Livro-Texto Unidade III (2)

Prévia do material em texto

118
Unidade III
Unidade III
5 LEIS E REGULAMENTAÇÕES DE SEGURANÇA DA INFORMAÇÃO
5.1 Direto
O direito é uma ciência social formada por um conjunto de normas que visam regular as relações 
da vida em sociedade. No decorrer dos tempos, o direito adaptou-se a várias realidades da humanidade, 
impulsionado pelas mais diversas mudanças em nosso mundo. Atualmente, com os avanços da tecnologia 
e o advento da internet, mais uma vez o direito busca adaptar-se a mais essa grande mudança.
As pessoas estão migrando parte de sua vida para mundo virtual, relacionando-se com outras pessoas, 
físicas ou jurídicas, nesse ambiente, seja usando e-mails, celulares, smartphones, tablets, netbooks, 
chats, buscadores de informação, sites de notícia, redes sociais, sms, messenger, voip e computação em 
nuvem, entre outras ferramentas que até pouco tempo atrás não faziam parte de nossa rotina diária de 
trabalho e de lazer.
Nesse cenário de mudanças encontramos novos desafios, pois as novas formas de relacionamento 
afetam o comportamento humano e consequentemente todos os aspectos que envolvem o 
desenvolvimento de uma sociedade. Intencionalmente ou não, pessoas podem prejudicar outrem. As 
novas tecnologias da informação vieram para agregar pessoas e empresas, mas muitos acabam utilizando 
essa tecnologia de forma prejudicial, causando prejuízos em usuários domésticos ou em empresas.
A inclusão digital cresceu muito, porém a educação digital não acompanhou esse crescimento, 
propiciando um ambiente virtual perigoso para quem não visualiza os possíveis riscos contidos nesse 
ambiente. A falta de conhecimento e de treinamento dessas novas ferramentas podem levar as pessoas 
ou empresas a cometerem crimes sem a menor ciência de que sua ação seja um crime ou ato ilícito.
O direito, por meio de suas diversas legislações vigentes, vem regular as relações no mundo virtual, 
porém tornam-se necessárias a adequação e atualização das leis para o pleno atendimento das demandas 
ocasionadas pelo uso indevido das novas tecnologias. As pessoas e as empresas devem ter consciência 
de que tudo que fazem no mundo virtual gera um efeito jurídico com potencialidade maior do que algo 
que ocorra no mundo físico.
Atualmente a tecnologia também se tornou sinônimo de velocidade e de precisão das práticas 
empresariais, sendo fundamental para os negócios de muitas empresas, para a exposição e comercialização 
de seus produtos e serviços, mas também passou a representar um grande emaranhado de problemas 
sociais e jurídicos.
119
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
O comportamento inadequado no mundo virtual, além de contrariar o senso ético, pode expor dados 
pessoas ou estratégicos de empresas, causando prejuízos inestimáveis, por isso a conscientização do uso 
ético e legal das novas tecnologias é fundamental.
 Observação
As estruturas do direito brasileiro são fundamentadas no direito romano 
e altamente influenciadas até os dias de hoje pelo direito europeu, fruto da 
colonização portuguesa.
5.2 A sociedade digital
Na nova realidade todos vivem em uma sociedade digital, que a cada dia se renova. A sociedade 
está migrando para o mundo virtual, criando uma nova geração, com novos valores. Trata-se de uma 
nova sociedade, acostumada ao imediatismo, um bom exemplo é quando reclamamos da demora de 
entrega do correio eletrônico ao precisarmos esperar mais de três segundos para o envio de um e-mail.
Na sociedade da informação, todos estão conectados, não existem apenas os amigos do bairro, 
mas os amigos de qualquer parte do mundo. O mesmo se estende às empresas que passaram a atender 
clientes espalhados pelo mundo. Assim também os clientes podem procurar seus produtos e serviços 
preferenciais em empresas domiciliadas em outro continente.
Tudo isso demonstra que existe a interação humana e que é necessária a utilização das novas 
tecnologias. A sociedade passa por um grande processo de mudança pela qual as novas tecnologias são 
as principais responsáveis. A quebra de paradigmas é evidente, a nova sociedade tem como base um bem 
precioso: a informação.
A internet trouxe ao mundo muitas transformações, possibilitando a uma pessoa comum ou a 
uma grande empresa criar e compartilhar informações com o mundo todo em questão de segundos, 
independentemente da sua localização geográfica. As pessoas estão migrando suas vidas para o mundo 
virtual, a internet se tornou uma ferramenta fundamental na vida das pessoas, que passaram a comprar 
os mais variados produtos e serviços sem sair de casa. Comprar comida e até realizar transações bancárias 
sem ser ter que ir a uma agência bancária tornou-se uma tarefa comum para muitas pessoas. Ainda 
pode-se perceber a facilidade de comunicação e interação entre as pessoas, empresas, fornecedores e 
clientes com o uso da internet.
A internet criou uma nova forma de socialização, principalmente nos dias atuais, com o uso das redes 
sociais, o que para alguns estudiosos não é bom, pois afasta as pessoas do contato presencial e inibe seu 
lado humano, mas cabe salientar que, para outros estudiosos, o uso com discernimento da internet pode 
agregar e muito nas relações humanas, isso, porém, é algo a ser apreciado em outro estudo.
Escolas, hospitais, governos, forças armadas, igrejas e diversas outras instituições foram beneficiadas 
com a internet e também estão migrando/transformando seus ambientes físicos para o virtual.
120
Unidade III
O grande e rápido avanço tecnológico nos fez muito dependentes da tecnologia. No mundo atual é 
difícil imaginar como seriam as relações interpessoais e comerciais sem as ferramentas tecnológicas. As 
novas tecnologias de informação trouxeram várias vantagens, mas também trouxeram grandes conflitos, 
que antes no mundo físico não eram percebidos, principalmente devido à potencialidade proporcionada 
por esse ambiente sobre um fato ocorrido.
A migração da sociedade para o mundo virtual faz com que as pessoas mantenham suas relações 
pessoais e profissionais, antes estabelecidas no ambiente físico, agora no mundo virtual. Assim como 
ocorre no mundo físico, essas relações precisam ser reguladas para que não haja conflitos de direitos, 
deveres e obrigações das pessoas e instituições. O direito vem ao encontro dessas mudanças e se adapta 
para atender as novas demandas geradas por esse ambiente.
5.3 Direito digital
O direito digital é a evolução do próprio direito em novo ambiente e abrangendo os institutos e 
princípios fundamentais de áreas do direito. As novas tecnologias da informação, principalmente a 
internet, facilitam a geração, o compartilhamento e armazenamento das informações e isso precisa ser 
regulamentado, pois, por trás desse processo, existem pessoas se relacionando entre si ou com empresas 
por meio de produtos e de serviços.
Atualmente o Brasil não possui uma legislação especifica para regular as relações no mundo virtual, 
porém 95% dos casos levados ao ministério são solucionados com base na legislação vigente. Ainda 
existem algumas situações que a norma vigente não atende, mas isso já é objeto de apreciação em 
projetos de leis em andamento no Congresso Nacional.
Boa parte dos magistrados entende que a internet é apenas uma nova ferramenta que pode 
contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que 
podemos chamar de evidência ou até mesmo de prova e consequentemente gera um efeito jurídico. 
Elencamos a seguir alguns exemplos:
• O fechamento de um contrato por meio de um simples “Ok” em uma mensagem de e-mail gera 
compromissos para as partes.
• Uma ofensa deferida a uma pessoa ou empresa por meio de uma mensagem de e-mail ou post 
numa rede social gera uma obrigação de reparação ao autor da ofensa.
Em ambos os casos citados, o direito é que vai buscar a satisfação das partes conforme seus direitos 
ou deveres pleiteados, similar ao que ocorre no mundo real. Cabe salientar que as novas tecnologias 
potencializaram ocorrência de determinadas situações ou ações, tanto no número devezes que ela pode 
ocorrer quanto no resultado de qualquer ato praticado.
Muitas pessoas dizem que a internet é uma “terra sem lei”, porém isso não é uma verdade. A internet 
hoje é regulamentada da seguinte forma:
121
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Mundial:
— Organização das Nações Unidas (ONU).
— Internet Corporation for Assigned Names and Numbers (Icann): uma instituição sem fins 
lucrativos, formada para assumir responsabilidades e estabelecer normas acerca de aspectos 
técnicos da internet, como endereços de IP.
— United Nations Commission on International Trade Law/Comissão das Nações Unidas para o 
Direito Comercial Internacional (Uncitral).
• Brasil:
— Comitê Gestor da Internet (CGI): criado por meio do Decreto n. 4.829, de 3 de setembro de 2003.
