Slides de Aula III

Prévia do material em texto

Prof. Me. Ricardo Sewaybriker
UNIDADE III
Gestão da Segurança 
da Informação
 O Direito é uma Ciência Social formada por um conjunto de normas que visam regular as 
relações da vida em sociedade. No decorrer dos tempos, o Direito adaptou-se a várias 
realidades da humanidade, impulsionado pelas mais diversas mudanças em nosso mundo. 
E, atualmente, com os avanços da tecnologia e o advento da internet, mais uma vez, o 
Direito busca adaptar-se a mais essa grande mudança.
 Atualmente, a tecnologia também se tornou um sinônimo de velocidade e precisão das 
práticas empresariais, sendo fundamental para os negócios de muitas empresas, para a 
exposição e a comercialização de seus produtos e serviços, mas, também, passou a 
representar um grande emaranhado de problemas sociais e jurídicos.
 O comportamento inadequado no mundo virtual no uso de 
novas tecnologias, além de contrariar o senso ético, pede 
dados pessoas ou estratégicos de empresas causando 
prejuízos inestimáveis; por isso, a conscientização no uso 
ético e legal das novas tecnologias é fundamental.
O Direito
 Na nova realidade todos vivem em uma sociedade digital que, a cada dia, se renova. Uma 
sociedade que está migrando a vida para o mundo virtual, criando uma nova geração com 
novos valores. Uma nova sociedade acostumada ao imediatismo; um bom exemplo é quando 
as pessoas estão na frente do computador escrevendo um e-mail e, quando clica no botão 
“enviar” e demora mais de três segundos, já reclama da demora do serviço. 
 A migração da sociedade para o mundo virtual faz com que as pessoas mantenham as suas 
relações pessoais e negociais, antes realizadas no ambiente físico, agora no mundo virtual. 
Essas relações, assim como no mundo físico, precisam ser reguladas para que não haja 
conflitos de direitos, deveres, e obrigações das pessoas e instituições. 
 O Direito vem de encontro com essas mudanças e se adapta 
para atender às novas demandas geradas por esse ambiente.
A sociedade digital 
 O Direito Digital é a evolução do próprio Direito, em um novo ambiente, e abrangendo os 
institutos e princípios fundamentais de áreas do Direito. As novas tecnologias da informação, 
principalmente a internet, facilitam a geração, o compartilhamento e o armazenamento das 
informações, e, isso, precisa ser regulamentado, pois, atrás deste processo existem pessoas 
se relacionando entre si ou com empresas, por meio de produtos e serviços. 
Boa parte dos magistrados entende que a internet é, apenas, uma nova ferramenta que pode 
contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o 
que podemos chamar de evidência ou, até mesmo, de prova e, consequentemente, gera um 
efeito jurídico, por exemplo:
 O fechamento de um contrato por meio de um simples “Ok”, 
em uma mensagem de e-mail, gera compromissos para 
as partes;
 Uma ofensa deferida a uma pessoa ou empresa, por meio de 
uma mensagem de e-mail ou post numa rede social, gera uma 
obrigação de reparação ao autor da ofensa. 
O Direito Digital 
 A ética e a educação digital no mundo virtual é uma extensão das nossas atitudes da vida 
“real”; sendo assim, também, está sujeita às sanções legais.
 A internet proporciona a praticidade de disseminar ou colher as informações, o acesso a 
muitas informações, disponíveis para os usuários domésticos, as pessoas comuns 
ou as empresas. 
 A maioria dos crimes eletrônicos, cometidos por meio da internet, ocorrem por falha humana. 
Mesmo com toda a segurança aplicada, não há como prever as atitudes de quem está 
sentado à frente de um computador. 
 O usuário pode ser enganado ao receber uma mensagem de 
e-mail contendo vírus de computador; mesmo desconhecendo 
o assunto e o remetente o usuário acaba clicando com o intuito 
de visualizar o conteúdo, mas, na verdade, acaba instalando 
um vírus em seu computador que, por sua vez, não demonstra 
ao usuário a sua presença na máquina, e fica coletando as 
informações, como: senhas bancárias, números de cartão de 
crédito, CPF ou RG, entre outras informações confidenciais. 
O Direito Digital 
O Direito Digital 
Fonte: autoria própria.
