Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Me. Ricardo Sewaybriker UNIDADE III Gestão da Segurança da Informação O Direito é uma Ciência Social formada por um conjunto de normas que visam regular as relações da vida em sociedade. No decorrer dos tempos, o Direito adaptou-se a várias realidades da humanidade, impulsionado pelas mais diversas mudanças em nosso mundo. E, atualmente, com os avanços da tecnologia e o advento da internet, mais uma vez, o Direito busca adaptar-se a mais essa grande mudança. Atualmente, a tecnologia também se tornou um sinônimo de velocidade e precisão das práticas empresariais, sendo fundamental para os negócios de muitas empresas, para a exposição e a comercialização de seus produtos e serviços, mas, também, passou a representar um grande emaranhado de problemas sociais e jurídicos. O comportamento inadequado no mundo virtual no uso de novas tecnologias, além de contrariar o senso ético, pede dados pessoas ou estratégicos de empresas causando prejuízos inestimáveis; por isso, a conscientização no uso ético e legal das novas tecnologias é fundamental. O Direito Na nova realidade todos vivem em uma sociedade digital que, a cada dia, se renova. Uma sociedade que está migrando a vida para o mundo virtual, criando uma nova geração com novos valores. Uma nova sociedade acostumada ao imediatismo; um bom exemplo é quando as pessoas estão na frente do computador escrevendo um e-mail e, quando clica no botão “enviar” e demora mais de três segundos, já reclama da demora do serviço. A migração da sociedade para o mundo virtual faz com que as pessoas mantenham as suas relações pessoais e negociais, antes realizadas no ambiente físico, agora no mundo virtual. Essas relações, assim como no mundo físico, precisam ser reguladas para que não haja conflitos de direitos, deveres, e obrigações das pessoas e instituições. O Direito vem de encontro com essas mudanças e se adapta para atender às novas demandas geradas por esse ambiente. A sociedade digital O Direito Digital é a evolução do próprio Direito, em um novo ambiente, e abrangendo os institutos e princípios fundamentais de áreas do Direito. As novas tecnologias da informação, principalmente a internet, facilitam a geração, o compartilhamento e o armazenamento das informações, e, isso, precisa ser regulamentado, pois, atrás deste processo existem pessoas se relacionando entre si ou com empresas, por meio de produtos e serviços. Boa parte dos magistrados entende que a internet é, apenas, uma nova ferramenta que pode contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que podemos chamar de evidência ou, até mesmo, de prova e, consequentemente, gera um efeito jurídico, por exemplo: O fechamento de um contrato por meio de um simples “Ok”, em uma mensagem de e-mail, gera compromissos para as partes; Uma ofensa deferida a uma pessoa ou empresa, por meio de uma mensagem de e-mail ou post numa rede social, gera uma obrigação de reparação ao autor da ofensa. O Direito Digital A ética e a educação digital no mundo virtual é uma extensão das nossas atitudes da vida “real”; sendo assim, também, está sujeita às sanções legais. A internet proporciona a praticidade de disseminar ou colher as informações, o acesso a muitas informações, disponíveis para os usuários domésticos, as pessoas comuns ou as empresas. A maioria dos crimes eletrônicos, cometidos por meio da internet, ocorrem por falha humana. Mesmo com toda a segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um computador. O usuário pode ser enganado ao receber uma mensagem de e-mail contendo vírus de computador; mesmo desconhecendo o assunto e o remetente o usuário acaba clicando com o intuito de visualizar o conteúdo, mas, na verdade, acaba instalando um vírus em seu computador que, por sua vez, não demonstra ao usuário a sua presença na máquina, e fica coletando as informações, como: senhas bancárias, números de cartão de crédito, CPF ou RG, entre outras informações confidenciais. O Direito Digital O Direito Digital Fonte: autoria própria. Golpista E-mail com anexo Site verdadeiro Vítima Destino dos dados roubados A responsabilidade civil define, na legislação vigente, especificamente, o Código Civil, regula a responsabilidade das pessoas físicas e jurídicas. Podemos entender que a responsabilidade civil é a obrigação imposta à determinada pessoa de direitos a reparar os danos causados a outrem, por fato causado pela própria pessoa