Escolar Documentos
Profissional Documentos
Cultura Documentos
023/1
CURSO DE DIREITO
DIREITO DIGITAL
- Ansiedade
- Alienação
- Violações à privacidade e à intimidade: empresas podem saber muito sobre o usuário, inclusive coisas
que ele não deseja saber.
- Internet
- Website
- Ubiquidade
O website é uma página que pode ter qualquer tipo de conteúdo. É composto
por números (Internet Protocol - IP - localiza fisicamente a máquina). Ex.:
208.80.152.130. É substituído por letras para facilitar o acesso.
- Crimes Digitais
- Geolocalização
- Privacidade, intimidade...
Salas de bate-papo
Endereços de email
Participação em fóruns
Comentários de notícias
Como identificar alguém na Internet?
PROVEDOR DE APLICAÇÕES
PROVEDOR DE CONEXÃO
IDENTIFICAÇÃO DO TERMINAL
Provedores de aplicações: Facebook, Google, Twitter
§ 1.º. O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no
caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a
identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo,
respeitado o disposto no art. 7.º.
§ 2.º. O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas
hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7.º.
§ 3.º. O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e
endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua
requisição.
Decreto n.º 8.771/16, art. 11. As autoridades administrativas a que se refere o art. 10, § 3.º da
Lei n.º 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e
a motivação para o pedido de acesso aos dados cadastrais.
§ 1.º. O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade
solicitante, ficando desobrigado de fornecer tais dados.
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do
usuário.
§ 3.º. Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo
requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos
ou inespecíficos.
Lei n.º 12.965/14, art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica
e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá
manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e
de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1.º. Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não
estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que
se trate de registros relativos a fatos específicos em período determinado.
§ 3.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo
deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a
natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator,
as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Lei n.º 12.965/14, art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo
respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo
prazo de 1 (um) ano, nos termos do regulamento.
§ 1.º. A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2.º. A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os
registros de conexão sejam guardados por prazo superior ao previsto no caput.
§ 3.º. Na hipótese do § 2o, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do
requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4.º. O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento
previsto no § 2.º, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha
sido protocolado no prazo previsto no § 3.º.
§ 5.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser
precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a
gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias
agravantes, os antecedentes do infrator e a reincidência.
RETENÇÃO DE DADOS
SEGUNDO O MARCO CIVIL DA
INTERNET: Provedor de conexão Provedor comercial de Provedor não
aplicações comercial de aplicações
Tipo de dados a serem Registros de conexão à Registros de acesso a aplicações
retidos: internet
Obrigatoriedade de Obrigatório Mediante requisição sem
retenção dos dados: ordem judicial
Período de retenção 1 ano 6 meses
dos dados:
Aumento do período de Mediante requisição sem ordem judicial
retenção:
Acesso aos dados Mediante ordem judicial
retidos:
O acesso a esses registros depende de ordem judicial
Lei n.º 12.965/14, art. 22. A parte interessada poderá, com o propósito de formar
conjunto probatório em processo judicial cível ou penal, em caráter incidental ou
autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento
de registros de conexão ou de registros de acesso a aplicações de internet.
Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá
conter, sob pena de inadmissibilidade:
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade,
identificação clara e específica do conteúdo apontado como infringente, que
permita a localização inequívoca do material.
Caso Botelho (STJ): foram publicados vídeos de cursos na rede social “Orkut”,
violando direito autoral. O STJ reforçou que o autor deveria fornecer todos os links.
Caso Nissim Ourfali (TJSP) (Processo n.º 0192672-12.2012.8.26.0100):
- 2.ª instância: plataforma deve retirar vídeos que façam menção ao autor, mesmo
sem links
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do
conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2.º. A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de previsão
legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5º da Constituição
Federal.
§ 3.º. As causas que versem sobre ressarcimento por danos decorrentes de conteúdos disponibilizados na internet
relacionados à honra, à reputação ou a direitos de personalidade, bem como sobre a indisponibilização desses
conteúdos por provedores de aplicações de internet, poderão ser apresentadas perante os juizados especiais.