Golpista
E-mail com
anexo
Site
verdadeiro
Vítima
Destino dos
dados
roubados
 A responsabilidade civil define, na legislação vigente, especificamente, o Código Civil, regula 
a responsabilidade das pessoas físicas e jurídicas. Podemos entender que a 
responsabilidade civil é a obrigação imposta à determinada pessoa de direitos a reparar os 
danos causados a outrem, por fato causado pela própria pessoa ou terceiro a ela vinculados. 
Cabe lembrarmos que a lei determina que um ato ilícito ocorre quando o comportamento da 
pessoa se desvia do padrão de comportamento imposto pelo ordenamento.
 O Código Civil descreve que havendo ou não a culpa da pessoa que prejudica ou cause 
dano a outrem, esta terá que ressarcir a parte prejudicada pelo dano causado e na medida 
do dano causado. 
 Com a lei vigente requer uma atenção porque tudo o que é 
realizado no mundo digital gera um efeito jurídico e deixa 
rastro que pode em muitos casos identificar o autor 
do dano causado. 
O Código Civil
 Segundo o artigo 186 da Lei n. 10.406, de 10 de janeiro de 2002 (Código Civil), “aquele que, 
por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a 
outrem, ainda que, exclusivamente, moral, comete ato ilícito”. (Brasil, 2002b).
Deve ser considerado que:
 Ação ou omissão = por ter praticado ou deixado como estava; 
 Negligência ou imprudência = não ter tomado os devidos cuidados.
O Código Civil
 O artigo 187 do Código Civil institui que: “também comete ato ilícito o titular de um direito 
que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou 
social, pela boa-fé ou pelos bons costumes” (Brasil, 2002b).
 O Código Civil, em seu artigo 927, descreve – Aquele que, por ato ilícito (arts. 186 e 187), 
causar dano a outrem, fica obrigado a repará-lo. Parágrafo único: haverá a obrigação de 
reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a 
atividade, normalmente, desenvolvida, pelo autor do dano implicar, por sua natureza, o risco 
para os direitos de outrem. 
 Já o artigo 1016 prevê que: “Os administradores respondem 
solidariamente perante a sociedade e os terceiros 
prejudicados, por culpa no desempenho de suas funções”. 
(Brasil, 2002b).
O Código Civil
Para entendermos o crime digital, é necessário entender o que é um crime comum. Podemos 
dizer que um crime comum, sem o computador, é uma conduta típica, antijurídica e praticada 
por um ser humano, e a legislação é clara ao determinar que ninguém pode ser penalizado se 
a conduta prática não estiver prevista em lei, conforme determina os dispositivos legais 
descritos a seguir:
 Artigo 1º Código Penal – Não há crime sem lei anterior que o defina. Não há pena sem prévia 
cominação legal;
 Art. 5º XXXIX Constituição Federal – não há crime sem lei anterior que o defina, nem pena 
sem prévia cominação legal.
O Código Civil
O Código Civil
TABELA DAS INFRAÇÕES MAIS COMUNS NA INTERNET
CONDUTA CRIME
ARTIGO DA 
LEGISLAÇÃO
PENA
Falar em um chat que alguém cometeu 
algum crime
Calúnia 138 CP
Detenção de seis meses a dois 
anos e multa
Dar forward para várias pessoas sobre um 
boato
Difamação 139 CP
Detenção de três meses a um 
ano e multa
Enviar um e-mail para uma pessoa 
ofendendo a sua dignidade
Injúria 140 CP.
Detenção de um a seis meses 
ou multa
Enviar um e-mail para uma pessoa 
dizendo que vai lhe causar algum mal
Ameaça 147 CP
Detenção de um a seis meses 
ou multa
Enviar um e-mail para terceiros com uma 
informação considerada confidencial
Divulgação de segredo 153 CP
Detenção de um a seis meses 
ou multa
Enviar um vírus de computador que 
destrua equipamentos ou conteúdos
Dano 163 CP
Detenção de um a seis meses 
ou multaEnviar um vírus de computador que 
captura os dados armazenados em 
equipamentos
Furto 155 CP
Reclusão de um ano a quatro 
anos e multa
Enviar um vírus de computador que 
captura os dados e usar esses dados para 
cometer fraudes
Falsa identidade 307 CP
Detenção de três meses a um 
anos ou multa
Copiar um conteúdo e não mencionar a 
fonte
Violação ao direito autoral 184 CP
Detenção de três meses a um 
ano e multa
Criar uma comunidade on-line que fale 
sobre as pessoas e as religiões
Escárnio por motivo de 
religião
208 CP
Detenção de um mês a um ano 
ou multa
Acessar sites pornográficos
Favorecimento da 
prostituição
228 CP Reclusão de dois a cinco anos
Postar em uma rede social um descritivo 
que ensina como burlar procedimentos -
fazer “um gato”
Apologia de crime ou 
criminoso
287 CP
Detenção de três a seis meses 
ou multa
Enviar um e-mail com remetente falso 
(caso comum de spam)
Falsa identidade 307 CP
Detenção de três meses a um 
ano ou multa
O Código Civil
Fonte: Pinheiro (2009).