ou terceiro a ela vinculados. Cabe lembrarmos que a lei determina que um ato ilícito ocorre quando o comportamento da pessoa se desvia do padrão de comportamento imposto pelo ordenamento. O Código Civil descreve que havendo ou não a culpa da pessoa que prejudica ou cause dano a outrem, esta terá que ressarcir a parte prejudicada pelo dano causado e na medida do dano causado. Com a lei vigente requer uma atenção porque tudo o que é realizado no mundo digital gera um efeito jurídico e deixa rastro que pode em muitos casos identificar o autor do dano causado. O Código Civil Segundo o artigo 186 da Lei n. 10.406, de 10 de janeiro de 2002 (Código Civil), “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que, exclusivamente, moral, comete ato ilícito”. (Brasil, 2002b). Deve ser considerado que: Ação ou omissão = por ter praticado ou deixado como estava; Negligência ou imprudência = não ter tomado os devidos cuidados. O Código Civil O artigo 187 do Código Civil institui que: “também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes” (Brasil, 2002b). O Código Civil, em seu artigo 927, descreve – Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único: haverá a obrigação de reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a atividade, normalmente, desenvolvida, pelo autor do dano implicar, por sua natureza, o risco para os direitos de outrem. Já o artigo 1016 prevê que: “Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções”. (Brasil, 2002b). O Código Civil Para entendermos o crime digital, é necessário entender o que é um crime comum. Podemos dizer que um crime comum, sem o computador, é uma conduta típica, antijurídica e praticada por um ser humano, e a legislação é clara ao determinar que ninguém pode ser penalizado se a conduta prática não estiver prevista em lei, conforme determina os dispositivos legais descritos a seguir: Artigo 1º Código Penal – Não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal; Art. 5º XXXIX Constituição Federal – não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal. O Código Civil O Código Civil TABELA DAS INFRAÇÕES MAIS COMUNS NA INTERNET CONDUTA CRIME ARTIGO DA LEGISLAÇÃO PENA Falar em um chat que alguém cometeu algum crime Calúnia 138 CP Detenção de seis meses a dois anos e multa Dar forward para várias pessoas sobre um boato Difamação 139 CP Detenção de três meses a um ano e multa Enviar um e-mail para uma pessoa ofendendo a sua dignidade Injúria 140 CP. Detenção de um a seis meses ou multa Enviar um e-mail para uma pessoa dizendo que vai lhe causar algum mal Ameaça 147 CP Detenção de um a seis meses ou multa Enviar um e-mail para terceiros com uma informação considerada confidencial Divulgação de segredo 153 CP Detenção de um a seis meses ou multa Enviar um vírus de computador que destrua equipamentos ou conteúdos Dano 163 CP Detenção de um a seis meses ou multaEnviar um vírus de computador que captura os dados armazenados em equipamentos Furto 155 CP Reclusão de um ano a quatro anos e multa Enviar um vírus de computador que captura os dados e usar esses dados para cometer fraudes Falsa identidade 307 CP Detenção de três meses a um anos ou multa Copiar um conteúdo e não mencionar a fonte Violação ao direito autoral 184 CP Detenção de três meses a um ano e multa Criar uma comunidade on-line que fale sobre as pessoas e as religiões Escárnio por motivo de religião 208 CP Detenção de um mês a um ano ou multa Acessar sites pornográficos Favorecimento da prostituição 228 CP Reclusão de dois a cinco anos Postar em uma rede social um descritivo que ensina como burlar procedimentos - fazer “um gato” Apologia de crime ou criminoso 287 CP Detenção de três a seis meses ou multa Enviar um e-mail com remetente falso (caso comum de spam) Falsa identidade 307 CP Detenção de três meses a um ano ou multa O Código Civil Fonte: Pinheiro (2009). Inserir dados falsos em um sistema da administração pública Adulterar dados em um sistema 313-A CP Reclusão de dois a doze anos e multa Mudar ou alterar dados em um sistema da administração pública Adulterar dados em um sistema de informações 313-B CP Detenção de três meses a dois anos e multa Receber spam, e devolver com vírus ou com mais spam Exercício arbitrário das próprias razões 345 CP Detenção de quinze dias a um mês ou multa Participar de um cassino on-line Jogo de azar 50 do Decreto Lei 3.688/41 Prisão simples, de três meses a um ano e multa Falar mal de alguém em um chat