TRABALHO DE INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Trabalho realizado pelos alunos inclusos na disciplina Introdução à Segurança da

Informação (Turma 3008)
Alunos:
Jenifer Gonçalves Brito
Jonas Moreira dos Santos de Araújo
Maiara Godinho Baltazar
Maycon Gomes de Souza
Yago da Silva Gomes

Niterói
Abril de 2023
I. SEGURANÇA DA INFORMAÇÃO

Segurança da informação é o conjunto de medidas que visam proteger as

informações de uma organização contra ameaças que possam comprometer sua
confidencialidade, integridade e disponibilidade. Essas ameaças podem ser causadas
por falhas humanas, falhas de sistemas, ações maliciosas de hackers e outras formas
de ataques cibernéticos.

A segurança da informação envolve a implementação de controles de

segurança, políticas e procedimentos que ajudam a prevenir, detectar e responder a
incidentes de segurança. Alguns exemplos de medidas de segurança da informação
incluem a implementação de firewalls, antivírus, criptografia, autenticação de usuários,
backup de dados e ações de conscientização dos usuários sobre as melhores práticas
de segurança.

A segurança da informação é importante para qualquer organização que lida

com informações sensíveis e confidenciais, como dados de clientes, informações
financeiras e dados de propriedade intelectual. A perda ou o comprometimento dessas
informações pode levar a prejuízos financeiros, danos à reputação da empresa e
violações regulatórias. Por isso, é essencial que as empresas adotem medidas de
segurança da informação efetivas para proteger seus ativos de informação.

A administração da segurança pode ser contemplada em 04 (quatro) fases:

1ª fase: Planejamento.

Na fase de planejamento é desenvolvido uma serie de características da

política de segurança da informação dentro da empresa. Essas características são as
conseguintes: comprometimento e responsabilidade dos líderes do comitê,
padronização e modelo das tarefas, a sustentação por documentação e confiabilidade,
análise e examinação das condutas das equipes e uma enumeração de
detalhamentos objetivos. Além disso, nesta fase, é importante traçar o perfil da
ameaça, bem como realizar uma avaliação de risco de segurança para identificar
empecilho, gargalos e ameaças.

2ª fase: Operacionalização.

Na operacionalização, é realizado a permissão da utilização de recursos

oficialmente reconhecidos e autorizados pela firma. Os líderes devem estar atentos e
informando sobre a saída do funcionário pelas partes envolvidas.

3ª fase: Acompanhamento.

O emprego dos dados e informações fora da área empresarial, deve

minimamente, ser protegida e cumprir as normas específicas da empresa. As pessoas
visitantes da empresa devem ser acompanhadas por funcionários autorizados. Além
dos empregadores e prestadores de serviço não podendo usufruir de dados,
informações e recursos durante o cumprimento do contrato e seu fim, sem o
consentimento oficial da Diretoria.

4ª fase: Avaliação.

Nessa fase, deve ser analisado e examinado todo o processo de seguridade

da informação, investigando possíveis reparos caso necessite.

A informação possui um ciclo de vida: criação, transporte, manuseio e descarte.

a criação da informação abrange a geração e coleta das informações que podem vir
de múltiplas fontes externas. já o transporte se refere à transferência da informação
de um ponto origem para um ponto destino. aqui, é necessário atenção ao aspecto de
segurança, como a confidencialidade e garantia de qualidade de dados. o manuseio
é a etapa que faz o tratamento e manipulações que podemos realizar com a
informação. por fim, o descarte se refere a todos os atos que precisamos realizar para
eliminar a informação, como verificar o período que ela deve ser mantida antes de ser
eliminada e quais cuidados devem ser tomados para que, no momento da eliminação,
não seja acessado por ninguém. o transporte antes do manuseio é o mais comum,
porém o manuseio poderá vir antes.

Durante todas as etapas, a informação deve ser protegida. No caso do

transporte de mídias magnéticas contendo informações sigilosas de usuários de
determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia,
que pode ser definida como o embaralhamento das informações por meio de uma
sequência de dados que utiliza uma chave e um algoritmo. Esta chave é usada para
embaralhar (criptografar) e desembaralhar (decriptografar) as informações. Quando a
mesma chave é usada nas duas etapas, a criptografia é dita simétrica; quando são
usadas chaves distintas, ela é assimétrica

II. PRINCÍPIOS/ASPECTOS/PILARES BÁSICOS DA SEGURANÇA DA

INFORMAÇÃO

1) Confidencialidade: acesso à informação apenas por pessoas devidamente

autorizadas. restrição de acesso à informação.

2) Integridade: não alteração da informação. Veracidade da informação, ou seja,

esta não deve ser corrompida.

3) Disponibilidade: trata do acesso à informação por pessoas autorizadas sempre

que tenham necessidade ou dentro do período pré-estabelecido.
 Estes três aspectos correspondem à prioridade do que deve ser protegido em
relação à informação. Portanto, a segurança da informação pode ser definida como
as atividades, os procedimentos e as metodologias que objetivam a proteção da
informação, principalmente no que tange à confidencialidade, integridade e
disponibilidade (CID).

Os aspectos seguintes, contudo, também são considerados importantes:

A) Autenticidade: assegura que a informação foi gerada por pessoa ou sistema

autorizado para isso.
B) Legalidade: alinha informação e/ou dos processos com normas, portarias, leis
e quaisquer outros documentos normativos, cada um na sua respectiva esfera
de atribuição e abrangência.
C) Não repúdio: Relaciona-se ao fato de o emissor negar a autoria de uma
informação divulgada. Também é conhecido como irretratabilidade.