Além de cumprir os acordos internacionais, o Brasil, mesmo sem ter uma lei específica sobre a 
internet, aplica para regulamentação de conflitos e delitos no mundo digital suas próprias leis internas, 
entre elas: Constituição Federal, Código Penal, Código Civil, Lei de Direitos Autorais e Propriedade 
Intelectual, além de outras, quando possíveis.
Atualmente existem projetos de lei sobre o assunto que visam preencher algumas lacunas existentes 
nas leis vigentes a fim de regulamentar a matéria.
A ética e a educação digital no mundo virtual são uma extensão das nossas atitudes da vida “real”, 
sendo assim também estão sujeitas às sanções legais.
A internet proporciona a praticidade de disseminar ou colher informações, o acesso a muitas 
informações, disponíveis para usuários domésticos, pessoas comuns ou empresas. Quando envolvemos 
o fator humano é necessário observar que no ambiente físico ou digital as pessoas são diferentes umas 
das outras, não apenas no aspecto físico, mas também no aspecto cultural; assim, o que é importante 
para uma pessoa pode não ser para outra. Ademais pessoas influenciadas pelas mais variadas razões 
podem se aproveitar desse “mundo de informações” e utilizar essas informações para cometer atos que 
vão contra a moral e os bons costumes e muitas vezes contra a legislação, ferindo direitos alheios. Cabe 
ressaltar que as diferenças culturais são importantes para o crescimento da sociedade, mas, quando 
são exploradas por pessoas mal-intencionadas, podem acarretar grandes perdas ou prejuízos, seja para 
pessoas, seja para empresas.
Os usuários, muitas vezes sem saber, acabam ferindo direitos alheios e cometendo delitos, pois, como 
já o afirmamos, para muitos desavisados, a internet é uma “terra sem lei”. As pessoas pensam que na 
internet estão no anonimato e que o que fizerem no mundo digital não será descoberto por ninguém, 
o que não é verdade.
122
Unidade III
Fazer um simples download de um conteúdo (vídeo, imagem, texto, áudio) sem a devida autorização, 
enviar mensagem com vírus de computador ou ofendendo alguém, inserir mensagens estimulando 
atitudes ruins em uma rede social, entre outras ações, podem constituir um crime.
Assim, notamos que a rede também pode ser usada na facilitação de atos ilícitos. Nesse consenso, 
o usuário da internet deve ter um mínimo de ética e tentar, sempre que possível, colaborar para seu 
desenvolvimento. O usuário pode colaborar tanto publicando informações úteis quanto melhorando 
informações já existentes.
A maioria dos crimes eletrônicos cometidos por meio da internet ocorre por falha humana. Mesmo 
com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um 
computador. O usuário pode ser enganado ao receber uma mensagem de e-mail contendo vírus 
de computador. Mesmo desconhecendo o assunto e o remetente, o usuário clica no link da mensagem 
com o intuito de visualizar o conteúdo, mas acaba instalando um vírus em seu computador, que, sem 
que ele saiba, coletará informações como senhas bancárias, números de cartão de crédito, CPF ou RG, 
entre outras informações confidenciais, e as enviará para uma outra máquina localizada em outra parte 
do mundo. De posse dessas informações, o golpista realizará fraudes na internet se fazendo passar 
pela vítima.
Vejamos a seguir um modelo do fluxo de um golpe. Cabe salientar que o fluxo dos golpes pode ter 
outras variações.
Figura 43 – O fluxo de um golpe na internet
Nesse novo cenário cada vez mais virtual, torna-se necessária a educação digital, para que os 
usuários desse ambiente reconheçam seus riscos inerentes e possam se proteger e agir de forma a não 
prejudicar outras pessoas ou empresas, sendo um bom cidadão digital.
123
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Lembrete
O direito digital é uma evolução do direito que deve acompanhar a 
própria evolução da sociedade e seu uso massificado de tecnologia 
que leva a novos formatos de infrações sociais e, dessa forma, a novos 
formatos de julgamento.
A responsabilidade civil definida pela legislação vigente, especificamente o Código Civil, regula 
a responsabilidade das pessoas físicas e jurídicas. Podemos entender que a responsabilidade civil é a 
obrigação imposta à determinada pessoa de direitos a reparar os danos causados a outrem por fato 
causado pela própria pessoa ou por terceiros a ela vinculados. Cabe lembrarmos que a lei determina 
que um ato ilícito ocorre quando o comportamento da pessoa se desvia do padrão de comportamento 
imposto pelo ordenamento.
O Código Civil descreve que havendo ou não culpa da pessoa que prejudica ou caso dano a outrem, 
esta terá que ressarcir a parte prejudicada pelo dano causado e na medida do dano causado.
A lei vigente requer atenção, porque tudo o que é realizado no mundo digital gera um efeito jurídico 
e deixa rastro que pode em muitos casos identificar o autor do dano causado.
Um fator importante a ser lembrado é que a nossa lei vigente descreve que nenhuma pessoa pode 
alegar desconhecimento da lei.
De acordo com o artigo 21 do Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal): 
“O desconhecimento da lei é inescusável, [...]” (Brasil, 1940).
As pessoas físicas têm sua responsabilidade determinada pelos dispositivos do artigo 186 da Lei 
n. 10.406, de 10 de janeiro de 2002 (Código Civil), segundo o qual “aquele que, por ação ou omissão 
voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente 
moral, comete ato ilícito” (Brasil, 2002b).
Deve ser considerado que:
• ação ou omissão = ter praticado ou deixado como estava;
• negligência ou imprudência = não ter tomado os devidos cuidados.
As pessoas jurídicas também têm sua parcela de responsabilidade civil, respondendo também pelo 
seu empregado quando do uso dos seus recursos, essa responsabilidade é prevista nos dispositivos do 
artigo 187 do Código Civil, que institui que “também comete ato ilícito o titular de um direito que, ao 
exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou 
pelos bons costumes” (Brasil, 2002b).
124
Unidade III
O Código Civil, em seu artigo 927, descreve que, aquele que, por ato ilícito, causar dano a outrem, 
fica obrigado a repará-lo:
Haverá obrigação de reparar o dano, independente de culpa, nos casos 
especificados em lei, ou quando a atividade normalmente desenvolvida, pelo 
autor do dano implicar, por sua natureza, risco para os direitos de outrem.
Já o artigo 1016 prevê que: “Os administradores respondem solidariamente perante a sociedade e os 
terceiros prejudicados, por culpa no desempenho de suas funções” (Brasil, 2002b).
Para entendermos o crime digital, é necessário entender o que é um crime comum. Podemos dizer 
que crime comum, sem o computador, é uma conduta típica, antijurídica e praticada por um ser humano, 
e a legislação é clara ao determinar que ninguém pode ser penalizado se a conduta prática não estiver 
prevista em lei, conforme determina os dispositivos legais descritos a seguir:
• Artigo 1º Código Penal: não há crime sem lei anterior que o defina. Não há pena sem prévia 
cominação legal.
• Art. 5º XXXIX Constituição Federal: não há crime sem leianterior que o defina, nem pena sem 
prévia cominação legal.
Entendendo o crime comum, pode ser analisado o que é o crime eletrônico. Trata-se na verdade 
do mesmo crime, mas que tem como ferramenta para sua consumação ou tentativa o “computador”. 
Quando usamos esse termo, precisamos lembrar que no mundo atual computador é entendido como 
qualquer equipamento que possa armazenar e processar dados ou informações seja de pequeno, seja de 
grande porte. A maioria dos celulares hoje tem essa funcionalidade.
Assim, podemos perceber o quão complexo se torna o crime eletrônico, pois, além da questão 
técnica, também há a dificuldade de sua comprovação. Com o advento das novas tecnologias, alguns 
paradigmas mudaram, antes percebíamos a perda física do bem, como o roubo de um cofre, ou víamos 
o bandido com uma arma na mão realizar um assalto, ou ouvíamos uma pessoa ofendendo outra, mas 
no mundo virtual essas percepções não são claras para todos e muitas vezes uma pessoa pode cometer 
um crime ou ser vítima de um e nem se dar conta do que está acontecendo.
Como visto anteriormente, no Brasil não há uma lei específica sobre crime digital, porém a maioria 
dos casos levados ao Ministério Público são solucionados com base em nossa legislação vigente.
Veja a seguir uma tabela com os possíveis crimes que podem ser cometidos pela internet ou no uso 
das novas tecnologias e suas devidas implicações jurídicos.