por sua cor Preconceito ou discriminação Raça-Cor-Etnia 20 da Lei 7.716/89 Reclusão de um a três anos e multa Divulgar, armazenar, comercializar, ou enviar fotos ou vídeos de crianças nuas pela internet Pornografia Infantil 241-A da Lei 8.069/90 Reclusão de três a seis anos e multa Usar a logomarca de terceiro na internet sem a autorização do detentor da logomarca Crime contra a propriedade industrial 195 da Lei 9.279/96 Detenção de três meses a um ano ou multa Usar o nome do um concorrente como palavra-chave em um site de busca visando a afastar a clientela Crime de concorrência desleal 95 da Lei 9.279/96 Detenção de três meses a um ano ou multa Usar uma cópia de software sem ter a licença de uso Crimes contra software, “pirataria” 12 da Lei 9.609/98 Detenção de seis meses a dois anos ou multa Sobre a sociedade digital é correto afirmar que: a) A sociedade que está migrando a vida para o mundo virtual, criando uma nova geração com novos valores. b) A sociedade digital não mudou em nada a nossa forma de interagir socialmente. c) As relações na sociedade digital, assim como no mundo físico, não precisam ser reguladas. d) A sociedade digital é uma nova sociedade que não está acostumada ao imediatismo. e) A sociedade digital não se renova a cada dia. Interatividade Sobre a sociedade digital é correto afirmar que: a) A sociedade que está migrando a vida para o mundo virtual, criando uma nova geração com novos valores. b) A sociedade digital não mudou em nada a nossa forma de interagir socialmente. c) As relações na sociedade digital, assim como no mundo físico, não precisam ser reguladas. d) A sociedade digital é uma nova sociedade que não está acostumada ao imediatismo. e) A sociedade digital não se renova a cada dia. Resposta A Lei n. 13.907, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais é conhecida pela sigla LGPD. Ela está dividida em dez capítulos, e contém os princípios e as definições, para a correta compreensão de seus objetivos e finalidades. A LGPD entrou em vigor em agosto de 2020 e esse período de tempo, conhecido como vacatio legis, ou vacância da lei, foi adotado para que as empresas públicas e privadas, e as pessoas naturais tenham tempo de se adequar às suas exigências. O objetivo da lei é proteger o titular dos dados pessoais para não haver a utilização de dados sem o consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular. Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709, de 2018 Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Pessoa natural ou pessoa física tem o mesmo sentido, ou seja, o ser humano que se torna sujeito de direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas, que se organiza para exercer atividades econômicas (empresas) ou sociais (associações, sindicatos, organizações não governamentais, clubes desportivos, entre outras). Terminologia – Artigo 5º da LGPD Dado pessoal sensível: dado pessoal sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação ao sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa, nem sempre, deseja compartilhar ou mesmo que se torne conhecido para outras pessoas, seja para fins empresariais, ou para as pessoas de seu convívio social e familiar. A denominação sensível indica que são dados que, para serem tratados por uma pessoa natural ou jurídica, pública ou privada, vão demandar muito maior cuidado e especificidade. Terminologia – Artigo 5º da LGPD Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Anonimização de dados: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Exemplo: o dado pessoal passa a ser tratado de forma que não se possa identificar o seu titular. Em lugar de constar o nome e o endereço do titular a anonimização fará constar: gênero masculino, 44 anos, casado, motorista de Uber, renda na faixa de R$ 3.000,00, domicílio em um bairro da Zona Norte de Belo Horizonte, casa própria financiada no Sistema Financeiro da Habitação. Os dados pessoais estão colocados, porém, não será possível individualizar o titular desses dados. Terminologia – Artigo 5º da LGPD Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: os dados utilizados por hospitais, clínicas, academias, escolas, universidades, lojas físicas e virtuais, serviços de compartilhamento de transporte, médicos, dentistas, advogados e muitas outras atividades. São dados de clientes e usuários que são tratados em bancos de dados que precisam ser legalmente organizados. É importante reparar que