III. SEGURANÇA FÍSICA E LÓGICA

A segurança física é fundamental para garantir a proteção dos equipamentos

que armazenam os dados sensíveis de uma empresa. Além de proteção contra furtos
e vandalismos, é importante também prevenir contra desastres naturais, como
incêndios, inundações, terremotos, entre outros. É importante que os equipamentos
estejam em locais seguros e que haja cópias de backup em locais distantes para
garantir a disponibilidade dos dados em caso de problemas. Além disso, é necessário
que haja um controle de acesso rigoroso aos locais onde os equipamentos estão, com
monitoramento por câmeras e restrição de entrada apenas a pessoas autorizadas.

Já a segurança lógica é uma parte importante da segurança da informação e

abrange medidas baseadas em software para proteger sistemas e dados. Além dos
exemplos que você mencionou, a segurança lógica também inclui a detecção e
prevenção de intrusões, o monitoramento de atividades suspeitas e a realização de
backups regulares dos dados. É importante implementar essas medidas de segurança
de forma adequada e atualizá-las regularmente para garantir a proteção contínua dos
sistemas e dados contra ameaças cibernéticas.

Outros exemplos são as listas de controle de acesso, a criptografia, e o firewall.

A criptografia é uma técnica fundamental para garantir a segurança da

informação, já que ela permite que os dados sejam codificados de forma a torná-los
ininteligíveis para pessoas não autorizadas. Existem diversos algoritmos
criptográficos disponíveis, cada um com suas próprias características e níveis de
segurança. Além disso, é importante utilizar chaves seguras para a criptografia, para
evitar que as informações possam ser decodificadas por meio de ataques de força
bruta ou outras técnicas de quebra de criptografia.

O modo de funcionamento da criptografia é simples: os dados legíveis de um

arquivo são codificados para que pareçam aleatórios. Trata-se de um mecanismo que
se baseia no uso de uma chave criptográfica, que consiste em um conjunto de valores
matemáticos disponibilizado para o remetente e o destinatário.

1) Criptografia simétrica: a chave simétrica é o modelo mais comum e simples. Nela,

uma mesma chave é utilizada tanto pelo emissor como pelo receptor da mensagem.
Nesta classe de algoritmos é composta, entre outros exemplos, Cifra de César
Blowfish, Twofish e Rijnadel. Graças a esse tipo de criptografia, é possivel assegurar
a confidencialidade da informação.
2) Criptografia assimétrica: também conhecida como “chave pública”, trabalha tanto
no modo privado quanto no público. Ela se caracteriza por algoritmos que
normalmente envolvem técnicas matemáticas mais sofisticadas. Este tipo de
criptografia trabalha com dois tipos de chave, uma dessas chaves e para cifrar e a
outra para decifrar, tais chaves são :

2.1) Pública: o usuário deverá criar uma chave de codificação e encaminhá-la

para o receptor, para que possa ter acesso ao conteúdo.

2.2) Privada: Está chave e secreta, esta sobe posse do usuário.

Há, ainda outros tipos de criptografia, quais sejam:

a) AES (Advanced Encryption Standard): essencialmente, o AES é uma forma de

criptografia rápida e altamente segura, favorita de empresas e governos em
todo o mundo, Sua criptografia é feita em blocos de 128 bits, mas as chaves
podem ser aplicadas também em 192 e 256 bits, tornando essa chave
extremamente difícil de ser quebrada em ataques convencionais.

b) SAFER (Secure and Faster Ecryption Routine): nesse modelo a criptografia e

feita em 64 bits. Porém e uma criptografia muito frágil, fazendo que fossem
desenvolvidas opções mais complexas e mais seguras, como o SK-40 e o SK-
128 bits.

c) IDEA (International Data Encryption Algorithm): é uma chave que opera em 64

bits e utiliza chaves de 128 bits. Ela trabalha embaralhando os textos,
impedindo o realinhamento para a sua leitura de forma correta. Sua estrutura é
bastante semelhante à do DES.
 d) DES (Data Encryption Standard): e um dos modelos mais antigos e mais
básicos de criptografia. Ele fornece uma proteção básica de apenas cerca de
56 bits, oferecendo até 72 quatrilhões de combinações. Esse método pode ser
decifrado por meio de uma técnica chamada “força bruta”. Nesse caso, um
programa testa, constantemente, todas as possibilidades de chave, de forma
automatizada e por horas seguidas. Como é um sistema de proteção básica,
oferece uma segurança reduzida para o usuário.

IV. QUAIS OS PROBLEMAS QUE OCORREM POR DESCONHECIMENTO DOS

PROCEDIMENTOS BÁSICOS DE SEGURANÇA POR PARTE OS USUÁRIOS?

Um dos parâmetros da segurança da informação é de que esta é

responsabilidade de todos. Desta forma, cada usuário deverá zelar pela segurança
dos seus dados e informações.

