PÓS-GRADUAÇÃO EM

CIBERSEGURANÇA

CIBERHACKING
PROFESSOR RONALDO LEMOS
AULA 3
 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

SEGURANÇA DE DADOS E A LGPD

Em uma sociedade cada vez mais conectada, surge na Europa uma

legislação destinada a proteger dados (GDPR). Inspirada nessa iniciativa, o
Brasil elabora a Lei Geral de Proteção de Dados (LGPD) – Lei n° 13.853/2019 –,
que deve entrar em vigor em maio de 2021 ou, no máximo, em julho de 2021.

Antes, havia apenas normas esparsas e de caráter setorial. Um dos principais

destaques da aprovação da LGPD é a criação da Autoridade Nacional de
Proteção de Dados (ANPD).

Isso quer dizer que aplicação da lei será centralizada por essa autoridade,
que será vinculada à Presidência da República e referendada pelo Congresso
Nacional.

Além de aplicar a Lei, a ANPD terá o papel de fiscalizar se as empresas estão

cumprindo as normas.
 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

CONCEITOS IMPORTANTES DA LGPD

Titular do dado Controlador

Pessoa natural ou jurídica, de

Pessoa natural a quem se direito público ou privado, a
referem os dados pessoais, que quem competem às decisões
é objeto de tratamento. referentes ao tratamento de
dados pessoais.

Operador Encarregado

Pessoa (física ou jurídica)

Pessoa natural ou jurídica, de
indicada pelo controlador e
direito público ou privado, que
operador para atuar como
realiza o tratamento de dados
canal de comunicação entre o
pessoais em nome do
controlador, os titulares dos
controlador.
dados e a ANPD.

No infográfico, a seguir, conheça as definições sobre “dado pessoal”, “dado

pessoal sensível”, “anonimização” e “pseusonimização”:

PRINCÍPIOS DA LGPD

Finalidade, adequação, necessidade, livre acesso... saiba quais são os

princípios que estão presentes na legislação de proteção de dados.
 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

BASES LEGAIS

As bases legais determinam que é necessário justificar o tratamento de

dados. Confira em quais situações isso é permitido:

VOCÊ SABE QUAIS SÃO OS DIREITOS DOS TITULARES?

Depois de conhecer os princípios, saiba como eles se materializam em forma

 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

de direitos dos titulares de dados pessoais:

• Acesso – acesso aos dados pessoais tratados pelo controlador;

• Portabilidade – transferência dos dados a outro controlador, de

acordo com a regulamentação da ANPD, observados os segredos
comercial e industrial;

• Retificação – correção de dados incompletos, inexatos ou

desatualizados;

• Revogação e exclusão – revogação do consentimento para

tratamento de dados pessoais anteriormente concedido e solicitação
da eliminação dos dados pessoais tratados com o consentimento do
titular;

• Oposição – solicitar a anonimização, bloqueio ou eliminação de

dados desnecessários, excessivos ou tratados em desconformidade
com a LGPD.

SEGURANÇA DA INFORMAÇÃO

Este é um capítulo específico na LGPD, que diz o seguinte: “os agentes de

tratamento devem adotar medidas de segurança, técnicas e administrativas
capazes de proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação
ou qualquer forma de tratamento inadequado ou ilícito”.

Com isso, o objetivo é que todas as empresas tenham um sistema de proteção

da informação. Não é algo opcional. Se a organização tiver um incidente
 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

de segurança da informação e ficar provado que o sistema de proteção de

dados não era adequado, ela será penalizada.

Inclusive, a ANPD poderá dispor sobre padrões técnicos mínimos para tornar
as medidas de segurança aplicáveis, levando em consideração a natureza das
informações tratadas, as características específicas do tratamento e o estado
atual da tecnologia, especialmente no caso de dados pessoais sensíveis, bem
como os princípios de tratamento de dados pessoais da LGPD.

Os agentes de tratamento também se obrigam a garantir a segurança da

informação mesmo após o término do tratamento.

PAPEL DAS EMPRESAS

Algumas questões devem estar no rol de preocupações das organizações.

Quais medidas de segurança da informação existem para a proteção de
dados pessoais? Há alguma política voltada à mitigação de riscos em caso
de incidente de violação da segurança de dados pessoais? Entenda o que é
fundamental:

• ter uma política de segurança da informação;

• fazer gestão de identidade e acessos, incluindo perfis de acesso,

segregação funções e armazenamento de logs;

• utilizar criptografia de dados em transmissão e armazenamento;

• monitorar a segurança da rede, incluindo a utilização de firewalls e

detectores de intrusões;

• implantar um sistema de backup;

• ter segurança da informação orientada ao supply chain management.

 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

PENALIDADES: PANORAMA

Em caso de descumprimento à LGPD, sanções administrativas poderão ser

aplicadas. Entre elas, há possibilidade de aplicação de advertências, multas e
bloqueio dos dados pessoais a que se refere à infração até à sua regularização.

As multas simples podem ser de até 2% do faturamento da empresa, grupo

ou conglomerado no Brasil, no seu último exercício, limitadas, no total, a
R$ 50 milhões por infração. Há ainda a possibilidade de multa diária para
compelir a empresa a cessar tais violações.

RESPONSABILIZAÇÃO DOS AGENTES DE TRATAMENTO

Há diferentes níveis de responsabilização para controladores e operadores. O

controlador e o operador são obrigados a reparar o dano patrimonial, moral,
individual ou coletivo que causar, inclusive em decorrência da violação da
segurança dos dados ao deixar de adotar as medidas de segurança previstas
no art. 46, da LGPD.

O controlador responde solidariamente quando estiver diretamente

envolvido no tratamento do qual decorrem danos. O operador responde
solidariamente quando não obedecer à lei e não seguir às instruções lícitas
do controlador.

Para que os agentes de tratamento não sejam responsabilizados, devem

provar:

I. que não tenham realizado o tratamento de dados pessoais;

II. que não houve violação à legislação de proteção de dados;

 FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

III. que o dano é decorrente de culpa exclusiva do titular dos dados ou

de terceiro.

PROTEÇÃO DE DADOS PESSOAIS

A proteção de dados representa uma tendência normativa global,

impulsionada pela lei europeia de proteção de dados (GDPR), em vigor
desde 2018, pelos constantes escândalos envolvendo tratamento indevido
de dados pessoais.

A aprovação de uma lei nesse sentido e a criação de uma autoridade,

portanto, geram maior segurança jurídica em relação ao tratamento de
dados pessoais. É importante ressaltar que esse processo não impede a
inovação. Ao contrário, a correta utilização de dados pessoais é benéfica para
a economia, gerando eficiência em mercados existentes e possibilitando o
surgimento de negócios inovadores.

A proteção de dados demanda postura proativa da empresa na adoção de

boas práticas em relação às atividades que envolvem o tratamento de dados
pessoais e também requer a implantação de projetos de conformidade com
a LGPD o mais breve possível, tendo em vista a proximidade da entrada em
vigor da lei.