Curso preparatório ISO 27001

Curso preparatório oficial para os exames da formação
Data Protection Officer (DPO) da ITCERTS

Curso preparatório oficial para o exame da certificação Information
Security Management Foundation (ISO/IEC 27001:2022) da ITCERTS
Agenda
1 Normas 7 Apoio
2 Sobre a ISO/IEC 27001:2022 8 Operação
3 Termos e definições 9 Avaliação do desempenho
4 Contexto da organização 10 Melhoria
5 Liderança 11 Anexo A
6 Planejamento
3
Normas
Normas
■ Normas são documentos estabelecidos por consenso e aprovado por um organismo reconhecido, que
fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados,
visando a obtenção de um grau ótimo de ordenação em um dado contexto.
Normas da família ISO IEC 27000

■ As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos necessários
para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) em qualquer
organização por meio do estabelecimento de políticas de segurança, controles e gerenciamento de risco.
4
Principais normas na área de segurança da
informação
ISO/IEC 27000
■ Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
■ Referência normativa indispensável para aplicação de todas as normas da família 27000)
ISO/IEC 27001
■ Sistemas de gestão da segurança da informação — Requisitos
ISO/IEC 27002
■ Código de prática para controles de segurança da informação
ISO/IEC 27003
■ Sistemas de gestão da segurança da informação — Orientações
ISO/IEC 27004
■ Gestão da segurança da informação — Medição
5
informação
ISO/IEC 27005
■ Gestão de riscos de segurança da informação
ISO/IEC 27007
■ Auditoria em segurança da informação
ISO/IEC 27032
■ A norma ISO/IEC 27032 fornece diretrizes para tratamento de riscos relacionados à segurança cibernética
(cybersecurity), incluindo Malwares, Ataques de Engenharia Social, Hacking e Spywares.
ISO/IEC 27037
■ Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e
preservação de evidência digital (Computação Forense).
6
informação
ISO/IEC 27701:2019 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gestão da privacidade da informação
— Requisitos e diretrizes.
■ A norma ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação
(SGPI) na forma de uma extensão das ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade dentro do
contexto da organização.
ISO/IEC 29100:2020 - Estrutura de Privacidade.

■ A norma fornece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de
tecnologia da informação e de comunicação (TIC).
■ A Norma fornece uma estrutura de privacidade que:
• especifica uma terminologia comum de privacidade;
• especifica os atores e os seus papéis no tratamento de dados pessoais (DP);
• descreve considerações de salvaguarda de privacidade; e
• fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
7
informação
ISO/IEC 29134:2020 - Avaliação de Impacto de Privacidade - Diretrizes.
■ Fornece diretrizes para processo de avaliação de impacto de privacidade.
ISO/IEC 29151:2020 - Código de prática para Proteção de Dados Pessoais.

■ Estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos
requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais.
8
Outras normas importantes
ISO 31000
■ Gestão de riscos – Diretrizes.
ISO/IEC 38500
■ Governança corporativa de tecnologia da informação.
ISO 22301
■ Requisitos para um sistema de gestão da continuidade de negócios.
ISO 37301
■ Sistema de Gestão de Compliance – Requisitos com orientações para uso.
9
Sobre a ISO/IEC 27001:2022
Escopo
■ A norma ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
■ A norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação
voltados para as necessidades da organização.
■ Os requisitos definidos na norma são genéricos e são aplicáveis a todas as organizações,

independentemente do tipo, tamanho ou natureza.
■ A exclusão de quaisquer dos requisitos especificados na norma não é aceitável quando a organização busca
a conformidade com a norma.
■ Para os efeitos da norma, aplicam-se os termos e definições apresentados na ISO/IEC 27000 (visão geral e o
vocabulário).
10
Termos e definições
Controle de acesso
■ Significa assegurar que o acesso físico e lógico aos ativos seja autorizado e restrito com base em requisitos de
negócio e de segurança da informação.
Ativo
■ Qualquer coisa que tenha valor para a organização.
■ Ativos primários
• Processos e atividades de negócio
• Informação
■ Ativos de suporte e infraestrutura
• Hardware e software
• Rede
• Recursos Humanos
• Instalações físicas
11
Ataque
■ Tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso a um
ativo ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo.
Ameaça
■ Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização.
■ Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.
■ Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente
identificadas.
■ Exemplos de ameaças:
• Acesso não autorizado
• Espionagem industrial
• Ações de hackers
• Fraude
• Roubo de documentos confidenciais
• Enchente
• Incêndio, etc...
12
Autenticação
■ Provisão de garantia de que uma característica alegada de uma entidade está correta.
Autenticidade
■ Propriedade que uma entidade é o que ela alega ser.
Informações confidenciais
■ Informações que não se destinam a ser disponibilizadas ou divulgadas a indivíduos, entidades ou processos
não autorizados.
Controle
■ Medida que mantém e/ou modifica o risco.
Disrupção
■ Incidente, seja previsto ou imprevisto, que causa um desvio, não planejado e negativo da expectativa de
entrega de produtos e serviços de acordo com os objetivos da organização.
13
Dispositivo endpoint
■ Dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede.
Violação de segurança da informação

■ Comprometimento de segurança da informação que leva à destruição indesejada, perda, alteração,
divulgação de, ou acesso a, informações protegidas transmitidas, armazenadas ou tratadas de diversas formas.
Evento de segurança da informação

■ Ocorrência indicando uma possível violação de segurança da informação ou falha de controles.
Incidente de segurança da informação e Privacidade

■ Um ou mais eventos de segurança da informação e privacidade indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
14
Segurança da Informação e privacidade
■ Preservação da confidencialidade, integridade e disponibilidade da informação.
Confidencialidade
■ Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não
autorizados.
Integridade
■ Propriedade da exatidão e completeza de ativos.
Disponibilidade
■ Propriedade de estar acessível e utilizável sob demanda, por uma entidade autorizada.
15
Danos
■ São as consequências de um incidente. Os danos podem ser diretos ou indiretos.
■ Danos diretos – são consequências diretas do incidente.
• Exemplo: furto de um veículo.
■ Danos indiretos – são consequências indiretas do incidente.
• Exemplo: após o furto do veículo, a pessoa perder compromissos.
Impacto
■ Mudança adversa no nível obtido dos objetivos do negócio.
Risco de Segurança da Informação e Privacidade

■ Potencial de que ameaças possam explorar vulnerabilidades de um ativo da informação ou grupo de ativos
de informação, causando assim dano para a organização.
Risco Residual
■ Risco remanescente após o tratamento do risco.
16
Tratamento do Risco
■ Processo para modificar um risco.
Controle
■ Medida que está modificando o risco.
Competência
■ Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.
Melhoria Contínua
■ Atividade recorrente para melhorar o desempenho.
Alta direção
■ Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.
Ação corretiva
■ Ação para eliminar a causa de uma não conformidade para prevenir a repetição.
17
Informação documentada
■ Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.
Gestão de incidentes de segurança da informação

■ Exercício de uma abordagem consistente e eficaz para o manuseio de incidentes de segurança da
informação.
Sistema de informação
■ Conjunto de aplicações, serviços, ativos de tecnologia da informação ou outros componentes de manuseio
de informações.
Parte interessada (stakeholder)

■ Pessoa ou organização interessada que pode afetar, ser afetada ou perceber-se afetada por, uma decisão ou
atividade.
Não repúdio
■ Capacidade de comprovar a ocorrência de um evento ou ação declarada e suas entidades originárias.
18
Pessoal
■ Pessoas que executam trabalho sob a direção da organização.
Dados pessoais (DP)

■ Qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal informação se
relaciona ou (b) é ou pode ser direta ou indiretamente vinculada a uma pessoa natural.
Titular de DP
■ Pessoa natural a quem se referem os dados pessoais (DP).
Operador de DP
■ Parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em benefício e de acordo
com as instruções de um controlador de DP.
19
Análise crítica
■ Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado para
alcançar os objetivos estabelecidos.
Auditoria
■ Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la objetivamente
para determinar a extensão na qual os critérios de auditoria são atendidos.
Requisito
■ Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.
Conformidade
■ Atendimento a um requisito.
Não conformidade
■ Não atendimento a um requisito.
20
Política
■ Intenções e direção de uma organização, expressa formalmente por sua Alta Direção.
Análise de impacto de privacidade (PIA)

■ Processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento
de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais
ampla de gestão de riscos da organização.
Procedimento
■ Modo especificado de realizar uma atividade ou um processo.
Processo
■ Conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado
pretendido.
21
Informações sensíveis
■ Informações que precisam ser protegidas contra indisponibilidade, acesso, modificação ou divulgação
pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança nacional
ou segurança pública.
Política específica por tema

■ Intenções e direção sobre um assunto ou tema específico, como formalmente expressos pelo nível
apropriado de gestão.
Dispositivo endpoint do usuário

■ Dispositivo endpoint usado pelos usuários para acessar serviços de tratamento de informações.
Vulnerabilidade
■ Fraqueza de um ativo ou controle que pode ser explorado por uma ou mais ameaças.
22
4. Contexto da organização
4.1 Entendendo a organização e seu contexto
■ A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e
que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança
da informação.
23
4.2 Entendendo as necessidades e as expectativas das partes interessadas
■ A organização deve determinar:

• a) as partes interessadas que são relevantes para o sistema de gestão da segurança da informação;
• b) os requisitos dessas partes interessadas relevantes para a segurança da informação;
• c) quais desses requisitos serão abordados por meio do sistema de gerenciamento de segurança da
informação.
■ Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigações contratuais.
24
4.3 Determinando o escopo do sistema de gestão da segurança da informação
■ A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da

informação para estabelecer o seu escopo.
■ Quando da determinação deste escopo, a organização deve considerar:

