Elaboração de Diretrizes para Contratação de Serviços de Cloud

Computing em Instituições Financeiras

Flávio Denis Heringer*

Resumo

Os serviços de computação em Nuvens deixaram de ser apenas uma

alternativa viável, para assumir um papel imprescindível para a sobrevivência
de qualquer empresa, independente de seu porte, que queira se destacar no
mercado financeiro, quer oferecendo serviços ao público em geral, quer tenha
operações restritas a um grupo ou nicho específico. Este artigo objetiva ter
maiores informações de quais são estes serviços, como se relacionam com as
empresas deste setor, e especialmente a relação com os órgãos reguladores
como BACEM e o Conselho Monetário Nacional. A metodologia utilizada foi a
pesquisa a vários documentos na Internet, artigos científicos, decretos, normas
e circulares do Banco Central e do CMN, além de edições de autores
relacionados aos setores de tecnologia da informação, ciências de dados,
Computação em Nuvens e mercado financeiro. Como Resultado esta pesquisa
aponta para um futuro desafiador, de crescimento acelerado e a necessidade
de acompanhar um mundo em evolução constante.

Palavras-chave: Computação em Nuvens, Serviços, Normas, Governo,

BACEM, CMN, Bancos.

Abstract

Cloud computing is no longer just a viable alternative, but has assumed an

essential role for the survival of any company, regardless of its size, that wants
to stand out in the financial market, whether offering services to the general
public, or having operations restricted to a specific group or niche. This article
aims to have more information about what these services are, how they relate
to companies in this sector, and especially their relationships with regulatory
bodies such as BACEM and the National Monetary Council. The methodology
used was searching for various documents on the Internet, scientific articles,
decrees, norms and circulars from the Central Bank and CMN, in addition to
editions by authors related to the sectors of information technology, data
sciences, Cloud Computing and the financial market. As a result, this research
points to a challenging future, of accelerated growth, and to the need to
accompany a world in constant evolution..

Keywords: Cloud Computing, Services, Standards, Government, BACEM,

CMN, Banks.

* Pós-Graduação em ARQUITETURA E PROJETOS DE CLOUD COMPUTING da

Universidade Estácio de Sá, Vitória – ES | (+55)27-99289-3823. | Email:
flaviodenisheringer@gmail.com. | Abril / 2020.
Introdução
Os serviços de computação em nuvem fornecem às instituições, sob
demanda e de maneira virtual, Infraestrutura como serviço (IaaS) e
Hospedagem (hosting): processamento de dados, armazenamento de dados,
infraestrutura de redes, Plataforma como Serviço (PaaS) implantação ou
execução de aplicativos desenvolvidos pela instituição contratante, ou por ela
adquiridos, utilizando recursos computacionais do prestador de serviços,
Software como Serviço (SaaS) execução, por meio da internet, dos aplicativos
implantados ou desenvolvidos pelo prestador de serviço, com a utilização de
recursos computacionais do próprio prestador de serviços. Também podem
ser fornecidos outros recursos computacionais que permitam à instituição
implantar ou executar softwares, que podem incluir sistemas operacionais e
aplicativos desenvolvidos pela instituição ou por ela adquiridos. Assim, torna-
se de relevância fundamental a adoção de práticas de governança corporativa
e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos
a que estejam expostas, envolvendo os relacionamentos entre Conselho de
Administração, Diretoria e órgãos de controle, sendo estes últimos, os
normativos norteadores das políticas que ora possam ser adotadas.
O Objetivo deste artigo é conceituar de forma sintetizada o que são
empresas do mercado financeiro, bem como as tecnologias que estão
disponíveis para as mesmas, no que tange o uso de computação em nuvens
(Cloud Computing), apresentar as normas e diretivas governamentais para a
implementação destes serviços, através de seus órgãos reguladores e
fiscalizadores, facilitando assim, o entendimento de como contratar esses
serviços e estabelecer seus próprios processos de aquisição de serviços em
nuvem.
Assim, esse artigo encontra-se organizado conforme os tópicos a seguir:
1. O Que são Instituições Financeiras;
2. Conceitos de Computação em Nuvens (Cloud Computing), serviços
ofertados;
3. Normas e Leis emitidas pelos órgãos reguladores, considerando a
adoção de computação em nuvens.
4. Melhores práticas para normatização interna e procedimentos;
5. Conclusão;
São conhecidas as dificuldades concernentes ao estudo de temas que
estão sempre em atualização e movimento, como é o caso da Computação em
Nuvens, visto ao grande número de variáveis envolvidas, tecnologias diversas
e concomitantes e, portanto, sua complexidade. É complexa a legislação,
ainda em desenvolvimento, sobre o assunto, porém de fundamental
importância.
1. O Que são Instituições Financeiras;
Promulgada em 31 de Dezembro de 1964, a Lei n.º 4.595, que Dispõe
sobre a Política e as Instituições Monetárias considera, como instituições
financeiras, as pessoas jurídicas públicas ou privadas, que tenham como
atividade principal ou acessória a coleta, a intermediação ou a aplicação de
recursos financeiros próprios ou de terceiros, em moeda nacional e, ou,
estrangeira, e ainda a custódia de valor de propriedade de terceiros.
Considerando-se esta definição, um tanto abrangente, as empresas que
exercem atividades correlacionadas, porém que não constituem atividades
estritamente bancárias, tais como operações de mercado de capitais, fomento
e operações de comodites são consideradas instituições financeiras no Brasil.
Assim, o Sistema Financeiro Nacional engloba é contemplado nesta definição:

De acordo o artigo 17 da Lei n.º 4.595, será considerada instituição

financeira qualquer pessoa jurídica, pública ou privada, que tiver como
atividade principal ou acessória a coleta, intermediação ou aplicação
de recursos financeiros próprios ou de terceiros, em moeda nacional ou
estrangeira, assim como a custódia de valor de propriedade de
terceiros, inclusive pessoa física que, permanente ou eventualmente,
exerça quaisquer das referidas atividades.