Determinadas ações são essenciais para esta proteção, como:

➔ o uso de senhas “fortes”: algumas pessoas utilizam datas comemorativas como

senhas. Tal comportamento, é extremamente arriscado, pois é uma informação
fácil de ser descoberta. Outra atitude igualmente insegura, é utilizar a mesma
senha para diferentes locais. Logo, as senhas precisam ser “aleatórias”, ou
seja, números que não representem datas comemorativas, por exemplo,
utilização de caracteres especiais (ex.: @), letras maiúsculas e minúsculas e,
por fim, criar senhas diversas para locais diversos.

➔ atualizar o antivírus: não há eficácia em ter um excelente antivírus, se este não

estiver atualizado. Isso porque, surgem novos vírus a cada dia. Desta forma,
para proteger os dados e informações das novas ameaças, o antivírus deve ser
atualizado.
 ➔ não abrir links enviados por e-mails desconhecidos.

➔ apenas fazer download em sites confiáveis (fornecedores oficiais).

➔ manter o sistema atualizado e habilitar o firewall.

➔ manter patches de segurança atualizados.

Caso o usuário não zele pela sua própria segurança, poderá ter diversos
prejuízos. um exemplo comum é fazer compras online em loja desconhecida, de
“procedência duvidosa”. Talvez, o proprietário não esteja de má-fé, porém se não
houver um sistema de garantia de proteção aos clientes, um invasor poderá descobrir
as vulnerabilidades e aplicar golpes, como por exemplo, “roubar” dados do cartão de
crédito do usuário que foi utilizado na compra.

Outro exemplo de ameaça que poderá ser evitada por um simples

comportamento do usuário, é a invasão de contas no aplicativo WhatsApp.
Geralmente, o invasor se apropria da conta do usuário e envia mensagens para seus
contatos solicitando dinheiro em nome do proprietário, por exemplo. Nesse caso, a
simples utilização de senha poderá evitar essa invasão, bem como o uso de métodos
de autenticação. Repare, ainda, que a pessoa que está “do outro lado da tela” também
deve zelar pela sua segurança. Ela recebeu uma informação (a solicitação de envio
de dinheiro) e deverá averiguar se é verdadeira, ligando para o titular da conta, por
exemplo.
 Ainda sobre comportamentos que dependem do usuário, o famoso “Cavalo de
Tróia" é simples de ser evitado. Basta não realizar downloads em sites desconhecidos
ou arquivos advindos de e-mail que não se saiba a procedência.

O Cavalo de Tróia é um programa que oculta um malware1 e se infiltra no

sistema operacional no momento em que se realiza o download que o contém. Esse
malware possui uma função, que pode variar de objetivos, mas sempre prejudiciais,
como a modificação, cópia ou exclusão de dados.

Ante todo o exposto, fica evidente que a proteção de informações não depende
apenas de um bom dispositivo ou um excelente antivírus. A segurança da informação
também depende dos usuários “comuns” do dia a dia, pois é responsabilidade de
todos.

V. PRINCIPAIS RISCOS E AMEAÇAS

Nos dias atuais, utilizamos as aplicações de software para diversas atividades

cotidianas, como por exemplo, compras online e movimentações financeiras.

Vulnerabilidade é o defeito de segurança no software. Na prática, essas

vulnerabilidades são pontos fracos na segurança de um sistema e o expõe a um risco
de invasão. Esse risco é o que chamamos de ameaça. Dessa forma, ameaça, no
contexto de segurança da informação, é qualquer coisa que possa explorar uma
vulnerabilidade de forma intencional ou acidental para obter dados de forma indevida
ou prejudicar o funcionamento correto do sistema. Concretamente, alguns exemplos

1
Malware é um termo genérico para qualquer tipo de software malicioso projetado para prejudicar ou explorar qualquer dispositivo, serviço
ou rede programável.
de ameaça são tentativas de ataques, roubos, acidentes, incêndios, perdas e
corrupção de dados.

Durante a pandemia COVID-19, houve um aumento significativo nos ataques

cibernéticos. Com a maioria das empresas e organizações trabalhando remotamente,
os hackers aproveitaram essa vulnerabilidade para explorar falhas de segurança e
lançar ataques cibernéticos cada vez mais sofisticados. Além disso, o aumento do uso
da tecnologia e da internet durante a pandemia também contribuiu para a escalada
dos ataques.

Embora os investimentos em cibersegurança tenham aumentado nos últimos

anos, os ataques cibernéticos continuam sendo uma ameaça constante para
empresas e organizações em todo o mundo. É importante que as empresas
implementem medidas de segurança adequadas e estejam preparadas para enfrentar
esses desafios em constante evolução.

A CyberEdge Group, por exemplo, é uma empresa de consultoria em

cibersegurança que oferece serviços de consultoria, pesquisa e marketing para
empresas que desejam aprimorar a segurança de seus sistemas e dados. A empresa
publica anualmente o Relatório de Tendências em Segurança Cibernética, que
oferece insights sobre as principais ameaças e desafios enfrentados pelas empresas
em relação à cibersegurança.

Em geral, os setores que estão mais expostos a ataques cibernéticos são

aqueles que lidam com informações sensíveis e confidenciais, como setores
financeiros, de saúde e governamentais.
 O setor financeiro é um alvo frequente de ataques cibernéticos, pois lida com
dados financeiros e pessoais de clientes. Os ataques podem incluir tentativas de
roubo de informações bancárias, fraude de cartão de crédito, phishing e malware.