§ 4.º. O juiz, inclusive no procedimento previsto no § 3.º, poderá antecipar, total ou parcialmente, os efeitos da tutela
pretendida no pedido inicial, existindo prova inequívoca do fato e considerado o interesse da coletividade na
disponibilização do conteúdo na internet, desde que presentes os requisitos de verossimilhança da alegação.
Lei n.º 12.965/14, art. 20. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de
internet comunicar-lhe os motivos e informações relativos à indisponibilização de
conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo
expressa previsão legal ou expressa determinação judicial fundamentada em contrário.
Parágrafo único. Quando solicitado pelo usuário que disponibilizou o conteúdo tornado
indisponível, o provedor de aplicações de internet que exerce essa atividade de forma
organizada, profissionalmente e com fins econômicos substituirá o conteúdo tornado
indisponível pela motivação ou pela ordem judicial que deu fundamento à
indisponibilização.
Lei n.º 12.965/14, art. 21. O provedor de aplicações de internet que disponibilize conteúdo
gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade
decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou
de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando,
após o recebimento de notificação pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a
indisponibilização desse conteúdo.
Parágrafo único. A notificação prevista no caput deverá conter, sob pena de nulidade,
elementos que permitam a identificação específica do material apontado como violador da
intimidade do participante e a verificação da legitimidade para apresentação do pedido.
A liberdade de expressão não é absoluta
Como esses limites têm sido estabelecidos? Quais os riscos de abuso que
existem por trás de institutos como o “direito à honra” e o “direito à
imagem”?
Fontes: https://internetlab.org.br/pt/projetos/humor-e-liberdade-de-expressao-2/
https://www.conjur.com.br/2016-ago-31/dennys-antonialli-dano-moral-ameaca-liberdade-humor-internet
2.ª instância: todos os TJs, STJ e STF; Busca a partir da combinação dos termos “humor”, “sátira”,
“paródia”, “piada”, “ironia”, “sarcasmo”, “comédia” e “charge” com “Internet”, “online”, “virtual” e “rede”;
Políticos: R$ 16.352,38
liberdade de expressão
Direito ao esquecimento na Europa:
Direito de desindexação foi reconhecido. Questões afetas à uma execução civil, que foram publicadas na
internet. Entretanto, após ser resolvida a execução, as informações permaneceram na internet. Interessados
podem dirigir pedido diretamente à plataforma, que deve decidir a respeito de seu acolhimento.
Mecanismos de busca devem avaliar se as informações são “imprecisas, inadequadas, irrelevantes ou
excessivas”. A plataforma deve decidir realizar ou não a desindexação. Não é um direito exercido em
relação aos sites que postaram a informação, mas é direcionado aos mecanismos de busca.
Dados do aparelho;
Mensagens;
Dados de localização;
Preferências;
Fotos;
Músicas;
Futebol. “Hoje, todos os 20 estádios de futebol da Premier League no Reino Unido estão
equipados com um conjunto de 8-10 câmeras digitais que rastreiam cada jogador em campo. Dez
pontos de dados são coletados a cada segundo para cada um dos 22 jogadores em campo, gerando
1,4 milhões de pontos de dados por jogo. Analistas (da ProZone) irão então codificar os dados para
identificar cada dividida, tiro ou passe, a fim de permitir aos gestores e analistas de desempenho
obter insights sobre o que exatamente aconteceu em cada jogo” (Bernard Marr)
Marketing político: Cambridge Analytica. Testes do Facebook cruzaram dados sobre usuários.
“Internet das coisas”: grande número de dispositivos e aparelhos funciona
de forma interligada e conectada à Internet;
Quanto mais dados, mais apuradas podem ser as inferências e mais valiosas elas se tornam.
Empresas podem reunir e inferir características sobre o usuário que possibilitem a formação de
perfis detalhados de sua personalidade (“profiling”);
Possível aumento do poder de manipulação dessas empresas sobre o usuário. Ex.: geladeira do
futuro
Dados e perfis podem ser vendidos ou compartilhados com terceiros (atenção para os termos das
políticas de privacidade!);
Desafio: como prever todas as finalidades antes de se ter acesso aos bancos de dados desestruturados?