a LGPD tem determinações para o banco de dados que podem estar em meio físico ou eletrônico, e, em ambas as situações, a lei deverá ser cumprida. Muitas empresas menores como os escritórios de advocacia e contabilidade, ou as oficinas mecânicas e de marcenaria, que trabalham com as fichas físicas guardadas em arquivos de aço, deverão ficar atentas para a necessidade de se adequarem às novas regras determinadas pela LGPD, porque os arquivos físicos, também, estão regulados por ela. Terminologia – Artigo 5º da LGPD Titular: pessoa natural a quem se referem os dados pessoais que são o objeto de tratamento. Todas as pessoas naturais possuem dados pessoais das quais são titulares, e que só poderão ser compartilhados mediante o seu consentimento expresso e específico. Tratamento de dados: toda a operação realizada com dados pessoais, como as que se referem à/ao coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,transferência, difusão ou extração. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais, por órgãos e entidades públicas, no cumprimento de suas competências legais, ou entre esses entes privados, reciprocamente, com a autorização específica para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre os entes privados. Terminologia – Artigo 5º da LGPD Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É importante que fique claro que não é qualquer forma de consentimento que pode ser interpretada como adequada à lei. Somente o consentimento prestado de forma livre, informada e inequívoca que não crie dúvida de que se trata de consentimento para o tratamento de dados pessoais. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante a guarda do dado pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública ou privada, for obrigada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. A ordem de bloqueio virá de decisão judicial, embora, também, possa ser resultado de um acordo entre as partes para cumprir um objetivo fixado por elas. Terminologia – Artigo 5º da LGPD Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. A eliminação ocorrerá a pedido do titular com a concordância dos agentes de tratamento; ou, por ordem judicial que determine a eliminação. Poderão ser eliminados os bancos de dados eletrônicos ou físicos. Transferência internacional de dados: transferência de dados pessoais para um país estrangeiro ou para algum organismo internacional do qual o país seja membro, como, por exemplo: a Organização das Nações Unidas – ONU ou a Organização Internacional do Trabalho – OIT, entre outros. Terminologia – Artigo 5º da LGPD Agentes de tratamento: o controlador e o operador. Controlador: pessoa natural ou jurídica, de Direito Público ou Privado, a quem competem as decisões referentes ao tratamento de dados pessoais em uma empresa privada ou órgão público. Operador: pessoa natural ou jurídica, de Direito Público ou Privado, que realiza o tratamento de dados pessoais em nome do controlador. Encarregado: pessoa indicada pelo controlador e operador para atuar como o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o tratamento de dados no Brasil, inclusive, para aplicar as sanções previstas na LGPD. Terminologia – Artigo 5º da LGPD Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta, ou pessoa jurídica de direito privado sem fins lucrativos, legalmente, constituída sob as leis brasileiras com sede e foro no país, que inclua, em sua missão institucional, ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Terminologia – Artigo 5º da LGPD LGPD – Objetivos específicos Respeito à privacidade: todo titular de dados pessoais tem o direito de ser respeitado em sua privacidade; tem o direito de compartilhar dados, apenas, com as pessoas que ele escolher e para atender os objetivos específicos. Autodeterminação informativa: é a capacidade de uma pessoa decidir, de forma livre e autônoma, o que é melhor para ela. Liberdade de expressão, informação e de opinião: esses são fundamentos previstos na Constituição Federal. Inviolabilidade da intimidade, da honra e da imagem: esses são direitos protegidos pela Constituição Federal e pelo Código Civil. O desenvolvimento econômico e tecnológico e a inovação: a necessidade de proteção de dados pessoais não pode impedir que o Brasil tenha um desenvolvimento econômico, tecnológico e de inovação. A livre iniciativa, a livre concorrência e a defesa do consumidor: são princípios constitucionais que, igualmente, deverão