No Brasil, empresas de atividades financeiras, operam somente

mediante prévia autorização do Banco Central do Brasil (BACEN). Empresas
estrangeiras podem operar somente com decreto do Presidente da República.
No âmbito internacional, as empresas Brasileiras, que operam no mercado
financeiro, estão também sujeitas à convenção da Basiléia. O BACEN tem
emitido procedimentos, orientações e planejamentos, além de um cronograma
para adequação das empresas Brasileiras à Convenção da Basiléia III, com
prazos a partir de 2019, estendendo-se até 2022. Os Acordos de Basileia III 
referem-se a um conjunto de propostas de reforma da regulamentação
bancária, publicadas em 16 de dezembro de 2010, promovidas pelo  Financial
Stability Board, FSB e pelo G20 (www.https://pt.wikipedia.org/wiki/ Basileia_III,
Fev/2020 )

Fig. Composição e seguimentos do Sistema Financeiro Brasileiro. (Fonte:BACEN)

2. Conceitos de Computação em Nuvens (Cloud Computing), serviços
ofertados no mercado Brasileiro;
O “National Institute of Standards and Technology” (NIST), do Ministério do
Comércio americano,  define a computação em nuvem como um modelo
conveniente para permitir que o acesso à rede sob demanda, ou a um
conjunto compartilhado de recursos de computação configuráveis (tais
como, servidores, armazenamento de dados, armazenamento de aplicativos
e serviços de gerenciamento de dados, gerenciamento de serviços e outros)
pode ser rapidamente configurado e disponibilizado, com uma gestão
simplificada, menor esforço ou necessidade de interação junto a um
fornecedor de serviços, assim:
“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network
access to a shared pool of configurable computing resources (e.g., networks, servers,
storage, applications, and services) that can be rapidly provisioned and released with
minimal management effort or service provider interaction. This cloud model is
composed of five essential characteristics, three service models, and four deployment
models.” (MELL; GRANCE, 2011, p.1)

No Brasil, a tradução para o português, Computação em Nuvens, ou

Computação na Nuvem, ficou bem clara a partir do definido pela associação
Brasileira de normas técnicas, em sua interpretação: “um paradigma para
habilitar o acesso, via rede, a um grupo escalável e elástico de recursos, físicos
ou virtuais, com auto provisionamento e administração sob demanda” (ABNT,
2015).
Então, quando se refere à Computação em, Nuvem, ou, Cloud Computing,
trata-se de um conjunto de recursos computacionais, tanto físico quanto lógico,
acessíveis da Internet, flexibilizado conforme a demanda do contratante,
podendo este aumentar ou diminuir o volume de componentes utilizados de
maneira rápida, com custos facilmente gerenciáveis, podendo ainda aumentar
em escala, tantos serviços quanto necessários.
Ainda segundo o NIST, São consideradas essenciais para um serviço em
nuvens, as seguintes características (NIST, 2011):
I. Autoatendimento sob demanda: o usuário pode usufruir das
funcionalidades computacionais sem a necessidade da interação
humana com o provedor de serviço, ou seja, o provedor identifica
as necessidades do usuário, podendo assim automaticamente
reconfigurar todo hardware e software, e essas modificações
devem ser apresentadas ao usuário de forma transparente;
II. Amplo acesso a serviços de rede: os recursos computacionais são
acessados através da internet, são acessados por mecanismos
padronizados, o que pode ser um navegador simples que use
poucos recursos computacionais, sem a necessidade do usuário
modificar o ambiente de trabalho de seu dispositivo, como por
exemplo, linguagem de programação e sistema operacional;
III. Pool de recursos: os recursos computacionais (físicos ou virtuais) do
provedor são divididos em pools para que possam atender a
 múltiplos usuários simultaneamente. Esses recursos são alocados e
realocados dinamicamente, de acordo com a demanda dos usuários.
Os usuários por sua vez não precisam saber a localização física dos
recursos computacionais, essas informações podem ser
proporcionadas de maneira de alta abstração podendo apenas ser
informados a país, estado ou centro de dados;
IV. Elasticidade rápida: As funcionalidades computacionais devem ser
rápidas e elásticas, assim como rapidamente liberadas, podendo em
alguns casos serem liberadas automaticamente caso haja
necessidade devido à demanda.O usuário deve ter a impressão de
ter recursos ilimitados que podem ser comprados ou adquiridos em
qualquer quantidade e a qualquer momento. A elasticidade deve ter
três componentes: escalabilidade linear, utilização on-demand e
pagamento por unidades consumidas de um recurso. Outro recurso que
pode auxiliar nesse processo é a virtualização que pode criar
várias instâncias de recursos requisitados usando apenas um
recurso físico. A virtualização também torna possível abstrair
características físicas de uma plataforma computacional, emulando
vários ambientes que podem ser independentes ou não;
V. Serviços mensuráveis: Os sistemas em nuvem automaticamente
controlam e monitoram os recursos necessários para cada tipo
de serviço, tais como armazenamento, processamento e largura de
banda. Esse recurso deve ser monitorado e controlado de forma
transparente tanto para o provedor de serviço quanto para o usuário

2.1. Principais modelos de serviços de Computação em Nuvem.

São três os principais modelos de serviços ofertados, segundo definição de
Veras (2012) e Mell e Grance (2011): Infraestrutura como um serviço
(Infrastructure as a Service - IaaS) , Plataforma como um serviço (Platform as a
Service - PaaS) e Software como um serviço (Software as a Service - SaaS),
no entanto a ABNT (2015) acrescenta a este modelo, também as definições de:
Comunicação como Serviço (CaaS), Armazenamento de dados como Serviço
(DSaaS), Rede como Serviço (NaaS) e Computação como Serviço (CompaaS),
contudo este artigo ira se ater aos três principais modelos, definidos pelo
NIST, conforme publicou em setembro/2011 em sua versão definitiva:
2.1.1. Software como Serviço (SaaS – Software as a Service): O
recurso fornecido ao consumidor é o uso de aplicações do
fornecedor executando em uma infraestrutura na nuvem. As
aplicações podem ser acessadas por vários dispositivos clientes
através de interfaces leves ou ricas, tais como um navegador web
(como em e-mail baseado na web), ou por uma interface de
programação. O consumidor não gerencia nem controla a
infraestrutura na nuvem subjacente, incluindo rede, servidores,
sistemas operacionais, armazenamento, ou mesmo recursos
individuais da aplicação, com a possível exceção de configurações
limitadas por usuário. A exemplo deste recurso, um aplicativo
poderá ser utilizado por diferentes usuários, em uma grande
quantidade, simultaneamente. Sendo o controle e gerenciamento
 da rede, dos sistemas operacionais, o armazenamento dos dados
e possíveis manutenções serão de responsabilidade do
provedor do serviço (Aulbach 2009);

