamento de seu
banco de dados, além de políticas de privacidade e transparência.
Você quer ver
Nome: Nada é Privado: O escândalo da Cambridge Analítica
Ano: 2019
Um documentário que aborda o papel da empresa por trás do escândalo que
assolou o Facebook e gerou impacto na eleição de Donald Trump e no Brexit.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 17/18
Desde então, tem levantado debates em todo o mundo sobre proteção de
dados.
Síntese
Diante do exposto nesta unidade, concluímos que a segurança dentro de uma
empresa é fator extremamente importante para seu desenvolvimento, para que seus
negócios tenham êxito e para a saúde da empresa como um todo.
Em resumo, nesta unidade vimos que:
No aspecto segurança da informação e de dados pessoais, temos a nova Lei
Geral de Proteção de Dados, que trará mais segurança aos usuários e clientes
que informam seus dados às empresas, mas também teremos uma necessidade
de empenho por parte delas em garantir a segurança e o tratamento destas
informações para que não sejam vazadas ou acessadas por terceiros não
autorizados;
Todo o processo girará em torno do consentimento do titular, e este precisa ter
conhecimento de como seus dados serão tratados e utilizados pelas empresas
coletoras, e em qualquer momento poderá acessá-los, alterá-los, apagá-los e até
solicitar a sua exclusão do banco de dados, como também solicitar a
portabilidade para outras empresas;
No quesito segurança e transparência, as empresas coletoras de dados terão de
publicar suas políticas de privacidade e informar clientes e usuários da
�nalidade da coleta de dados, se são somente para efeito de cadastros, se serão
base para outras análises de per�s de consumo, quanto tempo �carão
armazenadas, além disso, quando efetuam vendas através de suas páginas, os
meios de segurança devem ser observados com mais atenção no intuito de
proteger dados bancários de seus clientes.
● Por �m, podemos concluir que o advento da nova lei só trará benefícios para
as partes, fará com que o cliente procure a empresa que lhe dará mais
segurança, o que fomenta a concorrência comercial. Por outro lado, força as
empresas a providenciar meios seguros de coleta e tratamento de dados,
tornando assim seu negócio mais vantajoso e con�ável.
29/03/2023, 15:06 DIR_SEMPAT_20_E4
https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp…18/18
Encerramos aqui nossa disciplina. Esperamos que você tenha tirado bastante
proveito desse conteúdo.
Download do PDF da unidade
Bibliografia
BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei
Nº 12.414 de 09 de junho de 2011 . Brasília: D.O.U. 2011.
BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei
Nº 12.965 de 23 de abril de 2014 . Brasília: D.O.U. 2014.
BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei
Nº 13.709 de 14 de agosto de 2018 . Brasília: D.O.U. 2018.
BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei
Complementar Nº 166 de 08 de abril de 2019 . Brasília: D.O.U. 2019.
BIONE, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do
consentimento . Rio de Janeiro: Forense. 2019.
UNIÃO EUROPEIA. Regulamento 2016/679 de 27 de abril de 2016, relativo à
proteção das pessoas singulares. (Regulamento geral sobre proteção de dados ).
Bruxelas: 2016. Traduzido. ( https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?
uri=CELEX:32016R0679&from=EN#d1e9103-1-1 )
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e9103-1-1