ser respeitados pela LGPD. Direitos humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Quando a manifestação é livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais, para uma finalidade determinada na LGPD, estamos falando da(o): a) Permissão. b) Consentimento. c) Concessão de acesso. d) Privilégio. e) Bloqueio judicial. Interatividade Quando a manifestação é livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais, para uma finalidade determinada na LGPD, estamos falando da(o): a) Permissão. b) Consentimento. c) Concessão de acesso. d) Privilégio. e) Bloqueio judicial. Resposta Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados pessoais, para proteger os seus titulares e garantir a segurança de todos, ou seja, tanto das atividades econômicas desenvolvidas como da sociedade. LGPD – Artigo 6º – Princípios PrincípiosBoa-fé Finalidade Adequação Necessidade Livre acesso Qualidade dos dados Transparência Segurança Prevenção Não discriminação Responsabi -lidade Fonte: autoria própria. LGPD – Artigo 6º – Tratamento dos dados A LGPD regulamenta dois importantes aspectos que precisamos conhecer: os requisitos para o tratamento de dados pessoais e a possibilidade de compartilhamento de dados: Mediante o fornecimento de consentimento pelo titular dos dados; Para o cumprimento de obrigação legal ou regulatória pelo controlador; Pela administração pública, para o tratamento e o uso compartilhado de dados necessários à execução de políticas públicas, previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres; Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; LGPD – Artigo 6º – Tratamento dos dados Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato do qual seja parte o titular dos dados pessoais, a pedido deste; Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem; Para a proteção da vida ou da incolumidade física, do titular ou de terceiros; Para a tutela da saúde, exclusivamente, em procedimentos realizados por profissionais de saúde, serviços de saúde ou de autoridade sanitária; LGPD – Artigo 6º – Tratamento dos dados Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem os direitos e as liberdades fundamentais do titular que exijam a proteção dos dados pessoais; Para a proteção do crédito, em consonância com a legislação existente sobre o assunto. A utilização de dados pessoais, fora dessas hipóteses, estará em confronto com a legislação e poderá gerar a aplicação de sanções, e, se provada a ocorrência de danos, a obrigação de indenizar por parte do responsável. As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, adequada e ostensivasobre: Finalidade específica do tratamento – Objetivo que motivou o tratamento dos dados; Forma e duração do tratamento, observados os segredos comercial e industrial – De que maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento poderá preservar os segredos comercial e industrial de sua atividade; porém, precisará informar que instrumentos irá utilizar para o tratamento de dados; Identificação do controlador – Responsável pelas decisões; LGPD – Artigo 6º – Tratamento dos dados Informações de contato do controlador – Que forma de contato o titular de dados pessoais poderá ter com o controlador (acesso por telefone gratuito como o 0800, por endereço eletrônico, por aplicativo de mensagens, ou, outros meios, devidamente, informados para o titular de dados pessoais); Informações acerca do uso compartilhado de dados pelo controlador e a finalidade – É preciso informar se haverá o compartilhamento de dados, com quem e com qual finalidade; Responsabilidades dos agentes que realizarão o tratamento – Quem serão os responsáveis pelo tratamento dos dados pessoais; LGPD – Artigo 6º – Tratamento dos dados Direitos do titular – a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador da empresa, que trata dos seus dados pessoais, terá o direito a receber informações sobre o conjunto de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa – controlador e operador – bem como todos aqueles que atuam na equipe, estejam aptos a fornecer as informações corretas e esclarecer sobre os direitos do titular de dados pessoais. LGPD – Artigo 6º – Tratamento dos dados O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais: Confirmação da existência de tratamento de dados pessoais; Acesso aos dados pessoais que estão sendo tratados; Correção de dados incompletos, inexatos ou desatualizados; Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD; Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante à requisição expressa, de acordo com a regulamentação que será criada pela autoridade nacional; LGPD – Artigo 18º – Direitos dos titulares Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados; Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; Revogação do consentimento. LGPD – Artigo 18º – Direitos dos titulares Aceitar as reclamações e as comunicações dos titulares, prestar os esclarecimentos e adotar as providências. Receber as comunicações da autoridade nacional e adotar as providências. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares que venham a ser criadas, principalmente, pela Autoridade Nacional de Proteção de Dados. LGPD – Atividades do encarregado de dados Receber as comunicações da autoridade nacional e adotar as providências na LGPD são responsabilidades do(a): a) Ouvidoria. b) Auditoria. c) Encarregado de dados. d) Titular dos dados. e) Controladoria. Interatividade Receber as comunicações da autoridade nacional e adotar as providências na LGPD são responsabilidades do(a): a) Ouvidoria. b) Auditoria. c) Encarregado de dados. d) Titular dos dados. e) Controladoria. Resposta Os controles internos são ferramentas que visam a minimizar os problemas que podem causar um impacto nas operações e no cotidiano das organizações. Os controles internos podem ou não utilizar os recursos computacionais, podem ser preventivos quando visam a evitar os erros, as falhas e promover as boas práticas, detectivos quando identifica ou corrige os problemas, e corretivos quando visa a sanar o problema ocorrido. Conformidade de Segurança da Informação Fonte: autoria própria. Cliente é aquele que solicita ou contrata a auditoria; a sua função é a de determinar o propósito da auditoria; informar aos funcionários envolvidos os objetivos e o escopo do trabalho de auditoria; apresentar os principais responsáveis para participar da auditoria como auditado; fornecer os recursos adequados, e os acessos às instalações e aos materiais relevantes; e receber o relatório de auditoria e fazer uma análise crítica. Auditado é aquele que é avaliado na auditoria; a sua responsabilidade é a de cooperar apresentando as informações e os documentos solicitados pelo auditor; participar de reuniões e entrevistas, sempre que solicitado; acompanhar os trabalhos de auditoria e coordena e/ou implementa as recomendações apresentadas pela auditoria. Auditor é aquele que coordena e/ou realiza os trabalhos de auditoria; é responsável pelo trabalho de auditoria; organizar e propor o plano de auditoria; cumprir e comunicar os requisitos de auditoria, filosofia e ética; documentar as observações; coletar e evidenciar as informações; apresentar o relatório de auditoria e fazer o acompanhamento das ações corretivas (quando aplicável). Personagens envolvidos no processo da auditoria Pareceres de auditoria Sem ressalva Com ressalva Parecer adverso Parecer com abstenção Fonte: autoria própria. Segundo o modelo Arima (2000), a auditoria de sistemas é a adequação, a avaliação e as recomendações para o aprimoramento dos controles internos nos Sistemas de Informação da empresa, na utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. Os trabalhos de auditoria devem ser desenvolvidos nos sistemas em operação normal, nos sistemas em desenvolvimento, administrativo e operacional, do ambiente e dos eventos específicos. Auditoria de sistemas Processo x Resultado Natureza do processo / resultado Tipo Exemplo Rotina Operacional Processo Rotina de atualização do cadastro de itens em estoque. Rotina de cálculo do saldo em estoque. Informação operacional Resultado Informações do cadastro de estoque atualizado. Informação do saldo em estoque. Rotina de controle Processo Rotina de gravação ou impressão de tentativa de inclusão de item já existente no cadastro de estoque Rotina de verificação quanto ao fato de o saldo do item em estoque ser negativo. Informação de controle Resultado Item a ser incluído, já existente no cadastro de estoque e listado no relatório de erros de atualização. Item em estoque com saldo negativo e impresso em relatório de erros. Rotina de projeto Processo Etapas de desenvolvimento ou manutenção de sistemas Processos e procedimentos administrativos Informação de projeto Resultado MER, estrutura dos projetos lógico e físico do sistema, banco de dados. Documentos, relatórios. Fonte: Adaptado de: Gil (2000, p. 43). Ciclo de vida dos pontos de controle e auditoria Fonte: autoria própria. CARACTERIZAÇÃO E INVENTÁRIO DOS PONTOS DE CONTROLE AVALIAÇÃO DOS PONTOS DE CONTROLE SELECIONADOS IMPLEMENTAÇÃO DA SOLUÇÃO RECOMENDADA CARACTERIZAÇÃO DO PONTO DE AUDITORIA APRESENTOU FRAQUEZA? FIM NÃO SIM Ciclo de auditoria de sistemas Fonte: Arima (2000, p. 43). AUDITORIA DE POSIÇÃO AUDITORIA DE ACOMPANHAMENTO AVALIAÇÃO DOS PONTOS DE CONTROLE PONTOS DE CONTROLE CARACTERIZA- DOS PONTOS DE CONTROLE NÃO SELECIONADOS PONTOS DE CONTROLE TESTADOS NÃO APRESENTAM FRAQUEZAS APRESENTAM FRAQUEZAS AVALIAÇÃO DOS PONTOS DE AUDITORIA PONTOS DE AUDITORIA Ciclo do projeto de auditoria Fonte: Arima (2000, p. 34). Técnicas de auditoria Fonte: Arima (2000, p. 34). Exemplo de técnica manual de avaliação dos processosFonte: Arima (2000, p. 38). Inexistência de metodologia de desenvolvimento de sistemas Analistas de sistemas encaram o usuário como um mal necessário Servidores são máquinas ultrapassadas Infraestrutura da empresa é deficiente Prazos de desenvolvimento de sistemas não são estimados de forma coerente Ferramentas de desenvolvimento de sistemas são ultrapassadas Os sistemas não atendem às necessidades dos usuários Trabalho de auditoria onde a principal “matéria-prima” são as informações contidas em registros magnéticos. O auditor promove os testes acessando, diretamente, o banco de dados dos sistemas auditados; isso permite que seja avaliada uma quantidade maior de registros (espaço amostral de 100%) e oferece maior precisão sobre os resultados. Auditoria de dados Fonte: autoria própria. Avaliando através dos pontos de controle Fonte: autoria própria. Processo para a proteção dos registros Fonte: autoria própria. Emitir as diretrizes gerais para a retenção, o armazenamento, o tratamento, e a disposição de registros e informações. Elaborar uma programação para a retenção, identificando os registros essenciais e o período recomendado para que cada um seja mantido. Manter um inventário das fontes de informações- chave. Diretrizes para a implantação da proteção de dados pessoais Fonte: Adaptado de: Brasil (2013b, p. 94). Controle Descrição Política de Dados Convém que uma política de dados da organização para proteção e privacidade da informação de identificação pessoal seja desenvolvida e implementada. Esta política deve ser comunicada a todas as pessoas envolvidas no processamento de informação de identificação pessoal. Conformidade da Política de Dados A conformidade com está política e todas as regulamentações e legislação relevantes, relativas à proteção da privacidade das pessoas e da proteção da informação de identificação pessoal, requer um controle e uma estrutura de gerenciamento apropriada. Definição de um Privacy Officer ou segundo a LGPD um DPO – Data Protection Officer A função de fornecer orientações aos gestores, usuários e provedores de serviços sobre as suas responsabilidades individuais e procedimentos específicos que devem ser seguidos, em seu trabalho, ele auxilia a empresa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações que estão sob a sua tutela. Manuseio das Informações Convém que a responsabilidade pelo manuseio da informação de identificação pessoal e a garantia da conscientização sobre os princípios da privacidade, sejam tratadas de acordo com as regulamentações e legislações pertinentes. Convém que técnicas apropriadas e medidas da organização para proteger a informação de identificação pessoal sejam implementadas. esta Processo para o tratamento de não conformidades Fonte: autoria própria. Identifique quais as causas da não conformidade Avalie a necessidade de ações para atender a conformidade Implemente uma ação corretiva apropriada Registre o resultado para as aferições futuras Subdivisão do processo/instalação em módulos de análise Um parecer de auditoria pode ser: a) Sem apontamento, com apontamento, adverso ou com abstenção. b) Adverso, com abstenção, com ressalva ou com apontamento. c) Com ressalva ou sem ressalva. d) Com ressalva, sem ressalva, adverso ou com abstenção. e) Sem apontamento ou com apontamento. Interatividade Um parecer de auditoria pode ser: a) Sem apontamento, com apontamento, adverso ou com abstenção. b) Adverso, com abstenção, com ressalva ou com apontamento. c) Com ressalva ou sem ressalva. d) Com ressalva, sem ressalva, adverso ou com abstenção. e) Sem apontamento ou com apontamento. Resposta ATÉ A PRÓXIMA!
Compartilhar