Além das empresas, governos também podem se beneficiar com “big data”;
Quanto mais informações as empresas puderem reunir sobre o cidadão, mais valiosos são os seus
bancos de dados também para questões de vigilância.
Big data e privacidade: conclusões
Inferências obtidas pelas empresas aumentam seu poder de manipulação sobre o usuário;
Inferências podem ser vendidas, compartilhadas e acessadas por terceiros, incluindo os governos;
Legislações regem a utilização de dados pessoais em setores específicos, como saúde, dados
relativos à crianças, dados financeiros, etc.;
Não há legislação genérica em relação aos demais casos: fiscalização pela Federal Trade
Commission (FTC) com base na legislação de proteção ao consumidor;
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou
administrativo; (+ Lei n.º 9.507/97)
TJRS (apelação no 70060163623): Venda de dados pessoais como CPF, endereço, data de nascimento,
telefone sem consentimento expresso do cidadão não é ilícita;
Não há dano pelo mero “risco” de utilização dos dados vendidos para fraudes;
16.ª Vara Cível de Porto Alegre (Processo 001/11401789987): Venda de dados pessoais como CPF,
endereço, data de nascimento, telefone sem consentimento expresso do cidadão é ilícita;
Há dano pela exposição do cidadão a fraudes pelo uso indevido dos dados vendidos;
1ª Vara Federal RN (processo no 0805175-58.2015.4.05.8400): Venda de
dados pessoais como CPF, endereço, data de nascimento, telefone sem
consentimento expresso do cidadão é ilícita;
Pouca uniformidade;
Papel da autoridade?
Acesso a comunicações: telefonia e internet
Comunicações telefônicas e telemáticas: Lei de Interceptações (Lei n.º 9.296/96). Quando a lei
regulamentou a comunicação, tratou do fluxo de comunicações. Requisitos específicos:
Art. 7, III: inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por
ordem judicial
Art. 10, § 2.º: o conteúdo das comunicações privadas somente poderá ser disponibilizado
mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o
disposto nos incisos II e III do art. 7.º. Não há regulamentação específica estabelecendo
requisitos de proteção.
PROCESSUAL PENAL. OPERAÇÃO "LAVA-JATO". MANDADO DE BUSCA E APREENSÃO.
APREENSÃO DE APARELHOS DE TELEFONE CELULAR. LEI 9296/96. OFENSA AO ART. 5º, XII,
DA CONSTITUIÇÃO FEDERAL. INOCORRÊNCIA. DECISÃO FUNDAMENTADA QUE NÃO SE
SUBORDINA AOS DITAMES DA LEI 9296/96. ACESSO AO CONTEÚDO DE MENSAGENS
ARQUIVADAS NO APARELHO. POSSIBILIDADE. LICITUDE DA PROVA. RECURSO DESPROVIDO.
I - A obtenção do conteúdo de conversas e mensagens armazenadas em aparelho de telefone celular ou
smartphones não se subordina aos ditames da Lei 9296/96. II - O acesso ao conteúdo armazenado em
telefone celular ou smartphone, quando determinada judicialmente a busca e apreensão destes aparelhos,
não ofende o art. 5º, inciso XII, da Constituição da República, porquanto o sigilo a que se refere o aludido
preceito constitucional é em relação à interceptação telefônica ou telemática propriamente dita, ou seja, é da
comunicação de dados, e não dos dados em si mesmos. III - Não há nulidade quando a decisão que determina
a busca e apreensão está suficientemente fundamentada, como ocorre na espécie. IV - Na pressuposição da
ordem de apreensão de aparelho celular ou smartphone está o acesso aos dados que neles estejam
armazenados, sob pena de a busca e apreensão resultar em medida írrita, dado que o aparelho desprovido de
conteúdo simplesmente não ostenta virtualidade de ser utilizado como prova criminal. V - Hipótese em que,
demais disso, a decisão judicial expressamente determinou o acesso aos dados armazenados nos aparelhos
eventualmente apreendidos, robustecendo o alvitre quanto à licitude da prova. Recurso desprovido. (RHC n.º
75.800/PR, Rel. Ministro FELIX FISCHER, QUINTA TURMA, julgado em 15/09/2.016, DJe 26/09/2.016)
Quais seriam as balizas para acesso à esses dados? Certamente deve tutelar os valores
presentes na CF.