125
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Quadro 25 – Infrações mais comuns na internet
Conduta Crime Artigo / Legislação Pena
Falar em um chat que alguém cometeu algum crime Calúnia 138 CP Detenção de seis meses a dois anos e multa
Dar forward para várias pessoas sobre um boato Difamação 139 CP Detenção de três meses a um ano e multa
Enviar um e-mail para uma pessoa ofendendo sua 
dignidade Injúria 140 CP
Detenção de um a seis 
meses ou multa
Enviar um e-mail para uma pessoa dizendo que vai lhe 
causar algum mal Ameaça 147 CP
Detenção de um a seis 
meses ou multa
Enviar um e-mail para terceiros com informação 
considerada confidencial Divulgação de segredo 153 CP
Detenção de um a seis 
meses ou multa
Enviar um vírus de computador que destrua 
equipamentos ou conteúdos Dano 163 CP
Detenção de um a seis 
meses ou multa
Enviar um vírus de computador que captura dados 
armazenados em equipamentos Furto 155 CP
Reclusão de um ano a 
quatro anos e multa
Enviar um vírus de computador que captura dados e 
usar esses dados para cometer fraudes Falsa Identidade 307 CP
Detenção de três meses a 
um ano ou multa
Copiar conteúdo e não mencionar a fonte Violação ao direito autoral 184 CP
Detenção de três meses a 
um ano e multa
Criar comunidade online que fale sobre pessoas e 
religiões
Escárnio por motivo de 
religião 208 CP
Detenção de um mês a um 
ano ou multa
Acessar sites pornográficos Favorecimento da prostituição 228 CP
Reclusão de dois a cinco 
anos
Postar em rede social descritivo que ensina como 
burlar procedimentos – por exemplo, fazer “um gato”
Apologia de crime ou 
criminoso 287 CP
Detenção de três a seis 
meses ou multa
Enviar e-mail com remetente falso (caso comum de 
spam) Falsa identidade 307 CP
Detenção de três meses a 
um ano, ou multa
Inserir dados falsos em sistema da administração pública Adulterar dados em sistema 313-A CP
Reclusão de dois a doze 
anos e multa
Mudar ou alterar dados em sistema da administração 
pública
Adulterar dados em 
sistema de informações 313-B CP
Detenção de três meses a 
dois anos e multa
Receber spam e devolver com vírus ou com mais spam Exercício arbitrário das próprias razões 345 CP
Detenção de quinze dias a 
um mês ou multa
Participar de cassino on-line Jogo de azar 50 do Decreto Lei n. 3.688/41
Prisão simples, de três 
meses a um ano e multa
Falar mal de alguém em um chat por sua cor
Preconceito ou 
discriminação por 
raça/cor/etnia
20 da Lei n. 
7.716/89
Reclusão de um a três anos 
e multa
Divulgar, armazenar, comercializar ou enviar fotos ou 
vídeos de crianças nuas pela internet Pornografia Infantil
241-A da Lei 
n. 8.069/90
Reclusão de três a seis anos 
e multa
Usar logomarca de terceiros na internet sem 
autorização do detentor da logomarca
Crime contra a 
propriedade industrial
195 da Lei n. 
9.279/96
Detenção de três meses a 
um ano ou multa
Usar nome do concorrente como palavra-chave em 
site visando afastar clientela
Crime de concorrência 
desleal
95 da Lei n. 
9.279/96
Detenção de três meses a 
um ano ou multa
Usar cópia de software sem ter a licença de uso Crimes contra software, “pirataria”
12 da Lei n. 
9.609/98
Detenção de seis meses a 
dois anos ou multa
Fonte: Pinheiro, 2009.
126
Unidade III
A Lei n. 12.965, de 23 de abril de 2014, trata dos princípios, garantias, direitos e deveres para o uso 
da internet no Brasil e determina as diretrizes para a atuação da União, dos estados, do Distrito Federal 
e dos municípios em relação à matéria. A lei determina os parâmetros que serão aplicados no Brasil ao 
uso dessa rede de computadores de alcance mundial que convencionamos chamar de internet.
Como estamos diante de temas novos que utilizam terminologia própria, a Lei n. 12.965/2014 utiliza 
um pequeno glossário para que todos compreendam da mesma forma os termos por ela utilizados. 
Assim, o artigo 5º especifica que:
Art. 5º – Para os efeitos desta Lei, considera-se:
I – internet: o sistema constituído do conjunto de protocolos lógicos, 
estruturado em escala mundial para uso público e irrestrito, com a 
finalidade de possibilitar a comunicação de dados entre terminais por meio 
de diferentes redes;
II – terminal: o computador ou qualquer dispositivo que se conecte à internet;
III – endereço de protocolo de internet (endereço IP): o código atribuído a 
um terminal de uma rede para permitir sua identificação, definido segundo 
parâmetros internacionais;
IV – administrador de sistema autônomo: a pessoa física ou jurídica que 
administra blocos de endereço IP específicos e o respectivo sistema autônomo 
de roteamento, devidamente cadastrada no ente nacional responsável pelo 
registro e distribuição de endereços IP geograficamente referentes ao País;
V – conexão à internet: a habilitação de um terminal para envio e recebimento 
de pacotes de dados pela internet, mediante a atribuição ou autenticação de 
um endereço IP;
VI – registro de conexão: o conjunto de informações referentes à data e hora 
de início e término de uma conexão à internet, sua duração e o endereço IP 
utilizado pelo terminal para o envio e recebimento de pacotes de dados;
VII – aplicações de internet: o conjunto de funcionalidades que podem ser 
acessadas por meio de um terminal conectado à internet; e
VIII – registros de acesso a aplicações de internet: o conjunto de informações 
referentes à data e hora de uso de uma determinada aplicação de internet a 
partir de um determinado endereço IP (Brasil, 2014).
A lei determina que o uso da internet no Brasil terá como fundamento a liberdade de expressão que, 
como vimos, é um direito fundamental garantido pela lei mais importante do país, a Constituição Federal.
127
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Além da liberdade de expressão também são fundamentos da utilização da internet no Brasil, 
conforme artigo 2º:
• o reconhecimento da escala mundial da rede;
• os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania por meios digitais;
• a pluralidade e a diversidade;
• a abertura e a colaboração;
• a livre iniciativa, a livre concorrência e a defesa do consumidor;
• a finalidade social da rede.
5.4 Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709 de 2018
A Lei n. 13.907, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais é 
conhecida pela sigla LGPD. Ela está dividida em dez capítulos e contém princípios e definições para a 
correta compreensão de seus objetivos e finalidades. A LGPD deveria entrar em vigor em agosto de 2020 
(foi adiada em decorrência da pandemia) e esse período de tempo, conhecidocomo vacacio legis, ou, 
vacância da lei, foi adotado para que as empresas públicas e privadas e as pessoas naturais tivessem 
tempo de se adequar às suas exigências.
A lei foi aprovada após a entrada em vigor do Regulamento Geral de Proteção de Dados da 
União Europeia, em maio de 2018, que motivou empresas de todo o mundo que têm negócios com 
empresas europeias a se adequarem àquele regulamento, de forma que pudessem continuar realizando 
atividades comerciais.
O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades 
de uma empresa que está estabelecida em países que compõem a União Europeia (Alemanha, Áustria, 
Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, 
Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos, Polônia, Portugal, 
Reino Unido, República Checa, Romena e Suécia) e se aplica as empresas que não estão na União 
Europeia, mas oferecem produtos e serviços para lá.
A necessidade de algumas empresas adequarem suas atividades ao Regulamento de Proteção de 
Dados Pessoais da União Europeia contribuiu para que o legislativo brasileiro agilizasse o debate sobre a 
lei geral de proteção de dados brasileira, que já tinha projetos de lei em andamento havia alguns anos.
A proteção de dados pessoais é muito importante na sociedade contemporânea. Todos somos 
portadores de dados e, diariamente, fornecemos esses dados em muitas situações diferentes, como no 
supermercado, no atendimento médico, na academia, para táxis ou serviços de aplicativo, nas compras 
128
Unidade III
pela rede mundial de computadores, nas redes sociais, nas transações bancárias, nos diversos aplicativos 
que utilizamos, entre outras muitas situações.
Nossos dados pessoais são utilizados tanto para transações de alto valor como a obtenção de 
empréstimo para compra de imóveis, como para transações de pequeno valor como a compra 
de medicamentos na farmácia. Por isso, é preciso proteger os dados pessoais para que não ocorra má 
utilização, porque os transtornos são enormes quando isso acontece.
Em geral, todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores 
e usuários, por isso foi preciso criar uma legislação para estabelecer regras claras para a coleta e 
tratamento de dados, bem como as punições para as práticas que descumprirem a legislação em vigor.
No âmbito da Segurança da Informação conhecer a Lei Geral de Proteção de Dados (LGPD) é muito 
relevante, por isso, vamos nos dedicar a esse estudo.