O setor de saúde também é vulnerável a ataques cibernéticos, pois lida com

informações médicas e pessoais de pacientes, como históricos médicos e
informações de seguros. Os ataques cibernéticos podem colocar em risco a
privacidade e a segurança dos dados dos pacientes, bem como interromper a
prestação de serviços de saúde.

O setor governamental também é um alvo frequente de ataques cibernéticos,

pois os governos coletam e armazenam grandes quantidades de dados confidenciais,
incluindo informações pessoais de cidadãos, dados de empresas e informações de
segurança nacional. Os ataques cibernéticos ao governo podem ter consequências
graves para a segurança nacional, além de colocar em risco a privacidade dos
cidadãos.

Havendo vulnerabilidade nos sistemas, os principais risco são:

1) Roubo de dados: roubo de segurança" se refere a um tipo de crime acesso em

que uma pessoa ou organização obtém não autorizadas a informações ou
recursos protegidos por medidas de segurança. Por exemplo, isso pode incluir
o roubo de senhas ou outras informações de login, a violação de sistemas de
segurança física (como fechaduras e alarmes) ou o acesso ilegal a redes de
computadores ou servidores.

2) Espionagem industrial: a espionagem industrial é um tipo de atividade ilegal em

que uma empresa busca obter informações eficazes ou estratégicas de um
 concorrente, a fim de ganhar vantagem competitiva. A espionagem industrial
pode ser realizada de diversas maneiras, incluindo a contratação de espiões
para se infiltrar nas empresas concorrentes

3) Hackers de senhas: um "hacker de senhas" (ou "cracker de senhas") é uma

pessoa que utiliza técnicas de invasão de sistemas para descobrir senhas de
usuários. Essas técnicas incluem o uso de programas de força bruta, que
tentam adivinhar as senhas por meio de combinações aleatórias, ou a utilização
de softwares maliciosos para capturar as senhas dos usuários.

4) Funcionários não autorizados e erros humanos: funcionários que não possuem

treinamento adequado em segurança da informação podem cometer erros ao
lidar com dados sensíveis, como compartilhar senhas, clicar em links
maliciosos ou instalar softwares não autorizados em dispositivos de trabalho.
Esses erros podem permitir que hackers obtenham acesso aos sistemas de
informações da organização e realizem atividades maliciosas, como roubo de
dados e invasão de redes, por outro lado, erros humanos podem ser cometidos
mesmo por funcionários bem treinados.

5) Software vulneráveis: essas vulnerabilidades podem permitir que um invasor

ganhe acesso não autorizado ao sistema, execute códigos maliciosos, roube
informações avance ou cause outros danos, um exemplo de software
vulnerável é o sistema operacional Windows XP da Microsoft

6) Phishing: é uma técnica de ataque cibernético em que os hackers tentam

enganar as vítimas a fornecer informações pessoais ou confidenciais, como
senhas, números de cartão de crédito ou informações bancárias. Geralmente,
os ataques de Phishing são realizados por e-mail, mensagens de texto ou sites
falsos que imitam empresas ou organizações legítimas.
VI. PROTEÇÃO DE DADOS PESSOAIS

A necessidade de proteger a privacidade dos cidadãos em um cenário global

de crescente preocupação com o uso inadequado de informações pessoais motivou
a criação da Lei Geral de Proteção de Dados (LGPD). Essa norma tem como objetivo
garantir que os indivíduos tenham mais controle sobre o tratamento de suas
informações pessoais, permitindo-lhes decidir se desejam ou não compartilhar esses
dados com entidades públicas ou privadas.

A LGPD é voltada para a proteção da imagem das pessoas naturais, buscando

promover transparência e autonomia na gestão de dados. Um dado pessoal é aquele
que pode ser utilizado para construir um histórico do indivíduo e identificá-lo,
independentemente do meio utilizado para sua criação, seja físico ou digital. Por outro
lado, os dados públicos não estão sujeitos a restrições de privacidade, segurança ou
controle de acesso reguladas por estatutos.

Esta Lei visa garantir que as empresas e organizações respeitem a privacidade

dos titulares dos dados e estejam em conformidade com a legislação.

Em resumo, a LGPD surgiu como uma resposta à necessidade de garantir a

proteção dos dados pessoais em um mundo cada vez mais conectado e com maior
circulação de informações, visando empoderar os cidadãos em relação ao uso de
suas informações pessoais.
 O artigo 7º da supramencionada lei, trata dos direitos do titular dos dados
pessoais, ou seja, a pessoa física a quem os dados se referem. Este dispositivo
apresenta dez hipóteses, ou seja, bases legais, que permitem o tratamento legítimo
de dados pessoais. É importante ressaltar que essas bases são taxativas, ou seja,
não há outras hipóteses que possam justificar o tratamento de dados pessoais além
das descritas expressamente neste artigo.

Além disso, é válido destacar que basta atender a uma das dez bases legais
para que o tratamento seja considerado legítimo, sendo possível combinar diferentes
bases legais para uma mesma atividade, considerando diferentes dados pessoais. É
importante lembrar que todas as bases legais mencionadas nos incisos II a X são
independentes do consentimento, o que significa que o consentimento do titular dos
dados pessoais não é necessário para legitimar o tratamento em algumas situações
previstas na lei.

Para tratar o artigo 7º da Lei 13.709/18, é crucial assimilar o conceito de

tratamento de dados, trazido pelo artigo 5º, X desta Lei. Segundo a LGPD, considera-
se tratamento de dados, toda operação realizada com dados pessoais, como as que
se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração. Para melhor compreensão deste
dispositivo, a seguir será destrinchado o que cada ação citada significa:

COLETA: Recolhimento de dados com finalidade específica.