2.1.2. Plataforma como Serviço (PaaS – Platform as a Service): O

recurso fornecido ao consumidor é instalar na infraestrutura na
nuvem aplicativos criados ou adquiridos pelo consumidor,
desenvolvidos com linguagens de programação, bibliotecas,
serviços e ferramentas suportados pelo fornecedor ou compatíveis.
O consumidor não gerencia nem controla a infraestrutura na nuvem
subjacente incluindo rede, servidores, sistema operacional ou
armazenamento, mas tem controle sobre as aplicações instaladas e
possivelmente configurações do ambiente de hospedagem de
aplicações. Em um serviço PaaS, são disponibilizadas plataformas
de desenvolvimento de software que facilitam o processo de
desenvolvimento das aplicações assim como o gerenciamento
do hardware , camadas de software, e infra necessária, sendo
apenas a aplicação responsabilidade do usuário, e totalmente
desenvolvida e implementada na nuvem, . As linguagens,
API’s, Conexões e todo o ambiente de programação, lê-se
desenvolvimento, é fornecido pelo provedor (NOGUEIRA2010).

2.1.3. Infraestrutura como Serviço (IaaS – Infrastructure as a

Service): O recurso fornecido ao consumidor é provisionar
processamento, armazenamento, comunicação de rede e outros
recursos de computação fundamentais nos quais o consumidor
pode instalar e executar softwares em geral, incluindo sistemas
operacionais e aplicativos. O consumidor não gerencia nem
controla a infraestrutura na nuvem subjacente mas tem controle
sobre os sistemas operacionais, armazenamento, e aplicativos
instalados, e possivelmente um controle limitado de alguns
componentes de rede (como firewalls). O fornecimento deste
serviço, assim como os demais, tem seus recursos de
infraestrutura compartilhados simultaneamente entre diversos
contratantes. Isso se torna possível através do processo de
virtualização, em que há o controle sobre hardware virtualizado,
armazenamento, aplicativos e controle sobre os recursos de
rede, limitados conforme necessidade (VERAS 2012)

2.2. Modalidades de instalação de Serviços em Nuvem.

Ainda considerando as definições do NIST (2011), adicionalmente, as
demais fontes de pesquisa deste trabalho, Mell e Grance (2011), Veras
(2012) e Taurion (2009), consensualmente definem as modalidades em
que os citados serviços podem ser prestados, sendo a descrição
fornecida pelo NIST (2011), que melhor define, abaixo traduzida:
2.2.1. Nuvem privada: A infraestrutura na nuvem é provisionada para
uso exclusivo por uma única organização composta de diversos
 consumidores (como unidades de negócio). A sua propriedade,
gerenciamento e operação podem ser da organização, de terceiros
ou de uma combinação mista, e pode estar dentro ou fora das
instalações da organização.
2.2.2. Nuvem comunitária: A infraestrutura na nuvem é provisionada
para uso exclusivo por uma determinada comunidade de
consumidores de organizações que têm interesses em comum (de
missão, requisitos de segurança, políticas, observância de
regulamentações). A sua propriedade, gerenciamento e operação
podem ser de uma ou mais organizações da comunidade, de
terceiros ou de uma combinação mista, e pode estar dentro ou fora
das instalações das organizações participantes.
2.2.3. Nuvem pública: A infraestrutura na nuvem é provisionada para
uso aberto ao público em geral. A sua propriedade, gerenciamento
e operação podem ser de uma empresa, uma instituição
acadêmica, uma organização do governo, ou de uma combinação
mista. Ela fica nas instalações do fornecedor.
2.2.4. Nuvem híbrida: A infraestrutura na nuvem é uma composição de
duas ou mais infraestruturas na nuvem (privadas, comunitárias ou
públicas) que permanecem entidades distintas, mas são
interligadas por tecnologia padronizada ou proprietária que permite
a comunicação de dados e portabilidade de aplicações (como
transferência de processamento para a nuvem para balanceamento
de carga entre nuvens).
A figura 1 características, modelos de computação em nuvens segundo o NIST(2011).

Fonte: Westphall (2012)

3. Conceitos de Segurança em Cloud Computing

A confiança que as empresas e corporações depositam no modelo e nas

tecnologias de nuvem, de acordo com Velte (2009, p. 138-139), esta
diretamente ligada e é proporcional ao ritmo de crescimento da computação em
nuvens, ou seja, à medida que essa confiança cresce, as empresas sentem-se
seguras para migrar para a utilização destas tecnologias, o que impulsiona o
seu crescimento. Logo, entende-se que os níveis de segurança nesta
tecnologia, a exemplo do que vem acontecendo nas diversas tecnologias
utilizadas nas empresas, devam primar pela excelência, e muito mais que isso,
é preciso repensar os processos de segurança continuamente. Segurança em
cloud Computing é muito mais que necessária, é essencial (NAKAMURA,
2010)

Segundo pesquisa realizada pelo IDC, gráfico da Figura 2, no que se refere às

considerações quanto à contratação de serviços em Nuven, três são os
principais fatores que influenciam na seleção de um: segurança, disponibilidade
e desempenho.(IDC, 2019), sendo Segurança o de maior preocupação.

Figura 2. Fatores que influenciam na escolha de serviços em Cloud Computer, (IDC-2019)

A revista infra magazine, numero 13, publicação da DevMedia, ressalta em seu

artigo “Segurança em Cloud Computing”, (Machado e Araújo, 2016) : É
necessário que o cliente analise como o provedor do serviço trata a privacidade
e segurança de seus ativos e faça os seguintes questionamentos:
I. Existe criptografia dos dados?
II. O provedor passa por processos de auditoria?
III. O fornecedor do serviço obedece a algum tipo de padronização ou
utiliza tecnologias de segurança da informação?
Para subsidiar estas questões, existem algumas normas, padrões e
ferramentas de segurança para a cloud computing, que devem ser levadas em
consideração:
I. Auditoria: SAS 70, SSAE16, ISAE 3402, NBC TO 3402 (norma
brasileira baseada na ISAE 3402);
II. Normas: ISO 27001, PCI DSS;
 III. Tecnologias e serviços: SysTrust, Identity and Access Management
(IAM), Multi-factor Authentication (MFA), token e criptografia.

O tema Segurança em Cloud Computing é muito vasto e abrangente, e está

continuamente em expansão, e não é o foco principal deste artigo, contudo
podemos de forma resumida abordar a Segurança em Cloud em três
diferentes aspectos: Proteção e Privacidade, Integridade (Controles de Acesso
e Vulnerabilidades), Auditoria e compliance. Tendo como base esses aspectos
podemos nos concentrar nos itens de segurança relacionados à utilização da
nuvem MOREIRA,L.O.;MACHADO, J.C. M.(2009):
I. Localização dos dados: Provedores de serviços de Cloud, estão em
Datacenters espalhados pelo mundo, logo responde diretamente à
legislação do pais em que estiver localizado, em primeiro lugar.
Desta forma, ao optar por esse ou aquele provedor, deve-se verificar
se os dados hospedados estarão sob sigilo total, ou se disponíveis às
instituições daquele país. Isto é importante pois se perde o sigilo, se
por exemplo, o governo local tiver acesso aos dados.
II. Acesso indevido aos dados: A confidencialidade dos dados é onde
e há maior possibilidade de impacto na integridade também. Isto
porque, pode por exemplo um cracker, utilizar vulnerabilidades
identificadas em ambientes ou maquinas virtualizadas, fragilidades
de protocolos de comunicação ou de segurança, ou ainda na
infraestrutura fornecida e acessar dados da organização contratante
do serviço na nuvem.
III. Indisponibilidade do serviço: O provedor do serviço, deve
implementar controles suficientes para garantir a continuidade do
serviço, dentro dos parâmetros regulamentares, e principalmente no
atendimento às principais normas de segurança de infraestrutura. O
provedor deve manter Acordo de níveis de serviço e atendimento a
desastres que garantam disponibilidade do serviço.

4. Normas e Leis Brasileiras emitidas pelos órgãos reguladores,

considerando a adoção de computação em nuvens;
Há uma preocupação mundial em regular, normatizar e fiscalizar o ambiente
de serviços de Computação em nuvens, e isto também se refletiu no Governo
Brasileiro, embora hajam dificuldades como apontado por Santos e Machado
(2010) no artigo “Cloud computing impasses legais e normativos”, publicado na
revista Intr@ciência, novembro de 2010. No artigo, eles abordam as
dificuldades referentes a normas regulatórias, que as empresas enfrentam, em
relação à contratação da nuvem. Nestes últimos 10 anos, o tema evoluiu
substancialmente, e por conseguinte a normatização e regulação do setor
encontram-se bem mais amadurecidas.
Em seu artigo “ Cloud Computing – Normas, Leis e Orientações do Governo
Brasileiro”, (FERREIRA / ANDRADE , 2016), publicação da revista cientifica
Intr@ciencia, da Faculdade do Guarujá-SP, apresentam a evolução das leis no
Brasil, até a data da publicação do artigo, como demonstrado na tabela 1,
abaixo:

Data TIPO Numer Descrição

o
Mai./2010 Decreto 7.175 Institui o Programa Nacional de Banda Larga - PNBL;
dispõe sobre remanejamento de cargos em comissão.
(BRASIL, 2010)
Jan./2012 Norma 14 Estabelecer diretrizes para a utilização de tecnologias
Complementar de Computação em Nuvem, nos aspectos relacionados
à Segurança da Informação e Comunicações (SIC), nos
órgãos e entidades da Administração Pública Federal
(APF), direta e indireta. (BRASIL, 2012)
Abr./2013 Projeto de Lei 5.344 Dispõe sobre diretrizes gerais e normas para a
promoção, desenvolvimento e exploração da atividade
de computação em nuvem no Brasil. (BRASIL, 2013b)
Nov./2013 Decreto 8.135 Dispõe sobre as comunicações de dados da
administração pública federal direta, autárquica e
fundacional, e sobre a dispensa de licitação nas
contratações que possam comprometer a segurança
nacional. (BRASIL, 2013a)
Abr./2014 Lei Federal 12.965 Estabelece princípios, garantias, direitos e deveres para
o uso da Internet no Brasil. (BRASIL, 2014b)
Mai./2014 Portaria 141 Estabelece os procedimentos a serem observados pela
Interministerial Administração Pública Federal para a contratação de
(MPOG) serviços de comunicação de dados, os requisitos de
implementação dos serviços e de auditoria de
programas e equipamentos, além de definir as
competências do Ministério do Planejamento,
Orçamento e Gestão (MPOG), como órgão gerenciador
em relação à contratação dos serviços previstos nesta
Portaria.
Jul./2014 Norma 19 Estabelecer padrões mínimos para a segurança da
Complementar informação e comunicações dos sistemas estruturantes
nos órgãos e entidades da Administração Pública
Federal, direta e indireta. (BRASIL, 2014a)
Jul./2015 Acórdão 1.739 Identificar os riscos mais relevantes em contratações de
(TCU) serviços de Tecnologia da Informação (TI) sob o
modelo de computação em nuvem, considerando os
critérios da legislação brasileira. (BRASIL, 2015)
Abr./2016 Projeto de lei 5050 Veda a instituição e a inclusão, nos contratos de
prestação de serviços de comunicação multimídia, de
franquia de consumo e dispõe sobre a não incidência
do pagamento adicional pelo consumo excedente ou da
redução da velocidade da navegação nos contratos em
vigor em que a franquia de consumo não tenha sido
aplicada até a presente data. (BRASIL, 2016d)
Mai./2016 Decreto 8.771 Regulamenta a Lei no 12.965 para tratar das hipóteses
admitidas de discriminação de pacotes de dados na
internet e de degradação de tráfego, indicar
procedimentos para guarda e proteção de dados por
provedores de conexão e de aplicações, apontar
medidas de transparência na requisição de dados
cadastrais pela administração pública e estabelecer
parâmetros para fiscalização e apuração de infrações.
(BRASIL, 2016b)
Mai./2016 Projeto de lei 5.276 Dispõe sobre o tratamento de dados pessoais para a
garantia do livre desenvolvimento da personalidade e
 da dignidade da pessoa natural. (BRASIL, 2016e)
Jun./2016 Portaria 20 Dispõe sobre orientações para contratação de soluções
(MPOG) de Tecnologia da Informação no âmbito da
Administração Pública Federal direta, autárquica e
fundacional e dá outras providências. (BRASIL, 2016c)
Tabela 1. Evolução de leis brasileiras concernentes à computação em nuvens e TI.

Aprovado na Câmara dos Deputados em 25 de março de 2014, e no

Senado Federal em 23 de abril do mesmo ano, sendo sancionado logo depois
pela então presidente Dilma Rousseff, o Marco Civil da Internet, nome dado à
Lei n° 12.965/2014, que passou a regular a Internet por meio da previsão de
princípios, garantias, direitos e deveres de seus usuários, além da
determinação de diretrizes para a atuação do Estado Brasileiro. Destacamos
esta lei, porque figura realmente como um marco na legislação não somente
brasileira, pois refletiu uma preocupação mundial, e trouxe ao usuário comum e
ao grande publico, o conhecimento até então pouco difundido sobre direitos e
deveres das pessoas e empresas com relação ao uso da internet e por
conseguinte aos ambientes de computação em nuvens. Devido à extensão do
texto, no Anexo I apresentamos o primeiro capitulo e disposições preliminares
e Disposições Finais desta lei.
Em maio de 2018 a União Europeia inaugurou a General Data Protection
Regulation (GDPR), lei que visa proteger os dados de todos os indivíduos
deste bloco econômico. Em agosto do mesmo ano, o então presidente da
República Michel Temer sancionou a Lei Geral de Proteção de Dados (LGPD),
claramente inspirada na GDPR. Também, devido à extensão do texto, no
Anexo II apresentamos o primeiro capitulo e disposições preliminares e
Disposições Finais da Lei Geral de Proteção de Dados.
A Resolução Nº 4.658 de 26 de Abril de 2018, e a Circular nº 3.909, de
16/08/2018, do Conselho Monetário Nacional – CMN e expedida pelo Banco
Central do Brasil - BACEN, determinam que as Instituições financeiras e
Instituições de Pagamento autorizadas a funcionar pelo BACEN implementem
e mantenham uma política de segurança cibernética e sobre os requisitos para
a contratação de serviços de processamento e armazenamento de dados e de
computação em nuvem a serem observados pelas instituições financeiras e
demais instituições autorizadas a funcionar pelo BACEN. A seguir, preâmbulo
desta lei:
RESOLUÇÃO Nº 4.658, DE 26 DE ABRIL DE 2018 - Dispõe sobre a política
de segurança cibernética e sobre os requisitos para a contratação de serviços
de processamento e armazenamento de dados e de computação em nuvem a
serem observados pelas instituições financeiras e demais instituições
autorizadas a funcionar pelo Banco Central do Brasil. O Banco Central do
Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna
público que o Conselho Monetário Nacional, em sessão realizada em 26 de
abril de 2018, com base nos arts. 4º, inciso VIII, da referida Lei, 9º da Lei nº
4.728, de 14 de julho de 1965, 7º e 23, alínea "a", da Lei nº 6.099, de 12 de
setembro de 1974, 1º, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e
1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009;
 CIRCULAR Nº 3.909, DE 16 DE AGOSTO DE 2018 - Dispõe sobre a política
de segurança cibernética e sobre os requisitos para a contratação de serviços
de processamento e armazenamento de dados e de computação em nuvem a
serem observados pelas instituições de pagamento autorizadas a funcionar
pelo Banco Central do Brasil.

É necessário salientar aqui, que a LGPD, apesar de existente desde 2018, tem
seu prazo para implementação postergado para Outubro/2020, e deverá ser
ainda mais uma vez postergada, visto ao cenário de pandemia pelo que passa
o mundo em 2020. No entanto, no que tange às resoluções emitidas pelo
Banco Central e Conselho Monetário Nacional, as empresas vem se
preparando e buscando bases para implementar suas normas internas, que
garantam o cumprimento das leis e obedeçam aos critérios de segurança e
desafios da utilização de computação em nuvens.

5. Considerações do autor e Benefícios em se desenvolver uma diretriz

para contratação de serviços em nuvem.
Uma Política Corporativa de contratação de Serviços em Nuvem, que garanta a
Segurança Cibernética e da Informação, e que defina diretrizes e controles
eficazes deve instituir uma Política de Contratação de Serviços Relevantes de
Processamento, Armazenamento de Dados e Computação em Nuvem
estabelecendo princípios, diretrizes, responsabilidades e critérios de decisão
para contratação de deste tipo de serviço, seja no país e, ou, no exterior. Esta
política deve se aplicar de forma unificada para as Instituições integrantes de
uma corporação, ou de igual forma a empresas menores, que de igual forma
estejam submissas aos órgãos regulamentadores do mercado financeiro.
O BACEN poderá vetar ou impor restrições para a contratação de serviços de
processamento e armazenamento de dados e de computação em nuvem
quando constatar, a qualquer tempo, a inobservância do disposto em sua
Resolução, bem como impor às instituições sanções, estabelecendo prazo para
a adequação dos referidos serviços. Em face a isto, são identificados alguns
benefícios diretos na elaboração de tal política:
I. Estabelece diretrizes de conformidade e segurança para a
contratação de Serviços Relevantes de Processamento e
Armazenamento de Dados e de Computação em Nuvem.
II. Estabelece critérios de avaliação a fim de evitar contratações
inadequadas de serviços relevantes de processamento e
armazenamento de dados e computação em nuvem, bem como os
riscos decorrentes dessa contratação.
III. Permite a aderência aos requisitos legais e regulatórios aos quais a
empresa está sujeito quando utilizar recursos externos ao seu
ambiente para processamento e armazenamento de dados e de
computação em nuvem.
IV. Assegura a observância dos aspectos relativos à gestão de
continuidade de negócios
6. Conclusão:
Como exercício, e de forma simplificada, apresentamos a seguir um croqui,
uma sugestão de normatização, bastante genérica, que pode ser base para
a construção detalhada de uma política interna, em qualquer instituição que
atue no mercado financeiro, no que concerne à contratação de serviços em
Nuvem, dentro do universo pesquisado.

6.1. DIRETRIZES GERAIS

6.1.1. Os serviços de computação em nuvem abrangem a
disponibilidade à instituição contratante, sob demanda e de maneira
virtual, de ao menos um dos seguintes serviços:
6.1.2. Infraestrutura como serviço (IaaS) e Hospedagem (hosting):
processamento de dados, armazenamento de dados, infraestrutura
de redes e outros recursos computacionais que permitam à
instituição contratante implantar ou executar softwares, que podem
incluir sistemas operacionais e aplicativos desenvolvidos pela
instituição ou por ela adquiridos.
6.1.3. Plataforma como Serviço (PaaS): implantação ou execução de
aplicativos desenvolvidos pela instituição contratante, ou por ela
adquiridos, utilizando recursos computacionais do prestador de
serviços.
6.1.4. Software como Serviço (SaaS): execução, por meio da internet,
dos aplicativos implantados ou desenvolvidos pelo prestador de
serviço, com a utilização de recursos computacionais do próprio
prestador de serviços.
6.1.5. A instituição deve adotar, previamente à contratação de serviços
relevantes de processamento e armazenamento de dados e de
computação em nuvem, procedimentos que contemplem a adoção
de práticas de governança corporativa e de gestão proporcionais à
relevância do serviço a ser contratado e aos riscos a que estejam
expostas, envolvendo os relacionamentos entre Diretoria,
Administração, e órgãos de controle. O processo deverá ser
composto das seguintes etapas:
6.1.5.1. Avaliação do serviço a ser contratado
6.1.5.2. Verificação da capacidade do prestador de serviço
6.1.5.3. Verificação dos países e das regiões em cada país onde os
serviços poderão ser prestados e os dados poderão ser
armazenados, processados e gerenciados.
6.1.5.4. Definição de cláusulas contratuais
6.1.5.5. Comunicação ao BACEN
6.1.6. As contratações de serviços relevantes de processamento e
armazenamento de dados e de computação em nuvem devem ser
avaliadas quanto à criticidade do serviço e a sensibilidade dos
dados e das informações a serem processados, armazenados e
gerenciados pelo contratado, conforme a classificação da
informação. Sendo a Instituição responsável pela confiabilidade,
integridade, disponibilidade, segurança e sigilo em relação aos
 serviços contratados, bem como pelo cumprimento da legislação e
da regulamentação em vigor.

6.2. AVALIAÇÃO DO SERVIÇO A SER CONTRATADO

6.2.1. Para as contratações que envolvam tecnologia (infraestrutura,
sistemas ou serviços de TI) é obrigatório o envolvimento das áreas
técnicas seja a própria área de TI da Instituição ou consultoria
contrata para este fim
6.2.2. Deve ser avaliado qual serviço será processado e armazenado,
considerando os seguintes critérios:
6.2.3. A relevância do ativo, quanto à criticidade e a sensibilidade;
6.2.4. Custo total de propriedade, baseado na elasticidade que a nuvem
permite;
6.2.5. O modelo de serviço e de implementação de computação em
nuvem adequados à demanda, bem como dos fornecedores e
modalidades de oferta existentes;
6.2.6. As motivações da instituição para a adoção do serviço de nuvem.
6.2.7. Análise de riscos, em conformidade com a Política de
Gerenciamento de Risco Operacional, e definir, fundamentado nos
riscos identificados, se a situação analisada é aconselhável para a
adoção de serviço de computação em nuvem;
6.2.8. Os países e as regiões em cada país onde os serviços poderão
ser prestados e os dados poderão ser armazenados, processados e
gerenciados.

6.3. DIRETRIZES ESPECÍFICAS DE ACORDO COM O MODELO DE

NUVEM

6.3.1. Infraestrutura como Serviço (IaaS) e Hospedagem (Hosting) -

Para a avaliação de IaaS deve-se observar, através de estudo de
viabilidade, os seguintes critérios: forma de precificação, preço
mensal médio, acordo de nível de serviço (SLA), número de
datacenters, capacidade de ampliação, capacidade de crescimento,
suporte, testes gratuitos, sistemas operacionais suportados, número
de tipos de instâncias (número disponível de diferentes
configurações de servidores), custo de saída de dados e custo da
entrada de dados.
6.3.2. Plataforma como serviço (PaaS) - Os seguintes critérios devem
ser observados: horas de armazenamento, a integração com os
procedimentos e ferramentas especificas utilizados pela equipe de
desenvolvimento e/ou operação, bem como as opções de
gerenciamento oferecidas e opinião da equipe de desenvolvimento.
6.3.3. Software como Serviço (SaaS) - Aplicativos e sistemas que
requerem níveis de customização de acordo com as regras de
negócio da instituição precisam ser avaliadas antes da contratação
de modelo SaaS, e devem ser analisados com maior rigor em
especial quanto aos aspectos de continuidade de negócio. O
 fornecedor de SaaS deve gerenciar e controlar a infraestrutura da
nuvem associada ao serviço e deve-se assegurar que o prestador
de serviços adote controles que mitiguem os efeitos de eventuais
vulnerabilidades na liberação de novas versões de software.

6.4. VERIFICAÇÃO DA CAPACIDADE DO PRESTADOR DE SERVIÇO

6.4.1. A instituição deve adotar, previamente à contratação de serviços
relevantes de processamento e armazenamento de dados e de
computação em nuvem, procedimentos que contemplem a
verificação da capacidade do potencial prestador de serviço de
assegurar:
6.4.1.1. O cumprimento da legislação e da regulamentação vigente.
6.4.1.2. O acesso aos dados e às informações a serem
processadas ou armazenadas pelo prestador de serviço;
6.4.1.3. A confidencialidade, integridade, a disponibilidade e a
recuperação dos dados e das informações processadas ou
armazenadas pelo prestador de serviço;
6.4.1.4. A aderência às certificações exigidas pelos órgão
regulamentadores para a prestação do serviço a ser contratado

6.5. PONTOS IMPORTANTES NOS CONTRATOS

6.5.1. Os contratos para prestação de serviços relevantes de
processamento, armazenamento de dados e computação em
nuvem devem prever:
6.5.1.1. A Indicação dos países e da região em cada país onde os
serviços poderão ser prestados e os dados poderão ser
armazenados, processados e gerenciados.
6.5.1.2. A adoção de medidas de segurança para a transmissão e
armazenamento dos dados.
6.5.1.3. A garantia da manutenção da segregação dos dados e dos
controles de acesso para proteção das informações da
instituição e dos clientes, durante a vigência do contrato.
6.5.1.4. Informações relativas às medidas de segurança, indicação
do país e região, e a manutenção dos dados, de modo a
evidenciar as exigências acordadas em contrato.
6.5.1.5. A permissão de acesso do BACEN aos contratos e aos
acordos firmados para a prestação de serviços, à
documentação e às informações referentes aos serviços
prestados, aos dados armazenados e às informações sobre
seus processamentos, às cópias de segurança dos dados e
das informações, bem como aos códigos de acesso aos dados
e às informações.

6.6. CONTINUIDADE DE NEGÓCIO - A instituição Financeira deve

assegurar que suas políticas para gerenciamento de riscos no tocante à
continuidade de negócios, disponham sobre os procedimentos a serem
seguidos no caso da interrupção de serviços relevantes de
 processamento e armazenamento de dados e de computação em
nuvem contratados, abrangendo cenários que considerem a
substituição do prestador de serviço e o reestabelecimento de sua
operação normal, visando assegurar a continuidade dos negócios.
6.7. PAPÉIS E RESPONSABILIDADES - Em uma Política de Contratação
de Serviços Relevantes de Processamento e Armazenamento de Dados
e de Computação em Nuvem, a Alta Administração e demais níveis
hierárquicos têm papéis e responsabilidades definidos, como forma de
garantir todo o processo de contratação. Estes papeis e
responsabilidades serão definidos dependendo da estrutura da
instituição e da abrangência do serviço a ser contratado

7. Considerações Finais

Embora o momento em que este artigo esteja sendo construído, seja um

momento de apreensão mundial, no qual instituições, empresas e indivíduos se
encontram sob o forte desafio da incerteza, esta pesquisa mostrou que
estamos ainda na ponta do iceberg, e que temos um longo caminho a trilhar.

"Você não pode prever o futuro, mas pode criá-lo"

Peter Druker.
Referências

MELL, Peter; GRANCE, Timothy. The NIST Definition of Cloud Computing:

Special Publication 800-145. Gaithersburg: U.S. Department of Commerce,
2011. 7 p. Disponível em:
<http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf>.
Acesso em Fev/2020

JANSEN, W.; GRANCE, T. Guidelines on security and privacy in public cloud

computing. In: Draft Special Publication 800-144. New York, NY, USA: NIST
Special Publication 800-144, 2011. p. 60. Disponível em:
http://csrc.nist.gov/publications/drafts/800-144/Draft-NIST-SP800-144.pdf. ,
Acesso em Fev/2020

TAURION, Cezar. Cloud computing: computação em nuvem: transformando o

mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009.

VERAS, Manoel. Cloud Computing: nova arquitetura da TI. Rio de Janeiro:

Brasport, 2012. 240 p.

VERAS, Manoel. Conceito de Computação em Nuvem. Disponível em:

http://manoelveras. com.br/blog/? cat=31. Acesso Fev/2020
NIST, (2011) “The NIST Definition of Cloud Computing (Draft)”,
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf, Acesso em:
Fev/2020

(Lei 4595/1964) http:// http://www.planalto.gov.br/ccivil_03/leis/l4595.htm

Acesso em Fev/2020

(Lei Nº 12.965) http://www.planalto.gov.br/ccivil_03/_ato2011-

2014/2014/lei/l12965.htm Acesso em Fev/2020

(Lei Nº 13.709) http://www.planalto.gov.br/ccivil_03/_ato2015-

2018/2018/lei/L13709.htm Acesso em Fev/2020

(RESOLUÇÃO Nº 4.658) https://www.bcb.gov.br/pre/normativos/busca

/download Normativo.asp? arquivo=/Lists/
Normativos/Attachments/50581/Res_4658_v1_O.pdf ; Acesso em Fev/2020

www.https://pt.wikipedia.org/wiki/Basileia_III, Acesso em Fev/2020

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001:2006. Rio de Janeiro. 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ISO/IEC

27005:2008: Tecnologia da informação - Técnicas de segurança - Gestão de
riscos de segurança da informação. Rio de Janeiro, 2008.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. NBR ISO/IEC
38500:2009: Governança corporativa de tecnologia da Informação. Rio de
Janeiro, 2009.

WESTPHALL, C. B. Environments, services and network management for

green clouds. IARIA GLOBENET, March 2012. Disponível em:
<http://www.iaria.org/conferences2012/_lesICONS12/AGreenCloud-
GLOBENET2012.pdf>. Acesso em Fev/2020;

NAKAMURA, E. T.; GEUS, P. L. Segurança de Redes em Ambientes

Cooperativos. São Paulo: Novatec, 2010. 482 p.

MOREIRA,L.O.;MACHADO, J.C. M.(2009); Computação em Nuvem:

Conceitos, Tecnologias, Aplicações e Desafios.VRANDESEN,R. S.;

MAGALHÃES, W.B. (2013) Conceitos e aplicações da computação em nuvem.

PEDROSA, P.H.C.;

FERREIRA,Marina ;ANDRADE,César.; disponível em

http://uniesp.edu.br/sites/_biblioteca/ revistas/20170531133522.pdf , Acesso
em Fev/2020;.

VELTE, Anthony T. Computação em Nuvem: Uma Abordagem Prática. Rio de

Janeiro: Alta Books, 2009.
 ANEXO I
LEI Nº 12.965, DE 23 DE ABRIL DE 2014.

Presidência da República
Casa Civil
Subchefia para Assuntos Jurídicos
LEI Nº 12.965, DE 23 DE ABRIL DE 2014.
Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1o Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e
determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em
relação à matéria.
Art. 2o A disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de
expressão, bem como:
I - o reconhecimento da escala mundial da rede;
II - os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios
digitais;
III - a pluralidade e a diversidade;
IV - a abertura e a colaboração;
V - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VI - a finalidade social da rede.
Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios:
I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da
Constituição Federal;
II - proteção da privacidade;
III - proteção dos dados pessoais, na forma da lei;
IV - preservação e garantia da neutralidade de rede;
V - preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas
compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;
VI - responsabilização dos agentes de acordo com suas atividades, nos termos da lei;
VII - preservação da natureza participativa da rede;
VIII - liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais
princípios estabelecidos nesta Lei.
Parágrafo único. Os princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico
pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja
parte.
Art. 4o A disciplina do uso da internet no Brasil tem por objetivo a promoção:
I - do direito de acesso à internet a todos;
II - do acesso à informação, ao conhecimento e à participação na vida cultural e na condução dos assuntos
públicos;
III - da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso e acesso; e
IV - da adesão a padrões tecnológicos abertos que permitam a comunicação, a acessibilidade e a
interoperabilidade entre aplicações e bases de dados.
Art. 5o Para os efeitos desta Lei, considera-se:
I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para
uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio
de diferentes redes;
II - terminal: o computador ou qualquer dispositivo que se conecte à internet;
III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para
permitir sua identificação, definido segundo parâmetros internacionais;
IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP
específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional
responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País;
V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela
internet, mediante a atribuição ou autenticação de um endereço IP;
VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma
conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de
pacotes de dados;
VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um
terminal conectado à internet; e
VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de
uso de uma determinada aplicação de internet a partir de um determinado endereço IP.
Art. 6o Na interpretação desta Lei serão levados em conta, além dos fundamentos, princípios e objetivos
previstos, a natureza da internet, seus usos e costumes particulares e sua importância para a promoção do
desenvolvimento humano, econômico, social e cultural.

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 29. O usuário terá a opção de livre escolha na utilização de programa de computador em seu
terminal para exercício do controle parental de conteúdo entendido por ele como impróprio a seus filhos
menores, desde que respeitados os princípios desta Lei e da Lei no 8.069, de 13 de julho de 1990 -
Estatuto da Criança e do Adolescente.
Parágrafo único. Cabe ao poder público, em conjunto com os provedores de conexão e de aplicações de
internet e a sociedade civil, promover a educação e fornecer informações sobre o uso dos programas de
computador previstos no caput, bem como para a definição de boas práticas para a inclusão digital de
crianças e adolescentes.
Art. 30. A defesa dos interesses e dos direitos estabelecidos nesta Lei poderá ser exercida em juízo,
individual ou coletivamente, na forma da lei.
Art. 31. Até a entrada em vigor da lei específica prevista no § 2o do art. 19, a responsabilidade do
provedor de aplicações de internet por danos decorrentes de conteúdo gerado por terceiros, quando se
tratar de infração a direitos de autor ou a direitos conexos, continuará a ser disciplinada pela legislação
autoral vigente aplicável na data da entrada em vigor desta Lei.
Art. 32. Esta Lei entra em vigor após decorridos 60 (sessenta) dias de sua publicação oficial.

Brasília, 23 de abril de 2014; 193o da Independência e 126o da República.

DILMA ROUSSEFF
José Eduardo Cardozo
Miriam Belchior
Paulo Bernardo Silva
Clélio Campolina Diniz
Este texto não substitui o publicado no DOU de 24.4.2014
 ANEXO II
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.

Lei Geral de Proteção de Dados Pessoais (LGPD).

(Redação dada pela Lei nº 13.853, de 2019)

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas
pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei nº 13.853, de 2019)
Vigência
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da
cidadania pelas pessoas naturais.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde
estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº
13.853, de 2019) Vigência
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no
momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput
do art. 4º desta Lei.
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso
compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de
dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de
proteção de dados pessoais adequado ao previsto nesta Lei.

§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que
deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público,
observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta
Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de
direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto
de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste
artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas
no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de
dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput
deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital
integralmente constituído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019)
Vigência
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em
suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
(Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por
meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado
pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,
independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de
dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos
no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos,
ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos
direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa
jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e
foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa
básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e (Redação dada pela Lei
nº 13.853, de 2019) Vigência
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar
o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei nº 13.853, de 2019)
Vigência
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao
titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o
contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do
tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados,
de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e
industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação
ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou
abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e
capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.

CAPÍTULO X
DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 60. A Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet) , passa a vigorar com as
seguintes alterações:
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu
requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de
registros previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais;
(NR)
II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento
pelo seu titular, exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais.”
(NR)
Art. 61. A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei,
independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou
representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório
instalado no Brasil.
Art. 62. A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio
Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados
tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro
de 1996 (Lei de Diretrizes e Bases da Educação Nacional) , e aos referentes ao Sistema Nacional de
Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004 .

Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados
constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de
tratamento e a natureza dos dados.
Art. 64. Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento
jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do
Brasil seja parte.
Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei nº 13.853, de 2019)
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I,
55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei nº 13.853, de 2019)
II - em 3 de maio de 2021, quanto aos demais artigos. (Redação dada pela Medida Provisória nº 959,
de 2020)

Brasília , 14 de agosto de 2018; 197º da Independência e 130º da República.

MICHEL TEMER
Torquato Jardim
Aloysio Nunes Ferreira Filho
Eduardo Refinetti Guardia
Esteves Pedro Colnago Junior
Gilberto Magalhães Occhi
Gilberto Kassab
Wagner de Campos Rosário
Gustavo do Vale Rocha
Ilan Goldfajn
Raul Jungmann
Eliseu Padilha