• a) as questões internas e externas;
• b) os requisitos das partes interessadas; e
• c) as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que
são desempenhadas por outras organizações.
■ O escopo deve estar disponível como informação documentada.
25
4.4 Sistema de gestão da segurança da informação
■ A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão

de segurança da informação, incluindo os processos necessários e suas interações, de acordo com o
requisitos da norma.
26
5. Liderança
5.1 Liderança e comprometimento
■ A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação:
• a) assegurando que a política de segurança da informação e os objetivos de segurança da
informação estão estabelecidos e são compatíveis com a direção estratégica da organização;
• b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro
dos processos da organização;
• c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação
estão disponíveis;
• d) comunicando a importância de uma gestão eficaz da segurança da informação e da
conformidade com os requisitos do sistema de gestão da segurança da informação.
27
5. Liderança
5.1 Liderança e comprometimento (continuação)
■ A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação:
• e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados
pretendidos;
• f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança
da informação;
• g) promovendo a melhoria contínua; e
• h) apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às
áreas sob sua responsabilidade.
28
5. Liderança
5.2 Política
■ A Alta Direção deve estabelecer uma política de segurança da informação que:

• a) seja apropriada ao propósito da organização;
• b) inclua os objetivos de segurança da informação ou forneça a estrutura para estabelecer os
objetivos de segurança da informação;
• c) inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a segurança
da informação;
• d) inclua o comprometimento com a melhoria contínua do SGSI.
■ A política de segurança da informação deve:

• a) estar disponível como informação documentada;
• b) ser comunicada dentro da organização; e
• c) estar disponível para as partes interessadas, conforme apropriado.
29
5. Liderança
5.3 Autoridades, responsabilidades e papéis organizacionais
■ A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a
segurança da informação sejam atribuídos e comunicados.
■ A Alta Direção deve atribuir a responsabilidade e autoridade para:

• assegurar que o sistema de gestão da segurança da informação está em conformidade com os
requisitos da norma;
• relatar sobre o desempenho do sistema de gestão da segurança da informação para a Alta Direção.
30
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Geral
■ Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar

as questões internas e externas e os requisitos das partes interessadas e determinar os riscos e
oportunidades que precisam ser consideradas para:
• a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados
pretendidos;
• b) prevenir ou reduzir os efeitos indesejados; e
• c) alcançar a melhoria contínua.
■ A organização deve planejar:

• d) as ações para considerar estes riscos e oportunidades; e
• e) como:
• 1) integrar e implementar estas ações dentro dos processos do seu sistema de gestão da
segurança da informação; e
• 2) avaliar a eficácia destas ações.
31
6. Planejamento
6.1.2 Avaliação de riscos de segurança da informação
■ A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
• a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:
• 1) os critérios de aceitação do risco; e
• 2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;
• b) assegure que as contínuas avaliações de riscos de segurança da informação produzam
resultados comparáveis, válidos e consistentes;
• c) identifique os riscos de segurança da informação:
• 1) analise os riscos de segurança da informação:
• 2) avalie os riscos de segurança da informação:
■ A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da
informação.
32
6. Planejamento
6.1. 3 Tratamento de riscos de segurança da informação
■ A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação
para:
• a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da
informação, levando em consideração os resultados da avaliação do risco;
• b) determinar todos os controles que são necessários para implementar as opções escolhidas do
tratamento do risco da segurança da informação;
• c) comparar os controles determinados com aqueles do Anexo A e verificar se algum controle
necessário foi omitido;
33
6. Planejamento
6.1. 3 Tratamento de riscos de segurança da informação
■ A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação
para:
• d) elaborar uma declaração de aplicabilidade que contenha os controles necessários, e a
justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a
exclusão dos controles do Anexo A;
• e) preparar um plano para tratamento dos riscos de segurança da informação; e
• f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de
segurança da informação e a aceitação dos riscos residuais de segurança da informação.
■ A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de
segurança da informação.
34
6. Planejamento
6.2 Objetivo de segurança da informação e planejamento para alcançá-los
■ A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis

relevantes.
■ Os objetivos de segurança da informação devem:

• a) ser consistentes com a política de segurança da informação;
• b) ser mensuráveis (quando aplicável);
• c) levar em conta os requisitos de segurança da informação aplicáveis e os resultados da
avaliação e tratamento dos riscos;
• d) ser monitorado; e
• e) ser comunicado;
• f) ser atualizados conforme apropriado;
• g) estar disponível como informação documentada.
■ A organização deve reter informação documentada dos objetivos de segurança da informação.
35
6. Planejamento
6.2 Objetivo de segurança da informação e planejamento para alcançá-los (continuação)
■ Quando do planejamento para alcançar os seus objetivos de segurança da informação, a organização deve
determinar:
• h) o que será feito;
• i) quais recursos serão necessários;
• j) quem será responsável;
• k) quando estará concluído;
• l) como os resultados serão avaliados.
36
6. Planejamento
6.3 Planejamento de mudanças
■ Quando a organização determina a necessidade de mudanças no sistema de gestão de segurança da

informação, as mudanças devem ser realizadas de forma planejada.
37
7. Apoio
7.1 Recursos
■ A organização deve determinar e prover recursos necessários para o estabelecimento, implementação,

manutenção e melhoria contínua do sistema de gestão da segurança da informação.
38
7. Apoio
7.2 Competência
■ A organização deve:
• determinar a competência necessária das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurança da informação;
• assegurar que essas pessoas são competentes, com base na educação, treinamento ou experiência
apropriados;
• onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações
tomadas; e
• reter informação documentada apropriada como evidência da competência.
39
7. Apoio
7.3 Conscientização
■ Pessoas que realizam trabalho sob o controle da organização devem estar cientes da:
• política de segurança da informação;
• suas contribuições para a eficácia do sistema de gestão da segurança da informação, incluindo os
benefícios da melhoria do desempenho da segurança da informação; e
• implicações da não conformidade com os requisitos do SGSI.
40
7. Apoio
7.4 Comunicação
■ A organização deve determinar as comunicações internas e externas relevantes para o SGSI incluindo:
• a) o que comunicar;
• b) quando comunicar;
• c) para quem comunicar;
• d) quem será comunicado; e
• e) o processo pelo qual a comunicação será realizada.
41
7. Apoio
7.5 Informação documentada
7.5.1 Geral
■ O sistema de gestão da segurança da informação da organização deve incluir:

• a) informação documentada requerida pela norma;
• b) informação documentada determinada pela organização como sendo necessária para a eficácia
do sistema de gestão da segurança da informação.
42
7. Apoio
7.5.2 Criando e atualizando
■ Quando da criação e atualização da informação documentada, a organização deve assegurar, de forma

apropriada:
• a) identificação e descrição (por exemplo, título, data, autor ou um número de referência);
• b) formato (por exemplo, linguagem, versão do software, gráficos) e o seu meio (por exemplo, papel,
eletrônico); e
• c) análise crítica e aprovação para pertinência e adequação.
43
7. Apoio
7.5.3 Controle da informação documentada
■ A informação documentada requerida pelo sistema de gestão da segurança da informação e pela

norma deve ser controlada para assegurar que:
• a) esteja disponível e adequada para o uso, onde e quando necessário;
• b) esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso indevido
ou perda de integridade).
■ Para o controle da informação documentada, a organização deve considerar as seguintes atividades,

conforme aplicadas:
• a) distribuição, acesso, recuperação e uso;
• b) armazenagem e preservação, incluindo a preservação da legibilidade;
• c) controle de mudanças (por exemplo, controle de versão);
• d) retenção e disposição.
4
4
7. Apoio
7.5.3 Controle da informação documentada (continuação)
■ A informação documentada de origem externa, determinada pela organização como necessária para o
planejamento e operação do sistema de gestão da segurança da informação, deve ser identificada como
apropriado, e controlada.
45
8. Operação
8.1 Planejamento operacional e controle
■ A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos de segurança da informação e para implementar as ações determinadas no Planejamento.
• estabelecendo critérios para os processos;
• implementando o controle dos processos de acordo com os critérios.
■ A organização deve manter a informação documentada na abrangência necessária para gerar confiança
de que os processos estão sendo realizados conforme planejado.
■ A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de

mudanças não previstas, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
■ A organização deve assegurar que processos, produtos ou serviços fornecidos externamente que sejam
relevantes ao sistema de gestão da segurança da informação são controlados.
46
8. Operação
8.2 Avaliação de riscos de segurança da informação
■ A organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, ou

quando mudanças significativas são propostas ou ocorrem, levando em conta os critérios estabelecidos na
Avaliação de Riscos de Segurança da Informação.
■ A organização deve reter informação documentada dos resultados das avaliações de risco de segurança
da informação.
47
8. Operação
8.3 Tratamento de riscos de segurança da informação
■ A organização deve implementar o plano de tratamento de riscos de segurança da informação.
■ A organização deve reter informação documentada dos resultados do tratamento dos riscos de segurança
da informação.
48
9. Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
■ A organização deve determinar:

• a) o que precisa ser monitorado e medido, incluindo controles e processos de segurança da
informação;
• b) os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para
assegurar resultados válidos;
• c) quando o monitoramento e a medição devem ser realizados;
• d) quem deve monitorar e medir;
• e) quando os resultados do monitoramento e da medição devem ser analisados e avaliados;
• f) quem deve analisar e avaliar estes resultados.
■ Informações documentadas devem estar disponíveis como evidência dos resultados.
■ A organização deve avaliar o desempenho de segurança da informação e a eficácia do sistema de

gerenciamento de segurança da informação.
49
9.2 Auditoria interna
9.2.1 Geral
■ A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o
quanto o sistema de gestão da segurança da informação:
• a) está em conformidade com:
• 1) os próprios requisitos da organização para o seu sistema de gestão da segurança da
informação;
• 2) os requisitos da norma;
• b) está efetivamente implementado e mantido.
50
9.2.2 Programa de Auditoria interna
■ A organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a

frequência, métodos, responsabilidades, requisitos de planejamento e relatórios.
■ Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de
auditorias anteriores.
■ A organização deve:
• a) definir os critérios e o escopo da auditoria para cada auditoria;
• b) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do
processo de auditoria;
• c) assegurar que os resultados das auditorias são relatados para a direção pertinente.
■ Informações documentadas devem estar disponíveis como evidência da implementação do(s) programa(s)
de auditoria e os resultados da auditoria.
51
9.2.2 Programa de Auditoria interna
Explicação
■ Auditorias internas fornecem informações sobre se o SGSI está em conformidade com os requisitos
próprios da organização para seus SGSI, bem como com os requisitos da ISO/IEC 27001.
■ Os requisitos próprios da organização incluem:

• a) requisitos declarados na política e nos procedimentos de segurança da informação;
• b) requisitos produzidos pela estrutura para estabelecer objetivos de segurança da informação,
incluindo os resultados do processo de tratamento de risco;
• c) requisitos legais e contratuais; e
• d) requisitos na informação documentada.
■ Auditores também avaliam se o SGSI está efetivamente implementado e mantido.