Tratamento de dados é toda operação realizada com dados pessoais como as de coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração. Essa definição foi a adotada pela LGPD e é importante 
para compreender a aplicabilidade da lei.
Sempre que uma pessoa natural ou jurídica, pública ou privada, solicitar os dados pessoais de alguém 
– nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, feminino 
ou outros) –, deverá cumprir a LGPD. A lei se aplica, portanto, às pessoas naturais ou jurídicas, da área 
pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital.
O objetivo da lei é proteger o titular dos dados pessoais para não haver utilização de dados 
sem consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular.
Assim, se alguma pessoa natural ou jurídica de direito privado atuar com dados pessoais arquivados 
em papel, meio físico, deve, do mesmo modo, seguir a lei, que também se aplica a essas situações. 
Aqueles que atuam com uso de meio digital, mais comum em nossos dias, igualmente estão obrigados 
a cumprir a lei.
A LGPD é aplicada a todas as operações de tratamento de dados realizadas em território nacional, 
quando os dados forem coletados para a oferta ou o fornecimento de bens ou serviços ou o tratamento 
de dados de indivíduos localizados no território nacional ou nas situações em que os dados pessoais 
objeto do tratamento tenham sido coletados no território nacional.
Mesmo que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país, 
se a operação de tratamento de dados se realizar no Brasil, a LGPD será aplicada. Não importa que os 
dados sejam coletados de pessoas físicas estrangeiras, porque se elas estiverem no Brasil no momento 
da coleta dos dados, também a lei brasileira será utilizada para sua proteção.
129
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A pessoa natural cujos dados tenham sido coletados e tratados em território nacional, mesmo que 
more em outro país, deve cumprir a LGPD.
O uso de dados pessoais para realização de negócios ou para atendimento no setor público já é 
utilizado há muitos anos. Tornou-se comum o fato de as pessoas fornecerem seu endereço, número de 
telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, 
entre tantos outros para serem atendidas em suas necessidades junto aos setores público e privado.
O fornecimento de dados cresceu exponencialmente nos últimos anos porque a internet passou a ser 
utilizada para muitas atividades que antes só fazíamos presencialmente como comprar uma televisão, 
um sofá ou um livro; assinar um jornal ou revista eletrônicos; comprar passagens aéreas e reservar 
hotéis para viagens de negócios ou de férias; contratar um plano de saúde ou seguro de vida; contribuir 
com uma associação não governamental; contratar acesso a canais de entretenimento para assistir a 
filmes, séries, ouvir música; não há limite para o que pode ser feito pela internet.
Em todos esses momentos, as pessoas disponibilizam dados pessoais que são coletados e 
armazenados pelo fornecedor de produtos e serviços. Por vezes, somos nós mesmos que, em nossa 
atividade profissional, coletamos e armazenamos dados pessoais de clientes ou usuários, necessários 
para o trabalho que fazemos.
Cada vez mais, as diferentes atividades profissionais praticadas no mercado exigem a coleta 
e tratamento de dados dos clientes, por isso, a importância de que essa atividade seja realizada 
corretamente, isto é, de acordo com a lei e com as melhores técnicas de segurança da informação.
A LGPD, além de criar objetivos e princípios que serão de cumprimento obrigatório para todos que 
utilizem dados pessoais, também uniformizou as expressões que deverão ser utilizadas por todas as 
pessoas físicas, jurídicas, públicas e privadas que utilizam dados pessoais em suas atividades.
 Lembrete
A nossa Lei Geral de Proteção de Dados (LGPD) é baseada na Lei Europeia 
– General Data Protection Regulation (GDPR), isso se dá pela influência que 
o direito da Europa exerce sobre as nossas bases legais e sociais.
A terminologia está no artigo 5º da LGPD, assim organizada:
Dado pessoal
Informação relacionada à pessoa natural identificada ou identificável. Pessoa natural identificada e 
pessoa natural identificável têm o mesmo sentido: ser humano que se torna sujeito de direitos e deveres 
em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas, que se 
organiza para exercer atividades econômicas (empresas) ou sociais (associações, sindicatos, organizações 
não governamentais, clubes desportivos, entre outras).
130
Unidade III
Dado pessoal sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato 
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa 
nem sempre deseja compartilhar, mesmo que se tornem conhecidos, seja para fins empresariais, seja 
para pessoas de seu convívio social e familiar. A denominação sensível indica que sãodados que, para 
serem tratados por pessoa natural ou jurídica, pública ou privada, vão demandar muito mais cuidado 
e especificidade.
Dado anonimizado
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento.
Anonimização de dados
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais 
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado pessoal passa a 
ser tratado de forma que não se possa identificar seu titular. Em lugar de constar o nome e o endereço 
do titular a anonimização fará constar, por exemplo, gênero masculino, 44 anos, casado, motorista 
de Uber, renda na faixa de R$ 3.000,00, domicílio bairro da Zona Norte de Belo Horizonte, casa 
própria financiada no Sistema Financeiro da Habitação. Os dados pessoais estão dispostos, sem que 
seja possível, porém, individualizar o titular desses dados.
Banco de dados
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte 
eletrônico ou físico. Exemplo: os dados utilizados por hospitais, clínicas, academias, escolas, universidades, 
lojas físicas e virtuais, serviços de compartilhamento de transporte, médicos, dentistas, advogados e 
muitas outras atividades. São dados de clientes e usuários tratados em bancos de dados que precisam 
ser legalmente organizados. É importante reparar que a LGPD tem determinações para banco de dados 
que podem estar em meio físico ou eletrônico e, em ambas as situações, a lei deverá ser cumprida. 
Muitas empresas menores, como escritórios de advocacia e contabilidade ou oficinas mecânicas e de 
marcenaria, que trabalham com fichas físicas guardadas em arquivos de aço, deverão ficar atentas para 
a necessidade de se adequarem às novas regras determinadas pela LGPD, porque os arquivos físicos 
também estão regulados por ela.
Titular
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Todas as pessoas 
naturais possuem dados pessoais dos quais são titulares e que só poderão ser compartilhados mediante 
seu consentimento expresso e específico.
131
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Tratamento de dados
Trata-se de toda operação realizada com dados pessoais, como as que se referem à coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração.
Uso compartilhado de dados
Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no 
cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com 
autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes 
públicos ou entre entes privados.
Consentimento
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada. É importante que fique claro que não é qualquer 
forma de consentimento que pode ser interpretada como adequada à lei. Somente o consentimento 
prestado de forma livre, informada e inequívoca que não crie dúvida de que se trata de 
consentimento para tratamento de dados pessoais.
Bloqueio
Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou 
do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública ou privada, for 
obrigada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. A 
ordem de bloqueio virá de decisão judicial, embora também possa ser resultado de um acordo entre 
as partes para cumprir um objetivo fixado por elas. Uma financeira faz acordo com uma loja para que 
o banco de dados de clientes da loja fique bloqueado, não possa ser utilizado para nada durante um 
determinado período ou até que seja apurada uma irregularidade investigada pela loja, em decorrência 
de inconsistências no seu balanço ou no seu relatório de resultados financeiros. Por acordo da loja e 
da financeira, durante o banco de dados de clientes ficará bloqueado sem que ninguém possa utilizar 
aqueles dados.
Eliminação
Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente 
do procedimento empregado. A eliminação ocorrerá a pedido do titular com concordância com os 
agentes de tratamento ou por ordem judicial, que determine a eliminação. Poderão ser eliminados 
bancos de dados eletrônicos ou físicos.
132
Unidade III
Transferência internacional de dados
Transferência de dados pessoais para país estrangeiro ou para algum organismo internacional do 
qual o país seja membro, como a Organização das Nações Unidas (ONU); a Organização Internacional 
do Trabalho (OIT), entre outros. A necessidade de transferência de dados pessoais para país estrangeiro 
poderá ocorrer, por exemplo, em casos de acidentes naturais como enchentes, passagem de tornados, 
terremotos, pandemias, ou em acidentes como queda de aviões, atos terroristas, incêndios, explosões, 
ou mesmo em situações em que os dados sejam importantes para localizar e ou identificar as vítimas 
de danos físicos ou de óbito.
Agentes de tratamento
Trata-se do controlador e o operador:
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as 
decisões referentes ao tratamento de dados pessoais em uma empresa privada ou órgão público.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de 
dados pessoais em nome do controlador.
É importante observar que a LGPD permitiu que o controlador e o operador sejam pessoas 
jurídicas, ou seja, empresas contratadas para executarem essa atividade; e não impediu que sejam a 
mesma pessoa para exercer as tarefas ao mesmo tempo, o que poderia significar para as empresas 
menores custos na contratação de profissional.
Encarregado
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado 
poderá ser pessoa natural ou jurídica e não é preciso que seja uma pessoa com atividade específica, pode 
exercer outra atividade profissional na empresa e acumular com esta. Também poderá ser empresa 
contratada para atuar como encarregado perante a ANPD.
Autoridade Nacional de Proteção de (ANPD)
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dessa 
lei em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o 
tratamento de dados no Brasil, inclusive para aplicar as sanções previstas na LGPD. Sua composição, 
organização e funcionamento será semelhante às agências já existentes no país como a Agência Nacional 
de Saúde Suplementar (ANS), Agência Nacional de Vigilância Sanitária (Anvisa), Agência Nacional de 
Aviação (Anac), entre outras.
133
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Relatório de impacto à proteção de dados pessoais
Documentação do controlador que contém a descrição dos processos de tratamento de dados 
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, 
salvaguardas e mecanismos de mitigação de risco. Sendo o controlado o agente de tratamento de 
dados responsável pelas decisões, será dele a responsabilidade pela construção do relatório de impacto à 
proteção de dados, com objetivo de descrever os processos utilizados para tratamento de dados pessoais, 
bem como todos as medidas adotadas para prevenir a ocorrência dos riscos a que os bancos de dados 
estão sujeitos.
Órgão de pesquisa
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado 
sem fins lucrativos, legalmenteconstituída sob as leis brasileiras com sede e foro no País, que inclua 
em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de 
caráter histórico, científico, tecnológico ou estatístico.
A sigla DPO não está no glossário criado pela LGPD em seu artigo 5º, porém tem sido muito utilizada 
nas atividades empresariais privadas para designar o profissional responsável pela implementação da 
lei na empresa e, posteriormente, por toda a gestão da proteção de dados. DPO é a sigla para data 
protection officer, expressão em inglês que significa a pessoa designada na empresa privada ou pública 
para ser o responsável – diretor, gerente ou superintendentes – de toda a gestão de proteção de dados.
A LGPD estabelece como seus objetivos:
• Respeito à privacidade
Todo titular de dados pessoais tem direito de ser respeitado em sua privacidade, tem o direito de 
compartilhar dados apenas com as pessoas que escolher e para atender objetivos específicos. Exemplo: 
o entregador de pizza que leva o produto à casa de alguém não está autorizado a fornecer esse dado 
para ninguém, tampouco a pizzaria em que ele trabalha pode fornecer esse endereço para a loja de 
roupas sua vizinha, para que eles mandem uma mala direta de publicidade da loja. Ao compartilhar seu 
estado civil para um contrato de prestação de serviço bancário, ninguém autoriza que aquele dado seja 
fornecido para uma agência de viagem para que lhe ofereça pacotes de cruzeiro para solteiros. Os dados 
são fornecidos com uma finalidade e ela deve ser respeitada, sob pena de descumprimento da lei e das 
sanções que poderão ser aplicadas.
• Autodeterminação informativa
Autodeterminação é a capacidade de uma pessoa decidir de forma livre e autônoma o que é melhor 
para ela. Autodeterminação informativa é o poder para decidir sobre quais informações e para quem se 
deseja fornecê-las. A lei proíbe o compartilhamento de informações sem o consentimento do titular 
dos dados, em respeito ao princípio da autodeterminação informativa. O consentimento do 
titular de dados pessoais é essencial em qualquer atividade pública ou privada de tratamento de dados.
134
Unidade III
• Liberdade de expressão, informação e de opinião
Esses são fundamentos previstos na Constituição Federal. A LGPD, em conformidade com o disposto 
na Constituição Federal, tem expressa previsão de proteção desses direitos fundamentais.
• Inviolabilidade da intimidade, da honra e da imagem
Esses são direitos protegidos pela Constituição Federal e pelo Código Civil. Por isso, a LGPD garante 
que ninguém poderá ser invadido ou incomodado em sua intimidade, honra ou imagem pela divulgação 
de dados que não tenham sido expressamente autorizados. A nenhuma empresa, por exemplo, será 
possível divulgar dados pessoais sem que isso tenha sido autorizado.
• O desenvolvimento econômico e tecnológico e a inovação
A necessidade de proteção de dados pessoais não pode impedir que o Brasil tenha desenvolvimento 
econômico, tecnológico e de inovação. A LGPD não pode dificultar o desenvolvimento econômico 
porque contraria a Constituição Federal, que garante a proteção à livre iniciativa e à livre concorrência. 
Mas é importante salientar que o desenvolvimento econômico e tecnológico que o Brasil pretende 
ter está diretamente relacionado com a proteção de dados pessoais, porque na atualidade, em quase 
todo o mundo, existem leis de proteção de dados pessoais, em especial na União Europeia, e nenhuma 
empresa ou governo vai se relacionar com países que não tenham essa mesma preocupação – proteger 
dados pessoais –, porque seria um risco maior do que o eventual lucro que as transações econômicas 
pudessem gerar.
• A livre iniciativa, a livre concorrência e a defesa do consumidor
São princípios constitucionais que igualmente deverão ser respeitados pela LGPD. Por esses princípios 
se garante o equilíbrio entre a necessidade de desenvolvimento econômico pelas empresas privadas 
com o respeito aos consumidores, que não poderão ter seus dados pessoais utilizados de forma indevida 
nas atividades empresariais. A empresa que utilizar indevidamente dados pessoais poderá ser acusada 
de concorrência desleal e ser punida também por isso, além da punição pelo descumprimento da LGPD.
• Direitos Humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da 
cidadania pelas pessoas naturais
A LGPD adota esses objetivos para que possa estar em consonância com a Constituição Federal, 
com o Código Civil e com o Código de Defesa do Consumidor. A dignidade da pessoa humana é um 
fundamento da República Federativa do Brasil, disposto no artigo 1º da Constituição Federal e se aplica 
a todas as relações públicas ou privadas em que uma pessoa estiver envolvida. Toda atividade pública 
ou privada deve respeitar e proteger a dignidade da pessoa.
A disseminação de dados pessoais tem sido intensa na sociedade contemporânea. Dados pessoais 
são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, 
em especial para consumo, educação, serviços bancários, financeiros, de crédito, seguros, assistência 
135
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
médica, entretenimento, entre outros. Também os setores públicos coletam e utilizam dados pessoais 
como acontece com a receita federal, receita estadual e municipal, poder judiciário, polícias federal e 
estadual, serviços de expedição de documentos como cédula de identidade, carteira nacional de 
habilitação, expedição de passaportes, educação pública, unidades de atendimento do Sistema 
Único de Saúde (SUS), muitas outras situações em que os dados pessoais são indispensáveis para 
garantia do atendimento.
Se é preciso utilizar dados pessoais em tantas situações diferentes, é importante contar com uma 
estrutura legal de proteção para coleta e tratamento de dados pessoais, para proteger seus titulares 
contra uso indevido por terceiro e contra os danos materiais e imateriais consequentes.
A LGPD adotou princípios que terão de ser cumpridos pelas pessoas físicas ou jurídicas, públicas ou 
privadas, que realizarem tratamento de dados pessoais.
Os princípios estão no artigo 6° da lei e são:
• Boa-fé
Determina que as partes deverão agir sempre com honestidade e transparência na realização de 
tratamento de dados pessoais para fins públicos ou privados.
• Finalidade
A utilização dos dados pessoais terá que ser feita sempre com propósitos legais, específicos 
e informados ao titular dos dados. Coletados os dados para uma finalidade específica não poderão 
ser utilizados para outra. Assim, quando a operadora de cartão de crédito coleta seus dados para a 
formalização do contrato de prestação de serviços, não poderá fornecê-los para uma companhia de 
seguros, que os utilizará para fornecer proposta de contratação de seguro de vida ou de automóvel.
• Adequação
Os dados coletados deverão ser tratados em conformidade com a finalidade para a qual foram 
obtidos. Novamente, aqui, fica vedada a obtenção para finalidade e uso inadequados.
• Necessidade
Os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo necessário para 
que os objetivos sejam corretamente atingidos. Os dados pessoais solicitados deverão se limitar à 
quantidade mínima necessária para o cumprimento da finalidade a que eles se destinam. Por exemplo, 
é preciso saber o estado civil de alguém para contratar uma compra online parcelada? É preciso saber 
quantas pessoas moram com você para contratar os serviços de um cartão de crédito? Cada situação 
requer uma quantidade de dados pessoais e eles devem ser solicitados sempre tendo o mínimo como 
parâmetro, e não o máximo. Poderão ser coletados apenas os dados necessários para a operação pública 
ou privada que vai ser realizada, nada além disso se justifica.
136
Unidade III
• Livre acesso
Os titulares dos dados pessoais terão direito à consulta facilitada e gratuita de seus dados durante todo 
o período de sua utilização. A consulta poderáser à integralidade dos dados, ou seja, a todos os dados 
coletados pela pessoa natural ou jurídica, pública ou privada, ou pode ser parcial, por exemplo, referente 
apenas a última operação realizada com o banco ou com o cartão de crédito. A consulta de dados por 
parte dos titulares não poderá sofrer nenhum tipo de obstáculo desestimulante, por exemplo, demora no 
atendimento ou no envio da relação de dados solicitados, ou exigência de qualquer contrapartida.
• Qualidade dos dados
A lei obriga as pessoas naturais ou jurídicas, públicas ou privadas, que tratam dados pessoais, a 
garantir a exatidão, clareza, relevância e atualização dos dados, em conformidade com as necessidades 
e finalidades do tratamento. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam dados 
pessoais, devem coletá-los de forma objetiva, exata, clara, e mantê-los atualizados para que nenhum 
resultado adverso atinja o titular dos dados apenas por falta de atualização ou clareza. Se uma pessoa 
deixa de pagar no prazo uma parcela de seu financiamento da casa própria e esse dado é coletado 
pelo agente financeiro, no momento exato em que o pagamento for feito, o agente deverá atualizar o 
cadastro de dados, para que nenhum prejuízo possa decorrer de um dado desatualizado.
• Transparência
Significa que os titulares dos dados pessoais deverão ter a garantia de que as informações disponíveis 
a seu respeito sejam claras, precisas e facilmente acessíveis para qualquer verificação necessária, 
sempre respeitados os segredos industriais e comerciais utilizados pelos organizadores da coleta e do 
tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, pública ou privada, que utilizam aqueles 
dados em suas atividades. A exigência da transparência não pode ser superior ao direito das pessoas 
físicas ou jurídica em relação a suas patentes de invenção ou de modelo de utilidade, ou, ainda, ao 
direito de proteção a suas fórmulas ou direitos autorais sobre programas de computação, entre outros 
expressamente protegidos por lei. O titular de dados pessoais tem direito a saber quais os dados que 
foram coletados a seu respeito, mas não tem o direito de saber como funciona o sistema de cadastro da 
pessoa natural ou jurídica que coletou seus dados e os tem sob sua guarda. Há limites para a informação 
que será fornecida aos titulares de dados pessoais, para proteger a atividade da pessoa natural ou 
jurídica, pública ou privada, que coleta e armazena os dados.
• Segurança
O titular de dados pessoais deve ter garantia, por parte daquele que coleta e utiliza os dados em todas 
as medidas técnicas e de gestão, de proteção dos dados pessoais; de não acesso por não autorizados e 
de prevenção em casos de acessos acidentais ou ilícitos que resultem na destruição, perda, alteração, 
comunicação ou difusão de dados de maneira indevida. Esse é o ponto principal para os gestores e 
profissionais de segurança da informação. Todas as pessoas naturais e jurídicas que operam com dados 
pessoais terão que comprovar a eficiência e eficácia de seus sistemas de segurança da informação e 
comprovar ainda que a governança e compliance que adotam são suficientes para impedir ataques 
137
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
ou acesso indevido, ou, quando estes acontecerem, disporem de mecanismos para suportar os danos 
materiais e morais que afetarem o detentor dos dados pessoais. A segurança é questão fundamental 
para a LGPD e a implantação de sistemas de segurança da informação confiáveis será um intenso 
trabalho para pessoas naturais e jurídicas, públicas e privadas.
• Prevenção
Consiste na obrigatoriedade da adoção de medidas para prevenir qualquer fato ou ato que propicie 
danos aos titulares de dados pessoais. A prevenção é papel que deverá ser exercido pelos gestores de 
segurança da informação. Esse princípio da LGPD, aliado ao da transparência e segurança, demonstra 
claramente os objetivos da lei: regular o tratamento de dados por pessoas naturais e jurídica, públicas e 
privadas, não apenas para que existam regras de utilização, mas também para que a prevenção de danos 
decorrente de uso indevido de dados pessoais se torne obrigatória para todos que os utilizarem. É, sem 
dúvida, uma forma de responsabilizar quem utiliza dados pessoais em suas atividades, como também 
tornar mais seguro o compartilhamento de dados. Com isso, o Brasil avança no sentido de se tornar 
um país confiável para transações privadas e públicas que utilizem dados pessoas e se iguala a outros 
países do mundo.
• Não discriminação
A coleta de dados pessoais não pode ser realizada com finalidade discriminatória, por exemplo, para 
segregar raças, gêneros, hábitos alimentares, tipo físico, religiosidade, entre outros. O tratamento de 
dados não pode, de nenhuma forma, estimular práticas de discriminação
• Responsabilização e prestação de contas
O agente, pessoa natural ou jurídica, pública ou privada, que coleta e trata dados pessoais, 
tem de adotar todas as medidas legais e técnicas necessárias para a proteção desses dados e será 
responsabilizado, caso ocorram danos. Além disso, tem a obrigação legal de prestar contas de seus atos, 
sempre que solicitado pelo titular dos dados, como por autoridades com poderes para verificar a coleta 
e tratamento de dados pessoais.
Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados 
pessoais, para proteger seus titulares e garantir a segurança de todos, ou seja, tanto das atividades 
econômicas desenvolvidas como da sociedade.
É importante destacar que os princípios não são obstáculos para a efetividade das atividades econômicas 
e empresariais que utilizam dados pessoais. A expectativa é positiva, essas atividades continuarão sendo 
realizadas e em conformidade com a LGPD.
É por isso que a segurança da informação será cada vez mais requisitada pelas pessoas naturais 
e jurídicas, públicas e privadas que usem dados pessoais em suas atividades. A lei é rigorosa ao exigir 
segurança, transparência e, principalmente, prevenção de problemas para os titulares que tenham 
fornecido seus dados pessoais.
138
Unidade III
A LGPD regula dois importantes aspectos: os requisitos para tratamento de dados pessoais e a 
possibilidade de compartilhamento de dados. A LGPD estabeleceu que os dados pessoais só poderão 
ser tratados por uma pessoa natural ou jurídica, pública ou privada, em situações específicas:
• Mediante o fornecimento de consentimento pelo titular dos dados.
• Para o cumprimento de obrigação legal ou regulatória pelo controlador.
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à 
execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, 
convênios ou instrumentos congêneres.
• Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização 
dos dados pessoais.
• Para a execução, quando necessário, de contrato ou de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular dos dados pessoais, a pedido deste.
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último 
nos termos da Lei de Arbitragem.
• Para a proteção da vida ou da incolumidade física do titular ou de terceiros.
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, 
serviços de saúde ou de autoridade sanitária.
• Para atender, quando necessário, aos interesses legítimos do controlador ou de terceiros, exceto 
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos 
dados pessoais.
• Para a proteção do crédito, em consonância com a legislação existente sobre o assunto.
A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e poderá 
gerar a aplicação de sanções. Se provada a ocorrência de danos, o responsável é obrigado a arcar com 
sua indenização.
 Observação
A LGPD limita o usoe manipulação dos dados pessoais ao mínimo 
necessário, visando à proteção desses dados e, definitivamente, dando 
plenos poderes de limitação de uso e concessão de acesso ao dono da 
informação, aumentando assim a importância da conscientização da população 
sobre a importância e segurança de seus dados pessoais.
139
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Em muitas situações da vida empresarial é necessário compartilhar dados pessoais de clientes. 
Nesses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados 
pessoais com outros controladores deverá ter o consentimento específico do titular para essa 
finalidade, salvos os casos em que a lei, expressamente, dispensa necessidade de consentimento.
A LGPD estabelece também que o titular dos dados tem direito de saber sobre o compartilhamento 
e sua finalidade. Em quase todos os setores econômicos o compartilhamento de dados pessoais é feito 
de forma usual em muitas situações diferentes. Dados pessoais são compartilhados entre o banco e 
as operadoras de cartão de crédito para débito em conta corrente; entre os prestadores de serviços 
– médicos, hospitais, laboratórios de exames clínicos – e as operadoras de saúde; e, também entre 
empresas do mesmo grupo econômico para fins negociais, como a loja de departamentos e a agência 
de viagem do mesmo grupo. Em todas essas hipóteses o compartilhamento deverá ser autorizado 
expressamente e informado ao titular de dados pessoais.
Existe previsão legal de que o titular seja informado e dê seu consentimento para a utilização de seus 
dados pessoais para finalidades previstas na lei. Mas, quando se tratar de compartilhamento de dados 
pessoais, o consentimento deve ser informado e específico.
No preenchimento de documentos de autorização, em meio físico ou digital, a existência de dois 
campos específicos de consentimento poderá suprir o problema. Um campo para que o titular autorize o 
tratamento de dados pessoais e um campo específico para que ele autorize o compartilhamento de dados.
A LGPD especifica direitos do titular de dados pessoais que deverão ser respeitados por todos os que 
trabalhem com tratamento de dados. O princípio que rege esse direito é o do livre acesso, o que significa 
que o titular de dados poderá requerer informações a respeito de seus dados pessoais sempre que 
desejar, sem precisar justificar as razões do pedido. Esse é, aliás, o direito mais importante que o titular 
de dados pessoais possui: acesso facilitado às informações sobre o tratamento de seus dados.
As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, 
adequada e ostensiva sobre:
• Finalidade específica do tratamento: objetivo que motivou o tratamento dos dados.
• Forma e duração do tratamento, observados os segredos comercial e industrial: de que 
maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento 
poderá preservar os segredos comercial e industrial de sua atividade, porém, precisará informar 
que instrumentos utilizará para tratamento de dados.
• Identificação do controlador: responsável pelas decisões.
• Informações de contato do controlador: que forma de contato o titular de dados pessoais 
poderá ter com o controlador (acesso por telefone gratuito, como 0800; por endereço eletrônico; 
por aplicativo de mensagens entre outros meios devidamente informados para o titular de 
dados pessoais).
140
Unidade III
• Informações acerca do uso compartilhado de dados pelo controlador e a finalidade: é 
preciso informar se haverá compartilhamento de dados, com quem e com qual finalidade.
• Responsabilidades dos agentes que realizarão o tratamento: quem serão os responsáveis 
pelo tratamento dos dados pessoais.
• Direitos do titular: a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos 
titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador 
da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto 
de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa 
– controlador e operador –, bem como todos aqueles que atuam na equipe, estejam aptos a 
fornecer informações corretas e a esclarecer sobre direitos do titular de dados pessoais.
A resposta à consulta feita pelo titular de dados pessoais deverá confirmar ou negar a existência de 
dados pessoais e ser redigida de forma simples, clara e completa, que permita a imediata compreensão 
da origem dos dados pessoais, a finalidade do tratamento ou sua inexistência.
A resposta deverá ser fornecida para o titular de dados no prazo máximo de 15 dias contados da 
data do requerimento do titular. Em caso de existência de dados, a resposta deverá especificar quais 
são os dados pessoais cadastrados.
A falta de cumprimento desse prazo poderá ensejar aplicação de sanções, como multa, por isso 
é fundamental que as pessoas naturais ou jurídicas, públicas ou privadas, que operam com dados 
pessoais, estejam organizadas para que seus fluxos de gestão permitam atender corretamente o prazo 
fixado em lei.
A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, 
seguro e idôneo para essa finalidade, ou na forma impressa. A escolha da forma da resposta será 
do responsável pelo tratamento de dados, sempre respeitados os limites de acessibilidade do titular de 
dados pessoais. Assim, se um titular de dados pessoais declarar expressamente que não possui acesso 
ao computador ou a um aparelho de celular conectado à rede mundial de computadores, o responsável 
pelo tratamento de dados não poderá fornecer informações por meio eletrônico, uma vez que o titular 
dos dados pessoais não conseguirá acessar a resposta.
Nos casos em que o tratamento de dados pessoais tiver origem no consentimento do titular ou em 
um contrato, como ocorre nos contratos de seguros, planos de saúde ou bancos, o titular terá direito 
de solicitar cópia integral de seus dados pessoais, respeitados os segredos comercial e industrial 
que fundamentam a operação da empresa que utiliza os dados pessoais em sua atividade.
O titular de dados pessoais poderá solicitar revisão de decisões tomadas com base em tratamento 
automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram 
seu perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, 
conforme determina o artigo 20 da LGPD. Assim, se uma empresa resolver não fornecer crédito com 
base em dados pessoais do titular e este tiver motivos para pedir a revisão da decisão, poderá fazê-lo 
141
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
com a apresentação de argumentos ou de novos dados que levem à conclusão de que a decisão 
está equivocada.
Muitas empresas, na atualidade, já utilizam o instrumento da inteligência artificial, que são 
programas de computadores que, a partir da análise dos dados disponíveis, definem características 
de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento 
(viagens ou lazer), dados de crédito e bancários e criam perfis utilizados para novos produtos ou serviços, 
que serão oferecidos aos titulares dos dados pessoais, ou indicam opções que não devem ser oferecidas 
porque não são de interesse daquele grupo ou daquela pessoa em particular.
Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil 
automatizado, ele poderá solicitar que isso seja feito. Mas isso serve apenas para os perfis construídos 
de forma automatizada, por instrumentos semelhantes à inteligência artificial.
O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais:
• Confirmação da existência de tratamento de dados pessoais.
• Acesso aos dados pessoais que estão sendo tratados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em 
desconformidadecom o disposto na LGPD.
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, 
de acordo com a regulamentação que será criada pela autoridade nacional.
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em 
que a LGPD prevê a conservação dos dados (artigo 16).
• Informação das entidades públicas e privadas com as quais o controlador realizou uso 
compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências 
da negativa.
• Revogação do consentimento.
É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento 
e, se isso ocorrer, o contrato formalizado entre as partes poderá ser rescindido, caso os dados pessoais 
sejam essenciais para a correta formalização do instrumento contratual.
142
Unidade III
Também, se o titular não quiser informar dados pessoais relevantes para a operação comercial 
ou, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno 
direito. Nessas situações, no entanto, o operador de dados deverá demonstrar que os dados pessoais 
são essenciais para a concretização do contrato ou do negócio jurídico. Dados pessoais são essenciais 
para a formalização de muitos contratos como bancários, de financiamento, de seguros, de crédito 
pessoal, de cartão de crédito, com operadoras de planos de saúde, operadoras de saúde, serviços de 
internet, entre tantos outros.
Por essa razão é importante que os agentes de tratamento de dados informem o titular dos dados 
pessoais sobre as consequências de não fornecer o consentimento para o tratamento. Em muitos 
contratos, a falta de fornecimento de dados pessoas inviabilizará a realização do contrato. Se concedida 
a autorização e depois revogada, ensejará a rescisão do contrato sem ônus para o fornecedor de produtos 
ou serviços, diante da inviabilidade de prosseguir com as obrigações oriundas do instrumento contratual 
sem os dados pessoais essenciais do titular e contratante.
Outro aspecto importante, o titular dos dados pessoais não pode abusar de seu direito de pedir 
informações sobre os dados pessoais que estão sendo tratados. É uma hipótese típica do artigo 187 
do Código Civil brasileiro, que determina que comete ato ilícito o titular de um direito que, ao 
exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela 
boa-fé ou pelos bons costumes.
Se o titular de dados pessoais fizer grande número de consultas, de forma excessiva e claramente 
sem finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código 
Civil, por haver caracterizado a conduta abusiva no exercício de direitos.
O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante 
legalmente autorizado. O requerimento feito pelo titular de dados pessoais ou por seu representante legal 
não poderá ser objeto de cobrança de nenhum valor, e, exatamente por isso, não poderá ser 
solicitado de forma excessiva ou sem finalidade justificada.
Caso o pedido para verificação de dados não seja atendido de imediato pelos agentes de tratamento 
de dados, o titular de dados pessoais ou seu representante legal poderão comunicar o fato à Autoridade 
Nacional de Proteção de Dados (ANPD) ou aos órgãos de proteção e defesa do consumidor pertencentes 
ao Sistema Nacional de Direito do Consumidor (SNDC), do Ministério da Justiça.
A LGPD determina que o controlador e o operador designados pela pessoa natural ou jurídica, de 
direito público ou privado, deverão manter registro das operações de tratamento de dados pessoais que 
realizarem, principalmente quando esse tratamento for fundamentado em legítimo interesse, como 
ocorre com os setores empresariais – bancos, financeiras, seguradoras, operadoras de saúde, hospitais, 
clínicas, laboratórios de exames –, que precisam manter dados pessoais arquivados para cumprimento 
de disposições das leis que regem suas atividades e de seus órgãos reguladores (Banco Central, 
Superintendência de Seguros Privados, Agência Nacional de Saúde Suplementar, Agência Nacional de 
Vigilância Sanitária, entre outros).
143
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As atividades de controlador e operador poderão ser objeto de relatório solicitado pela ANPD, 
inclusive em relação a dados sensíveis, e o relatório deverá conter a descrição dos tipos de dados 
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações 
e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de 
risco adotados. Sendo necessárias, outras informações poderão ser solicitadas pela ANPD no exercício 
de sua atividade regulamentadora e fiscalizadora.
O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em 
conformidade com as instruções do controlador, por essa razão, cabe ao próprio controlador verificar 
se suas instruções estão sendo cumpridas corretamente e, principalmente, se estão adequadas ao que 
determina a legislação.
O controlador também tem a responsabilidade de indicar quem será o encarregado pelo tratamento 
de dados pessoais e de fornecer os dados sobre sua identidade e todas as informações para que seja 
possível o contato de forma pública, preferencialmente pelo site do controlador.
Pela LGPD, as principais atividades do encarregado são:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
• Receber comunicações da autoridade nacional e adotar providências.
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em 
relação à proteção de dados pessoais.
• Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas 
complementares que venham a ser criadas principalmente pela ANPD.
A atividade do controlador e encarregado poderão gerar responsabilidades e, consequentemente, 
a obrigação de reparar danos materiais e imateriais de que forem vítimas os titulares de 
dados pessoais.
As duas principais causas de danos para tratamento de dados pessoais são:
• Deixar de observar as determinações da Lei Geral de Proteção de Dados.
• Tratar dados sem segurança técnica adequada para a finalidade a que se destina.
Os agentes de tratamento de dados pessoais ou qualquer outra pessoa autorizada por eles que seja 
responsável por tratamento de dados pessoais têm a obrigação de garantir a segurança da informação em 
todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que dava sustentação 
ao tratamento.
144
Unidade III
O operador responderá solidariamente pelos danos que causar aos titulares de dados pessoais nos 
casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador.
O controlador, por sua vez, responderá solidariamente com operador quando estiverem diretamente 
envolvidos no tratamento de dados do qual resultaram danos para o titular.
Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis 
por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; quando um deles 
quitar integralmente terá direito de se ressarcir dos demais devedores solidários em relação às suas 
cota-partes. Assim, se o prejuízo for no valor de 10 mil reais, controlador e agente serão responsáveis 
perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, 
terá direito de se ressarcir cinco mil reais em relação ao agente.
O titular de dados pessoais terá em seu benefício o instituto da inversão do ônus da prova, previsto 
expressamente em favor do consumidor no Código de Defesa do Consumidor, que já foi estudado 
neste trabalho.
É importante observar que não haverá responsabilidade em todas as situações comprovadas em 
que os agentes:
• não realizaram o tratamento de dados pessoais que lhes foi atribuído;• tenham realizado o tratamento de dados pessoais, mas não ficar comprovada a violação da LGPD;
• não tenham nenhum relacionamento com o dano alegado pelo titular de dados pessoais, que 
decorre da ação exclusiva do titular ou de terceiros. Por exemplo, quando uma pessoa próxima do 
titular de dados, um amigo ou um parente, utiliza indevidamente seus dados pessoais.
A segurança no tratamento de dados pessoais é ponto fundamental para que não ocorram 
hipóteses de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os 
dispositivos de segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento 
de dados contra vazamento e outras possibilidades que causem prejuízos aos titulares. Nesse 
aspecto, a atividade do gestor de segurança da informação é essencial e, quanto melhor preparado 
estiver esse profissional, melhor será o trabalho de todos, especialmente dos agentes de tratamento 
de dados pessoais.
Esse é um ponto fundamental para a compreensão, porque os riscos para as pessoas físicas ou 
jurídicas, públicas ou privadas, que tratam dados pessoais têm aumentado muito nos últimos anos.
145
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Saiba mais
Acompanhe as notícias mais recentes sobre vazamento de dados de 
usuário de grandes empresas, como ocorreu com usuários do Facebook. 
Vazaram fotos, vídeos, informações sobre amigos, músicas, reservas de voos 
e hotéis, entre outros dados importantes. Veja mais em:
G1. 540 milhões de dados de usuários do Facebook ficam expostos em 
servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://glo.bo/3cbjbD3. 
Acesso em: 1º jun. 2021.
A LGPD determina que os agentes de tratamento – controlador e operador – deverão adotar as 
medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais de:
• acessos não autorizados;
• situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou 
qualquer outra forma de tratamento inadequado ou ilícito.
Para tornar o tratamento de dados pessoais seguro para os titulares e agentes de tratamento, a 
ANPD poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em 
especial com relação aos dados pessoais sensíveis.
O controlador de tratamento de dados pessoais está obrigado por lei a comunicar à ANPD e ao 
titular dos dados pessoais todo o incidente de insegurança que potencialmente possa causar riscos 
ou danos relevantes aos titulares.
Essa hipótese será aplicada apenas nos casos em que os riscos ou danos sejam relevantes, como 
acontecerá nos casos de vazamentos de dados ou de acesso indevido feito por pessoas não autorizadas.
A LGPD determina que a comunicação deverá ser feita em um prazo razoável e, embora não haja 
estipulação do prazo em dias ou horas, é possível interpretar que esse prazo deverá ser estabelecido para 
cada situação concreta e aplicado sempre com critério de maior brevidade possível para transmissão 
da informação.
Não é recomendável que o prazo seja tão curto que a informação não seja confirmada nem tão 
longo que não seja mais possível tomar providências de gerenciamento de crise e prevenção de 
extensão de danos.
Os agentes de tratamento de dados, ao prestarem informação a ANPD e ao titular dos dados pessoais 
sobre situações de risco ou de danos, serão obrigados a reportar os seguintes dados:
146
Unidade III
• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados 
os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata;
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ao ter conhecimento da informação sobre riscos, a ANPD deverá avaliar a gravidade do fato ocorrido 
levando em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis 
para terceiros não autorizados ao tratamento.
Após a avaliação técnica, a ANPD poderá determinar as seguintes providências:
• ampla divulgação do fato em meios de comunicação;
• medidas para reverter ou mitigar os efeitos do incidente.
A divulgação em meios de comunicação de grande circulação de riscos de vazamento de dados 
pessoais ou de acesso indevido ou as notícias publicadas a esse respeito representarão, quase sempre, 
forte abalo à reputação da empresa que for obrigada a adotar essas medidas.
Em áreas como bancos, cartões de crédito, financeiras, seguros, operadoras de saúde, laboratórios 
de exames clínicos, hospitais, escolas, universidades, clínicas médicas, entre outros, o abalo reputacional 
provocará impacto negativo no vínculo de confiança, que é imprescindível para que o contratante 
escolha aquela empresa para contratar ou fazer negócios.
Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas devem adotar com 
especial atenção e cuidado.
Para que o objetivo seja atingido, LGPD determinou que regras para boas práticas e governança 
são imprescindíveis para os controladores e operadores de dados pessoais.
As boas práticas e a governança terão regras construídas a partir da avaliação da natureza, o 
escopo, a finalidade e a probabilidade e a gravidade dos riscos, e dos benefícios decorrentes de 
tratamento de dados do titular.
A lei determina que as regras de boas práticas e de governança deverão estabelecer, entre outros 
aspectos ao tratamento de dados pessoais:
147
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• condições de organização;
• regime de funcionamento, procedimentos, incluindo reclamações e petições de titulares;
• normas de segurança;
• padrões técnicos;
• obrigações específicas para os diversos envolvidos no tratamento;
• ações educativas adotadas para os funcionários e prestadores de serviços das pessoas naturais ou 
jurídicas, públicas ou privadas, que utilizem tratamento de dados pessoais em suas atividades;
• mecanismos internos de supervisão e de mitigação de riscos.
O controlador de dados pessoais avaliará a estrutura, escala e volume de suas operações, bem 
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão 
ser causados aos titulares de dados pessoais, para:
• Implementar programa de governança em privacidade.
• Demonstrar a efetividade de seu programa de governança em privacidade a pedido da ANPD 
ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de 
conduta, os quais, de forma independente, promovam o cumprimento da LGPD.
As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados 
pessoais deverão ser publicadas e atualizadas periodicamente; a ANPD poderá reconhecê-las e divulgá-las 
quando necessário.
A LGPD determina que, em razão das infrações cometidas por falta de cumprimento da lei, os agentes 
de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser:
• Advertência: com indicação de prazo para adoção de medidas corretivas.
• Multa simples: de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou 
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 
milhões de reais por infração.
• Multa diária: observado o limite total de 50 milhões de reais.
• Publicização da infração: após devidamente apurada e confirmada a sua ocorrência.
• Bloqueio dos dados pessoais: até a regularização.
• Eliminação dos dados pessoais: somente os que tiverem sido a causa da infração.
148
Unidade III
A ANPD promoverá processo administrativo para garantir a ampla defesa dos agentes de 
tratamento de dados pessoais, somente após a decisão do processo administrativo serão aplicadas 
as sanções, de forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada 
caso concreto.
Para a fixação da sanção serão levados em conta, obrigatoriamente,