Apreensão dos dispositivos. Se a criptografia impediu o acesso aos dados durante o fluxo,
conseguindo o dispositivo, haveria acesso fácil ao conteúdo. Pesquisa:
https://internetlab.org.br/pt/itens-semanario/privacidade-acesso-a-dados-em-celulares-apree
ndidos-no-local-do-crime-nao-depende-de-autorizacao-judicial-defende-pgr/
NORMATIVOS DE SEGURANÇA
DA INFORMAÇÃO:
Sociedade Digital;
Desafios;
O que é a Segurança da Informação (trata-se de todos os dados que são importante para uma empresa, não
somente os dados pessoais);
Estrutura Normativa;
Principais Temas;
Mudança de Cultura.
Segurança cibernética está dentro da segurança da informação, pois trata-se
de dados digitalizados.
Cerca de 3 mil consultas e exames foram cancelados e 350 pacientes deixaram de realizar tratamento de
radioterapia nesta terça-feira (27) depois que o sistema do Hospital de Câncer de Barretos (SP) foi invadido
por hackers.
Disponível em
https://g1.globo.com/sp/ribeirao-preto-franca/noticia/ataque-de-hackers-suspende-3-mil-consultas-e-exames-nas-unid
ades-do-hospital-de-cancer-de-barretos-sp.ghtml
Empresa de bitcoin é acusada de vazamento de dados; Atlas Quantum diz que clientes não tiveram perda.
Segundo promotores, empresa que negocia moedas digitais, as chamadas criptomoeadas, permitiu que
informações de 264 mil clientes fossem divulgadas.
Disponível em
https://g1.globo.com/df/distrito-federal/noticia/2019/04/26/empresa-de-bitcoin-e-acusada-de-vazamento-
de-dados-mp-cobra-r-10-milhoes-em-indenizacao.ghtml
A Microsoft, ao adquirir a Linkedin, em 2.016, pagou 26 bilhões de
dólares por um cadastro de 430 milhões de usuários e 100 milhões de
visitantes por mês. O valor desembolsado representa U$ 60 dólares por
usuário ou 260 dólares por visitante mensal.
Segundo o FBI, anualmente são gastos aproximadamente US$ 1 bilhão com resgates nestes
ataques
Calcula-se que os danos causados pelos ataques ultrapassaram os US$ 5 bilhões em 2017
Mais de 90% dos casos de invasões bem sucedidas e vazamentos de dados estão relacionadas ao
phishing;
Planos de respostas a incidentes e treinamentos dos funcionários sobre como reconhecer e reagir
ao phishing são os melhores ROIs em segurança digital para empresas em todo o mundo
“Você pode investir uma fortuna comprando tecnologia e serviços, e a
infraestrutura da sua rede continuará vulnerável à manipulação da mais
obsoleta.” Kevin Mitnick, Hacker e atual consultor da KnowBe4, sobre a
vulnerabilidade de rede perante à engenharia social. Fonte: Veja, 21 fev. 2018.
Relatório McAfee:
https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.html
Herjavec Group:
https://www.herjavecgroup.com/2021-healthcare-cybersecurity-report-cybersecurity-ve
ntures/
Brasil perde US$ 10 bilhões por ano com cibercrime, diz McAfee
Disponível em
https://veja.abril.com.br/economia/brasil-perde-us-10-bilhoes-por-ano-com-cibercri
me-diz-mcafee/
SEGURANÇA DA
INFORMAÇÃO
Segurança da Informação: ABNT NBR ISO/IEC 27002:2013. