Escolar Documentos
Profissional Documentos
Cultura Documentos
Revisão
Ana Carolina Santana
Josiane Banov Russo
Maria Lúcia do Nascimento Legaspe
Matheus Paris Orsi
Wellinghton Akira Komiyama
Editoração
André Feitoza Roque
Aprovação
José Augusto de Lima Prestes
Marcos Aurelio Paixao
Product Manager
Atualmente, trabalha com práticas ágeis, como Scrum, XP, Lean, Business
Model Canvas e Kan-Ban, para criar produtos inovadores, usando estratégias
eficazes que misturam perspicácia técnica e visão de mercado para desenvolver
proteção eficaz e investimento em arquitetura de software. Líder honesto e
ético com alto nível de integridade e reconhecido pelo conhecimento especiali-
zado de regras e procedimentos de conformidade, controle usando práticas de
frameworks como ITIL e CobIT. Foco em indicadores de Business Intelligence
os quais, frequentemente, trazem interesse real aos clientes em um ambiente
competitivo. Além disso, possui histórico de entregas bem-sucedidas de vários
produtos e projetos importantes em diversos segmentos.
Sumário
1. Unidade 1: Fundamentação Teórica 06
1.1. A importância da Segurança da Informação 06
1.1.1 Confidencialidade 07
1.1.2 Confiabilidade 07
1.1.3 Integridade 08
1.1.4 Disponibilidade 08
1.1.5 Autenticidade 08
1.2. Proteção de Dados Pessoais 09
1.3. Sobre a LGPD 12
1.4. Direitos Fundamentais 15
1.5. Tratamento dos Dados Pessoais 15
1.6. Ciclo de Vida dos Dados Pessoais 16
1.7. Coleta 17
1.8. Processamento 17
1.8.1 Anonimização 17
1.8.2 Identificador direto 20
1.8.3 Identificador indireto 20
1.9. Análise 20
1.10. Armazenamento 21
1.11. Reutilização 21
1.12. Compartilhamento 21
1.13. Eliminação 21
2. Unidade 2: Estudo de caso 22
2.1. Etapas para o Desenvolvimento 23
2.2. Pseudonimização 23
2.2.1. Generalização 24
2.2.2. Mixagem 24
2.2.3. Perturbação 24
2.3 Criptografia 24
2.3.1 Criptografia Simétrica 25
2.3.2. Criptografia Assimétrica 25
Sumário
3. Unidade 3: Ferramentas para Tratamentos de Dados 26
3.1. Processamento 26
3.1.1 Armazenamento 26
3.1.2 Processamento 27
3.2. Estudo de Caso: Planejamento e Desenvolvimento 27
Missão 28
Análise de Contexto 28
Embaralhamento 29
Mascaramento 30
Eliminação 30
4. Unidade 4: Fechamento do Estudo de Caso 31
4.1. Unificando os Dados e Verificando os Resultados 31
4.1.1 Proteção 32
4.1.2 Criptografia 32
4.2. Descaracterização 33
4.3. Enriquecimento 33
4.4. Consolidar 33
Referências Bibliográficas 34
UNIDADE 1:
Fundamentação Teórica
1.1. A importância da Segurança da Informação
A Segurança da Informação é a disciplina que cuida do ciclo de vida da informa-
ção, objetivando mitigar os riscos associados à sua má utilização (como, por exemplo, o
acesso indevido, compartilhamento não autorizado e eliminação inadequada).
Uma simples falha pode causar um enorme estrago, que vai desde a exposição
dos valores financeiros movimentados durante um período até a perda de clientes — já
que os seus nomes e contatos estarão na base de dados e os hackers podem usá-los
para beneficiar a concorrência.
06
Dentro do que estabelece a LGPD, as empresas devem se certificar de que os
dados pessoais, dados pessoais sensíveis e dados anonimizados são utilizados de for-
ma ética, justa, legal e transparente, para fins específicos e explícitos, adequadamente,
relevante e limitada apenas ao que é necessário e preciso, mantidos armazenados pelo
prazo necessário ou acordado e compartilhado apenas nas formas autorizadas.
1.1.1. Confidencialidade
1.1.2. Confiabilidade
07
1.1.3. Integridade
1.1.4. Disponibilidade
1.1.5. Autenticidade
08
1.2. Proteção de Dados Pessoais
A criação de bancos de dados de indivíduos é prática antiga e que remonta à
Idade Média, quando a Igreja promovia registros de batismos, casamentos e óbitos.
No Brasil, a partir da década de 1950, com o advento da economia de massa (fruto da
II Revolução Industrial, do Século XIX), grandes firmas do setor varejista começaram a
montar bancos de dados dos seus consumidores e potenciais prospectos, com o pro-
pósito de análise de crédito (ZANON, 2014).
Em 1970, o Estado alemão de Hesse editou a primeira lei sobre essa matéria. A
Suécia, por sua vez, editou o Datalegen, de 1973. Em 1977, a Alemanha publicou uma
lei federal de proteção de uso ilícito de dados pessoais. A Dinamarca regulamentou a
questão da proteção de dados por duas leis em 1978, que estenderam a proteção tam-
bém para as pessoas jurídicas. A França, no ano de 1978, aprovou a primeira lei sobre
o tema. A Espanha conta com a peculiaridade de ter uma regra constitucional deter-
minando a regulamentação da proteção da privacidade contra invasões da atividade
informática. A Constituição de Portugal de 1977 tem texto ainda mais completo, pois
contempla a previsão do direito do cidadão de conhecer os dados que lhe são concer-
nentes, de que esses dados sejam utilizados de acordo com a finalidade para o qual
foram recolhidos e, ainda, de retificá-los (em caso de erro) e de atualizá-los. (MENDES,
2014).
09
A edição de leis nacionais de proteção de dados pessoais pelos países indivi-
dualmente foi um fenômeno seguido e, em alguns casos até antecipado, pela elabo-
ração de textos de caráter multinacional.
O GDPR se propõe a incrementar o nível de controle dos dados pessoais dos cida-
dãos cujos países fazem parte da União Europeia, além de reduzir as etapas burocráticas
das etapas de tratamento.
10
Um dos principais impactos do GDPR na Economia Digital como um todo foi a
exigência de que quaisquer entidades firmas (independentemente da sua localização)
que tratassem dados de indivíduo europeu ou em território da União Europeia se sujei-
tassem à disciplina da norma.
Assim como a sua antecessora, o GDPR continua sendo o padrão de referência
mundial no tratamento de dados pessoais e garantia do Direito à Privacidade.
Fonte: FIA
https://fia.com.br/blog/dpo/
11
1.3. Sobre a LGPD
A Lei nº. 13.709/2018, chamada de Lei Geral de Proteção de Dados Pessoais
(LGPD), é estruturada em artigos que definem conceitos, estabelecem princípios,
criam estruturas da Administração Pública Federal e da sociedade civil e conjugam
direitos e deveres de pessoas físicas e jurídicas.
12
Dados Pessoais
Se uma informação permite identificar, direta ou indiretamente, um indi-
víduo que esteja vivo, então ela é considerada um dado pessoal: nome,
RG, CPF, gênero, data e local de nascimento, telefone, endereço resi-
dencial, localização via GPS, retrato em fotografia, prontuário de saúde,
cartão bancário, renda, histórico de pagamentos, hábitos de consumo,
preferências de lazer; endereço de IP (Protocolo da Internet) e cookies,
entre outros.
Dados Anonimizados
É aquele que, originariamente, era relativo a uma pessoa, mas que pas-
sou por etapas que garantiram a desvinculação dele a essa pessoa. Se um
dado for anonimizado, então a LGPD não se aplicará a ele.
(fonte: https://www.serpro.gov.br/)
13
Figura 1: Proteção de dados Pessoais ao redor do mundo
Fonte: https://www.ifsc.edu.br/
14
1.4. Direitos Fundamentais
A LGPD foi promulgada para proteger os direitos fundamentais de liberdade e
de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa
sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por
pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto
de operações efetuadas em meios manuais ou digitais.
15
Extração - ato de copiar ou retirar dados do repositório em que se encontrava
Modificação - ato ou efeito de alteração do dado
Processamento - ato ou efeito de processar dados
Produção - criação de bens e de serviços a partir do tratamento de dados
Recepção - ato de receber os dados ao final da transmissão
16
Figura 2: Ciclo de Vida dos Dados
Fonte: www.xpositum.com.br
1.7. Coleta
Considerando que o tratamento de dados pode ser representado por um ciclo
de vida, essa operação representa a etapa inicial responsável por obter os dados
pessoais do cidadão (titular dos dados).
1.8. Processamento
Os dados devem estar em concordância com a infraestrutura da empresa, sendo
armazenados adequadamente de maneira segura e com os devidos perfis de acesso
devidamente distribuídos.
1.8.1. Anonimização
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
17
Vale frisar que um dado só é considerado efetivamente anonimizado se não for
possível que, via meios técnicos e de processos, haja a reconstrução do caminho que
permita descobrir o titular a quem se refere - pois, se de alguma forma a identificação
ocorrer ou for possível, então, de fato, não se estará falando de um dado anonimizado,
mas, sim, apenas, um dado pseudonimizado, que estará sujeito integralmente à disci-
plina da LGPD.
