Escolar Documentos
Profissional Documentos
Cultura Documentos
3
Normas
Normas
■ Normas são documentos estabelecidos por consenso e aprovado por um organismo reconhecido, que
fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados,
visando a obtenção de um grau ótimo de ordenação em um dado contexto.
4
Principais normas na área de segurança da
informação
ISO/IEC 27000
■ Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
■ Referência normativa indispensável para aplicação de todas as normas da família 27000)
ISO/IEC 27001
■ Sistemas de gestão da segurança da informação — Requisitos
ISO/IEC 27002
■ Código de prática para controles de segurança da informação
ISO/IEC 27003
■ Sistemas de gestão da segurança da informação — Orientações
ISO/IEC 27004
■ Gestão da segurança da informação — Medição
5
Principais normas na área de segurança da
informação
ISO/IEC 27005
■ Gestão de riscos de segurança da informação
ISO/IEC 27007
■ Auditoria em segurança da informação
ISO/IEC 27032
■ A norma ISO/IEC 27032 fornece diretrizes para tratamento de riscos relacionados à segurança cibernética
(cybersecurity), incluindo Malwares, Ataques de Engenharia Social, Hacking e Spywares.
ISO/IEC 27037
■ Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e
preservação de evidência digital (Computação Forense).
6
Principais normas na área de segurança da
informação
ISO/IEC 27701:2019 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gestão da privacidade da informação
— Requisitos e diretrizes.
■ A norma ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação
(SGPI) na forma de uma extensão das ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade dentro do
contexto da organização.
7
Principais normas na área de segurança da
informação
ISO/IEC 29134:2020 - Avaliação de Impacto de Privacidade - Diretrizes.
■ Fornece diretrizes para processo de avaliação de impacto de privacidade.
8
Outras normas importantes
ISO 31000
■ Gestão de riscos – Diretrizes.
ISO/IEC 38500
■ Governança corporativa de tecnologia da informação.
ISO 22301
■ Requisitos para um sistema de gestão da continuidade de negócios.
ISO 37301
■ Sistema de Gestão de Compliance – Requisitos com orientações para uso.
9
Sobre a ISO/IEC 27001:2022
Escopo
■ A norma ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
■ A norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação
voltados para as necessidades da organização.
■ A exclusão de quaisquer dos requisitos especificados na norma não é aceitável quando a organização busca
a conformidade com a norma.
■ Para os efeitos da norma, aplicam-se os termos e definições apresentados na ISO/IEC 27000 (visão geral e o
vocabulário).
10
Termos e definições
Controle de acesso
■ Significa assegurar que o acesso físico e lógico aos ativos seja autorizado e restrito com base em requisitos de
negócio e de segurança da informação.
Ativo
■ Qualquer coisa que tenha valor para a organização.
■ Ativos primários
• Processos e atividades de negócio
• Informação
■ Ativos de suporte e infraestrutura
• Hardware e software
• Rede
• Recursos Humanos
• Instalações físicas
11
Termos e definições
Ataque
■ Tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso a um
ativo ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo.
Ameaça
■ Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização.
■ Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.
■ Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente
identificadas.
■ Exemplos de ameaças:
• Acesso não autorizado
• Espionagem industrial
• Ações de hackers
• Fraude
• Roubo de documentos confidenciais
• Enchente
• Incêndio, etc...
12
Termos e definições
Autenticação
■ Provisão de garantia de que uma característica alegada de uma entidade está correta.
Autenticidade
■ Propriedade que uma entidade é o que ela alega ser.
Informações confidenciais
■ Informações que não se destinam a ser disponibilizadas ou divulgadas a indivíduos, entidades ou processos
não autorizados.
Controle
■ Medida que mantém e/ou modifica o risco.
Disrupção
■ Incidente, seja previsto ou imprevisto, que causa um desvio, não planejado e negativo da expectativa de
entrega de produtos e serviços de acordo com os objetivos da organização.
13
Termos e definições
Dispositivo endpoint
■ Dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede.
14
Termos e definições
Segurança da Informação e privacidade
■ Preservação da confidencialidade, integridade e disponibilidade da informação.
Confidencialidade
■ Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não
autorizados.
Integridade
■ Propriedade da exatidão e completeza de ativos.
Disponibilidade
■ Propriedade de estar acessível e utilizável sob demanda, por uma entidade autorizada.
15
Termos e definições
Danos
■ São as consequências de um incidente. Os danos podem ser diretos ou indiretos.
■ Danos diretos – são consequências diretas do incidente.
• Exemplo: furto de um veículo.
■ Danos indiretos – são consequências indiretas do incidente.
• Exemplo: após o furto do veículo, a pessoa perder compromissos.
Impacto
■ Mudança adversa no nível obtido dos objetivos do negócio.
Risco Residual
■ Risco remanescente após o tratamento do risco.
16
Termos e definições
Tratamento do Risco
■ Processo para modificar um risco.
Controle
■ Medida que está modificando o risco.
Competência
■ Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.
Melhoria Contínua
■ Atividade recorrente para melhorar o desempenho.
Alta direção
■ Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.
Ação corretiva
■ Ação para eliminar a causa de uma não conformidade para prevenir a repetição.
17
Termos e definições
Informação documentada
■ Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.
Sistema de informação
■ Conjunto de aplicações, serviços, ativos de tecnologia da informação ou outros componentes de manuseio
de informações.
Não repúdio
■ Capacidade de comprovar a ocorrência de um evento ou ação declarada e suas entidades originárias.
18
Termos e definições
Pessoal
■ Pessoas que executam trabalho sob a direção da organização.
Titular de DP
■ Pessoa natural a quem se referem os dados pessoais (DP).
Operador de DP
■ Parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em benefício e de acordo
com as instruções de um controlador de DP.
19
Termos e definições
Análise crítica
■ Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado para
alcançar os objetivos estabelecidos.
Auditoria
■ Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la objetivamente
para determinar a extensão na qual os critérios de auditoria são atendidos.
Requisito
■ Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.
Conformidade
■ Atendimento a um requisito.
Não conformidade
■ Não atendimento a um requisito.
20
Termos e definições
Política
■ Intenções e direção de uma organização, expressa formalmente por sua Alta Direção.
Procedimento
■ Modo especificado de realizar uma atividade ou um processo.
Processo
■ Conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado
pretendido.
21
Termos e definições
Informações sensíveis
■ Informações que precisam ser protegidas contra indisponibilidade, acesso, modificação ou divulgação
pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança nacional
ou segurança pública.
Vulnerabilidade
■ Fraqueza de um ativo ou controle que pode ser explorado por uma ou mais ameaças.
22
4. Contexto da organização
4.1 Entendendo a organização e seu contexto
■ A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e
que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança
da informação.
23
4. Contexto da organização
4.2 Entendendo as necessidades e as expectativas das partes interessadas
■ Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigações contratuais.
24
4. Contexto da organização
4.3 Determinando o escopo do sistema de gestão da segurança da informação
25
4. Contexto da organização
4.4 Sistema de gestão da segurança da informação
26
5. Liderança
5.1 Liderança e comprometimento
■ A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação:
• a) assegurando que a política de segurança da informação e os objetivos de segurança da
informação estão estabelecidos e são compatíveis com a direção estratégica da organização;
• b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro
dos processos da organização;
• c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação
estão disponíveis;
• d) comunicando a importância de uma gestão eficaz da segurança da informação e da
conformidade com os requisitos do sistema de gestão da segurança da informação.
27
5. Liderança
5.1 Liderança e comprometimento (continuação)
■ A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação:
• e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados
pretendidos;
• f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança
da informação;
• g) promovendo a melhoria contínua; e
• h) apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às
áreas sob sua responsabilidade.
28
5. Liderança
5.2 Política
29
5. Liderança
5.3 Autoridades, responsabilidades e papéis organizacionais
■ A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a
segurança da informação sejam atribuídos e comunicados.
30
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Geral
31
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
■ A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
• a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:
• 1) os critérios de aceitação do risco; e
• 2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;
• b) assegure que as contínuas avaliações de riscos de segurança da informação produzam
resultados comparáveis, válidos e consistentes;
• c) identifique os riscos de segurança da informação:
• 1) analise os riscos de segurança da informação:
• 2) avalie os riscos de segurança da informação:
■ A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da
informação.
32
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
■ A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação
para:
• a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da
informação, levando em consideração os resultados da avaliação do risco;
• b) determinar todos os controles que são necessários para implementar as opções escolhidas do
tratamento do risco da segurança da informação;
• c) comparar os controles determinados com aqueles do Anexo A e verificar se algum controle
necessário foi omitido;
33
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
■ A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação
para:
• d) elaborar uma declaração de aplicabilidade que contenha os controles necessários, e a
justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a
exclusão dos controles do Anexo A;
• e) preparar um plano para tratamento dos riscos de segurança da informação; e
• f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de
segurança da informação e a aceitação dos riscos residuais de segurança da informação.
■ A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de
segurança da informação.
34
6. Planejamento
6.2 Objetivo de segurança da informação e planejamento para alcançá-los
35
6. Planejamento
6.2 Objetivo de segurança da informação e planejamento para alcançá-los (continuação)
■ Quando do planejamento para alcançar os seus objetivos de segurança da informação, a organização deve
determinar:
• h) o que será feito;
• i) quais recursos serão necessários;
• j) quem será responsável;
• k) quando estará concluído;
• l) como os resultados serão avaliados.
36
6. Planejamento
6.3 Planejamento de mudanças
37
7. Apoio
7.1 Recursos
38
7. Apoio
7.2 Competência
■ A organização deve:
• determinar a competência necessária das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurança da informação;
• assegurar que essas pessoas são competentes, com base na educação, treinamento ou experiência
apropriados;
• onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações
tomadas; e
• reter informação documentada apropriada como evidência da competência.
39
7. Apoio
7.3 Conscientização
■ Pessoas que realizam trabalho sob o controle da organização devem estar cientes da:
• política de segurança da informação;
• suas contribuições para a eficácia do sistema de gestão da segurança da informação, incluindo os
benefícios da melhoria do desempenho da segurança da informação; e
• implicações da não conformidade com os requisitos do SGSI.
40
7. Apoio
7.4 Comunicação
■ A organização deve determinar as comunicações internas e externas relevantes para o SGSI incluindo:
• a) o que comunicar;
• b) quando comunicar;
• c) para quem comunicar;
• d) quem será comunicado; e
• e) o processo pelo qual a comunicação será realizada.
41
7. Apoio
7.5 Informação documentada
7.5.1 Geral
42
7. Apoio
7.5 Informação documentada
43
7. Apoio
7.5 Informação documentada
4
4
7. Apoio
7.5 Informação documentada
■ A informação documentada de origem externa, determinada pela organização como necessária para o
planejamento e operação do sistema de gestão da segurança da informação, deve ser identificada como
apropriado, e controlada.
45
8. Operação
8.1 Planejamento operacional e controle
■ A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos de segurança da informação e para implementar as ações determinadas no Planejamento.
• estabelecendo critérios para os processos;
• implementando o controle dos processos de acordo com os critérios.
■ A organização deve manter a informação documentada na abrangência necessária para gerar confiança
de que os processos estão sendo realizados conforme planejado.
■ A organização deve assegurar que processos, produtos ou serviços fornecidos externamente que sejam
relevantes ao sistema de gestão da segurança da informação são controlados.
46
8. Operação
8.2 Avaliação de riscos de segurança da informação
■ A organização deve reter informação documentada dos resultados das avaliações de risco de segurança
da informação.
47
8. Operação
8.3 Tratamento de riscos de segurança da informação
■ A organização deve reter informação documentada dos resultados do tratamento dos riscos de segurança
da informação.
48
9. Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
49
9. Avaliação do desempenho
9.2 Auditoria interna
9.2.1 Geral
■ A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o
quanto o sistema de gestão da segurança da informação:
• a) está em conformidade com:
• 1) os próprios requisitos da organização para o seu sistema de gestão da segurança da
informação;
• 2) os requisitos da norma;
• b) está efetivamente implementado e mantido.
50
9. Avaliação do desempenho
9.2 Auditoria interna
■ Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de
auditorias anteriores.
■ A organização deve:
• a) definir os critérios e o escopo da auditoria para cada auditoria;
• b) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do
processo de auditoria;
• c) assegurar que os resultados das auditorias são relatados para a direção pertinente.
■ Informações documentadas devem estar disponíveis como evidência da implementação do(s) programa(s)
de auditoria e os resultados da auditoria.
51
9. Avaliação do desempenho
9.2 Auditoria interna
Explicação
■ Auditorias internas fornecem informações sobre se o SGSI está em conformidade com os requisitos
próprios da organização para seus SGSI, bem como com os requisitos da ISO/IEC 27001.
52
9. Avaliação do desempenho
9.3 Análise crítica pela Direção
9.3.1 Geral
■ A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização
a intervalos planejados, para assegurar a sua contínua adequação, pertinência e eficácia.
53
9. Avaliação do desempenho
9.3 Análise crítica pela Direção
54
9. Avaliação do desempenho
9.3 Análise crítica pela Direção
■ Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para
melhoria contínua e quaisquer necessidades para mudanças do sistema de gestão da segurança da
informação.
■ Informações documentadas devem estar disponíveis como evidência dos resultados das revisões de gestão.
55
10. Melhoria
10.1 Melhoria contínua
56
10. Melhoria
10.2 Não conformidade e ação corretiva
57
10. Melhoria
10.2 Não conformidade e ação corretiva
■ As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
58
Anexo A – Controles de Segurança da Informação
Controles organizacionais
59
Anexo A – Controles de Segurança da Informação
Controles organizacionais
60
Anexo A – Controles de Segurança da Informação
Controles organizacionais
61
Anexo A – Controles de Segurança da Informação
Controles organizacionais
62
Anexo A – Controles de Segurança da Informação
Controles organizacionais
63
Anexo A – Controles de Segurança da Informação
Controles organizacionais
64
Anexo A – Controles de Segurança da Informação
Controles organizacionais
65
Anexo A – Controles de Segurança da Informação
Controles organizacionais
66
Anexo A – Controles de Segurança da Informação
Controles organizacionais
67
Anexo A – Controles de Segurança da Informação
Controles organizacionais
68
Anexo A – Controles de Segurança da Informação
Controles organizacionais
69
Anexo A – Controles de Segurança da Informação
Controles organizacionais
70
Anexo A – Controles de Segurança da Informação
Controles organizacionais
71
Anexo A – Controles de Segurança da Informação
Controles de pessoas
■ 6.1 Seleção
Convém que verificações de antecedentes de todos os candidatos a serem contratados sejam realizadas antes
de ingressarem na organização e de modo contínuo, de acordo com as leis, regulamentos e ética aplicáveis e
que sejam proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos
riscos percebidos.
72
Anexo A – Controles de Segurança da Informação
Controles de pessoas
73
Anexo A – Controles de Segurança da Informação
Controles de pessoas
74
Anexo A – Controles de Segurança da Informação
Controles físicos
75
Anexo A – Controles de Segurança da Informação
Controles físicos
76
Anexo A – Controles de Segurança da Informação
Controles físicos
77
Anexo A – Controles de Segurança da Informação
Controles físicos
78
Anexo A – Controles de Segurança da Informação
Controles físicos
79
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
80
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
81
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
82
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
83
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
■ 8.15 Log
Convém que logs que registrem atividades, exceções, falhas e outros eventos relevantes sejam produzidos,
armazenados, protegidos e analisados.
84
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
85
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
86
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
87
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
88
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
89
Anexo A – Controles de Segurança da Informação
Controles tecnológicos
90
Curso preparatório oficial para o exame da certificação Information
Security Risk Management Foundation (ISO/IEC 27005) da ITCERTS
Agenda
1 Termos e definições
2 Gestão de riscos de segurança da informação
3 Definição do contexto
4 Processo de avaliação de riscos de segurança da informação
5 Atividades do processo de avaliação de riscos de segurança da informação
6 Tratamento do Risco de Segurança da Informação
7 Comunicação e consulta do risco de segurança da informação
8 Monitoramento, análise crítica e melhoria do processo de gestão de riscos
92
Termos e definições
Risco
Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou perdas à
organização.
Identificação de Riscos
Processo que tem por objetivo localizar, listar e caracterizar elementos de risco.
Estimativa de Risco
Processo utilizado para atribuir valores à probabilidade e à consequência de um risco.
■ Estimativa qualitativa - Utiliza uma escala com atributos que descrevem a magnitude das consequências
potenciais (por exemplo, pequena, média e grande) e a probabilidade dessas consequências ocorrerem.
■ Estimativa quantitativa - Utiliza uma escala com valores numéricos tanto para consequências quanto para a
probabilidade, usando dados de diversas fontes.
Impacto
Mudança adversa no nível obtido dos objetivos de negócios.
93
Termos e definições
Nível de risco
Magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades.
Redução do Risco
Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco.
Retenção do Risco
Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.
Risco Residual
Risco remanescente após o tratamento do risco.
Transferência do Risco
Compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco.
Tratamento do Risco
Processo de seleção e implementação de medidas para modificar um risco.
94
Gestão de Riscos de Segurança da Informação
Sobre a norma ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos de segurança da informação.
Os conceitos, modelos e processos e terminologias descritos nas normas ISO/IEC 27001 e ISO/IEC 27002
são muito importantes para entendimento da norma ISO/IEC 27005.
A norma ISO/IEC 27005 não fornece um método específico para gestão de risco de segurança da informação.
95
Gestão de Riscos de Segurança da Informação
Processo de Gestão de Riscos de Segurança da Informação
Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão de
segurança da informação da organização.
96
Gestão de Riscos de Segurança da Informação
Processo de Gestão de Riscos de Segurança da Informação
97
Gestão de Riscos de Segurança da Informação
Definição do contexto
98
Gestão de Riscos de Segurança da Informação
Processo de avaliação de riscos de segurança da informação
O processo de avaliação de riscos de segurança da informação tem por objetivo determinar o valor dos ativos
de informação, identificar as ameaças e vulnerabilidades existentes, identificar os controles existentes e
priorizar os riscos derivados, ordenando-os de acordo com os critérios de avaliação de risco estabelecidos na
definição do contexto.
99
Gestão de Riscos de Segurança da Informação
Atividades do processo de avaliação de riscos de segurança da informação:
Identificação de Riscos
Identificar os ativos, vulnerabilidades, ameaças e controles existentes e Definição do Contexto
as consequências da ocorrência de um incidente de segurança da
informação para o negócio.
Processo de avaliação de riscos
Análise de Riscos
Avaliação da probabilidade e do impacto sobre o negócio em caso da
ocorrência de um incidente de segurança. Identificação de Riscos
Avaliação de Riscos
Definição das prioridades para tratamento dos riscos, levando-se em
Análise de Riscos
consideração os níveis de riscos estimados.
Saída: uma lista de riscos ordenados por prioridade (de acordo com os
critérios de avaliação de riscos) e associados ao cenários de incidentes
que o provocam. Avaliação de Riscos
100
Gestão de Riscos de Segurança da Informação
Após a realização da análise/avaliação de riscos, as opções de tratamento são então selecionadas, com base
no custo esperado para implementação das opções e nos benefícios esperados.
101
Gestão de Riscos de Segurança da Informação
Opções de Tratamento do Risco de Segurança da Informação
■ Modificação do risco
• Modificação do risco por meio da seleção de controles
apropriados para que o risco residual possa ser
considerado aceitável.
■ Retenção do risco (Assumir o risco)
• Se o nível de risco atender os critérios para aceitação do
risco, neste caso, não há necessidade de implementar
controles adicionais e pode haver a retenção do risco
(aceitar as consequências de perda associadas ao risco).
■ Ação de evitar o risco
• Evitar a atividade ou condição que dá origem a um
determinado risco.
■ Compartilhamento do risco
• Compartilhar o risco com outra entidade que possa
gerenciá-lo de forma mais eficaz.
102
Gestão de Riscos de Segurança da Informação
Visão geral do processo de gestão de riscos de
segurança da informação.
103
Gestão de Riscos de Segurança da Informação
Alinhamento do processo do SGSI e do processo de Gestão de Riscos de Segurança da Informação
104
Gestão de Riscos de Segurança da Informação
Comunicação e consulta do Risco de Segurança da Informação
Convém que as informações sobre risco sejam trocadas e/ou compartilhadas entre o tomador de decisão e as
outras partes interessadas.
105
Curso preparatório oficial para o exame da certificação
LGPD Foundation da ITCERTS
Agenda
1 Importantes normas relacionadas a Segurança da 14 Capítulo IV: Do tratamento de dados pessoais pelo
Informação e Privacidade poder público
2 Legislações e regulamentações 15 Capítulo V: Da transferência Internacional de Dados
3 Introdução a LGPD 16 Capítulo VI: Dos agentes de tratamento de dados
4 Capítulo I: Disposições Preliminares pessoais
5 Sobre a LGPD 17 Seção I: Do Controlador e do Operador
6 Termos e definições 18 Seção II: Do Encarregado pelo Tratamento de Dados
7 Princípios Pessoais
8 Capítulo II: Do tratamento de dados pessoais 19 Capítulo VII: Da segurança e das boas práticas
9 Seção I: Dos Requisitos para o Tratamento de Dados 20 Seção I: Da Segurança e do Sigilo de Dados
Pessoais 21 Seção II: Das Boas Práticas e da Governança
10 Seção II: Do Tratamento de Dados Pessoais Sensíveis 22 Capítulo VIII: Da Fiscalização
11 Seção III: Do Tratamento de Dados Pessoais de Crianças 23 Das Sanções Administrativas
e de Adolescentes 24 Capítulo IX: Da autoridade nacional de proteção de
12 Seção IV: Do Término do Tratamento de Dados dados (ANPD)
13 Capítulo III: Direito do Titular
107
Principais normas na área de segurança da
informação e Privacidade
ISO/IEC 27000
■ Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
■ Referência normativa indispensável para aplicação de todas as normas da família 27000)
ISO/IEC 27001
■ Sistemas de gestão da segurança da informação — Requisitos
ISO/IEC 27002
■ Código de prática para controles de segurança da informação
ISO/IEC 27003
■ Sistemas de gestão da segurança da informação — Orientações
ISO/IEC 27004
■ Gestão da segurança da informação — Medição
108
Principais normas na área de segurança da
informação e Privacidade
ISO/IEC 27005
■ Gestão de riscos de segurança da informação
ISO/IEC 27007
■ Auditoria em segurança da informação
ISO/IEC 27701:2019 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gestão da privacidade da informação
— Requisitos e diretrizes.
■ A norma ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação
(SGPI) na forma de uma extensão das ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade dentro do
contexto da organização.
109
Principais normas na área de segurança da
informação e Privacidade
ISO/IEC 29100:2020 - Estrutura de Privacidade.
■ A norma fornece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de
tecnologia da informação e de comunicação (TIC).
■ A Norma fornece uma estrutura de privacidade que:
• especifica uma terminologia comum de privacidade;
• especifica os atores e os seus papéis no tratamento de dados pessoais (DP);
• descreve considerações de salvaguarda de privacidade; e
• fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
110
Legislações e regulamentações
GDPR (General Data Protection Regulation) - Regulamentação Geral de Proteção de Dados – Europa
■ Entrou em vigor no dia 25/05/2018 em todos os países da União Europeia.
■ A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais
de residentes da União Europeia.
111
Legislações e regulamentações
LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011 (Lei de Acesso à Informação)
■ Regula o acesso a informações.
112
Introdução a LGPD
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
■ Sancionada no dia 14 de Agosto de 2018, a lei define regras para a proteção de dados pessoais.
■ A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020.
■ A Lei 14.010, de 2020 adiou de 1º de janeiro de 2021 para 1º de agosto de 2021 a vigência das sanções que a
Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar.
■ Exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa
privada.
■ A lei entrou em vigor 24 (vinte e quatro) meses após a data de sua publicação (MEDIDA PROVISÓRIA Nº 869,
DE 27 DE DEZEMBRO DE 2018).
■ Em caso de descumprimento da lei, o texto prevê multa de até 2% do faturamento da empresa, limitado até
R$ 50 milhões.
113
Introdução a LGPD
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Entre outros pontos, a lei estabele que:
• Dados pessoais deverão ser excluídos após o encerramento da relação entre o cliente e a empresa;
• As empresas deverão coletar somente os dados necessários aos serviços prestados;
• Os titulares das informações poderão corrigir dados que estejam em posse de uma empresa;
• As empresas deverão adotar medidas de segurança para proteger os dados pessoais de acessos não
autorizados e de "situações acidentais ou ilícitas" de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito;
• O responsável pela gestão dos dados deverá comunicar casos de "incidente de segurança", como
vazamentos, que possam trazer risco ou dano ao titular das informações;
• Dados de crianças devem ser tratados com o consentimento dos pais.
114
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 1º A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
115
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
116
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 3º A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica
de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam
localizados os dados, desde que:
• I - a operação de tratamento seja realizada no território nacional;
• II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; ou
• III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
117
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
118
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
119
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Termos e definições
120
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Termos e definições
121
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Termos e definições
122
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Princípios
■ Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento;
• III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
• IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
123
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Princípios
■ Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
• VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
124
Capítulo I: Disposições Preliminares
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Princípios
■ Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
• IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos
ou abusivos;
• X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
125
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
• I - mediante o fornecimento de consentimento pelo titular;
• II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
• II - pela administração pública, para o tratamento e uso compartilhado de dados necessários à
execução de políticas públicas previstas em leis e regulamentos;
• IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
• V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a
contrato do qual seja parte o titular, a pedido do titular dos dados;
126
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
• VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
• IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro; ou
• X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
127
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro
meio que demonstre a manifestação de vontade do titular.
Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais
cláusulas contratuais.
Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na
Lei.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por
procedimento gratuito e facilitado.
128
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão
ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas
em regulamentação para o atendimento do princípio do livre acesso:
• I - finalidade específica do tratamento;
• II - forma e duração do tratamento, observados os segredos comercial e industrial;
• III - identificação do controlador;
• IV - informações de contato do controlador;
• V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• VI - responsabilidades dos agentes que realizarão o tratamento; e
• VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.
129
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 11º O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
• I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
• II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública, de
políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa;
• exercício regular de direitos;
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária; ou
• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos.
130
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor
interesse, nos termos deste artigo e da legislação pertinente.
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em
destaque dado por pelo menos um dos pais ou pelo responsável legal.
131
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
• I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários
ou pertinentes ao alcance da finalidade específica almejada;
• II - fim do período de tratamento;
• III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento,
resguardado o interesse público; ou
• IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
132
Capítulo II: Do tratamento de dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites
técnicos das atividades, autorizada a conservação para as seguintes finalidades:
• I - cumprimento de obrigação legal ou regulatória pelo controlador;
• II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
• III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos
nesta Lei; ou
• IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados.
133
Capítulo III: Direito do Titular
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos
fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei.
134
Capítulo III: Direito do Titular
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por
ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em
desconformidade com o disposto da Lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição
expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos
comercial e industrial;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências
da negativa;
• IX - revogação do consentimento.
135
Capítulo IV: Do tratamento de dados
pessoais pelo poder público
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo
único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado
para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar
as competências legais ou cumprir as atribuições legais do serviço público.
136
Capítulo IV: Do tratamento de dados
pessoais pelo poder público
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
Da Responsabilidade
■ Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos
públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
■ Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de
impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos
de dados pessoais pelo Poder Público.
137
Capítulo V: Da transferência Internacional de
Dados
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
• I - para países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto nesta Lei;
• II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos
direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
• a) cláusulas contratuais específicas para determinada transferência;
• b) cláusulas-padrão contratuais;
• c) normas corporativas globais;
• d) selos, certificados e códigos de conduta regularmente emitidos.
138
Capítulo VI: Dos agentes de tratamento de
dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
139
Capítulo VI: Dos agentes de tratamento de
dados pessoais
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
140
Capítulo VII: Da segurança e das boas
práticas
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas
a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
■ Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares.
■ Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a
atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios
gerais previstos na Lei e às demais normas regulamentares.
141
Capítulo VII: Da segurança e das boas
práticas
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de
governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
■ Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos
titulares dos seus dados pessoais.
142
Capítulo VIII: Da Fiscalização
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,
ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
• I - advertência, com indicação de prazo para adoção de medidas corretivas;
• II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• III - multa diária, observado o limite total;
• IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
143
Capítulo VIII: Da Fiscalização
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,
ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
• VI - eliminação dos dados pessoais a que se refere a infração;
• X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período
máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador;
• XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração
pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
144
Capítulo IX: Da autoridade nacional de
proteção de dados (ANPD)
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
■ Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão
da administração pública federal, integrante da Presidência da República. (Incluído pela Lei nº 13.853, de 2019).
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei.
145
Capítulo IX: Da autoridade nacional de
proteção de dados (ANPD)
Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil
146
Curso preparatório oficial para o exame da certificação
GDPR Foundation da ITCERTS
Agenda
1 Sobre a GDPR 13 Violação de dados pessoais
2 Disposições gerais 14 Data protection by design and by default
3 Termos e definições 15 Segurança do tratamento
4 Princípios relativos ao tratamento de dados pessoais 16 Comunicação de uma violação de dados pessoais ao
5 Licitude do tratamento titular dos dados
6 Condições aplicáveis ao consentimento 17 Notificação de uma violação de dados pessoais à
7 Condições aplicáveis ao consentimento de crianças autoridade de controle
8 Tratamento de categorias especiais de dados pessoais 18 Avaliação de impacto sobre a proteção de dados
9 Tratamento de dados pessoais relacionados com 19 Consulta prévia
condenações penais e infrações 20 Designação do encarregado da proteção de dados
10 Tratamento que não exige identificação 21 Funções do encarregado da proteção de dados
11 Transparência das informações, das comunicações e 22 Transferências de dados pessoais para países
das regras para exercício dos direitos dos titulares dos terceiros ou organizações internacionais
dados 23 Sanções (Penalties)
12 Direitos dos titulares de dados
148
Sobre a GDPR
Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR)
Regulamento que estabelece regras sobre a privacidade, proteção e tratamento de dados de cidadãos da
União Europeia.
A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais de
residentes da União Europeia independentemente de onde a empresa esteja situada.
149
Disposições gerais
Objetivo, âmbito de aplicação material e territorial
O regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados.
O regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados,
bem como ao tratamento por meios não automatizados de dados pessoais.
150
Termos e definições
Definição de perfis
Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais
para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos
relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais,
interesses, fiabilidade, comportamento, localização ou deslocações.
Pseudonimização
O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados
específico sem recorrer a informações suplementares.
Subcontratante
Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados
pessoais por conta do responsável pelo tratamento destes.
151
Termos e definições
Terceiro
A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o
responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo
tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.
152
Termos e definições
Dados genéticos
Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular
que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta
designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.
Dados biométricos
Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas
ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa
singular, nomeadamente imagens faciais ou dados dactiloscópicos.
153
Termos e definições
Dados relativos à saúde
Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de
serviços de saúde, que revelem informações sobre o seu estado de saúde.
Autoridade de controle
Uma autoridade pública independente criada por um Estado-Membro.
154
Termos e definições
Titular (Data subject)
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
155
Termos e definições
Tratamento de dados (Processing)
Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados
pessoais, por meio automatizados ou não automatizados, tais como coleta, registro, organização,
estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por
transmissão ou qualquer outra forma de disponibilização, apagamento ou destruição.
156
Termos e definições
Consentimento (Consent)
Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita,
mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto
de tratamento.
Base legal e principal hipótese para o tratamento de dados de acordo com a GDPR.
O consentimento deve ser específico, inteligível, de fácil acesso e uma linguagem clara e simples, dado
mediante um ato positivo que indique uma manifestação de vontade livre, específica, informada e
inequívoca do titular dos dados.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
157
Termos e definições
Controlador (Controller)
Responsável pelo tratamento de dados pessoais.
Pessoa física ou jurídica, autoridade pública, a agência ou outro órgão que, individualmente ou em conjunto
com outros, determina as finalidades e os meios de tratamento de dados pessoais.
Subcontratante (Processor)
Pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome
do controlador.
158
Princípios relativos ao tratamento de
dados pessoais
Licitude, Lealdade e Transparência (Lawfullness, Fairness and Transparency)
Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos
dados.
159
Princípios relativos ao tratamento de
dados pessoais
Limitação da finalidade (Purpose limitation)
Princípio segundo o qual os dados pessoais devem ser coletados para finalidades específicas, explícitas e
legítimas e não podem ser tratados posteriomente de uma forma incompatível com essas finalidades.
Privacy by default
Princípio segundo o qual devem ser aplicadas medidas técnicas e organizacionais para assegurar que, por
padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do
tratamento, de acordo com a quantidade de dados pessoais coletados, à extensão do seu tratamento, ao seu
prazo de armazenamento e à sua acessibilidade.
Privacy by design
Abordagem que visa garantir a privacidade do usuário desde a etapa de concepção de uma aplicação ou
processo.
160
Princípios relativos ao tratamento de
dados pessoais
Integridade e Confidencialidade (Integrity and confidentiality)
Dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o
seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando-
se as medidas técnicas e organizacionais adequadas.
161
Princípios relativos ao tratamento de
dados pessoais
Exatidão (Accuracy)
Os dados pessoais devem ser exatos e atualizado sempre que necessário; devem ser adotadas todas as
medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam
apagados ou retificados sem demora.
162
Licitude do tratamento
O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
• O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para
uma ou mais finalidades específicas;
• O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte,
ou para diligências pré-contratuais a pedido do titular dos dados;
• O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável
pelo tratamento esteja sujeito;
• O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular;
• O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da
autoridade pública de que está investido o responsável pelo tratamento;
• O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo
tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma
criança.
163
Condições aplicáveis ao consentimento
Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder
demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também
respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga
claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e
simples.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do
consentimento não compromete a licitude do tratamento efetuado com base no consentimento
previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse fato. O
consentimento deve ser tão fácil de retirar quanto de dar.
Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se,
designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao
consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.
164
Condições aplicáveis ao consentimento de
crianças
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja
dado ou autorizado pelos titulares das responsabilidades parentais da criança.
165
Tratamento de categorias especiais de
dados pessoais
É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas,
as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos,
dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados
relativos à vida sexual ou orientação sexual de uma pessoa.
166
Tratamento de dados pessoais
relacionados com condenações penais e
infrações
O tratamento de dados pessoais relacionados com condenações penais e infrações, só é efetuado sob o
controle de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou
de um Estado-Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos
dados.
167
Tratamento que não exige identificação
Se as finalidades para as quais se proceder ao tratamento de dados pessoais não exigirem ou tiverem
deixado de exigir a identificação do titular dos dados por parte do responsável pelo seu tratamento, este
último não é obrigado a manter, obter ou tratar informações suplementares para identificar o titular dos
dados com o único objetivo de dar cumprimento ao presente regulamento.
168
Transparência das informações, das
comunicações e das regras para exercício
dos direitos dos titulares dos dados
O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a respeito
do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem
clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
169
Direitos dos titulares de dados
(Rights of the data subject)
■ Direito de informação;
■ Direito de não ser submetido a decisões automatizadas e profiling (Automated individual decision-making,
including profiling).
170
Informação e acesso aos dados pessoais
Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe,
aquando da recolha desses dados pessoais, as seguintes informações:
• A identidade e os contatos do responsável pelo tratamento e, se for caso disso, do seu
representante;
• Os contatos do encarregado da proteção de dados, se for o caso;
• As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento
jurídico para o tratamento;
• Os interesses legítimos do responsável pelo tratamento ou de um terceiro;
• Os destinatários dos dados pessoais.
171
Direito de acesso do titular dos dados
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados
pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos
seus dados pessoais e às seguintes informações:
• As finalidades do tratamento dos dados;
• As categorias dos dados pessoais em questão;
• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão
divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a
organizações internacionais;
• Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios
usados para fixar esse prazo;
• A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a
limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de
se opor a esse tratamento;
• O direito de apresentar reclamação a uma autoridade de controle;
• A existência de decisões automatizadas, incluindo a definição de perfis.
172
Direito de retificação
O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos
dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos
dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma
declaração adicional.
173
Direito ao apagamento dos dados
(direito a ser esquecido)
O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais,
sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada,
quando se aplique um dos seguintes motivos:
• Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou
tratamento;
• O titular retira o consentimento em que se baseia o tratamento dos dados e se não existir outro
fundamento jurídico para o referido tratamento;
• O titular opõe-se ao tratamento, e não existem interesses legítimos prevalecentes que justifiquem o
tratamento;
• Os dados pessoais foram tratados ilicitamente;
• Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica
decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento
esteja sujeito.
174
Direito à limitação do tratamento
O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se
aplicar uma das seguintes situações:
• Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo
tratamento verificar a sua exatidão;
• O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e
solicitar, em contrapartida, a limitação da sua utilização;
• O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas
esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um
direito num processo judicial.
175
Obrigação de notificação da retificação ou
apagamento dos dados pessoais ou
limitação do tratamento
O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido
transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que
se tenha procedido, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado.
Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos
destinatários.
176
Direito de portabilidade dos dados
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha
fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura
automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável
a quem os dados pessoais foram fornecidos o possa impedir.
177
Direito de oposição
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua
situação particular, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de
perfis.
178
Decisões individuais automatizadas,
incluindo definição de perfis
O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com
base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica
ou que o afete significativamente de forma similar.
179
Violação de dados pessoais
(Personal data breach)
Violação de segurança que leva, de forma acidental ou ilegal, à destruição, perda, alteração, divulgação ou
acesso não autorizado de dados pessoais.
180
Data protection by design and by default
Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e
as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e
liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo
tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do
próprio tratamento, as medidas técnicas e organizacionais adequadas, como a pseudonimização,
destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as
garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento
e proteja os direitos dos titulares dos dados.
O responsável pelo tratamento aplica medidas técnicas e organizacionais para assegurar que, por default, só
sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.
Essa obrigação aplica-se à quantidade de dados pessoais coletados, à extensão do seu tratamento, ao seu
prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por default, os dados
pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas
singulares.
181
Segurança do tratamento
Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as
finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas
técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco, incluindo,
consoante o que for adequado:
• A pseudonimização e a cifragem dos dados pessoais;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência
permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no
caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e
organizacionais para garantir a segurança do tratamento.
Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados
pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou
ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de
tratamento.
182
Comunicação de uma violação de dados
pessoais ao titular dos dados
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao
titular dos dados sem demora injustificada.
A comunicação ao titular dos dados descreve em linguagem clara e simples a natureza da violação dos
dados pessoais.
183
Notificação de uma violação de dados
pessoais à autoridade de controle
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica o fato a autoridade de
controle competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido
conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num
risco para os direitos e liberdades das pessoas singulares.
O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de
uma violação de dados pessoais.
184
Avaliação de impacto sobre a proteção de
dados (Data Protection Impact
Assessment - DPIA)
Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a
uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.
Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o
parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.
185
Consulta prévia
O responsável pelo tratamento consulta a autoridade de controle antes de proceder ao tratamento quando
a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado risco na
ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.
186
Designação do encarregado da proteção
de dados
O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados
sempre que:
• O tratamento for efetuado por uma autoridade ou um organismo público;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle
regular e sistemático dos titulares dos dados em grande escala; ou
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais
relacionados com condenações penais e infrações.
• O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio do direito e das práticas de
proteção de dados, bem como na sua capacidade para desempenhar as funções requeridas.
187
Funções do encarregado da proteção de
dados (Data Protection Officer)
O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
• Informa e aconselha o responsável pelo tratamento ou o subcontratante, a respeito das suas
obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da
União ou dos Estados-Membros;
• Controla a conformidade com o presente regulamento, com outras disposições de proteção de
dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do
subcontratante relativas à proteção de dados pessoais, incluindo, a sensibilização e formação do
pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre
a proteção de dados e controla a sua realização;
• Coopera com a autoridade de controle;
• Ponto de contato para a autoridade de controle sobre questões relacionadas com o tratamento.
188
Funções do encarregado da proteção de
dados (Data Protection Officer)
No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os
riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as
finalidades do tratamento.
189
Transferências de dados pessoais para
países terceiros ou organizações
internacionais
Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização
internacional desde que o país terceiro, ou a organização internacional em questão, garanta um nível de
proteção adequado.
190
Sanções (Penalties)
Em caso de violação, as multas podem chegar a € 20 milhões ou 4% do faturamento global da companhia - o
que for maior.
191
Referências bibliográficas
■ General Data Protection Regulation (GDPR) - Disponível em https://gdpr-info.eu/.
■ ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security
management systems – Requirements.
192