PRODUÇÃO: Criação de bens e de serviços a partir do tratamento de dados.

RECEPÇÃO: Ato de receber os dados ao final da transmissão.

CLASSIFICAÇÃO: Maneira de ordenar os dados conforme algum critério

estabelecido.

UTILIZAÇÃO: Ato ou efeito do aproveitamento dos dados.

ACESSO: Ato de ingressar, transitar, conhecer ou consultar a informação, bem como
possibilidade de usar os ativos de informação de um órgão ou entidade, observada
eventual restrição que se aplique.

REPRODUÇÃO: Cópia de dado preexistente obtido por meio de qualquer processo.

TRANSMISSÃO: Movimentação de dados entre dois pontos por meio de dispositivos

elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.

DISTRIBUIÇÃO: Ato ou efeito de dispor de dados de acordo com algum critério

estabelecido.

PROCESSAMENTO: Ato ou efeito de processar dados visando organizá-los para

obtenção de um resultado determinado.

ARQUIVAMENTO: Ato ou efeito de manter registrado um dado em qualquer das fases

do ciclo da informação, compreendendo os arquivos corrente, intermediário e
permanente, ainda que tal informação já tenha perdido a validade ou esgotado a sua
vigência.

ARMAZENAMENTO: Ação ou resultado de manter ou conservar em repositório um

dado.

ELIMINAÇÃO Ato ou efeito de excluir ou destruir dado do repositório.

AVALIAÇÃO: Analisar o dado com o objetivo de produzir informação.

CONTROLE: Ação ou poder de regular, determinar ou monitorar as ações sobre o

dado.

MODIFICAÇÃO: Ato ou efeito de alteração do dado.

COMUNICAÇÃO: Transmitir informações pertinentes a políticas de ação sobre os

dados.

TRANSFERÊNCIA: Mudança de dados de uma área de armazenamento para outra,

ou para terceiro.

DIFUSÃO– Ato ou efeito de divulgação, propagação, multiplicação dos dados.

EXTRAÇÃO: Ato de copiar ou retirar dados do repositório em que se encontravam.

 Entendendo o que conceito de “tratamento de dados”, o artigo 7º da LGPD
define que as hipóteses de sua ocorrência, quais sejam:

I - mediante o fornecimento de consentimento pelo titular;

Apesar de ainda ser considerado a principal base legal, o consentimento passa

a ser apenas uma das dez hipóteses legais trazidas na legislação, sendo que todas
as outras nove hipóteses existentes independem do consentimento para que sejam
tidas como válidas.

O consentimento deve ser livre, informado e inequívoco, e que os titulares

devem ter a escolha efetiva sobre quais tipos de dados serão tratados em cada
operação. Além disso, é importante que o consentimento seja granular, permitindo que
o titular escolha, de forma específica, a finalidade para a qual autoriza o tratamento
dos dados.

A legislação não especificou o que se deve entender por “livre, informado e

inequívoco”, entretanto, é possível extrair esses conceitos do General Data Protection
Regulation (GDPR – Regulamento Geral de Proteção de Dados Europeu).

Primeiramente, para que o consentimento seja “livre”, os titulares devem optar

sobre quais tipos de dados serão tratados em cada operação. Se houver qualquer tipo
de pressão para a entrega do consentimento, este será compreendido como ilícito, eis
que não foi manifestado “livremente”.

Além disso, é importante que o consentimento seja granular, permitindo que o

titular escolha, de forma específica, a finalidade para a qual autoriza o tratamento dos
dados.
 É importante, ainda, observar o princípio da transparência, visto que, antes da
coleta dos dados pessoais, os titulares deverão ser informados acerca do ciclo de vida
do tratamento dos seus dados pessoais.

Como não há restrição à modalidade de obtenção do consentimento, essa

transparência pode ser levada a efeito de diversas formas, tais como por escrito,
áudio, vídeo, entre outros, sendo certo que em todas as situações deve ser utilizada:
i) linguagem clara (evitando termos técnicos desnecessários e adequando o texto, de
acordo com o público-alvo); ii) direta e objetiva (evitando textos longos); e iii) a língua
portuguesa (os documentos em outra língua devem ser traduzidos para o português,
a fim de que tenham validade jurídica.

É necessário informar ao titular os riscos a que pode estar sujeito em

decorrência do tratamento de seus dados pessoais, bem como as medidas adotadas
pelo controlador para mitigar esses riscos.

Ademais, o consentimento deve ser inequívoco, o que será alcançado por meio
de demonstração do controlador, no sentido de que o titular, de fato, manifestou a
autorização para que ocorresse o tratamento dos seus dados pessoais. Isso pode se
dar por meio de clique em botão, marcando opção em caixa de texto (a qual deve vir
desmarcada, por padrão), gravando áudio ou vídeo confirmando a aceitação dos
termos.