Deve-se atentar que conforme o art. 12 da LGPD os dados anonimizados não são
considerados dados pessoais e, por conseguinte, a norma não se aplica ao seu trata-
mento. Todavia, se o processo de anonimização for reversível, o conjunto originário de
dados e a base criada após a anonimização deverão continuar sendo reconhecidos como
dados pessoais ou dados pessoais sensíveis, sujeitando o seu tratamento à LGPD.
Também é importante ressaltar que de acordo com o art. 18, inciso IV, da mesma
norma, é direito do titular solicitar a anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade com a LGPD.
18
Logo, para que se categorize de fato uma anonimização (e não pseudonimiza-
ção, conforme veremos adiante) é necessária a dissociação das informações que pos-
sam identificar diretamente o indivíduo de maneira irreversível.
19
1.8.2. Identificador direto
Um atributo de dados que, por si só, não identifica um indivíduo, mas pode
fazê-lo em combinação com outra informação.
1.9. Análise
Os dados básicos deverão estar devidamente íntegros de acordo com a sua
finalidade, visando garantir que os mesmos possam ser posteriormente consultados
por diversos sistemas ou por tipos específicos de usuários ou grupos.
20
1.10. Armazenamento
O arquivamento ou armazenamento de dados pessoais independente do meio
utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de
aço, etc.).
1.11. Reutilização
O dado poderá ser utilizado pela empresa em várias circunstâncias, desde que
seja objetivamente para os fins contratados previamente.
1.12. Compartilhamento
Consiste nas tratativas de qualquer operação que envolva transmissão, distribuição,
comunicação, transferência, difusão e compartilhamento de dados pessoais.
1.13. Compartilhamento
Conforme a Lei, os dados devem ser eliminados e a mesma normatiza qual-
quer operação que visa apagar ou eliminar dados pessoais. Esta fase também con-
templa descarte dos ativos organizacionais nos casos necessários ao negócio da ins-
tituição.
21
UNIDADE 2:
Estudo de Caso
Imagine que você está entrando no Condomínio Empresarial Ltda. e que pre-
cisa se identificar informando Nome, CPF e Data de Nascimento. Nesse momento,
precisará ter atenção com os dados informados à empresa. No caso de vazamento
das informações, esses dados não poderão estar disponíveis para pessoas exteriores
à organização.
Após alguns meses, em uma consulta em sites da internet você descobre que
seus dados foram vazados sem a sua autorização e, de acordo com fontes confiáveis,
descobriu-se que os dados foram vazados a partir do Condomínio Empresarial Ltda.
22
2.1. Etapas para o Desenvolvimento
Para o desenvolvimento do Estudo de Caso, será necessário seguir as etapas
em conformidade com a legislação, devidamente elencadas a seguir:
2.2. Pseudonimização
É o meio mais seguro de tratar os dados pessoais quando ainda há um interes-
se em manter os identificadores diretos do titular.
23
2.2.1. Generalização
2.2.2. Mixagem
Exemplo prático: misturar os campos de dados para que os dados gerais ainda
pareçam os mesmos.
2.2.3. Perturbação
2.3. Criptografia
Criptografia é sobre codificar e decodificar dados. Basicamente, ela consiste em
uma prática na qual um dado é codificado por meio de um algoritmo, este algoritmo
trabalha de forma conjunta com uma chave, que define como a mensagem será
cifrada (codificada).
24
2.3.1. Criptografia Simétrica
Onde uma chave é utilizada para codificar os dados (chamada “chave pública”)
e uma outra é utilizada para decodificar os dados (chamada “chave privada”).
25
UNIDADE 3:
Ferramentas para
Tratamentos de Dados
Após a apresentação de conceitos sobre a LGPD e o tratamento dos dados, po-
demos aprender um pouco mais sobre as ferramentas disponíveis no mercado para
armazenamento e processamento dos dados.
3.1. Ferramentas
No mercado, existem diversos softwares utilizados para armazenamento e
processamento da informação. A seguir, serão listadas algumas das ferramentas
mais populares que poderão atender às necessidades da LGPD.
3.1.1. Armazenamento
26
3.1.2. Processamento
27
Para o tratamento de dados pessoais sensíveis, de forma geral, as técnicas ou
ferramentas aplicadas são as mesmas técnicas usadas para o tratamento dos dados
pessoais. Preferencialmente, no caso de dados pessoais sensíveis, recomenda-se o
uso da criptografia completa. Por exemplo, se houver a especificação da religião do
titular , o ideal seria que o texto estivesse completamente criptografado, não sendo
aconselhadas as técnicas de embaralhamento ou descaracterização.
O tratamento dos dados será realizado através da criação de uma base espe-
lhada à base original, com os dados devidamente modificados através das técnicas
adequadas para cada tipo de informação, sempre levando-se em consideração as
premissas de confidencialidade e confiabilidade da norma ABNT NBR ISO/IEC 27001.
3.2.1. Missão
Os dados pessoais deverão ser modificados para que possam estar em concor-
dância com as práticas da LGPD garantindo a confidencialidade das informações dos
clientes.
28
Nomes Próprios: Os nomes dos clientes precisarão sofrer modificação
na nova base para que possam, em caso de vazamento, representar a segurança para
as pessoas envolvidas;
Confidencialidade: Uma vez que os dados estejam devidamente anoni-
mizados, deverá existir uma conexão com o dado original para garantir que somente
pessoas autorizadas possam ter acesso a ele.
3.3. Embaralhamento
Esta técnica requer conhecimento tanto sobre a estrutura da base quanto so-
bre o conteúdo gravado e do quão relevante este dado é para o desenvolvimento e
testes, por isso muitas vezes é descartada pelo administrador dos dados ou respon-
sável pela disponibilização dos mesmos.
29
3.4. Embaralhamento
O DDM (Máscara de Dados Dinâmicos) limita a exposição de dados confiden-
ciais aplicando uma máscara para usuários sem privilégios. Ele pode ser usado para
simplificar o design e a codificação de segurança nas aplicações.
Para exemplificar, a figura abaixo mostra o * (asterisco) para não mostrar senhas.
3.5. Eliminação
No final da etapa de processamento e após os dados estarem devidamente
anonimizados, os demais dados deverão ser eliminados ou movidos para uma base
segura, conforme as políticas de governança de dados da empresa.
30
UNIDADE 4:
Fechamento do
Estudo de Caso
Chegamos ao último módulo desta apostila. Até aqui, aprendemos conceitual-
mente e, na prática, como anonimizar uma base de dados. Foram apresentadas ferra-
mentas disponíveis no mercado e na Plataforma da QualiFacti haverá a indicação de
outros materiais de apoio que poderão servir para a pesquisa e aprofundamento no
aprendizado.
31
Preparação: os dados foram preparados para adequar às técnicas de Ano-
nimização?
Organização: a empresa possui efetivos mecanismos de controle de aces-
so aos dados?
Implementação: uma vez aplicadas as técnicas, as mesmas garantem que
os dados não serão expostos em caso de vazamento?
Governança: existirá adequação entre as normas da empresa e a exigên-
cia legal conforme a LGPD?
Desta forma, serão avaliados os possíveis riscos com o resultado final apresenta-
do para uma reflexão sobre o Condomínio Empresarial LTDA citados e se as técnicas
apresentadas poderiam mitigar esta relação.
4.1.1. Proteção
A planilha final deverá conter os dados que deverão estar devidamente desca-
racterizados de maneira a não possibilitar a identificação detalhada dos mesmos.
4.1.2. Criptografia
32
4.2. Descaracterização
Alguns dados precisarão receber outros identificadores os quais não poderão
representar o dado original de maneira literal. Por exemplo, para um dado com o
texto “Maria”, em uma representação descaracterizada, a mesma poderá chamar-se
“Joana”, respeitando a natureza de gênero.
4.3. Enriquecimento
Utilizar fontes externas para enriquecer os dados a fim de melhorar a utiliza-
ção estatística da amostra de dados.
4.4. Consolidar
Chegou a hora de consolidar nosso aprendizado.
1. Você terá de criar uma nova aba na planilha que vem sendo trabalhada
durante todo o período do curso;
2. Nesta nova aba, você irá fazer todos as ações solicitadas de acordo com
as técnicas aprendidas. As tarefas serão apresentadas em aula.
33
Referências bibliográficas
ALVES, David; PEIXOTO, Mario; ROSA, Thiago. Internet Das Coisas (IoT): Segu-
rança e Privacidade dos Dados Pessoais. Brasil: 2021.
ALVES, Gervânia. Ciclo de Vida dos Dados e LGPD. Disponível em: https://www.
xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd. Acesso em 26/10/2021.
ABNT. ABNT CATÁLOGO, Norma ABNT NBR ISO/IEC 27001:2013. Disponível em:
<http://www.abntcatalogo.com.br/norma.aspx?ID=306580>. Acesso em 01/10/2021.
BRASIL, Presidência da República. Lei Nº 13.709. Disponível em <http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm> . Acesso em
01/10/2021.
34
IFSC. LGPD - Lei Geral de Proteção de Dados. Disponível em <https://www.ifsc.
edu.br/21-lgpd-lei-geral-de-protecao-de-dados>. Acesso em 01/10/2021.
ZANON, João Carlos. Direito a Proteção dos Dados Pessoais. Brasil: Revista dos
Trinunais, 2014.
35