Inserir dados falsos em um sistema da 
administração pública
Adulterar dados em um 
sistema
313-A CP
Reclusão de dois a doze anos e 
multa
Mudar ou alterar dados em um sistema da 
administração pública
Adulterar dados em um 
sistema de informações
313-B CP
Detenção de três meses a dois 
anos e multa
Receber spam, e devolver com vírus ou 
com mais spam
Exercício arbitrário das 
próprias razões
345 CP
Detenção de quinze dias a um 
mês ou multa
Participar de um cassino on-line Jogo de azar
50 do Decreto Lei 
3.688/41
Prisão simples, de três meses a 
um ano e multa
Falar mal de alguém em um chat por sua 
cor
Preconceito ou discriminação
Raça-Cor-Etnia
20 da Lei 7.716/89
Reclusão de um a três anos e 
multa
Divulgar, armazenar, comercializar, ou 
enviar fotos ou vídeos de crianças nuas 
pela internet
Pornografia Infantil
241-A da Lei 
8.069/90
Reclusão de três a seis anos e 
multa
Usar a logomarca de terceiro na internet 
sem a autorização do detentor da 
logomarca
Crime contra a propriedade 
industrial
195 da Lei 9.279/96
Detenção de três meses a um 
ano ou multa
Usar o nome do um concorrente como 
palavra-chave em um site de busca 
visando a afastar a clientela
Crime de concorrência 
desleal
95 da Lei 9.279/96
Detenção de três meses a um 
ano ou multa
Usar uma cópia de software sem ter a 
licença de uso
Crimes contra software, 
“pirataria”
12 da Lei 9.609/98
Detenção de seis meses a dois 
anos ou multa
Sobre a sociedade digital é correto afirmar que:
a) A sociedade que está migrando a vida para o mundo virtual, criando uma nova geração 
com novos valores.
b) A sociedade digital não mudou em nada a nossa forma de interagir socialmente. 
c) As relações na sociedade digital, assim como no mundo físico, não precisam ser reguladas. 
d) A sociedade digital é uma nova sociedade que não está acostumada ao imediatismo.
e) A sociedade digital não se renova a cada dia.
Interatividade
Sobre a sociedade digital é correto afirmar que:
a) A sociedade que está migrando a vida para o mundo virtual, criando uma nova geração 
com novos valores.
b) A sociedade digital não mudou em nada a nossa forma de interagir socialmente. 
c) As relações na sociedade digital, assim como no mundo físico, não precisam ser reguladas. 
d) A sociedade digital é uma nova sociedade que não está acostumada ao imediatismo.
e) A sociedade digital não se renova a cada dia.
Resposta
 A Lei n. 13.907, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados 
Pessoais é conhecida pela sigla LGPD. Ela está dividida em dez capítulos, e contém os 
princípios e as definições, para a correta compreensão de seus objetivos e finalidades. A 
LGPD entrou em vigor em agosto de 2020 e esse período de tempo, conhecido como 
vacatio legis, ou vacância da lei, foi adotado para que as empresas públicas e privadas, 
e as pessoas naturais tenham tempo de se adequar às suas exigências.
 O objetivo da lei é proteger o titular dos dados pessoais para não haver a utilização de 
dados sem o consentimento, nem excessiva, desnecessária ou, ainda, que seja 
prejudicial ao seu titular.
Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709, de 2018
 Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Pessoa 
natural ou pessoa física tem o mesmo sentido, ou seja, o ser humano que se torna sujeito de 
direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma 
ou mais pessoas físicas, que se organiza para exercer atividades econômicas (empresas) 
ou sociais (associações, sindicatos, organizações não governamentais, clubes desportivos, 
entre outras).
Terminologia – Artigo 5º da LGPD
 Dado pessoal sensível: dado pessoal sobre a origem racial ou étnica, convicção religiosa, 
opinião política, filiação ao sindicato ou à organização de caráter religioso, filosófico ou 
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural. São dados que uma pessoa, nem sempre, deseja 
compartilhar ou mesmo que se torne conhecido para outras pessoas, seja para fins 
empresariais, ou para as pessoas de seu convívio social e familiar. A denominação sensível 
indica que são dados que, para serem tratados por uma pessoa natural ou jurídica, pública 
ou privada, vão demandar muito maior cuidado e especificidade.
Terminologia – Artigo 5º da LGPD
 Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
 Anonimização de dados: utilização de meios técnicos razoáveis e disponíveis no momento 
do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou 
indireta, a um indivíduo. Exemplo: o dado pessoal passa a ser tratado de forma que não se 
possa identificar o seu titular. Em lugar de constar o nome e o endereço do titular a 
anonimização fará constar: gênero masculino, 44 anos, casado, motorista de Uber, renda na 
faixa de R$ 3.000,00, domicílio em um bairro da Zona Norte de Belo Horizonte, casa própria 
financiada no Sistema Financeiro da Habitação. Os dados pessoais estão colocados, porém, 
não será possível individualizar o titular desses dados.
Terminologia – Artigo 5º da LGPD
 Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários 
locais, em suporte eletrônico ou físico. Exemplo: os dados utilizados por hospitais, clínicas, 
academias, escolas, universidades, lojas físicas e virtuais, serviços de compartilhamento de 
transporte, médicos, dentistas, advogados e muitas outras atividades. São dados de clientes 
e usuários que são tratados em bancos de dados que precisam ser legalmente organizados. 
 É importante reparar que a LGPD tem determinações para o 
banco de dados que podem estar em meio físico ou 
eletrônico, e, em ambas as situações, a lei deverá ser 
cumprida. Muitas empresas menores como os escritórios de 
advocacia e contabilidade, ou as oficinas mecânicas e de 
marcenaria, que trabalham com as fichas físicas guardadas 
em arquivos de aço, deverão ficar atentas para a necessidade 
de se adequarem às novas regras determinadas pela LGPD, 
porque os arquivos físicos, também, estão regulados por ela. 
Terminologia – Artigo 5º da LGPD
 Titular: pessoa natural a quem se referem os dados pessoais que são o objeto de 
tratamento. Todas as pessoas naturais possuem dados pessoais das quais são titulares, e 
que só poderão ser compartilhados mediante o seu consentimento expresso e específico. 
 Tratamento de dados: toda a operação realizada com dados pessoais, como as que se 
referem à/ao coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, 
avaliação ou controle da informação, modificação, comunicação,transferência, 
difusão ou extração.
 Uso compartilhado de dados: comunicação, difusão, 
transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais, por 
órgãos e entidades públicas, no cumprimento de suas 
competências legais, ou entre esses entes privados, 
reciprocamente, com a autorização específica para uma ou 
mais modalidades de tratamento permitidas por esses entes 
públicos, ou entre os entes privados.
Terminologia – Artigo 5º da LGPD
 Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com 
o tratamento de seus dados pessoais para uma finalidade determinada. É importante que 
fique claro que não é qualquer forma de consentimento que pode ser interpretada como 
adequada à lei. Somente o consentimento prestado de forma livre, informada e inequívoca 
que não crie dúvida de que se trata de consentimento para o tratamento de dados pessoais.
 Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante a guarda do 
dado pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou 
jurídica, pública ou privada, for obrigada a suspender, em caráter temporário, o tratamento 
de dados organizados em seu banco. A ordem de bloqueio virá 
de decisão judicial, embora, também, possa ser resultado de um 
acordo entre as partes para cumprir um objetivo fixado por elas. 
Terminologia – Artigo 5º da LGPD
 Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, 
independentemente do procedimento empregado. A eliminação ocorrerá a pedido do titular 
com a concordância dos agentes de tratamento; ou, por ordem judicial que determine a 
eliminação. Poderão ser eliminados os bancos de dados eletrônicos ou físicos.
 Transferência internacional de dados: transferência de dados pessoais para um país 
estrangeiro ou para algum organismo internacional do qual o país seja membro, como, por 
exemplo: a Organização das Nações Unidas – ONU ou a Organização Internacional do 
Trabalho – OIT, entre outros.
Terminologia – Artigo 5º da LGPD
 Agentes de tratamento: o controlador e o operador.
 Controlador: pessoa natural ou jurídica, de Direito Público ou Privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais em uma 
empresa privada ou órgão público. 
 Operador: pessoa natural ou jurídica, de Direito Público ou Privado, que realiza o tratamento 
de dados pessoais em nome do controlador. 
 Encarregado: pessoa indicada pelo controlador e operador para atuar como o canal de 
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD). 
 Autoridade Nacional de Proteção de Dados (ANPD): órgão da 
administração pública responsável por zelar, implementar e 
fiscalizar o cumprimento desta Lei em todo o território 
nacional. É o órgão federal que terá a incumbência de regular 
e fiscalizar o tratamento de dados no Brasil, inclusive, para 
aplicar as sanções previstas na LGPD.
Terminologia – Artigo 5º da LGPD
 Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que 
contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos 
às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e 
mecanismos de mitigação de risco.
 Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta, ou 
pessoa jurídica de direito privado sem fins lucrativos, legalmente, constituída sob as leis 
brasileiras com sede e foro no país, que inclua, em sua missão institucional, ou em seu 
objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, 
tecnológico ou estatístico.
Terminologia – Artigo 5º da LGPD
LGPD – Objetivos específicos 
Respeito à privacidade: todo titular de dados pessoais tem o direito de ser 
respeitado em sua privacidade; tem o direito de compartilhar dados, apenas, com 
as pessoas que ele escolher e para atender os objetivos específicos. 
Autodeterminação informativa: é a capacidade de uma pessoa decidir, de forma 
livre e autônoma, o que é melhor para ela. 
Liberdade de expressão, informação e de opinião: esses são fundamentos 
previstos na Constituição Federal.
Inviolabilidade da intimidade, da honra e da imagem: esses são direitos 
protegidos pela Constituição Federal e pelo Código Civil.
O desenvolvimento econômico e tecnológico e a inovação: a necessidade de 
proteção de dados pessoais não pode impedir que o Brasil tenha um 
desenvolvimento econômico, tecnológico e de inovação.
A livre iniciativa, a livre concorrência e a defesa do consumidor: são princípios 
constitucionais que, igualmente, deverão ser respeitados pela LGPD.
Direitos humanos, livre desenvolvimento da personalidade, a dignidade e o 
exercício da cidadania pelas pessoas naturais.
Quando a manifestação é livre, informada e inequívoca, pela qual o titular concorda com o 
tratamento de seus dados pessoais, para uma finalidade determinada na LGPD, estamos 
falando da(o):
a) Permissão.
b) Consentimento. 
c) Concessão de acesso. 
d) Privilégio. 
e) Bloqueio judicial.
Interatividade
Quando a manifestação é livre, informada e inequívoca, pela qual o titular concorda com o 
tratamento de seus dados pessoais, para uma finalidade determinada na LGPD, estamos 
falando da(o):
a) Permissão.
b) Consentimento. 
c) Concessão de acesso. 
d) Privilégio. 
e) Bloqueio judicial.
Resposta
 Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de 
dados pessoais, para proteger os seus titulares e garantir a segurança de todos, ou seja, 
tanto das atividades econômicas desenvolvidas como da sociedade. 
LGPD – Artigo 6º – Princípios
PrincípiosBoa-fé
Finalidade 
Adequação
Necessidade 
Livre 
acesso
Qualidade 
dos dados
Transparência 
Segurança
Prevenção
Não 
discriminação
Responsabi
-lidade
Fonte: autoria própria.
LGPD – Artigo 6º – Tratamento dos dados 
A LGPD regulamenta dois importantes aspectos que precisamos conhecer: os requisitos 
para o tratamento de dados pessoais e a possibilidade de compartilhamento de dados: 
Mediante o fornecimento de consentimento pelo titular dos dados; 
Para o cumprimento de obrigação legal ou regulatória pelo 
controlador; 
Pela administração pública, para o tratamento e o 
uso compartilhado de dados necessários à 
execução de políticas públicas, previstas em leis e 
regulamentos, ou respaldadas em contratos, 
convênios ou instrumentos congêneres;
Para a realização de estudos por 
órgãos de pesquisa, garantida, 
sempre que possível, a anonimização 
dos dados pessoais; 
LGPD – Artigo 6º – Tratamento dos dados 
Quando necessário para a execução de contrato ou de procedimentos preliminares 
relacionados ao contrato do qual seja parte o titular dos dados pessoais, a pedido 
deste;
Para o exercício regular de direitos em processo judicial, administrativo 
ou arbitral, esse último nos termos da Lei de Arbitragem;
Para a proteção da vida ou da incolumidade física, do 
titular ou de terceiros;
Para a tutela da saúde, exclusivamente, em 
procedimentos realizados por profissionais de saúde, 
serviços de saúde ou de autoridade sanitária;
LGPD – Artigo 6º – Tratamento dos dados 
Quando necessário para atender aos interesses legítimos do controlador ou de 
terceiro, exceto no caso de prevalecerem os direitos e as liberdades fundamentais 
do titular que exijam a proteção dos dados pessoais;
Para a proteção do crédito, em consonância com a legislação 
existente sobre o assunto.
 A utilização de dados pessoais, fora dessas hipóteses, 
estará em confronto com a legislação e poderá gerar a 
aplicação de sanções, e, se provada a ocorrência de 
danos, a obrigação de indenizar por parte do 
responsável. 
As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma 
clara, adequada e ostensivasobre:
 Finalidade específica do tratamento – Objetivo que motivou o tratamento dos dados;
 Forma e duração do tratamento, observados os segredos comercial e industrial – De que 
maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento 
poderá preservar os segredos comercial e industrial de sua atividade; porém, precisará 
informar que instrumentos irá utilizar para o tratamento de dados;
 Identificação do controlador – Responsável pelas decisões;
LGPD – Artigo 6º – Tratamento dos dados 
 Informações de contato do controlador – Que forma de contato o titular de dados pessoais 
poderá ter com o controlador (acesso por telefone gratuito como o 0800, por endereço 
eletrônico, por aplicativo de mensagens, ou, outros meios, devidamente, informados para o 
titular de dados pessoais); 
 Informações acerca do uso compartilhado de dados pelo controlador e a finalidade – É 
preciso informar se haverá o compartilhamento de dados, com quem e com qual finalidade; 
 Responsabilidades dos agentes que realizarão o tratamento – Quem serão os responsáveis 
pelo tratamento dos dados pessoais;
LGPD – Artigo 6º – Tratamento dos dados 
 Direitos do titular – a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos 
titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o 
controlador da empresa, que trata dos seus dados pessoais, terá o direito a receber 
informações sobre o conjunto de direitos elencados no artigo 18 da LGPD. O objetivo é que 
os agentes de dados da empresa – controlador e operador – bem como todos aqueles que 
atuam na equipe, estejam aptos a fornecer as informações corretas e esclarecer sobre os 
direitos do titular de dados pessoais.
LGPD – Artigo 6º – Tratamento dos dados 
O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais: 
 Confirmação da existência de tratamento de dados pessoais;
 Acesso aos dados pessoais que estão sendo tratados;
 Correção de dados incompletos, inexatos ou desatualizados;
 Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em 
desconformidade com o disposto na LGPD;
 Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante à requisição 
expressa, de acordo com a regulamentação que será criada pela autoridade nacional;
LGPD – Artigo 18º – Direitos dos titulares
 Informação das entidades públicas e privadas com as quais o controlador realizou o uso 
compartilhado de dados;
 Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências 
da negativa;
 Revogação do consentimento.
LGPD – Artigo 18º – Direitos dos titulares
 Aceitar as reclamações e as comunicações dos titulares, prestar os esclarecimentos e adotar 
as providências.
 Receber as comunicações da autoridade nacional e adotar as providências.
 Orientar os funcionários e os contratados da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados pessoais.
 Executar outras atribuições determinadas pelo controlador 
ou estabelecidas em normas complementares que 
venham a ser criadas, principalmente, pela Autoridade 
Nacional de Proteção de Dados.
LGPD – Atividades do encarregado de dados
Receber as comunicações da autoridade nacional e adotar as providências na LGPD são 
responsabilidades do(a):
a) Ouvidoria.
b) Auditoria.
c) Encarregado de dados. 
d) Titular dos dados.
e) Controladoria.
Interatividade
Receber as comunicações da autoridade nacional e adotar as providências na LGPD são 
responsabilidades do(a):
a) Ouvidoria.
b) Auditoria.
c) Encarregado de dados. 
d) Titular dos dados.
e) Controladoria.
Resposta
 Os controles internos são ferramentas que visam a minimizar os problemas que podem 
causar um impacto nas operações e no cotidiano das organizações. Os controles internos 
podem ou não utilizar os recursos computacionais, podem ser preventivos quando visam a 
evitar os erros, as falhas e promover as boas práticas, detectivos quando identifica ou corrige 
os problemas, e corretivos quando visa a sanar o problema ocorrido.
Conformidade de Segurança da Informação
Fonte: autoria própria.
 Cliente é aquele que solicita ou contrata a auditoria; a sua função é a de determinar o 
propósito da auditoria; informar aos funcionários envolvidos os objetivos e o escopo do 
trabalho de auditoria; apresentar os principais responsáveis para participar da auditoria como 
auditado; fornecer os recursos adequados, e os acessos às instalações e aos materiais 
relevantes; e receber o relatório de auditoria e fazer uma análise crítica.
 Auditado é aquele que é avaliado na auditoria; a sua responsabilidade é a de cooperar 
apresentando as informações e os documentos solicitados pelo auditor; participar de 
reuniões e entrevistas, sempre que solicitado; acompanhar os trabalhos de auditoria e 
coordena e/ou implementa as recomendações apresentadas pela auditoria.
 Auditor é aquele que coordena e/ou realiza os trabalhos de 
auditoria; é responsável pelo trabalho de auditoria; organizar e 
propor o plano de auditoria; cumprir e comunicar os requisitos 
de auditoria, filosofia e ética; documentar as observações; 
coletar e evidenciar as informações; apresentar o relatório de 
auditoria e fazer o acompanhamento das ações corretivas 
(quando aplicável).
Personagens envolvidos no processo da auditoria 
Pareceres de auditoria
Sem 
ressalva
Com 
ressalva
Parecer 
adverso
Parecer 
com 
abstenção
Fonte: autoria própria.
 Segundo o modelo Arima (2000), a auditoria de sistemas é a adequação, a avaliação e as 
recomendações para o aprimoramento dos controles internos nos Sistemas de Informação 
da empresa, na utilização dos recursos humanos, materiais e tecnológicos envolvidos no 
processamento dos mesmos. 
 Os trabalhos de auditoria devem ser desenvolvidos nos sistemas em operação 
normal, nos sistemas em desenvolvimento, administrativo e operacional, do ambiente e dos 
eventos específicos.
Auditoria de sistemas
Processo x Resultado
 
Natureza do processo 
/ resultado 
Tipo Exemplo 
Rotina Operacional Processo 
Rotina de atualização do cadastro de 
itens em estoque. 
Rotina de cálculo do saldo em 
estoque. 
Informação operacional Resultado 
Informações do cadastro de estoque 
atualizado. 
Informação do saldo em estoque. 
Rotina de controle Processo 
Rotina de gravação ou impressão de 
tentativa de inclusão de item já 
existente no cadastro de estoque 
Rotina de verificação quanto ao fato 
de o saldo do item em estoque ser 
negativo. 
Informação de controle Resultado 
Item a ser incluído, já existente no 
cadastro de estoque e listado no 
relatório de erros de atualização. 
Item em estoque com saldo negativo 
e impresso em relatório de erros. 
Rotina de projeto Processo 
Etapas de desenvolvimento ou 
manutenção de sistemas 
Processos e procedimentos 
administrativos 
Informação de projeto Resultado 
MER, estrutura dos projetos lógico e 
físico do sistema, banco de dados. 
Documentos, relatórios. 
Fonte: Adaptado de: Gil (2000, p. 43).
Ciclo de vida dos pontos de controle e auditoria
Fonte: autoria própria.
CARACTERIZAÇÃO E 
INVENTÁRIO DOS PONTOS 
DE CONTROLE
AVALIAÇÃO DOS PONTOS 
DE CONTROLE 
SELECIONADOS
IMPLEMENTAÇÃO DA 
SOLUÇÃO 
RECOMENDADA
CARACTERIZAÇÃO DO 
PONTO DE AUDITORIA
APRESENTOU 
FRAQUEZA?
FIM
NÃO
SIM
Ciclo de auditoria de sistemas
Fonte: Arima (2000, p. 43).
AUDITORIA DE POSIÇÃO 
AUDITORIA DE 
ACOMPANHAMENTO
AVALIAÇÃO DOS PONTOS DE CONTROLE
PONTOS DE 
CONTROLE 
CARACTERIZA-
DOS 
PONTOS DE CONTROLE NÃO 
SELECIONADOS
PONTOS DE 
CONTROLE 
TESTADOS
NÃO APRESENTAM 
FRAQUEZAS
APRESENTAM 
FRAQUEZAS 
AVALIAÇÃO DOS 
PONTOS DE 
AUDITORIA 
PONTOS DE AUDITORIA 
Ciclo do projeto de auditoria 
Fonte: Arima (2000, p. 34).
Técnicas de auditoria 
Fonte: Arima (2000, p. 34).
Exemplo de técnica manual de avaliação dos processosFonte: Arima (2000, p. 38).
Inexistência de
metodologia de
desenvolvimento
de sistemas
Analistas de
sistemas encaram
o usuário como
um mal
necessário
Servidores são
máquinas
ultrapassadas
Infraestrutura da
empresa é
deficiente
Prazos de
desenvolvimento
de sistemas não
são estimados de
forma coerente
Ferramentas de
desenvolvimento
de sistemas são
ultrapassadas
Os sistemas não
atendem às
necessidades
dos usuários
 Trabalho de auditoria onde a principal “matéria-prima” são as informações contidas em 
registros magnéticos. O auditor promove os testes acessando, diretamente, o banco de 
dados dos sistemas auditados; isso permite que seja avaliada uma quantidade maior de 
registros (espaço amostral de 100%) e oferece maior precisão sobre os resultados.
Auditoria de dados 
Fonte: autoria própria.
Avaliando através dos pontos de controle 
Fonte: autoria própria.
 
Processo para a proteção dos registros
Fonte: autoria própria.
Emitir as diretrizes gerais
para a retenção, o
armazenamento, o 
tratamento, e a disposição 
de registros e 
informações.
Elaborar uma
programação para a 
retenção, identificando os 
registros essenciais e o 
período recomendado 
para que cada um seja 
mantido.
Manter um inventário das 
fontes de informações-
chave.
Diretrizes para a implantação da proteção de dados pessoais
Fonte: Adaptado de: Brasil (2013b, p. 94).
 
Controle 
 
 
Descrição 
Política de Dados 
 
Convém que uma política de dados da organização para 
proteção e privacidade da informação de identificação 
pessoal seja desenvolvida e implementada. Esta política 
deve ser comunicada a todas as pessoas envolvidas no 
processamento de informação de identificação pessoal. 
 
Conformidade da 
Política de Dados 
 
A conformidade com está política e todas as 
regulamentações e legislação relevantes, relativas à 
proteção da privacidade das pessoas e da proteção da 
informação de identificação pessoal, requer um controle e 
uma estrutura de gerenciamento apropriada. 
 
Definição de um 
Privacy Officer ou 
segundo a LGPD um 
DPO – Data 
Protection Officer 
 
A função de fornecer orientações aos gestores, usuários e 
provedores de serviços sobre as suas responsabilidades 
individuais e procedimentos específicos que devem ser 
seguidos, em seu trabalho, ele auxilia a empresa a adaptar 
seus processos para estruturar um programa de compliance 
com foco em maior segurança das informações que estão 
sob a sua tutela. 
 
Manuseio das 
Informações 
 
Convém que a responsabilidade pelo manuseio da 
informação de identificação pessoal e a garantia da 
conscientização sobre os princípios da privacidade, sejam 
tratadas de acordo com as regulamentações e legislações 
pertinentes. Convém que técnicas apropriadas e medidas da 
organização para proteger a informação de identificação 
pessoal sejam implementadas. 
 
 
esta
Processo para o tratamento de não conformidades
Fonte: autoria própria.
Identifique quais as
causas da não
conformidade
Avalie a
necessidade de
ações para atender
a conformidade
Implemente uma 
ação
corretiva
apropriada
Registre o resultado
para as aferições
futuras
Subdivisão do
processo/instalação
em módulos de
análise
Um parecer de auditoria pode ser:
a) Sem apontamento, com apontamento, adverso ou com abstenção.
b) Adverso, com abstenção, com ressalva ou com apontamento.
c) Com ressalva ou sem ressalva.
d) Com ressalva, sem ressalva, adverso ou com abstenção.
e) Sem apontamento ou com apontamento.
Interatividade
Um parecer de auditoria pode ser:
a) Sem apontamento, com apontamento, adverso ou com abstenção.
b) Adverso, com abstenção, com ressalva ou com apontamento.
c) Com ressalva ou sem ressalva.
d) Com ressalva, sem ressalva, adverso ou com abstenção.
e) Sem apontamento ou com apontamento.
Resposta
ATÉ A PRÓXIMA!