■ Uma auditoria interna pode identificar não conformidades, riscos e oportunidades.
52
9.3 Análise crítica pela Direção
9.3.1 Geral
■ A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização
a intervalos planejados, para assegurar a sua contínua adequação, pertinência e eficácia.
53
9.3.2 Entradas da Análise crítica
■ A análise crítica pela Direção deve incluir considerações com relação a:

• a) situação das ações de análises críticas anteriores;
• b) mudanças nas questões internas e externas, que sejam relevantes para o sistema de gestão da
segurança da informação;
• c) mudanças nas necessidades e expectativas das partes interessadas que são relevantes para o
sistema de gestão de segurança da informação;
• d) realimentação sobre o desempenho da segurança da informação, incluindo tendências em:
• 1) não conformidades e ações corretivas;
• 2) monitoramento e resultados da medição;
• 3) resultados de auditorias; e
• 4) cumprimento dos objetivos de segurança da informação;
• e) realimentação das partes interessadas;
• f) resultados da avaliação dos riscos e situação do plano de tratamento dos riscos; e
• g) oportunidades para melhoria contínua.
54
9.3.3 Resultados da Análise crítica
■ Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para
melhoria contínua e quaisquer necessidades para mudanças do sistema de gestão da segurança da
informação.
■ Informações documentadas devem estar disponíveis como evidência dos resultados das revisões de gestão.
55
10. Melhoria
10.1 Melhoria contínua
■ A organização deve continuamente melhorar a pertinência, adequação e eficácia do sistema de gestão

da segurança da informação.
56
10. Melhoria
10.2 Não conformidade e ação corretiva
■ Quando uma não conformidade ocorre a organização deve:

• a) reagir a não conformidade e, conforme apropriado:
• 1) tomar ações para controlar e corrigi-la; e
• 2) tratar com as consequências;
• b) avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua
repetição ou ocorrência, por um dos seguintes meios:
• 1) analisando criticamente a não conformidade;
• 2) determinando as causas da não conformidade; e
• 3) determinando se não conformidades similares existem ou podem potencialmente ocorrer.
• c) implementar quaisquer ações necessárias;
• d) analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e
• e) realizar mudanças no sistema de gestão da segurança da informação, quando necessário.
57
10. Melhoria
10.2 Não conformidade e ação corretiva
■ As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
■ A organização deve reter informação documentada como evidência da:

• a) natureza das não conformidades e quaisquer ações subsequentes tomadas; e
• b) resultados de qualquer ação corretiva.
58
Anexo A – Controles de Segurança da Informação
Controles organizacionais
■ 5.1 Políticas de segurança da informação

Convém que a política de segurança da informação e as políticas específicas por tema sejam definidas,
aprovadas pela direção, publicadas, comunicadas e reconhecidas pelo pessoal pertinente e partes interessadas
pertinentes, e analisadas criticamente em intervalos planejados e se ocorrer mudanças significativas.
■ 5.2 Papéis e responsabilidades pela segurança da informação

Convém que os papéis e responsabilidades pela segurança da informação sejam definidos e alocados de
acordo com as necessidades da organização.
■ 5.3 Segregação de funções

Convém que funções conflitantes e áreas de responsabilidade sejam segregados.
59
■ 5.4 Responsabilidades da direção

Convém que a direção requeira que todo o pessoal aplique a segurança da informação de acordo com a
política de segurança da informação estabelecida, com as políticas específicas por tema e com os
procedimentos da organização.
■ 5.5 Contato com autoridades

Convém que a organização estabeleça e mantenha contato com as autoridades relevantes.
■ 5.6 Contato com grupos de interesse especial

Convém que a organização estabeleça e mantenha contato com grupos de interesse especial ou outros fóruns
de especialistas em segurança e associações profissionais.
60
■ 5.7 Inteligência de ameaças

Convém que as informações relacionadas a ameaças à segurança da informação sejam coletadas e analisadas
para produzir inteligência de ameaças.
■ 5.8 Segurança da informação no gerenciamento de projetos

Convém que a segurança da informação seja integrada ao gerenciamento de projetos.
■ 5.9 Inventário de informações e outros ativos associados

Convém que um inventário de informações e outros ativos associados, incluindo proprietários, seja
desenvolvido e mantido.
61
■ 5.10 Uso aceitável de informações e outros ativos associados

Convém que regras para o uso aceitável e procedimentos para o manuseio de informações e outros ativos
associados sejam identificados, documentados e implementados.
■ 5.11 Devolução de ativos

Convém que o pessoal e outras partes interessadas, conforme apropriado, devolvam todos os ativos da
organização em sua posse após a mudança ou encerramento da contratação ou acordo.
■ 5.12 Classificação das informações

Convém que as informações sejam classificadas de acordo com as necessidades de segurança da informação
da organização com base na confidencialidade, integridade, disponibilidade e requisitos relevantes das partes
interessadas.
62
■ 5.13 Rotulagem de informações

Convém que um conjunto adequado de procedimentos para rotulagem de informações seja desenvolvido e
implementado de acordo com o esquema de classificação de informações adotado pela organização.
■ 5.14 Transferência de informações

Convém que regras, procedimentos ou acordos de transferência de informações sejam implementados para
todos os tipos de recursos de transferência dentro da organização e entre a organização e outras partes.
■ 5.15 Controle de acesso

Convém que as regras para controlar o acesso físico e lógico às informações e outros ativos associados sejam
estabelecidas e implementadas com base nos requisitos de segurança da informação e de negócios.
63
■ 5.16 Gestão de identidade

Convém que o ciclo de vida completo das identidades seja gerenciado.
■ 5.17 Informações de autenticação

Convém que a alocação e a gestão de informações de autenticação sejam controladas por uma gestão de
processo, incluindo aconselhar o pessoal sobre o manuseio adequado de informações de autenticação.
■ 5.18 Direitos de acesso

Convém que os direitos de acesso às informações e outros ativos associados sejam provisionados, analisados
criticamente, modificados e removidos de acordo com a política de tema específico e regras da organização
para o controle de acesso.
64
■ 5.19 Segurança da informação nas relações com fornecedores

Convém que processos e procedimentos sejam definidos e implementados para gerenciar a segurança da
informação e os riscos associados com o uso dos produtos ou serviços dos fornecedores.
■ 5.20 Abordagem da segurança da informação nos contratos de fornecedores

Convém que requisitos relevantes de segurança da informação sejam estabelecidos e acordados com cada
fornecedor com base no tipo de relacionamento com o fornecedor.
■ 5.21 Gestão da segurança da informação na cadeia de fornecimento de TIC

Convém que processos e procedimentos sejam definidos e implementados para gerenciar riscos de segurança
da informação associados à cadeia de fornecimento de produtos e serviços de TIC.
65
■ 5.22 Monitoramento, análise crítica e gestão de mudanças dos serviços de fornecedores

Convém que a organização monitore, analise criticamente, avalie e gerencie regularmente a mudança nas
práticas de segurança da informação dos fornecedores e na prestação de serviços.
■ 5.23 Segurança da informação para uso de serviços em nuvem

Convém que os processos de aquisição, uso, gestão e saída de serviços em nuvem sejam estabelecidos de
acordo com os requisitos de segurança da informação da organização.
■ 5.24 Planejamento e preparação da gestão de incidentes de segurança da informação

Convém que a organização planeje e se prepare para gerenciar incidentes de segurança da informação
definindo, estabelecendo e comunicando processos, papéis e responsabilidades de gestão de incidentes de
66
■ 5.25 Avaliação e decisão sobre eventos de segurança da informação

Convém que a organização avalie os eventos de segurança da informação e decida se categoriza como
incidentes de segurança da informação.
■ 5.26 Resposta a incidentes de segurança da informação

Convém que os incidentes de segurança da informação sejam respondidos de acordo com os procedimentos
documentados.
■ 5.27 Aprendizado com incidentes de segurança da informação

Convém que o conhecimento adquirido com incidentes de segurança da informação seja usado para
fortalecer e melhorar os controles de segurança da informação.
67
■ 5.28 Coleta de evidências

Convém que a organização estabeleça e implemente procedimentos para identificação, coleta, aquisição e
preservação de evidências relacionadas a eventos de segurança da informação.
■ 5.29 Segurança da informação durante a disrupção

Convém que a organização planeje como manter a segurança da informação em um nível apropriado durante
a disrupção.
■ 5.30 Prontidão de TIC para continuidade de negócios

Convém que a prontidão da TIC seja planejada, implementada, mantida e testada com base nos objetivos de
continuidade de negócios e nos requisitos de continuidade da TIC.
68
■ 5.31 Requisitos legais, estatutários, regulamentares e contratuais

Convém que os requisitos legais, estatutários, regulamentares e contratuais pertinentes à segurança da
informação e à abordagem da organização para atender a esses requisitos sejam identificados, documentados
e atualizados.
■ 5.32 Direitos de propriedade intelectual

Convém que a organização implemente procedimentos adequados para proteger os direitos de propriedade
intelectual.
■ 5.33 Proteção de registros

Convém que os registros sejam protegidos contra perdas, destruição, falsificação, acesso não autorizado e
liberação não autorizada.
69
■ 5.34 Privacidade e proteção de DP

Convém que a organização identifique e atenda aos requisitos relativos à preservação da privacidade e
proteção de DP de acordo com as leis e regulamentos aplicáveis e requisitos contratuais.
■ 5.35 Análise crítica independente da segurança da informação

Convém que a abordagem da organização para gerenciar a segurança da informação e sua implementação,
incluindo pessoas, processos e tecnologias, seja analisada criticamente de forma independente a intervalos
planejados ou quando ocorrem mudanças significativas.
■ 5.36 Conformidade com políticas, regras e normas para segurança da informação

Convém que o compliance da política de segurança da informação da organização, políticas, regras e normas
de temas específicos seja analisado criticamente a intervalos regulares.
70
■ 5.37 Documentação dos procedimentos de operação

Convém que os procedimentos de operação dos recursos de tratamento da informação sejam documentados
e disponibilizados para o pessoal que necessite deles.
71
Controles de pessoas
■ 6.1 Seleção
Convém que verificações de antecedentes de todos os candidatos a serem contratados sejam realizadas antes
de ingressarem na organização e de modo contínuo, de acordo com as leis, regulamentos e ética aplicáveis e
que sejam proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos
riscos percebidos.
■ 6.2 Termos e condições de contratação

Convém que os contratos trabalhistas declarem as responsabilidades do pessoal e da organização para a
■ 6.3 Conscientização, educação e treinamento em segurança da informação

Convém que o pessoal da organização e partes interessadas relevantes recebam treinamento, educação e
conscientização em segurança da informação apropriados e atualizações regulares da política de segurança
da informação da organização, políticas e procedimentos específicas por tema, pertinentes para as suas
funções.
72
■ 6.4 Processo disciplinar

Convém que um processo disciplinar seja formalizado e comunicado, para tomar ações contra pessoal e outras
partes interessadas relevantes que tenham cometido uma violação da política de segurança da informação.
■ 6.5 Responsabilidades após encerramento ou mudança da contratação

Convém que as responsabilidades e funções de segurança da informação que permaneçam válidos após o
encerramento ou mudança da contratação sejam definidos, aplicados e comunicados ao pessoal e outras
partes interessadas pertinentes.
■ 6.6 Acordos de confidencialidade ou não divulgação

Convém que acordos de confidencialidade ou não divulgação que refitam as necessidades da organização
para a proteção das informações sejam identificados, documentados, analisados criticamente em intervalos
regulares e assinados por pessoal e outras partes interessadas pertinentes.
73
■ 6.7 Trabalho remoto

Convém que medidas de segurança sejam implementadas quando as pessoas estiverem trabalhando
remotamente para proteger as informações acessadas, tratadas ou armazenadas fora das instalações da
organização.
■ 6.8 Relato de eventos de segurança da informação

Convém que a organização forneça um mecanismo para que as pessoas relatem eventos de segurança da
informação observados ou suspeitos através de canais apropriados em tempo hábil.
74
Controles físicos
■ 7.1 Perímetros de segurança física

Convém que perímetros de segurança sejam definidos e usados para proteger áreas que contenham
informações e outros ativos associados.
■ 7.2 Entrada física

Convém que as áreas seguras sejam protegidas por controles de entrada e pontos de acesso apropriados.
■ 7.3 Segurança de escritórios, salas e instalações

Convém que seja projetada e implementada segurança física para escritórios, salas e instalações.
75
Controles físicos
■ 7.4 Monitoramento de segurança física

Convém que as instalações sejam monitoradas continuamente para acesso físico não autorizado.
■ 7.5 Proteção contra ameaças físicas e ambientais

Convém que a proteção contra ameaças físicas e ambientais, como desastres naturais e outras ameaças físicas
intencionais ou não intencionais à infraestrutura, seja projetada e implementada.
■ 7.6 Trabalho em áreas seguras

Convém que medidas de segurança para trabalhar em áreas seguras sejam projetadas e implementadas.
76
Controles físicos
■ 7.7 Mesa limpa e tela limpa

Convém que regras de mesa limpa para documentos impressos e mídia de armazenamento removível e
regras de tela limpa para os recursos de tratamento das informações sejam definidas e adequadamente
aplicadas.
■ 7.8 Localização e proteção de equipamentos

Convém que os equipamentos sejam posicionados com segurança e proteção.
■ 7.9 Segurança de ativos fora das instalações da organização

Convém proteger os ativos fora das instalações da organização.
77
Controles físicos
■ 7.10 Mídia de armazenamento

Convém que as mídias de armazenamento sejam gerenciadas por seu ciclo de vida de aquisição, uso,
transporte e descarte, de acordo com o esquema de classificação e com os requisitos de manuseio da
organização.
■ 7.11 Serviços de infraestrutura

Convém que as instalações de tratamento de informações sejam protegidas contra falhas de energia e outras
disrupções causadas por falhas nos serviços de infraestrutura.
■ 7.12 Segurança do cabeamento

Convém que os cabos que transportam energia ou dados ou que sustentam serviços de informação sejam
protegidos contra interceptação, interferência ou danos.
78
Controles físicos
■ 7.13 Manutenção de equipamentos

Convém que os equipamentos sejam mantidos corretamente para assegurar a disponibilidade, integridade e
confidencialidade da informação.
■ 7.14 Descarte seguro ou reutilização de equipamentos

Convém que sejam verificados os itens dos equipamentos que contenham mídia de armazenamento, para
assegurar que quaisquer dados confidenciais e software licenciado tenham sido removidos ou substituídos
com segurança antes do descarte ou reutilização.
79
Controles tecnológicos
■ 8.1 Dispositivos endpoint do usuário

Convém que as informações armazenadas, tratadas ou acessíveis por meio de dispositivos endpoint do usuário
sejam protegidas.
■ 8.2 Direitos de acessos privilegiados

Convém restringir e gerenciar a atribuição e o uso de direitos de acessos privilegiados.
■ 8.3 Restrição de acesso à informação

Convém que o acesso às informações e outros ativos associados seja restrito de acordo com a política
específica por tema sobre controle de acesso.
80
■ 8.4 Acesso ao código-fonte

Convém que os acessos de leitura e escrita ao código-fonte, ferramentas de desenvolvimento e bibliotecas de
software sejam adequadamente gerenciados.
■ 8.5 Autenticação segura

Convém que sejam implementadas tecnologias e procedimentos de autenticação seguros, com base em
restrições de acesso à informação e à política específica por tema de controle de acesso.
■ 8.6 Gestão de capacidade

Convém que o uso dos recursos seja monitorado e ajustado de acordo com os requisitos atuais e esperados de
capacidade.
81
■ 8.7 Proteção contra malware

Convém que a proteção contra malware seja implementada e apoiada pela conscientização adequada do
usuário.
■ 8.8 Gestão de vulnerabilidades técnicas

Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas, a
exposição da organização a tais vulnerabilidades sejam avaliadas e medidas apropriadas sejam tomadas.
■ 8.9 Gestão de configuração

Convém que as configurações, incluindo configurações de segurança, de hardware, software, serviços e redes
sejam estabelecidas, documentadas, implementadas, monitoradas e analisadas criticamente.
82
■ 8.10 Exclusão de informações

Convém que as informações armazenadas em sistemas de informação, dispositivos ou em qualquer outra
mídia de armazenamento sejam excluídas quando não forem mais necessárias.
■ 8.11 Mascaramento de dados

Convém que o mascaramento de dados seja usado de acordo com a política específica por tema da
organização sobre controle de acesso e outros requisitos específicos por tema relacionados e requisitos de
negócios, levando em consideração a legislação aplicável.
■ 8.12 Prevenção de vazamento de dados

Convém que medidas de prevenção de vazamento de dados sejam aplicadas a sistemas, redes e quaisquer
outros dispositivos que tratem, armazenem ou transmitam informações sensíveis.
83
■ 8.13 Backup das informações

Convém que cópias de backup de informações, software e sistemas sejam mantidas e testadas regularmente
de acordo com a política específica por tema acordada sobre backup.
■ 8.14 Redundância dos recursos de tratamento de informações

Convém que os recursos de tratamento de informações sejam implementados com redundância suficiente
para atender aos requisitos de disponibilidade.
■ 8.15 Log
Convém que logs que registrem atividades, exceções, falhas e outros eventos relevantes sejam produzidos,
armazenados, protegidos e analisados.
84
■ 8.16 Atividades de monitoramento

Convém que redes, sistemas e aplicações sejam monitorados por comportamentos anômalos e por ações
apropriadas, tomadas para avaliar possíveis incidentes de segurança da informação.
■ 8.17 Sincronização do relógio

Convém que os relógios dos sistemas de tratamento de informações utilizados pela organização sejam
sincronizados com fontes de tempo aprovadas.
■ 8.18 Uso de programas utilitários privilegiados

Convém que o uso de programas utilitários que possam ser capazes de substituir os controles de sistema e
aplicações seja restrito e rigorosamente controlado.
85
■ 8.19 Instalação de software em sistemas operacionais

Convém que procedimentos e medidas sejam implementados para gerenciar com segurança a instalação de
software em sistemas operacionais.
■ 8.20 Segurança de redes

Convém que redes e dispositivos de rede sejam protegidos, gerenciados e controlados para proteger as
informações em sistemas e aplicações.
■ 8.21 Segurança dos serviços de rede

Convém que sejam identificados, implementados e monitorados mecanismos de segurança, níveis de serviço
e requisitos de serviços de rede.
86
■ 8.22 Segregação de redes

Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados nas
redes da organização.
■ 8.23 Filtragem da web

Convém que o acesso a sites externos seja gerenciado para reduzir a exposição a conteúdo malicioso.
■ 8.24 Uso de criptografia

Convém que sejam definidas e implementadas regras para o uso efetivo da criptografa, incluindo o
gerenciamento de chaves criptográficas.
87
■ 8.25 Ciclo de vida de desenvolvimento seguro

Convém que regras para o desenvolvimento seguro de software e sistemas sejam estabelecidas e aplicadas.
■ 8.26 Requisitos de segurança da aplicação

Convém que os requisitos de segurança da informação sejam identificados, especificados e aprovados ao
desenvolver ou adquirir aplicações.
■ 8.27 Princípios de arquitetura e engenharia de sistemas seguros

Convém que princípios de engenharia para sistemas de segurança sejam estabelecidos, documentados,
mantidos e aplicados a qualquer atividade de desenvolvimento de sistemas.
88
■ 8.28 Codificação segura

Convém que princípios de codificação segura sejam aplicados ao desenvolvimento de software.
■ 8.29 Testes de segurança em desenvolvimento e aceitação

Convém que os processos de teste de segurança sejam definidos e implementados no ciclo de vida do
desenvolvimento.
■ 8.30 Desenvolvimento terceirizado

Convém que a organização dirija, monitore e analise criticamente as atividades relacionadas à terceirização de
desenvolvimento de sistemas.
89
■ 8.31 Separação dos ambientes de desenvolvimento, teste e produção

Convém que ambientes de desenvolvimento, testes e produção sejam separados e protegidos.
■ 8.32 Gestão de mudanças

Convém que mudanças nos recursos de tratamento de informações e sistemas de informação estejam sujeitas
a procedimentos de gestão de mudanças.
■ 8.33 Informações de teste

Convém que as informações de teste sejam adequadamente selecionadas, protegidas e gerenciadas.
■ 8.34 Proteção de sistemas de informação durante os testes de auditoria

Convém que testes de auditoria e outras atividades de garantia envolvendo a avaliação de sistemas
operacionais sejam planejados e acordados entre o testador e a gestão apropriada.
90
Curso preparatório oficial para o exame da certificação Information
Security Risk Management Foundation (ISO/IEC 27005) da ITCERTS
Agenda
1 Termos e definições
2 Gestão de riscos de segurança da informação
3 Definição do contexto
4 Processo de avaliação de riscos de segurança da informação
5 Atividades do processo de avaliação de riscos de segurança da informação
6 Tratamento do Risco de Segurança da Informação
7 Comunicação e consulta do risco de segurança da informação
8 Monitoramento, análise crítica e melhoria do processo de gestão de riscos
92
Risco
Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou perdas à
organização.
Identificação de Riscos
Processo que tem por objetivo localizar, listar e caracterizar elementos de risco.
Estimativa de Risco
Processo utilizado para atribuir valores à probabilidade e à consequência de um risco.
■ Estimativa qualitativa - Utiliza uma escala com atributos que descrevem a magnitude das consequências
potenciais (por exemplo, pequena, média e grande) e a probabilidade dessas consequências ocorrerem.
■ Estimativa quantitativa - Utiliza uma escala com valores numéricos tanto para consequências quanto para a
probabilidade, usando dados de diversas fontes.
Impacto
Mudança adversa no nível obtido dos objetivos de negócios.
93
Nível de risco
Magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades.
Redução do Risco
Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco.
Retenção do Risco
Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.
Risco Residual
Risco remanescente após o tratamento do risco.
Transferência do Risco
Compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco.
Tratamento do Risco
Processo de seleção e implementação de medidas para modificar um risco.
94
Gestão de Riscos de Segurança da Informação
Sobre a norma ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos de segurança da informação.
A norma é aplicável a todos os tipos de organizações.
Os conceitos, modelos e processos e terminologias descritos nas normas ISO/IEC 27001 e ISO/IEC 27002
são muito importantes para entendimento da norma ISO/IEC 27005.
A norma ISO/IEC 27005 não fornece um método específico para gestão de risco de segurança da informação.
95
Processo de Gestão de Riscos de Segurança da Informação
O processo de gestão de riscos de segurança da informação consiste na definição do contexto, processo de

avaliação de risco, tratamento do risco, aceitação do risco, comunicação e consulta do risco, monitoramento e
análise crítica de risco.
Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão de
segurança da informação da organização.
Convém que a gestão de riscos de segurança da informação seja um processo contínuo.
Convém que o processo defina o contexto interno e externo da organização.
96
Processo de Gestão de Riscos de Segurança da Informação
Convém que a Gestão de Riscos de Segurança da Informação contribua para:

• Identificação de riscos;
• Processo de avaliação de riscos em função das consequencias ao negócio e da probabilidade de sua
ocorrência;
• Comunicação e entendimento da probabilidade e das consequencias destes riscos;
• Estabelecimento de uma ordem prioritária para tratamento dos riscos;
• Priorização das ações para reduzir a ocorrência dos riscos;
• Envolvimento das partes interessadas nas decisões de gestão de risco;
• Monitoramento e análise crítica periódica dos riscos.
97
Definição do contexto
Primeiramente o contexto é estabelecido:

• Levantamento de todas as informações relevantes sobre a organização para definição do contexto da
gestão de riscos da segurança da informação;
• Definição do escopo e dos limites da gestão de riscos de segurança da informação (objetivos
estratégicos da organização, processos de negócio, requisitos legais e regulatórios, como por
exemplo, LGPD e GDPR, etc...);
• Definição de critérios básicos necessários para a gestão de riscos de segurança da informação
(critérios para avaliação de riscos, critérios de impacto e critérios para a aceitação do risco).
98
Processo de avaliação de riscos de segurança da informação
O processo de avaliação de riscos de segurança da informação tem por objetivo determinar o valor dos ativos
de informação, identificar as ameaças e vulnerabilidades existentes, identificar os controles existentes e
priorizar os riscos derivados, ordenando-os de acordo com os critérios de avaliação de risco estabelecidos na
definição do contexto.
O processo de avaliação de riscos de segurança da informação consiste nas seguintes atividades:

• Identificação de Riscos
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
• Análise de Riscos
• Análise quantitativa
• Análise qualitativa
• Avaliação de Riscos
99
Atividades do processo de avaliação de riscos de segurança da informação:
Identificação de Riscos
Identificar os ativos, vulnerabilidades, ameaças e controles existentes e Definição do Contexto
as consequências da ocorrência de um incidente de segurança da
informação para o negócio.
Processo de avaliação de riscos
Análise de Riscos
Avaliação da probabilidade e do impacto sobre o negócio em caso da
ocorrência de um incidente de segurança. Identificação de Riscos
Avaliação de Riscos
Definição das prioridades para tratamento dos riscos, levando-se em
Análise de Riscos
consideração os níveis de riscos estimados.
Saída: uma lista de riscos ordenados por prioridade (de acordo com os
critérios de avaliação de riscos) e associados ao cenários de incidentes
que o provocam. Avaliação de Riscos
100
Após a realização da análise/avaliação de riscos, as opções de tratamento são então selecionadas, com base
no custo esperado para implementação das opções e nos benefícios esperados.
101
Opções de Tratamento do Risco de Segurança da Informação
■ Modificação do risco
• Modificação do risco por meio da seleção de controles
apropriados para que o risco residual possa ser
considerado aceitável.
■ Retenção do risco (Assumir o risco)
• Se o nível de risco atender os critérios para aceitação do
risco, neste caso, não há necessidade de implementar
controles adicionais e pode haver a retenção do risco
(aceitar as consequências de perda associadas ao risco).
■ Ação de evitar o risco
• Evitar a atividade ou condição que dá origem a um
determinado risco.
■ Compartilhamento do risco
• Compartilhar o risco com outra entidade que possa
gerenciá-lo de forma mais eficaz.
102
Visão geral do processo de gestão de riscos de
103
Alinhamento do processo do SGSI e do processo de Gestão de Riscos de Segurança da Informação
Processo do SGSI Processo de Gestão de Riscos de Segurança da Informação

Planejar • Definição do contexto;
• Análise/Avaliação de riscos;
• Definição do plano de tratamento do risco.
Executar • Implementação do plano de tratamento do risco.
Verificar • Monitoramento contínuo e análise crítica de riscos.
Agir • Manter e melhorar o processo de Gestão de Riscos de Segurança

da Informação.
104
Comunicação e consulta do Risco de Segurança da Informação
Convém que as informações sobre risco sejam trocadas e/ou compartilhadas entre o tomador de decisão e as
outras partes interessadas.
Monitoramento e Análise Crítica de Riscos de Segurança da Informação

Convém que os riscos e seus fatores (valores dos ativos, ameaças, impacto, vulnerabilidades, probabilidades de
ocorrências, etc...) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente
possível, eventuais mudanças no contexto da organização e manter uma visão geral dos riscos.
Monitoramento, análise crítica e melhoria do processo de gestão de riscos

Convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado,
analisado criticamente e melhorado, quando necessário e apropriado.
105
Curso preparatório oficial para o exame da certificação
LGPD Foundation da ITCERTS
Agenda
1 Importantes normas relacionadas a Segurança da 14 Capítulo IV: Do tratamento de dados pessoais pelo
Informação e Privacidade poder público
2 Legislações e regulamentações 15 Capítulo V: Da transferência Internacional de Dados
3 Introdução a LGPD 16 Capítulo VI: Dos agentes de tratamento de dados
4 Capítulo I: Disposições Preliminares pessoais
5 Sobre a LGPD 17 Seção I: Do Controlador e do Operador
6 Termos e definições 18 Seção II: Do Encarregado pelo Tratamento de Dados
7 Princípios Pessoais
8 Capítulo II: Do tratamento de dados pessoais 19 Capítulo VII: Da segurança e das boas práticas
9 Seção I: Dos Requisitos para o Tratamento de Dados 20 Seção I: Da Segurança e do Sigilo de Dados
Pessoais 21 Seção II: Das Boas Práticas e da Governança
10 Seção II: Do Tratamento de Dados Pessoais Sensíveis 22 Capítulo VIII: Da Fiscalização
11 Seção III: Do Tratamento de Dados Pessoais de Crianças 23 Das Sanções Administrativas
e de Adolescentes 24 Capítulo IX: Da autoridade nacional de proteção de
12 Seção IV: Do Término do Tratamento de Dados dados (ANPD)
13 Capítulo III: Direito do Titular
107
informação e Privacidade
ISO/IEC 27000
■ Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
■ Referência normativa indispensável para aplicação de todas as normas da família 27000)
ISO/IEC 27001
■ Sistemas de gestão da segurança da informação — Requisitos
ISO/IEC 27002
■ Código de prática para controles de segurança da informação
ISO/IEC 27003
■ Sistemas de gestão da segurança da informação — Orientações
ISO/IEC 27004
■ Gestão da segurança da informação — Medição
108
ISO/IEC 27005
■ Gestão de riscos de segurança da informação
ISO/IEC 27007
■ Auditoria em segurança da informação
ISO/IEC 27701:2019 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gestão da privacidade da informação
— Requisitos e diretrizes.
■ A norma ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação
(SGPI) na forma de uma extensão das ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade dentro do
contexto da organização.
109
ISO/IEC 29100:2020 - Estrutura de Privacidade.
■ A norma fornece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de
tecnologia da informação e de comunicação (TIC).
■ A Norma fornece uma estrutura de privacidade que:
• especifica uma terminologia comum de privacidade;
• especifica os atores e os seus papéis no tratamento de dados pessoais (DP);
• descreve considerações de salvaguarda de privacidade; e
• fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
ISO/IEC 29134:2020 - Avaliação de Impacto de Privacidade - Diretrizes.

■ Fornece diretrizes para processo de avaliação de impacto de privacidade.
ISO/IEC 29151:2020 - Código de prática para Proteção de Dados Pessoais.

■ Estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos
requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais.
110
Legislações e regulamentações
GDPR (General Data Protection Regulation) - Regulamentação Geral de Proteção de Dados – Europa
■ Entrou em vigor no dia 25/05/2018 em todos os países da União Europeia.
■ A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais
de residentes da União Europeia.
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil

■ LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
Sancionada no dia 14 de Agosto de 2018, a lei define regras para a proteção de dados pessoais.
The Personal Information Protection and Electronic Documents Act (PIPEDA)

■ Lei de Proteção de Informações Pessoais e Documentos Eletrônicos canadense. Lei federal de privacidade
para organizações do setor privado no Canadá.
■ A lei aplica-se a todas as organizações do setor privado que coletam informações pessoais no Canadá.
California Consumer Privacy Act of 2018 (CCPA)

■ Lei de privacidade e proteção de dados da Califórnia.
111
Legislações e regulamentações
LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011 (Lei de Acesso à Informação)
■ Regula o acesso a informações.
Lei Nº 12.737, DE 30 de NOVEMBRO DE 2012 (Lei “Carolina Dieckmann”)

■ Lei que torna crime no Brasil invadir dispositivo informático alheio, conectado ou não à rede de
computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou
destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita.
LEI Nº 12.965, DE 23 DE ABRIL DE 2014 (Marco Civil da Internet)

■ Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.
112
Introdução a LGPD
■ LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
■ Sancionada no dia 14 de Agosto de 2018, a lei define regras para a proteção de dados pessoais.
■ A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020.
■ A Lei 14.010, de 2020 adiou de 1º de janeiro de 2021 para 1º de agosto de 2021 a vigência das sanções que a
Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar.
■ Exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa
privada.
■ A lei entrou em vigor 24 (vinte e quatro) meses após a data de sua publicação (MEDIDA PROVISÓRIA Nº 869,
DE 27 DE DEZEMBRO DE 2018).
■ Em caso de descumprimento da lei, o texto prevê multa de até 2% do faturamento da empresa, limitado até
R$ 50 milhões.
113
Introdução a LGPD
■ Entre outros pontos, a lei estabele que:
• Dados pessoais deverão ser excluídos após o encerramento da relação entre o cliente e a empresa;
• As empresas deverão coletar somente os dados necessários aos serviços prestados;
• Os titulares das informações poderão corrigir dados que estejam em posse de uma empresa;
• As empresas deverão adotar medidas de segurança para proteger os dados pessoais de acessos não
autorizados e de "situações acidentais ou ilícitas" de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito;
• O responsável pela gestão dos dados deverá comunicar casos de "incidente de segurança", como
vazamentos, que possam trazer risco ou dano ao titular das informações;
• Dados de crianças devem ser tratados com o consentimento dos pais.
114
Capítulo I: Disposições Preliminares
■ Art. 1º A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
115
■ Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

• I - o respeito à privacidade;
• II - a autodeterminação informativa;
• III - a liberdade de expressão, de informação, de comunicação e de opinião;
• IV - a inviolabilidade da intimidade, da honra e da imagem;
• V - o desenvolvimento econômico e tecnológico e a inovação;
• VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
• VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da
cidadania pelas pessoas naturais.
116
■ Art. 3º A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica
de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam
localizados os dados, desde que:
• I - a operação de tratamento seja realizada no território nacional;
• II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; ou
• III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
117
■ Art. 4º A Lei não se aplica ao tratamento de dados pessoais:

• I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
• II - realizado para fins exclusivamente:
• a) jornalístico e artísticos; ou
• b) acadêmicos;
• III - realizado para fins exclusivos de:
• a) segurança pública;
• b) defesa nacional;
• c) segurança do Estado; ou
• d) atividades de investigação e repressão de infrações penais; ou
• IV - provenientes de fora do território nacional.
118
■ Art. 5º Para os fins desta Lei, considera-se:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização
de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Agentes de tratamento: o controlador e o operador;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;
119

• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador;
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por
meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;
120

• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado
pessoal ou do banco de dados;
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,
independentemente do procedimento empregado;
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro;
• Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de
dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades
públicos no cumprimento de suas competências legais, ou entre esses e entes privados,
reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados;
121

• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis
e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
• Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa
jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede
e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a
pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
• Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar
o cumprimento da Lei em todo o território nacional.
122
Princípios
■ Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento;
• III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
• IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
123
Princípios
• V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
• VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
124
Princípios
• VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
• IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos
ou abusivos;
• X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
125
Capítulo II: Do tratamento de dados pessoais
Seção I: Dos Requisitos para o Tratamento de Dados Pessoais
■ Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
• I - mediante o fornecimento de consentimento pelo titular;
• II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
• II - pela administração pública, para o tratamento e uso compartilhado de dados necessários à
execução de políticas públicas previstas em leis e regulamentos;
• IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
• V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a
contrato do qual seja parte o titular, a pedido do titular dos dados;
126
Seção I: Dos Requisitos para o Tratamento de Dados Pessoais
■ Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
• VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
• IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro; ou
• X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
127
■ Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro
meio que demonstre a manifestação de vontade do titular.
Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais
cláusulas contratuais.
Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na
Lei.
É vedado o tratamento de dados pessoais mediante vício de consentimento.
O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o

tratamento de dados pessoais serão nulas.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por
procedimento gratuito e facilitado.
128
■ 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão
ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas
em regulamentação para o atendimento do princípio do livre acesso:
• I - finalidade específica do tratamento;
• II - forma e duração do tratamento, observados os segredos comercial e industrial;
• III - identificação do controlador;
• IV - informações de contato do controlador;
• V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• VI - responsabilidades dos agentes que realizarão o tratamento; e
• VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.
129
Seção II: Do Tratamento de Dados Pessoais Sensíveis
■ Art. 11º O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
• I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
• II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública, de
políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa;
• exercício regular de direitos;
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária; ou
• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos.
130
Seção III: Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
■ Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor
interesse, nos termos deste artigo e da legislação pertinente.
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em
destaque dado por pelo menos um dos pais ou pelo responsável legal.
131
Seção IV: Do Término do Tratamento de Dados
■ Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
• I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários
ou pertinentes ao alcance da finalidade específica almejada;
• II - fim do período de tratamento;
• III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento,
resguardado o interesse público; ou
• IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
132
■ Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites
técnicos das atividades, autorizada a conservação para as seguintes finalidades:
• I - cumprimento de obrigação legal ou regulatória pelo controlador;
• II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
• III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos
nesta Lei; ou
• IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados.
133
Capítulo III: Direito do Titular
■ Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos
fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei.
134
Capítulo III: Direito do Titular
■ Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por
ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em
desconformidade com o disposto da Lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição
expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos
comercial e industrial;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências
da negativa;
• IX - revogação do consentimento.
135
Capítulo IV: Do tratamento de dados
pessoais pelo poder público
■ Art. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo
único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado
para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar
as competências legais ou cumprir as atribuições legais do serviço público.
136
Capítulo IV: Do tratamento de dados
pessoais pelo poder público
Da Responsabilidade
■ Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos
públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
■ Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de
impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos
de dados pessoais pelo Poder Público.
137
Capítulo V: Da transferência Internacional de
Dados
■ Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
• I - para países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto nesta Lei;
• II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos
direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
• a) cláusulas contratuais específicas para determinada transferência;
• b) cláusulas-padrão contratuais;
• c) normas corporativas globais;
• d) selos, certificados e códigos de conduta regularmente emitidos.
138
Capítulo VI: Dos agentes de tratamento de
dados pessoais
■ Seção I: Do Controlador e do Operador

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que
realizarem.
139
Capítulo VI: Dos agentes de tratamento de
dados pessoais
Seção II: Do Encarregado pelo Tratamento de Dados Pessoais
O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma

clara e objetiva, preferencialmente no sítio eletrônico do controlador.
As atividades do encarregado consistem em:

• I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• II - receber comunicações da autoridade nacional e adotar providências;
• III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas
em relação à proteção de dados pessoais.
140
Capítulo VII: Da segurança e das boas
práticas
Seção I: Da Segurança e do Sigilo de Dados
■ Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas
a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
■ Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares.
■ Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a
atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios
gerais previstos na Lei e às demais normas regulamentares.
141
Capítulo VII: Da segurança e das boas
práticas
Seção II: Das Boas Práticas e da Governança
■ Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de
governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
■ Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos
titulares dos seus dados pessoais.
142
Capítulo VIII: Da Fiscalização
Das Sanções Administrativas
■ Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,
ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
• I - advertência, com indicação de prazo para adoção de medidas corretivas;
• II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• III - multa diária, observado o limite total;
• IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
143
Capítulo VIII: Da Fiscalização
Das Sanções Administrativas
■ Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,
ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
• VI - eliminação dos dados pessoais a que se refere a infração;
• X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período
máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador;
• XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração
pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
144
Capítulo IX: Da autoridade nacional de
proteção de dados (ANPD)
■ Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão
da administração pública federal, integrante da Presidência da República. (Incluído pela Lei nº 13.853, de 2019).
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei.
■ Art. 55-B. É assegurada autonomia técnica e decisória à ANPD.
145
Capítulo IX: Da autoridade nacional de
proteção de dados (ANPD)
■ Art. 55-J. Compete à ANPD:

• zelar pela proteção dos dados pessoais;
• elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• editar normas e procedimentos sobre a proteção de dados pessoais;
• fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à
legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito
de recurso;
• comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados
pessoais e privacidade;
• implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de
reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
146
Curso preparatório oficial para o exame da certificação
GDPR Foundation da ITCERTS
Agenda
1 Sobre a GDPR 13 Violação de dados pessoais
2 Disposições gerais 14 Data protection by design and by default
3 Termos e definições 15 Segurança do tratamento
4 Princípios relativos ao tratamento de dados pessoais 16 Comunicação de uma violação de dados pessoais ao
5 Licitude do tratamento titular dos dados
6 Condições aplicáveis ao consentimento 17 Notificação de uma violação de dados pessoais à
7 Condições aplicáveis ao consentimento de crianças autoridade de controle
8 Tratamento de categorias especiais de dados pessoais 18 Avaliação de impacto sobre a proteção de dados
9 Tratamento de dados pessoais relacionados com 19 Consulta prévia
condenações penais e infrações 20 Designação do encarregado da proteção de dados
10 Tratamento que não exige identificação 21 Funções do encarregado da proteção de dados
11 Transparência das informações, das comunicações e 22 Transferências de dados pessoais para países
das regras para exercício dos direitos dos titulares dos terceiros ou organizações internacionais
dados 23 Sanções (Penalties)
12 Direitos dos titulares de dados
148
Sobre a GDPR
Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR)
Regulamento que estabelece regras sobre a privacidade, proteção e tratamento de dados de cidadãos da
União Europeia.
A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais de
residentes da União Europeia independentemente de onde a empresa esteja situada.
Entrou em vigor em todos os países da União Europeia em 25 de Maio de 2018.
149
Disposições gerais
Objetivo, âmbito de aplicação material e territorial
O regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados.
O regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente

o seu direito à proteção dos dados pessoais.
O regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados,
bem como ao tratamento por meios não automatizados de dados pessoais.
O regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um

estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da
União, independentemente de o tratamento ocorrer dentro ou fora da União.
150
Definição de perfis
Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais
para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos
relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais,
interesses, fiabilidade, comportamento, localização ou deslocações.
Pseudonimização
O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados
específico sem recorrer a informações suplementares.
Subcontratante
Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados
pessoais por conta do responsável pelo tratamento destes.
151
Terceiro
A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o
responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo
tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.
Violação de dados pessoais

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer
outro tipo de tratamento.
Responsável pelo tratamento

A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou
em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que
as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-
Membro.
152
Dados genéticos
Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular
que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta
designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.
Dados biométricos
Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas
ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa
singular, nomeadamente imagens faciais ou dados dactiloscópicos.
DPO (Data Protection Officer)

Encarregado pela proteção de dados pessoais.
153
Dados relativos à saúde
Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de
serviços de saúde, que revelem informações sobre o seu estado de saúde.
Autoridade de controle
Uma autoridade pública independente criada por um Estado-Membro.
Autoridade de Proteção de Dados (Data Protection Authority)

Autoridade pública independente responsável pela fiscalização e aplicação da GDPR.
154
Titular (Data subject)
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Dados pessoais (Personal data)

Informação relativa a uma pessoa natural identificada ou identificável.
• Exemplos: nome, data de nascimento, endereço, documento de identificação, etc...
Categoria de dados pessoais especiais

Dados que revelam a origem racial ou ética, as opiniões políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, bem como dados genéticos, dados biométricos para identificar uma pessoa de forma
inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
155
Tratamento de dados (Processing)
Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados
pessoais, por meio automatizados ou não automatizados, tais como coleta, registro, organização,
estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por
transmissão ou qualquer outra forma de disponibilização, apagamento ou destruição.
156
Consentimento (Consent)
Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita,
mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto
de tratamento.
Base legal e principal hipótese para o tratamento de dados de acordo com a GDPR.
O consentimento deve ser específico, inteligível, de fácil acesso e uma linguagem clara e simples, dado
mediante um ato positivo que indique uma manifestação de vontade livre, específica, informada e
inequívoca do titular dos dados.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
157
Controlador (Controller)
Responsável pelo tratamento de dados pessoais.
Pessoa física ou jurídica, autoridade pública, a agência ou outro órgão que, individualmente ou em conjunto
com outros, determina as finalidades e os meios de tratamento de dados pessoais.
Responsável pela comprovação do cumprimento de todos os princípios relativos ao tratamento de dados de

acordo com a GDPR.
Subcontratante (Processor)
Pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome
do controlador.
158
Princípios relativos ao tratamento de
dados pessoais
Licitude, Lealdade e Transparência (Lawfullness, Fairness and Transparency)
Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos
dados.
Limitação do armazenamento (Storage limitation)

Princípio da GDPR segundo o qual dados devem ser armazenados de uma forma que permita a identificação
dos seus titulares apenas durante o período necessário para as finalidades para as quais são tratados, com
exceção daqueles que sejam tratados exclusivamente para fins de interesse público, investigação científica ou
histórica, ou para fins estatísticos, sujeitos à aplicação das medidas técnicas e organizacionais adequadas
exigidas, a fim de salvaguardar os direitos e liberdades do titular dos dados.
159
dados pessoais
Limitação da finalidade (Purpose limitation)
Princípio segundo o qual os dados pessoais devem ser coletados para finalidades específicas, explícitas e
legítimas e não podem ser tratados posteriomente de uma forma incompatível com essas finalidades.
Privacy by default
Princípio segundo o qual devem ser aplicadas medidas técnicas e organizacionais para assegurar que, por
padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do
tratamento, de acordo com a quantidade de dados pessoais coletados, à extensão do seu tratamento, ao seu
prazo de armazenamento e à sua acessibilidade.
Privacy by design
Abordagem que visa garantir a privacidade do usuário desde a etapa de concepção de uma aplicação ou
processo.
160
dados pessoais
Integridade e Confidencialidade (Integrity and confidentiality)
Dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o
seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando-
se as medidas técnicas e organizacionais adequadas.
Prestação de contas (Accountability)

Responsabilização e compliance.
161
dados pessoais
Exatidão (Accuracy)
Os dados pessoais devem ser exatos e atualizado sempre que necessário; devem ser adotadas todas as
medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam
apagados ou retificados sem demora.
Minimização de dados (Data minimization)

Princípio da GDPR o qual dispõe que dados pessoais devem ser adequados, pertinentes e limitados ao que é
realmente necessário relativamente às finalidades para os quais são tratados.
162
Licitude do tratamento
O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
• O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para
uma ou mais finalidades específicas;
• O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte,
ou para diligências pré-contratuais a pedido do titular dos dados;
• O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável
pelo tratamento esteja sujeito;
• O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular;
• O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da
autoridade pública de que está investido o responsável pelo tratamento;
• O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo
tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma
criança.
163
Condições aplicáveis ao consentimento
Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder
demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também
respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga
claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e
simples.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do
consentimento não compromete a licitude do tratamento efetuado com base no consentimento
previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse fato. O
consentimento deve ser tão fácil de retirar quanto de dar.
Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se,
designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao
consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.
164
Condições aplicáveis ao consentimento de
crianças
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja
dado ou autorizado pelos titulares das responsabilidades parentais da criança.
165
Tratamento de categorias especiais de
dados pessoais
É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas,
as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos,
dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados
relativos à vida sexual ou orientação sexual de uma pessoa.
O disposto não se aplica se se verificar um dos seguintes casos:

• Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados
pessoais para uma ou mais finalidades específicas;
• Se o tratamento for necessário para proteger os interesses vitais do titular dos dados, no caso de o
titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;
• Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo
seu titular;
• Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo
judicial;
• Se o tratamento for necessário por motivos de interesse público importante.
166
Tratamento de dados pessoais
relacionados com condenações penais e
infrações
O tratamento de dados pessoais relacionados com condenações penais e infrações, só é efetuado sob o
controle de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou
de um Estado-Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos
dados.
167
Tratamento que não exige identificação
Se as finalidades para as quais se proceder ao tratamento de dados pessoais não exigirem ou tiverem
deixado de exigir a identificação do titular dos dados por parte do responsável pelo seu tratamento, este
último não é obrigado a manter, obter ou tratar informações suplementares para identificar o titular dos
dados com o único objetivo de dar cumprimento ao presente regulamento.
168
Transparência das informações, das
comunicações e das regras para exercício
dos direitos dos titulares dos dados
O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a respeito
do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem
clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
169
Direitos dos titulares de dados
(Rights of the data subject)
■ Direito de informação;
■ Direito de acesso aos dados (Right of access by the data subject);
■ Direito de retificação (Right to rectification);
■ Direito ao apagamento “direito de ser esquecido” (Right to erasure “Right to be forgotten”);
■ Direito a limitação do tratamento (Right to restriction of processing);
■ Direito a portabilidade dos dados (Right to data portability);
■ Direito de oposição (Right to object);
■ Direito de não ser submetido a decisões automatizadas e profiling (Automated individual decision-making,
including profiling).
170
Informação e acesso aos dados pessoais
Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe,
aquando da recolha desses dados pessoais, as seguintes informações:
• A identidade e os contatos do responsável pelo tratamento e, se for caso disso, do seu
representante;
• Os contatos do encarregado da proteção de dados, se for o caso;
• As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento
jurídico para o tratamento;
• Os interesses legítimos do responsável pelo tratamento ou de um terceiro;
• Os destinatários dos dados pessoais.
171
Direito de acesso do titular dos dados
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados
pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos
seus dados pessoais e às seguintes informações:
• As finalidades do tratamento dos dados;
• As categorias dos dados pessoais em questão;
• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão
divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a
organizações internacionais;
• Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios
usados para fixar esse prazo;
• A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a
limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de
se opor a esse tratamento;
• O direito de apresentar reclamação a uma autoridade de controle;
• A existência de decisões automatizadas, incluindo a definição de perfis.
172
Direito de retificação
O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos
dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos
dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma
declaração adicional.
173
Direito ao apagamento dos dados
(direito a ser esquecido)
O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais,
sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada,
quando se aplique um dos seguintes motivos:
• Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou
tratamento;
• O titular retira o consentimento em que se baseia o tratamento dos dados e se não existir outro
fundamento jurídico para o referido tratamento;
• O titular opõe-se ao tratamento, e não existem interesses legítimos prevalecentes que justifiquem o
tratamento;
• Os dados pessoais foram tratados ilicitamente;
• Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica
decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento
esteja sujeito.
174
Direito à limitação do tratamento
O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se
aplicar uma das seguintes situações:
• Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo
tratamento verificar a sua exatidão;
• O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e
solicitar, em contrapartida, a limitação da sua utilização;
• O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas
esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um
direito num processo judicial.
175
Obrigação de notificação da retificação ou
apagamento dos dados pessoais ou
limitação do tratamento
O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido
transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que
se tenha procedido, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado.
Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos
destinatários.
176
Direito de portabilidade dos dados
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha
fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura
automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável
a quem os dados pessoais foram fornecidos o possa impedir.
177
Direito de oposição
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua
situação particular, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de
perfis.
178
Decisões individuais automatizadas,
incluindo definição de perfis
O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com
base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica
ou que o afete significativamente de forma similar.
179
Violação de dados pessoais
(Personal data breach)
Violação de segurança que leva, de forma acidental ou ilegal, à destruição, perda, alteração, divulgação ou
acesso não autorizado de dados pessoais.
180
Data protection by design and by default
Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e
as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e
liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo
tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do
próprio tratamento, as medidas técnicas e organizacionais adequadas, como a pseudonimização,
destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as
garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento
e proteja os direitos dos titulares dos dados.
O responsável pelo tratamento aplica medidas técnicas e organizacionais para assegurar que, por default, só
sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.
Essa obrigação aplica-se à quantidade de dados pessoais coletados, à extensão do seu tratamento, ao seu
prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por default, os dados
pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas
singulares.
181
Segurança do tratamento
Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as
finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas
técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco, incluindo,
consoante o que for adequado:
• A pseudonimização e a cifragem dos dados pessoais;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência
permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no
caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e
organizacionais para garantir a segurança do tratamento.
Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados
pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou
ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de
tratamento.
182
Comunicação de uma violação de dados
pessoais ao titular dos dados
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao
titular dos dados sem demora injustificada.
A comunicação ao titular dos dados descreve em linguagem clara e simples a natureza da violação dos
dados pessoais.
183
Notificação de uma violação de dados
pessoais à autoridade de controle
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica o fato a autoridade de
controle competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido
conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num
risco para os direitos e liberdades das pessoas singulares.
O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de
uma violação de dados pessoais.
A notificação deve, pelo menos:

• Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número
aproximado de titulares de dados afetados;
• Comunicar o nome e os contatos do encarregado da proteção de dados;
• Descrever as consequências prováveis da violação de dados pessoais;
• Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a
violação de dados pessoais.
184
Avaliação de impacto sobre a proteção de
dados (Data Protection Impact
Assessment - DPIA)
Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a
uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.
Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o
parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.
185
Consulta prévia
O responsável pelo tratamento consulta a autoridade de controle antes de proceder ao tratamento quando
a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado risco na
ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.
186
Designação do encarregado da proteção
de dados
O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados
sempre que:
• O tratamento for efetuado por uma autoridade ou um organismo público;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle
regular e sistemático dos titulares dos dados em grande escala; ou
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais
relacionados com condenações penais e infrações.
• O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio do direito e das práticas de
proteção de dados, bem como na sua capacidade para desempenhar as funções requeridas.
187
Funções do encarregado da proteção de
dados (Data Protection Officer)
O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
• Informa e aconselha o responsável pelo tratamento ou o subcontratante, a respeito das suas
obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da
União ou dos Estados-Membros;
• Controla a conformidade com o presente regulamento, com outras disposições de proteção de
dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do
subcontratante relativas à proteção de dados pessoais, incluindo, a sensibilização e formação do
pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre
a proteção de dados e controla a sua realização;
• Coopera com a autoridade de controle;
• Ponto de contato para a autoridade de controle sobre questões relacionadas com o tratamento.
188
Funções do encarregado da proteção de
dados (Data Protection Officer)
No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os
riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as
finalidades do tratamento.
189
Transferências de dados pessoais para
países terceiros ou organizações
internacionais
Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização
internacional desde que o país terceiro, ou a organização internacional em questão, garanta um nível de
proteção adequado.
190
Sanções (Penalties)
Em caso de violação, as multas podem chegar a € 20 milhões ou 4% do faturamento global da companhia - o
que for maior.
191
Referências bibliográficas
■ General Data Protection Regulation (GDPR) - Disponível em https://gdpr-info.eu/.
■ Lei Geral de Proteção de Dados Pessoais (LGPD) - Disponível em

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
■ ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security
management systems – Requirements.
■ ISO/IEC 27005 Tecnologia da informação - Técnicas de segurança – Gestão de riscos de segurança da

informação.
192

Curso preparatório ISO 27001

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso preparatório ISO 27001

Enviado por

Direitos autorais:

Formatos disponíveis

Curso preparatório oficial para os exames da formação

Data Protection Officer (DPO) da ITCERTS

Normas da família ISO IEC 27000

ISO/IEC 29100:2020 - Estrutura de Privacidade.

ISO/IEC 29151:2020 - Código de prática para Proteção de Dados Pessoais.

■ Os requisitos definidos na norma são genéricos e são aplicáveis a todas as organizações,

Violação de segurança da informação

Evento de segurança da informação

Incidente de segurança da informação e Privacidade

Risco de Segurança da Informação e Privacidade

Gestão de incidentes de segurança da informação

Parte interessada (stakeholder)

Dados pessoais (DP)

Análise de impacto de privacidade (PIA)

Política específica por tema

Dispositivo endpoint do usuário

■ A organização deve determinar:

■ A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da

■ Quando da determinação deste escopo, a organização deve considerar:

■ O escopo deve estar disponível como informação documentada.

■ A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão

■ A Alta Direção deve estabelecer uma política de segurança da informação que:

■ A política de segurança da informação deve:

■ A Alta Direção deve atribuir a responsabilidade e autoridade para:

■ Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar

■ A organização deve planejar:

6.1.2 Avaliação de riscos de segurança da informação

6.1. 3 Tratamento de riscos de segurança da informação

6.1. 3 Tratamento de riscos de segurança da informação

■ A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis

■ Os objetivos de segurança da informação devem:

■ A organização deve reter informação documentada dos objetivos de segurança da informação.

■ Quando a organização determina a necessidade de mudanças no sistema de gestão de segurança da

■ A organização deve determinar e prover recursos necessários para o estabelecimento, implementação,

■ O sistema de gestão da segurança da informação da organização deve incluir:

7.5.2 Criando e atualizando

■ Quando da criação e atualização da informação documentada, a organização deve assegurar, de forma

7.5.3 Controle da informação documentada

■ A informação documentada requerida pelo sistema de gestão da segurança da informação e pela

■ Para o controle da informação documentada, a organização deve considerar as seguintes atividades,

7.5.3 Controle da informação documentada (continuação)

■ A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de

■ A organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, ou

■ A organização deve implementar o plano de tratamento de riscos de segurança da informação.

■ A organização deve determinar:

■ Informações documentadas devem estar disponíveis como evidência dos resultados.

■ A organização deve avaliar o desempenho de segurança da informação e a eficácia do sistema de

9.2.2 Programa de Auditoria interna

■ A organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a

9.2.2 Programa de Auditoria interna

■ Os requisitos próprios da organização incluem:

■ Auditores também avaliam se o SGSI está efetivamente implementado e mantido.

9.3.2 Entradas da Análise crítica

■ A análise crítica pela Direção deve incluir considerações com relação a:

9.3.3 Resultados da Análise crítica

■ A organização deve continuamente melhorar a pertinência, adequação e eficácia do sistema de gestão

■ Quando uma não conformidade ocorre a organização deve:

■ A organização deve reter informação documentada como evidência da:

■ 5.1 Políticas de segurança da informação

■ 5.2 Papéis e responsabilidades pela segurança da informação

■ 5.3 Segregação de funções

■ 5.4 Responsabilidades da direção

■ 5.5 Contato com autoridades