Opções pré-selecionadas ou o mero silêncio passivo não serão considerados

manifestação do consentimento inequívoco, não havendo espaço para dúvida acerca
da efetiva intenção do titular. Na ausência de certeza, certamente se estará em
momento de insegurança para o controlador, o que pode ensejar o entendimento de
ilicitude do tratamento dos dados pessoais, com as consequências negativas daí
decorrentes.
 Por fim, o controlador deve adotar ferramentas capazes de demonstrar que foi
o titular que manifestou seu consentimento, evitando que outra pessoa manifeste esse
consentimento em seu lugar. Além disso, é fundamental que o controlador armazene
todas as evidências pertinentes acerca da obtenção do consentimento, para
apresentação em caso de litígio.

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

Apenas determinações legais ou normativas podem ser utilizadas como

fundamento para o tratamento de dados pessoais. Obrigações assumidas
contratualmente não são acobertadas por essa base legal.

As determinações previstas na legislação internacional ou em melhores

práticas seguidas por determinados setores da indústria também podem ser
entendidas como base legal para o tratamento de dados, desde que haja uma análise
cuidadosa dos riscos relacionados para os titulares dos dados e para o agente de
tratamento.

É importante armazenar as evidências da realização desse estudo e análise

dos riscos, a fim de garantir a transparência e a prestação de contas por parte do
agente de tratamento.

III - pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;

A administração pública pode realizar o compartilhamento de dados pessoais

com outras entidades públicas ou privadas, desde que seja para a execução de
políticas públicas previstas em lei.
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais;

Segundo o artigo 5º desta mesma Lei, órgão de pesquisa é aquele órgão ou

entidade da administração pública direta ou indireta ou pessoa jurídica de direito
privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e
foro no País, que inclua em sua missão institucional ou em seu objetivo social ou
estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico
ou estatístico

Neste caso, poderá realizar, com o uso de dados pessoais, pesquisas de

caráter histórico, tecnológico ou estatístico. Ademais, há recomendação (não
constituindo obrigação) de que preferencialmente se realize a anonimização dos
dados , em tais situações.

V - quando necessário para a execução de contrato ou de procedimentos preliminares

relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

Estamos diante do caso em que determinados dados pessoais

necessariamente precisem ser tratados para a execução de obrigações
contratualmente firmadas, havendo pedido do titular para que tal ocorra. Assim, por
exemplo, nas situações em que o titular de dados adquira produtos ou serviços, seus
dados poderão ser tratados para essa específica finalidade, sendo impossível
executar o contrato, sem que isso ocorra.

Igualmente, procedimentos preliminares à formalização do contrato em que o

titular seja parte também poderão ensejar o tratamento de dados pessoais, desde que
haja solicitação nesse sentido. Como exemplo, é possível mencionar todos os
levantamentos realizados por instituições financeiras, anteriormente à concessão de
crédito. Certamente, o próprio titular espera que tal ocorra, com o objetivo de que, ao
final do processo, ele tenha acesso àquele montante que deseja obter junto ao banco.
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral,
esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 ( Lei de
Arbitragem);

Nas situações em que se entender que determinados dados pessoais poderão

servir como elemento para exercício de direitos em demandas em geral, eles poderão
ser armazenados, desde que para essa única e exclusiva finalidade, enquanto
subsistir tal necessidade.

Podem ser utilizados como parâmetro para retenção da informação os

respectivos prazos prescricionais previstos na legislação civil e penal. Havendo
discussão judicial, haverá fundamento para armazenamento dos dados durante todo
o prazo em que subsistir possibilidade de discussão da demanda.

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

É importante ressaltar que a proteção da vida e incolumidade física dos titulares

de dados é um critério extremamente restritivo e deve ser utilizado apenas em
situações excepcionais e de risco iminente para esses direitos fundamentais.

A obtenção de dados de geolocalização de dispositivos de telefone celular, por

exemplo, pode ser uma medida justificável para localizar pessoas em emergências,
como em casos de desastres naturais ou acidentes graves, desde que a obtenção
desses dados seja proporcional e limitada à finalidade específica de proteger a vida e
a integridade física dos titulares.

No entanto, é importante que essa obtenção de dados seja realizada de forma

transparente e com a devida autorização do titular, sempre respeitando os princípios
de privacidade e segurança das informações.
 Além disso, é fundamental que esses dados sejam mantidos em ambiente
seguro e acessível apenas por pessoas autorizadas e com necessidade de acesso
para o exercício das atividades relacionadas à finalidade específica de proteção da
vida e da integridade física dos titulares. Caso não haja mais necessidade de manter
esses dados pessoais, é importante que sejam excluídos ou anonimizados de forma
segura e definitiva, a fim de evitar qualquer risco de violação à privacidade dos
titulares.

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por

profissionais de saúde, serviços de saúde ou autoridade sanitária;

A tutela da saúde é uma base legal que pode ser utilizada para o tratamento de
dados pessoais somente nas situações descritas na lei, que envolvam atividades
relacionadas à promoção da saúde, prevenção de doenças e agravos, proteção do
indivíduo e reabilitação quando necessário.

Os profissionais da área da saúde e as entidades que fazem parte do Sistema

Nacional de Vigilância Sanitária podem se valer dessa base legal para o tratamento
de dados pessoais, desde que respeitando os princípios de privacidade e segurança
das informações, e que o objetivo específico seja a tutela da saúde.

No entanto, é importante ressaltar que essa base legal não pode ser utilizada
para qualquer outro fim que desvirtue a finalidade de proteção da saúde, e que o
tratamento de dados pessoais deve ser realizado de forma transparente e com a
devida autorização do titular.

