21/11/23, 08:10 Normas e Padrões de Segurança da Informação

NORMAS E PADRÕES DE SEGURANÇA DA

INFORMAÇÃO
UNIDADE 4 - LEGISLAÇÃ O BRASILEIRA

Jaqueline Oliveira Zampronio

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 1/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 2/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Introdução
Nesta unidade, conheceremos mais algumas leis brasileiras voltadas aos sistemas que envolvem web, acesso
à informação e segurança de dados, explorando as seguintes questõ es: quais são as leis brasileiras sobre
internet, acesso à informação e segurança de dados? Quais são seus conceitos e aplicaçõ es? Quando foram
desenvolvidas? Quais são as suas abrangências? Há penalidades aos infratores e quais são elas? Os tó picos a
seguir vão nos direcionar para respondermos a essas perguntas.
Além disso, ao longo da unidade, você explorará clara e detalhadamente os aspectos das leis do Brasil
relacionados aos assuntos citados anteriormente para que você possa construir uma visão jurídica e
governamental sobre o tema. Ainda, irá conhecer a que regimento recorrer quando for vítima de alguma
exposição de conteú dos íntimos mediante ataques pela web, quando quiser requerer o acesso à informação ou
para quando for vítima de violação da segurança dos seus dados pessoais.
Animado(a)? Então, embarque nesta unidade e bons estudos!

4.1 Lei de tecnologia: lei Carolina Dieckmann

A Lei n. 12.737 segue a ideia das normas e padrõ es internacionais de segurança da informação, só que dentro
da realidade do Brasil. Ela é como uma tipificação criminal de delitos informáticos, publicada em 30 de
novembro de 2012 pela Presidenta Dilma Rousseff e está integrada ao Có digo Penal (Decreto-Lei n. 2.848).
Essa lei foi desenvolvida para penalizar as infraçõ es ocorridas em meio cibernético. Por conta da quantidade
de ameaças, foi necessária a criação de regimento para punir os hackers que atacam os sistemas nacionais
(BRASIL, 2012). A seguir, você conhecerá um pouco sobre essa lei.

4.1.1 Caso e conceito

A lei é chamada extraoficialmente de lei Carolina Dieckmann, pois a atriz foi vítima de ataque cibernético,
tendo tido seu e-mail invadido em meados de maio do ano de 2012 por meio de um spam contendo um
arquivo malicioso em anexo. Os criminosos roubaram suas fotos íntimas que estavam no correio eletrô nico e
a chantagearam, exigindo R$ 10 mil para não divulgarem essas imagens na internet. O resultado desse fato foi
um regimento que penalizasse esse tipo de crime (G1, 2013).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 3/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Figura 1 - Por meio dessa lei, estão também sujeitos à punição os ataques cibernéticos que ocasionam
falsificação de cartõ es de pagamento.
Fonte: Gajus, Shutterstock, 2019.

Sendo assim, a lei pune os invasores de dispositivos computacionais que utilizem ou não a internet para
realizar o crime que ameaça a proteção do sistema da vítima com intuito de possuir, modificar ou danificar as
informaçõ es sem permissão do proprietário. A penalidade é de três meses a um ano de detenção com multa,
podendo ser aumentada para casos considerados mais graves ou quando a vítima for o presidente da repú blica
e do Supremo Tribunal Federal (BRASIL, 2012).

4.2 Lei de acesso à informação

Homologada em 18 de novembro de 2011 durante o governo da presidenta Dilma Rousseff, a Lei n. 12.527
trata do direito do acesso a qualquer informação sem distinção e nem discriminação de pessoas ou de
instituiçõ es pú blicas e privadas. Esse regimento é composto por 47 artigos distribuídos em seis capítulos. A
seguir, você conhecerá um pouco sobre cada um desses capítulos (BRASIL, 2011).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 4/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

4.2.1 Capítulo I: disposições gerais

O art. 1º apresenta aquilo sobre o que a lei dispõ e, a saber: “sobre os procedimentos a serem observados pela
União, estados, Distrito Federal e municípios, com o fim de garantir o acesso a informaçõ es previsto no inciso
XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal”. Já o art. 2º diz
que essa Lei se dedica também às organizaçõ es privadas que não visam ao lucro e que ganhem auxílio
financeiro pú blico, tratados, patrocínio ou qualquer colaboração para as atividades de benefício pú blico.
O art. 3º observa que os passos descritos nessa Lei são para garantir o direito de acesso à informação e devem
ser realizados segundo as práticas da gestão pú blica e dos princípios de verificação da publicidade como
norma e da restrição em casos específicos, de publicação de conteú dos para benefício pú blico, uso dos tipos
de comunicação disponíveis pela tecnologia da informação, apoio ao avanço da cultura de clareza na gestão
pú blica e avanço do monitoramento da sociedade da gestão pú blica.

VOCÊ QUER VER?

O filme O quinto poder (2013), com direçã o de Bill Condon, conta uma parte da história
de Julian Paul Assange, ativista, programador e fundador da WikiLeaks. O filme inicia
em 2007, quando o ativista desmascara um dos bancos mais poderosos, e termina com
uma entrevista de Assange que aconteceu após ele ter publicado mais de 250 mil
documentos na íntegra de manobras do governo dos Estados Unidos.

O art. 4º trata das consequências dessa lei, sendo elas: informação, registros, informação restrita, privada,
processo da informação, acessibilidade, veracidade, dignidade e primordial. O art. 5º estabelece que é
obrigação do governo assegurar o direto de acesso à informação a todos, por meio de passos focados e
rápidos, com clareza, transparência e linguajar simples que facilite o entendimento (BRASIL, 2011).

4.2.2 Capítulo II: do acesso a informações e da sua divulgação

O art. 6º refere-se à responsabilidade das instituiçõ es pú blicas quanto aos padrõ es e passos determinados
cabíveis em garantir a administração clara da informação, permitindo a acessibilidade a todos e sua
disseminação; a segurança da informação, assegurando sua acessibilidade, veracidade e dignidade; e a
segurança da informação restrita e privada, respeitando a sua acessibilidade, veracidade, dignidade e a
possiblidade de controle de acesso.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 5/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

O art. 7º afirma que o acesso à informação a que se refere essa lei concebe os direitos de conseguir: auxílio
sobre os passos para a obtenção de acesso e os lugares onde está a informação necessária; informação trazida
nas documentaçõ es, feita ou guardada por indivíduo ou empresa, fundamental, fiel, verdadeira e remodelada,
sobre açõ es políticas, organizacionais e de serviços realizadas pelas instituiçõ es, relacionada à gestão de bens
pú blicos, uso do capital pú blico, contratos e pregoeiros, entre outros.

Figura 2 - A população tem o direito de solicitar o acesso à informação às entidades pú blicas específicas.
Fonte: Ollyy, Shutterstock, 2019.

O art. 8º trata da obrigação das instituiçõ es pú blicas em realizar a publicação das informaçõ es de benefício
geral feitas ou promovidas por elas em lugares visíveis e acessíveis. O art. 9º finaliza esse capítulo ao mostrar
que o acesso às informaçõ es pú blicas será garantido por meio de constituição de serviço de informaçõ es à
população, nas instituiçõ es pú blicas, em lugar adequado para auxiliar a população no acesso à informação, no
processo de documentação das entidades determinadas e no registro delas etc. (BRASIL, 2011).

4.2.3 Capítulo III: do procedimento de acesso à informação

Esse capítulo é composto por duas seçõ es. Clique nos itens abaixo e aprenda mais sobre ele.
•

Na primeira, o art. 10 menciona que todos podem

entrar com pedido de acesso à s informaçõ es à s
instituiçõ es tratadas no art. 1º dessa lei,
apresentando a identidade do interessado e os
detalhes da informaçã o solicitada.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 6/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

O art. 11 estabelece que as instituiçõ es pú blicas

sã o obrigadas a permitir ou oferecer o acesso
instantâ neo à informaçã o, caso contrá rio, deverã o
dar um parecer em até 20 dias, podendo ser
adiado para dez dias perante explicaçã o concreta.

O art. 12 refere-se ao dever de os serviços de

pesquisa e disponibilizaçã o da informaçã o serem
gratuitos, excetuando quando se tratar de
concepçã o de registro pela instituiçã o pú blica
procurada, caso em que pode haver cobrança de
reembolso do valor dos serviços e equipamentos
usados.

O art. 13 diz que nos casos em que o acesso à

informaçã o estiver em registro cujo manejo cause
danos à sua fidelidade, é obrigató ria a
disponibilidade de pesquisa de réplica
autenticada.

O art. 14 observa que o interessado tem o direito

de ter a certidã o completa da resposta de negaçã o
de acesso.
Na segunda seção, o art. 15 refere-se às vezes em que é negado o acesso à informação e em que o requerente
pode intervir com processo contra a resolução em até dez dias a partir do seu conhecimento, devendo obter
resposta em cinco dias. O art. 16 destaca que quando da resposta de não acesso à informação por parte das
instituiçõ es do Poder Executivo Federal, o interessado poderá intervir à Controladoria-Geral da União, que
responderá em até cinco dias.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 7/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

VOCÊ O CONHECE?
Daniel Domscheit-Berg foi membro da WikiLeaks e um dos primeiros braços direitos
de Julian Assange. Ele saiu da companhia por nã o concordar em expor pessoas
inocentes em documentos sigilosos divulgados pela WikiLeaks. Alé m de criar um site
para publicaçã o de informações secretas, ele també m escreveu vá rios livros, sendo um
deles o intitulado “Os bastidores do Wikileaks”.

O art. 17 trata de quando é recusado o pedido de desqualificação de informação registrado em instituição

pú blica, em que o interessado poderá intervir ao Ministro de Estado do setor, sem dano do conhecimento da
Comissão Mista de Reavaliação de Informaçõ es, descritas no art. 35 e no art. 16. O art. 18 diz que os passos de
atualização das respostas negativas feitas no processo descrito no art. 15 e da qualificação de recursos
secretos serão para fins de regimento dos Poderes Legislativos e Judiciário e do Ministério Pú blico, em seus
devidos setores, garantido ao requerente o direito de ser avisado sobre o curso de seu requerimento. O art. 19
foi desaprovado e o art. 20 fala que os passos relacionados neste capítulo serão utilizados como auxílio na Lei
n. 9.784 (BRASIL, 2011).

4.2.4 Capítulo IV: das restrições de acesso à informação

Este capítulo está dividido em cinco seçõ es. Na primeira, o art. 21 traz a proibição de negar o acesso à
informação precisa à tutoria jurídica ou gerencial de direitos primordiais. O art. 22 fala que a descrição dessa
lei não elimina os outros casos lícitos de segredo jurídico ou comercial derivados do abuso de ação financeira
pelo governo ou por indivíduo ou empresa que tenha parceria com a autoridade federal. Na segunda seção, o
art. 23 apresenta que serão levadas em conta, primordialmente, a proteção da população ou do governo e
sujeitos de qualificação, as informaçõ es publicadas ou de acesso livre que sejam capazes de ameaçar a
segurança e o poder federais ou a dignidade da área brasileira, a vida, a proteção ou da saú de do cidadão etc.
Agora, clique nas setas abaixo e conheça outros aspectos relacionados ao capítulo IV.

O art. 24 trata sobre as informaçõ es das instituiçõ es pú blicas, que podem ser qualificadas como
ultra sigilosas (25 anos), sigilosas (15 anos) ou restritas (5 anos), visto o fundamento à proteção
da população ou do governo. O art. 25 refere-se à obrigação do governo em monitorar o acesso e a
publicação de informaçõ es secretas realizadas por suas instituiçõ es, garantindo a sua segurança.
O art. 26 estabelece que as autoridades pú blicas aplicarão as medidas precisas para que o
indivíduo que depende delas categoricamente tenha acesso aos padrõ es e analise as práticas e
métodos de proteção para processo de informaçõ es secretas.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 8/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Na quarta seção, o art. 27 explana sobre a classificação de restrição de informaçõ es para a gestão
pú blica, sendo as ultra sigilosas de competência do Presidente da Repú blica, do Vice-Presidente,
dos Ministros de Estado, dos Comandantes das Forças Armadas, entre outros; as sigilosas de
competência das anteriores e, ainda, do poder federal, titulares, fundaçõ es ou ó rgãos pú blicos; e
as restritas de competência daqueles expressos anteriormente mais diretores, comandantes ou
chefes. O art. 28 trata da classificação da informação em diversos níveis secretos que deve ser
formalizada em decisão e que deverá trazer, no mínimo, o tema da informação, a razão da
classificação, denominação do período de restrição e identidade do responsável que classificou.
O art. 29 aponta que a classificação das informaçõ es será revisada pelo responsável classificador
ou categoricamente superior por meio de comunicado, nas condiçõ es e períodos descritos em
regimento, segundo o que diz o art. 24.

O art. 30 refere-se ao responsável superior de cada instituição que divulgará, todos os anos, em local à
distribuição na web e direcionado à transmissão de dados e informação gerenciais, os seguintes dados: lista
de informaçõ es que foram desclassificadas no ú ltimo ano, lista de registros classificados em cada nível de
restrição com dados para citação posterior; e relação estatística do nú mero de pedidos de informaçõ es
solicitados, fornecidos e rejeitados. Na ú ltima seção, o art. 31 diz que o processo das informaçõ es pessoais
precisa ser realizado com clareza e respeito à privacidade, dignidade e imagem dos indivíduos, assim como
autonomia e seguranças pró prias, tendo seu acesso restrito por 100 anos a partir de sua criação (BRASIL,
2011).

4.2.5 Capítulo V: das responsabilidades

O art. 32 descreve as atitudes ilegais relacionadas à responsabilidade do funcionário pú blico ou militar, sendo
elas: rejeitar disponibilizar informação solicitada nas cláusula da lei, atrasar sua disponibilização ou
disponibilizá-la errô nea, incompleta ou indefinidamente; usar erroneamente a informação de sua
responsabilidade; atuar maliciosamente na verificação dos pedidos de acesso à informação; publicar ou
autorizar a publicação ou acessar ou autorizar acesso impró prio à informação secreta ou privada; colocar
restrição à informação para seu benefício pró prio ou para esconder açõ es ilícitas; entre outros.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 9/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

VAMOS PRATICAR?
Considere que você seja dono de uma empresa que tenha um sistema de c
de clientes com todas as informações pessoais deles. Em um dia qualquer
uma invasã o nesse sistema e vá rios dados dos seus clientes sã o ro
Descreva a açã o que você precisa tomar para garantir a seguran
informações de seus consumidores e para nã o perder a confiança deles
trabalho.

O art. 33 menciona que o indivíduo ou empresa que guardar informaçõ es por conta de qualquer parceria com
o setor pú blico e não obedecer às condiçõ es descritas na lei terá as seguintes puniçõ es: advertência, multa,
quebra de parceira com o setor pú blico, suspensão de até dois anos de fazer parte de pregõ es e declaração de
incompetência para pregoar até sua aprovação dada pelo responsável de sua pena. O art. 34 estabelece,
finalmente, que as instituiçõ es pú blicas são responsáveis pelos prejuízos gerados por conta da publicação não
permitida ou uso impró prio de informaçõ es secretas ou privadas, incumbindo a conferência de
responsabilidade de função nas situaçõ es de fraude, garantido o direito de reversão (BRASIL, 2011).

4.2.6 Capítulo VI: disposições finais e transitórias

O art. 35 foi desaprovado e o art. 36 refere-se ao processo de informação secreta decorrente de contratos
estrangeiros que deve seguir os padrõ es e regulamentos dispostos na lei. O art. 37 trata da criação do Nú cleo
de Segurança e Credenciamento (NSC), que tem a função de proporcionar e sugerir a padronização do
credenciamento de proteção de indivíduos e organizaçõ es para processamento de informaçõ es secretas e de
assegurar a proteção de informaçõ es secretas, incluindo as vindas do exterior ou de instituiçõ es estrangeiras
que tenham acordos em nosso país. O art. 38 menciona que a Lei n. 9.507 será usada no que diz respeito à
informação pessoal ou corporativa que tenha registro ou banco de dados de instituiçõ es pú blicas.
Clique nas abas abaixo e conheça mais sobre o tema.

O art. 39 estabelece que as instituiçõ es pú blicas são obrigadas a dar seguimento à

Art. 39 revisão das informaçõ es classificadas como ultra sigilosas e sigilosas no período de
dois anos a partir do dia da homologação da lei.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 10/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

O art. 40 aponta que no período de 60 dias a partir do dia da homologação da lei, a

autoridade superior de cada instituição de gestão pú blica determinará
responsabilidade dos seguintes atos: garantir a obediência dos padrõ es de acesso à
Art. 40 informação eficaz e corretamente como disposto na lei; controlar a implantação das
normas da lei e divulgar relató rios recorrentes sobre o seu dever; sugerir as práticas
fundamentais à implantação e a melhora dos padrõ es e métodos descritos na lei; e
auxiliar os setores a obedecerem as normas dessa lei.

O art. 41 explana sobre a responsabilidade de o Poder Executivo Federal determinar

qual instituição de gestão pú blica será responsável pela divulgação de ação federal de
incentivo da transparência na gestão pú blica e percepção do direito essencial de
Art. 41 acesso à informação; pelo ensino sobre o avanço de medidas referentes à
transparência na gestão pú blica para funcionários pú blicos; pelo controle do uso da
lei na gestão pú blica divulgado conforme o art. 30; e pelo envio de relató rio anual
com informaçõ es relacionadas à aplicação da lei ao Congresso Nacional.

O art. 42 refere-se ao Poder Executivo, que regerá as descriçõ es dessa lei em 180 dias
Art. 42
a partir do dia da sua vigência.

VOCÊ QUER LER?

A reportagem “Como a nova lei de proteçã o de dados pessoais impacta na sua
empresa?”, publicada na Revista Exame (2019), trata da atualizaçã o da lei de proteçã o
de dados pessoais e seus efeitos para as organizações, mostrando sua importâ ncia e
suas consequê ncias nos negócios. Confira a reportagem em:
<https://exame.abril.com.br/negocios/mfpress/como-a-nova-lei-de-protecao-de-
dados-pessoais-impacta-na-sua-empresa%EF%BB%BF/
(https://exame.abril.com.br/negocios/mfpress/como-a-nova-lei-de-protecao-de-
dados-pessoais-impacta-na-sua-empresa%EF%BB%BF/)>.

O art. 43 menciona que o inciso VI do art. 116 da Lei n. 8.112 foi revisado conforme a seguir: enviar as
infraçõ es conhecidas a respeito da função à ciência do responsável máximo. O art. 44 afirma que foi inserido o
art. 126-A ao Capítulo IV do Título IV da Lei n. 8.112, em que se descreve que nenhum funcionário tem

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 11/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

responsabilidade cívica, judicial ou gerencial por fazer conhecer ao responsável máximo a averiguação de
informação referente às açõ es criminais. O art. 45 explana sobre a responsabilidade dos estados, municípios e
Distrito Federal em determinar normas específicas a essa lei, focando no art. 9º e na Seção II do Capítulo III. O
art. 46 é sobre a anulação da Lei n. 11.111 e dos arts. 22 a 24 da Lei n. 8.159, e o art. 47 sobre a vigência dessa
lei, que se tornará vigente em 180 dias a partir da sua homologação (BRASIL, 2011).

4.3 Lei de proteção de dados pessoais

A Lei n. 13.709 é nova. Outorgada em 14 de agosto de 2018 pelo presidente da Repú blica Michel Temer, a lei
geral de proteção de dados pessoais (LGPD) é bem extensa, com sessenta e cinco artigos divididos em dez
capítulos. Ela traz algumas alteraçõ es conforme a Lei n. 13.853, publicada em 8 de julho de 2019 pelo atual
presidente Jair Messias Bolsonaro. A seguir, mostremos os pontos principais da Lei n. 13.709 com suas
retificaçõ es feitas segundo a Lei n. 13.853 (BRASIL, 2018).

4.3.1 Capítulo I: disposições preliminares e Capítulo II: do tratamento de dados

pessoais
Como de costume, o art. 1º apresenta sobre o que se refere a lei, a saber: “sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito pú blico ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural” (BRASIL, 2018). O art. 2º trata da segurança da
intimidade das pessoas, da liberdade de expressar suas ideias e dos direitos humanos. O art. 3º diz que essa
lei abrange a todos os tipos de atividades feitas no Brasil por pessoas ou empresas de qualquer lugar.
No art. 4º, declara-se que a lei não abrange o tratamento de dados pessoais realizado para atividades não
econô micas e privadas, ou para fins apenas jornalísticos, artísticos, acadêmicos, realizados para fins de defesa
governamental e populacional, penais, não comunicativas no exterior etc. A lei ainda descreve, no art. 5º,
aquilo que é compreendido como dados pessoais, anô nimos, banco de dados, proprietário, monitor, operador,
assistente, atividade, entre outros. Já o art. 6 apresenta os deveres fiéis das atividades quanto ao objetivo,
adaptação, precisão, acesso livre, qualidade etc.
O Capítulo II é composto por quatro seçõ es. Clique nas abas para conhecê-las.
•

Primeira seção

Na primeira, o art. 7º refere-se ao processo de dados que só pode ocorrer quando disposto por seu
proprietário, prova lícita pelo monitor, gestão populacional para transmissão de dados no uso
político, ensino e pesquisa, uso de acordos com consentimento do proprietário etc. O processo de
dados disponível precisa ser justificado mediante o objetivo, a fidelidade e o benefício populacional
de sua publicação livre. O art. 8º declara que a permissão para o processo de dados deve ser por
escrito ou de outra forma, desde que apresente o consentimento do proprietário, podendo ser
interrompido quando o dono quiser. O art. 9º apresenta que o proprietário tem direito de saber
sobre qualquer informação dos processos de dados. O art. 10 explana que o empenho fiel do
monitor sobre os processos de dados somente será considerado para objetivos concretos e dignos,
como a segurança dos direitos do proprietário, sendo obrigató ria a clareza desses processos
controlados que podem ser pedidos pelos responsáveis governamentais.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 12/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Segunda seção

Na segunda sessão, o art. 11 descreve os casos em que pode ocorrer processo de dados delicados,
sendo eles: quando o proprietário permitir e em situaçõ es que não se precisa de autorização, como
prova lícita ou de regularidade do monitor, processo de transferência de dados pela gestão
populacional, uso em ensino e pesquisa, uso em processo jurídico, segurança vital do dono, uso
médico, uso na proteção de incidentes no sistema da informação do dono. O art. 12 explica que os
dados anô nimos só serão considerados pessoais quando puderem ser revertidos. Já o art. 13 trata
do uso de dados nos estudos relacionados à saú de pú blica, devendo ser usados somente dentro do
departamento de forma segura e monitorada como as normas de segurança exigem e sendo proibida
a revelação dos dados em relató rios ou artigos científicos.

•
Terceira seção

A terceira seção inicia com o art. 14, que trata do uso de processo de dados pessoais de crianças e
adolescentes, que só poderá ser realizado mediante permissão dos pais e responsável legal. O
monitor deve justificar clara e detalhadamente a razão pela qual usará os dados.

•
Quarta seção

Finalmente, a ú ltima seção apresenta o art. 15 que fala sobre a finalização do processo de dados
que acontecerá quando o objetivo do seu uso já foi alcançado, quando terminar o tempo de
processo, quando for solicitado pelo proprietário ou se for imposto por autoridade governamental
devido descumprimento dessa lei. Já o art. 16 trata da exclusão dos dados quando o processo for
finalizado, exceto nos casos de obrigação lícita ou decretada do monitor, estudo e pesquisa
(considerando o anonimato), transmissão para outros (respeitando o que está descrito na lei) e
utilização ú nica do monitor (sem transmissão a outros e usando o anonimato dos dados) (BRASIL,
2018).

Acompanhe, na sequência de seus estudos, sobre os terceiro e quarto capítulo desta lei.

4.3.2 Capítulo III: dos direitos do titular e Capítulo IV: do tratamento de dados
pessoais pelo poder público
O art. 17 diz que, por lei, todos têm a garantia da propriedade sobre seus dados e de diretos de liberdade e
privacidade. O art. 18, assim, menciona que o proprietário dos dados tem direito de ter do monitor a prova
real do processo, acesso aos dados, reparação dos dados incorretos ou faltantes, anonimato, retirada ou
exclusão dos dados, transferência dos dados para outro provedor em conformidade com a lei, conhecimento
dos ó rgãos pú blicos ou privados em que houve transmissão de seus dados, conhecimento do motivo de não
poder permitir o processo de dados e retirada da permissão.
O proprietário pode entrar com petição contra o monitor e barrar o processo de dados feitos sem sua
autorização. Todos os direitos descritos nesse artigo devem ser feitos por meio de requerimento do
proprietário. O art. 19 refere-se à comprovação dos acessos aos dados pedida pelo proprietário que deve

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 13/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

ocorrer por meio de requerimento simples ou declaração transparente e detalhada emitida até 15 dias a partir
da data do pedido do dono encaminhada eletronicamente ou no papel físico.
O art. 20 defende o direito do proprietário em requerer retificação da escolha de usar processo automático de
dados que possam prejudicar seus negó cios, por isso o monitor tem que apresentar as informaçõ es de forma
correta e transparente sobre o método implantado para tomar essa decisão. O art. 21 explica que os dados do
proprietário não devem ser utilizados para atividades que o afetem. O art. 22 fecha esse capítulo tratando
sobre o fato de os interesses e direitos dos proprietários dos dados poderem ser defendidos na justiça.

VOCÊ SABIA?
O auditor de sistemas da informaçã o é responsável pela observâ ncia da segurança
de dados, informações, indivíduos e ativos e pela averiguaçã o do monitoramento,
da disponibilidade e das prá ticas (IMONIANA, 2016).

O Capítulo IV é divido em duas seçõ es. Na primeira, o art. 23 diz que o processo de dados de ó rgãos pú blicos
precisa acontecer quando há interesse pú blico, como avisos sobre o uso do processo explicitando a finalidade
e métodos para tal atividade. O art. 24 fala que as instituiçõ es pú blicas e econô micas que fazem parte da
concorrência de mercado usarão o processo igual aos ó rgãos privados. O art. 25 trata das políticas, atividades,
serviços e acesso à informação da população que são obrigados a ter seus dados de acesso livre na forma
estruturada e padrõ es abertos.
O art. 26 refere-se à transferência de dados pelo governo, que só poderá ocorrer com objetivo pró prio das
políticas pú blicas e legais desde que obedeçam às práticas de segurança dos dados pessoais, sendo proibido o
compartilhamento com organizaçõ es privadas exceto em alguns casos como de acesso livre, precaução de
incidentes etc. O art. 27 diz que a comunicação e a transferência de dados de ó rgãos pú blicos a empresas
deverão ser comunicadas ao governo e autorizadas pelo proprietário. O art. 28 foi desaprovado pela
atualização da lei.
O art. 29 explana sobre a possibilidade de o poder federal, quando quiser, solicitar aos ó rgãos pú blicos a
realização do processo de dados e pedir detalhes sobre eles junto de uma especificação técnica. O art. 30 diz
que o poder federal tem autoridade de implantar padrõ es que colaboram nos atos de comunicação e
transmissão de dados. Entrando na segunda seção, o art. 31 fala que se acontecer um crime da parte das
entidades pú blicas com relação ao processo de dados, o poder federal encaminhará um aviso com critérios
apropriados para dar fim à infração. Finalmente, no art. 32, vemos que o poder federal pode requerer aos
representantes do governo a divulgação de relató rios de danos à segurança de dados e sugestõ es de aplicaçõ es
de normas e métodos eficientes para o processo de dados (BRASIL, 2018).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 14/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

4.3.3 Capítulo V: da transferência internacional de dados e Capítulo VI: dos

agentes de tratamento de dados pessoais
O art. 33 trata da clareza dos dados internacionais que só é concedida quando os países estrangeiros oferecem
segurança apropriada dos dados, quando o monitor assegura por meio de tratados, certificaçõ es, padrõ es e
outros documentos comprobató rios os critérios de direito do proprietário e a segurança dos dados e a
transmissão forem precisas como provas judiciais no exterior, quando for, ainda, para segurança vital do
proprietário, quando for permitida pelo poder federal, quando for para atividades pú blicas e quando for
permitida pelo proprietário.
O art. 34 diz que o grau de segurança dos dados dos países internacionais será julgado pelo poder federal. O
art. 35 refere-se à avaliação dos tratados, certificados, padrõ es e outros documentos comprobató rios que será
feita pelo poder pú blico. O art. 36 fala que as alteraçõ es dos documentos citados anteriormente devem ser
informadas ao poder federal.
Seguindo para o pró ximo capítulo, temos três seçõ es. Na primeira, o art. 37 refere-se ao monitor e ao operador,
que devem guardar os registros das atividades do processo de dados. O art. 38 explana que o poder federal
pode solicitar ao monitor um relató rio de danos à segurança de dados a respeito de suas atividades de
processo de dados.

CASO
No ano passado, houve uma invasã o no banco de dados do sistema de segurança
ao cré dito da empresa Boa Vista SCPC (G1, 2018). Dessa forma, vá rias
informações pessoais e financeiras foram vazadas, mas nã o foi identificada
nenhuma ameaça ou prejuízo por conta desse ato. Esse tipo de acontecimento
pode ser recorrido com a LGPD que, alé m das medidas de implantaçã o de
segurança dos dados pessoais, també m obriga as organizações a informar seus
clientes sobre fraudes, invasões e ataques que violam a proteçã o de suas
informações.

O art. 39 trata do operador, que deverá fazer o processo da forma que foi ordenada pelo monitor que, então,
poderá revisar o que foi feito. No art. 40 consta que o poder federal poderá usar os padrõ es abertos para
transferência e acesso livre dos dados, visando à precisão e à clareza. Na Seção II, o art. 41 relata que o
monitor é obrigado a informar ao assistente que fará o processo de dados, publicando sua identificação e
deixando claras suas atividades de receber reclamaçõ es dos proprietários e sanar suas dú vidas, auxiliar os
colaboradores sobre o método usado na segurança dos dados e seguir as ordens de serviços do monitor.
Na terceira seção, o art. 42 diz que o monitor ou o operador que causar qualquer prejuízo relacionado às
infraçõ es da lei de segurança de dados por conta de suas açõ es, deve consertá-lo. O art. 43 explana que os
responsáveis pelo processo não serão culpados nos casos em que atestarem que não executaram o processo

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 15/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

que lhes foi incumbido, que fizeram o trabalho, mas que não ocorreu nenhuma infração contra a segurança dos
dados, e que o responsável pelo prejuízo é o pró prio proprietário. O art. 44 fala que o processo de dados será
ilegal nos casos em que descumprir a lei ou que não garantir a proteção do proprietário. O art. 45 estabelece
que o caso de infração contra o direito do proprietário referente ao uso se remete à norma de responsabilidade
(BRASIL, 2018).

4.3.4 Capítulo VII: da segurança e das boas práticas e Capítulo VIII: da

fiscalização
O Capítulo VII é composto por duas seçõ es. Na primeira, o art. 46 diz que os responsáveis de processo são
obrigados a aplicarem práticas de proteção que garantam a segurança dos dados de acessos não permitidos e
de incidentes imprevistos ou ilegais de dano, exclusão, mudança, comunicação de processo incorreto e ilegal.
O art. 47 fala que os responsáveis pelo processo devem assegurar a proteção da informação referente aos
dados pessoais, mesmo depois da sua finalização. O art. 48 trata sobre o monitor, que tem que informar ao
poder federal e ao proprietário o caso de fraudes de proteção que podem ser perigosas ou que possam
prejudicar os proprietários. O art. 49 refere-se aos recursos usados para o processo de dados, que precisam
ser estruturados de tal maneira que cumpram com as diretrizes de proteção às normas de técnicas e política e
aos requisitos dessa lei.
Passando para a segunda seção, temos o art. 50, que fala que os monitores e operadores, pelo processo de
dados, podem desenvolver técnicas e políticas para as atividades e procedimentos que levem em conta as
reclamaçõ es dos proprietários, os padrõ es de proteção, as normas técnicas e responsabilidades para todos
que fazem o processo, que ensinam, que usam métodos de monitoramento e precaução de incidentes. O art. 51
diz que o poder federal incentivará o uso de normas técnicas para que os proprietários possam monitorar seus
dados.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 16/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Figura 3 - O mediador de tratamento deve implantar as normas de segurança da informação para proteger os
dados pessoais, como, por exemplo, a ISO/IEC 27002 (GALVÃ O, 2015).
Fonte: Valentin Drull, Shutterstock, 2019.

O Capítulo VIII tem apenas uma seção, na qual, no art. 52, estabelece que os responsáveis pelo processo de
dados que violem aos padrõ es da lei sofrerão as seguintes penas aplicadas pelo poder federal: advertência
com período para resolução da infração, multa de até 2% do faturamento da empresa, bloqueio ou exclusão
dos dados relacionados à violação. O art. 53 trata do poder federal, que determinará, mediante decreto pú blico,
sobre as penas gerenciais das violaçõ es dessa lei e os métodos para calcular o valor das penas de multa.
Finalmente, o art. 54 diz que o valor da pena de multa diária relacionada às violaçõ es dessa lei deve verificar o
grau de gravidade e perda ocasionada e ser firmado pelo poder federal (BRASIL, 2018).

4.3.5 Capítulo IX: da autoridade nacional de proteção de dados (ANPD) e do

conselho nacional de proteção de dados pessoais e da privacidade e Capítulo
X: disposições finais e transitórias
O Capítulo IX é composto por duas seçõ es. Na primeira, o art. 55-A fala da criação da Autoridade Nacional de
Proteção de Dados (ANPD), que fará parte da instituição de gestão pú blica federal. O art. 55-B trata da garantia
da independência técnica e decretó ria da ANPD e o art. 55-C mostra a composição dela: conselho diretor,
conselho nacional de proteção de dados pessoais e da privacidade, corregedoria, ouvidoria, entidade de
assistência jurídica e setores administrativos e especializados. O art. 55-D relata que haverá cinco diretores no
conselho diretor da ANPD escolhidos pelo Presidente da Repú blica com mandato de quatro anos, sendo um
deles o diretor-presidente.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 17/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

Clique nas setas, para conhecer mais sobre o tema.

O art. 55-F estabelece que ao término do mandato dos elementos do conselho diretor emprega-se
o referido no art. 6 da Lei n. 12.813. O art. 55-G retrata que a ação do Presidente da Repú blica
poderá estruturar o regimento da ANPD. O art. 55-H refere-se aos comissionados e aos ofícios de
confiança da ANPD, que serão transferidos de outras instituiçõ es do Poder Executivo Federal. O
art. 55-I fala dos titulares dos cargos e dos ofícios de confiança da ANPD, que serão escolhidos
pelo conselho diretor. O art. 55-J descreve todas as funçõ es da ANPD, como cuidar da segurança
dos dados, cuidar de averiguar os sigilos de negó cios quanto à segurança de dados e informaçõ es
secretas, desenvolver práticas para a Política Nacional de Proteção de Dados Pessoais e da
Privacidade, entre outras.

O art. 55-K esclarece que a aplicação de puniçõ es descritas nessa lei é de responsabilidade da
ANPD no que diz respeito à segurança de dados. O art. 55-L relata como é formada a receita da
ANPD, que contém os montantes, créditos especiais e adicionais, as transferências e os repasses,
doaçõ es, auxílios, os patrimô nios, os dinheiros de seus bens vendidos e alugados, as aplicaçõ es
em bancos, valores de tratados e acordos com diversas instituiçõ es, os recursos de vendas de
publicaçõ es, fichas técnicas, dados e informaçõ es. Os arts. 56 e 57 foram desaprovados na
atualização da lei.

Na Seção II, o art. 58-A dispõ e que o Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade terá 23 representantes, titulares e suplentes do Poder Executivo Federal (5), Senado
(1), Câmara dos Deputados (1), Conselho Nacional de Justiça (1), Conselho Nacional do
Ministério Pú blico (1), Comitê Gestor da Internet no Brasil (1), ó rgãos que trabalhem na
segurança de dados (3), organizaçõ es acadêmicas (3), confederaçõ es sindicais que representam o
grupo econô mico de produção (3), ó rgãos que trabalhem com processo de dados (2) e institutos
representantes da área (2).

O art. 58-B diz que a função do Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade é de indicar práticas e disponibilizar auxílio para o desenvolvimento da Política
Nacional de Proteção de Dados Pessoais e da Privacidade e para o exercício da ANPD, desenvolver
relató rios anuais de análise das atividades da Política Nacional de Proteção de Dados Pessoais e
da Privacidade, indicar atividades a serem executadas pela ANPD, desenvolver ensinos e
conferências sobre o assunto e difundir a aprendizagem sobre esse tema a todos. O art. 59 foi
desaprovado na atualização dessa lei.

O ú ltimo capítulo começa com o art. 60, que explica que a Lei n. 12.965 teve as seguintes
mudanças: o inciso X do art. 7º dispõ e, agora, que deverá haver eliminação total dos dados que
forem usados para algum recurso da web, quando não houver ordem de preservação desses dados
conforme descrito na lei e no que se tratar da segurança de dados; e o art. 16, que trata da vedação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 18/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

da guarda em relação à provisão de aplicaçõ es de internet, onerosa ou gratuita, contém, em seu

inciso II, que é vedada também a guarda “de dados pessoais que sejam excessivos em relação à
finalidade para a qual foi dado consentimento pelo seu titular” (BRASIL, 2018). O art. 61 revela
que a organização internacional será avisada e advertida a responder aos processos judiciais
descritos nessa lei.

O art. 62 fala sobre o poder federal e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira,
que estabelecerão regimentos para o acesso de processo de dados feitos pelo governo conforme parágrafo 2º
do art. 9º da Lei n. 9.394. O art. 63 diz que o poder federal determinará padrõ es sobre a adaptação constante de
bancos de dados estabelecidos até o dia da homologação dessa lei, referentes à dificuldade das atividades de
processo de dados. O art. 64 trata dos direitos e diretrizes que estão nessa lei, que não eliminam outros
descritos por ordem judicial referentes aos acordos estrangeiros em que o Brasil seja membro. O art. 65 traz,
finalmente, a data de homologação da Lei n. 13.709, o que já mencionamos ao tratarmos da introdução dessa
lei (BRASIL, 2018).

Síntese
Chegamos ao fim desta unidade. Nela, falamos sobre mais algumas legislaçõ es que existem no Brasil
relacionadas à segurança de sistemas da informação e que respeitam as normas e padrõ es internacionais
sobre o assunto.
Nesta unidade, você teve a oportunidade de:

• conhecer a Lei Carolina Dieckmann;

• descobrir o que é e sobre o que dispõe a lei de acesso à
informação;
• identificar as normas que compõem a lei de proteção de dados
pessoais;
• inteirar-se sobre as abrangências dessas leis;
• compreender as punições para aqueles que violam essas leis;
• reconhecer os direitos e deveres estabelecidos por cada uma
dessas leis.

Bibliografia

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 19/20
21/11/23, 08:10 Normas e Padrões de Segurança da Informação

BRASIL. Lei n. 12.527, de 18 de novembro de 2011. Regula o acesso a informaçõ es previsto no inciso
XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei n.
8.112, de 11 de dezembro de 1990; revoga a Lei n. 11.111, de 5 de maio de 2005, e dispositivos da Lei n. 8.159,
de 8 de janeiro de 1991; e dá outras providências. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
(http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm)>. Acesso em: 12 ago. 2019.
BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Dispõ e sobre a tipificação criminal de delitos
informáticos. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
(http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm)>. Acesso em: 12 ago. 2019.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
(http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)>. Acesso em: 12 ago. 2019.
GALVÃ O, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
G1. Lei 'Carolina Dieckmann', que pune invasão de PCs, entra em vigor. G1, São Paulo, 1 abr. 2013. Disponível
em: <http://g1.globo.com/tecnologia/noticia/2013/04/lei-carolina-dieckmann-que-pune-invasao-de-pcs-
passa-valer-amanha.html (http://g1.globo.com/tecnologia/noticia/2013/04/lei-carolina-dieckmann-que-
pune-invasao-de-pcs-passa-valer-amanha.html)>. Acesso em: 26 jul. 2019.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
MF PRESS GLOBAL. Como a nova lei de proteção de dados pessoais impacta na sua empresa? Exame, São
Paulo, 29 mar. 2019. Disponível em: <https://exame.abril.com.br/negocios/mfpress/como-a-nova-lei-de-
protecao-de-dados-pessoais-impacta-na-sua-empresa%EF%BB%BF/
(https://exame.abril.com.br/negocios/mfpress/como-a-nova-lei-de-protecao-de-dados-pessoais-impacta-na-
sua-empresa%EF%BB%BF/)>. Acesso em: 9 ago. 2019.
O QUINTO PODER. Direção de Bill Condon. Estados Unidos da América: DreamWorks, 2013.
ROHR, A. Possível vazamento de dados da Boa Vista mostra importância da Lei de Proteção de Dados. G1, Rio
de Janeiro, 05 set. 2018. Disponível em: <https://g1.globo.com/economia/tecnologia/blog/altieres-
rohr/post/2018/09/05/possivel-vazamento-de-dados-da-boa-vista-mostra-importancia-da-lei-de-protecao-
de-dados.ghtml (https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2018/09/05/possivel-
vazamento-de-dados-da-boa-vista-mostra-importancia-da-lei-de-protecao-de-dados.ghtml)>. Acesso em: 9 ago.
2019.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_4/ebook/index.html 20/20