Os serviços de saúde, como estabelecimentos destinados à promoção da

saúde e prevenção de doenças, também podem se valer dessa base legal para
sustentar suas atividades, desde que respeitem a legislação de proteção de dados
pessoais e os direitos dos titulares das informações.
IX - quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais; ou

O uso da base legal de interesses legítimos para o tratamento de dados por

terceiros ainda é um assunto controverso na interpretação da LGPD. Embora o inciso
IX do artigo 7 faça referência expressa a terceiros, o artigo 10, que trata do tema em
mais detalhes, faz menção apenas ao controlador.

Alguns entendimentos consideram que o inciso IX pode ter sido um equívoco

do legislador e que deve prevalecer o disposto no artigo 10, restringindo o uso dessa
base legal apenas ao controlador. Outros entendimentos, no entanto, afirmam que as
restrições previstas no artigo 10 não se aplicam aos terceiros, permitindo que eles
tratem dados com base nessa fundamentação.

De qualquer forma, é importante observar que a LGPD exige que o tratamento

de dados seja sempre realizado de forma transparente, respeitando os princípios de
finalidade, adequação, necessidade, livre acesso e transparência. Além disso, a LGPD
estabelece que o controlador é o responsável por garantir a proteção dos dados e
responder por eventuais danos causados aos titulares.

Portanto, qualquer terceiro que pretenda utilizar a base legal de interesses

legítimos para o tratamento de dados deve observar rigorosamente as normas de
proteção de dados estabelecidas pela LGPD, bem como adotar medidas adequadas
para garantir a segurança e privacidade dessas informações.

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O tratamento de dados de adimplência e inadimplência para decisões de

concessão de crédito deve ser feito em conformidade com a Lei do Cadastro Positivo
e o Código de Proteção e Defesa do Consumidor. A Lei do Cadastro Positivo instituiu
um sistema no qual empresas podem avaliar a reputação financeira de um consumidor
com base em informações de pagamentos em dia e histórico de crédito. O objetivo é
incentivar a concessão de crédito com juros mais baixos para os consumidores
considerados bons pagadores.

É importante ressaltar que, apesar de ser uma base legal para o tratamento de
dados, o uso de informações de adimplência e inadimplência para decisões de
concessão de crédito deve ser feito com cautela e transparência, sempre respeitando
os direitos dos titulares dos dados. Por isso, é fundamental que as empresas que
atuam nesse mercado sigam as normas e regulamentações aplicáveis, garantindo a
proteção dos dados pessoais e a privacidade dos consumidores.

§§ 1º e § 2º foram revogados.

§ 3º. O tratamento de dados pessoais cujo acesso é público deve considerar a

finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

Embora os dados possam estar publicamente acessíveis, eles ainda são

protegidos pela lei de proteção de dados, e qualquer tratamento desses dados deve
seguir os princípios de finalidade, boa-fé e interesse público. Isso significa que o uso
desses dados deve ser restrito à finalidade para a qual foram tornados públicos e não
deve desvirtuar as legítimas expectativas dos titulares dos dados. Além disso, deve
haver uma justificativa legítima e específica para o uso desses dados com base no
interesse público. Em resumo, a disponibilidade pública dos dados não retira a
proteção legal que lhes é concedida e o uso desses dados deve ser cuidadosamente
avaliado para garantir o cumprimento dos princípios de proteção de dados.

§ 4º. É dispensada a exigência do consentimento previsto no caput deste artigo para

os dados tornados manifestamente públicos pelo titular, resguardados os direitos do
titular e os princípios previstos nesta Lei.

Quando o próprio usuário torna públicos seus dados pessoais, não é

necessário obter seu consentimento para o tratamento desses dados. No entanto, é
importante ressaltar que mesmo nessa situação, os dados pessoais ainda estão
sujeitos aos princípios e direitos previstos na LGPD. Isso significa que a utilização
desses dados deve ser feita de forma adequada, respeitando os direitos dos titulares
e observando os princípios de proteção de dados. Em outras palavras, o fato de o
usuário ter tornado públicos seus dados pessoais não significa que esses dados
possam ser usados de qualquer forma sem considerar os requisitos legais de proteção
de dados.

§ 5º. O controlador que obteve o consentimento referido no inciso I do caput deste

artigo que necessitar comunicar ou compartilhar dados pessoais com outros
controladores deverá obter consentimento específico do titular para esse fim,
ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

Quando a base legal para o tratamento dos dados pessoais for o

consentimento, é necessário que o controlador obtenha o consentimento específico
do titular para a comunicação ou o compartilhamento desses dados com outro
controlador. No entanto, é importante observar as previsões do artigo 8º, § 6º da
LGPD, que estabelece que em algumas situações específicas de tratamento de
dados, não será necessário renovar o consentimento do titular. Nesses casos, é
preciso verificar se a comunicação ou o compartilhamento dos dados com outro
controlador está de acordo com a finalidade original do tratamento e se respeita os
direitos dos titulares e os demais requisitos previstos na LGPD. Se esses requisitos
forem cumpridos, o controlador poderá compartilhar os dados sem precisar obter um
novo consentimento do titular.

§ 6º. A eventual dispensa da exigência do consentimento não desobriga os agentes

de tratamento das demais obrigações previstas nesta Lei, especialmente da
observância dos princípios gerais e da garantia dos direitos do titular.

Conforme estabelecido pelo artigo 7º, § 4º da LGPD, independentemente da

base legal escolhida para tornar lícito o tratamento dos dados pessoais, é obrigatório
respeitar os princípios e direitos dos titulares dos dados. Isso significa que em
qualquer situação de tratamento de dados pessoais, é necessário observar os
princípios previstos no artigo 6º da LGPD, como a finalidade, adequação,
necessidade, livre acesso, qualidade dos dados, transparência, segurança e
prevenção, e os direitos dos titulares, como o acesso, correção, exclusão,
portabilidade e revogação do consentimento, conforme previsto nos artigos 9º e 18 da
LGPD. Em outras palavras, o cumprimento dos princípios e direitos dos titulares dos
dados é uma obrigação legal que se aplica a todas as atividades de tratamento de
dados pessoais, independentemente da base legal escolhida.

§ 7º. O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste

artigo poderá ser realizado para novas finalidades, desde que observados os
propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos
do titular, assim como os fundamentos e os princípios previstos nesta Lei.

Esse parágrafo objetiva flexibilizar o uso de dados pessoais de acesso público

ou tornados manifestamente públicos pelo titular, inclusive para novas finalidades,
desde que sejam respeitados os demais pontos relevantes da LGPD, incluindo os
fundamentos e os princípios legais.

De maneira resumida, podemos afirmar que o artigo 7º da LGPD determina que

o tratamento dos dados somente poderá ser feito:

a) com o consentimento expresso do titular;

b) para cumprimento de obrigação legal ou regulatória do controlador;
c) para execução de contrato ou procedimentos preliminares a pedido do titular;
d) em processos judiciais, administrativos ou arbitrais;
e) para atender interesses legítimos do controlador ou de terceiros, desde que
não prevaleçam os direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais.

Ressaltando que a LGPD traz diversas outras disposições e requisitos que

devem ser observados em relação ao tratamento de dados pessoais, como os
princípios de proteção de dados e os direitos dos titulares. O não cumprimento dessas
obrigações pode resultar em sanções administrativas e civis para os responsáveis
pelo tratamento de dados pessoais.

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as
seguintes finalidades:

Quando o controlador identificar que os dados pessoais estão sendo tratados

em desconformidade com as disposições da LGPD, ou quando o titular dos dados
solicitar a sua eliminação, o artigo 15 da LGPD prevê que os dados pessoais deverão
ser eliminados pelo controlador, salvo as hipóteses de cumprimento de obrigação legal
ou regulatória, transferência a terceiro ou uso exclusivo do controlador.

No entanto, é importante destacar que o artigo 16 da LGPD traz algumas

exceções a essa regra de eliminação de dados pessoais. Portanto, a eliminação de
dados pessoais deve ser feita com critério e observando as exceções previstas no
artigo 16 da LGPD. O controlador deve avaliar cuidadosamente a necessidade de
manter os dados pessoais em determinadas situações, garantindo sempre a proteção
dos direitos e liberdades fundamentais dos titulares dos dados.

I - cumprimento de obrigação legal ou regulatória pelo controlador;

É importante destacar que, em qualquer situação em que a retenção de dados

seja justificada com base em determinação legal ou regulatória, o controlador deve se
certificar de que os dados sejam mantidos apenas pelo tempo necessário para cumprir
tal obrigação. Além disso, deve-se garantir que a retenção de dados seja feita de forma
segura e que os dados sejam adequadamente protegidos contra acessos indevidos
ou vazamentos. Caso contrário, pode haver responsabilização do controlador por
eventuais danos decorrentes da retenção inadequada de dados pessoais.

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização

dos dados pessoais;
 Nas situações em que órgão de pesquisa contiver dados pessoais, eles
poderão ser guardados por prazo indeterminado, recomendando-se a realização do
processo de anonimização (conforme descrito no artigo 12), quando pertinente.

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de

dados dispostos nesta Lei; ou

O controlador poderá manter os dados pessoais mesmo após a solicitação de

eliminação pelo titular, desde que haja a necessidade de cumprimento de obrigação
legal ou regulatória pelo controlador, para o exercício regular de direitos em processo
judicial, administrativo ou arbitral, para a proteção da vida ou da incolumidade física
do titular ou de terceiro, para a tutela da saúde, com respaldo em procedimento
realizado por profissionais da área da saúde ou sanitária, ou para atender ao legítimo
interesse do controlador, conforme previsto no artigo 10 da LGPD.

Entretanto, é importante destacar que, mesmo nessas hipóteses, o controlador

deve observar os demais dispositivos da LGPD, especialmente quanto à observância
dos princípios e direitos previstos na Lei, bem como quanto à segurança dos dados.
Além disso, o controlador deve manter um registro das hipóteses em que os dados
foram retidos e das bases legais que fundamentaram essa retenção.

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.

Nas situações em que acontecer o término do tratamento dos dados, o

controlador poderá, após realizar o processo de anonimização, mantê-los restrito para
seu uso, sendo vedado o acesso por parte de terceiros.

Após o processo de anonimização, os dados deixam de ser considerados

dados pessoais e, portanto, não estão mais protegidos pela LGPD. Contudo, é
necessário que o processo de anonimização seja feito de forma adequada, garantindo
que os dados não possam ser identificados ou associados a um indivíduo em
particular. Além disso, mesmo após a anonimização, é importante respeitar outras
obrigações legais e regulatórias que possam se aplicar à utilização desses dados.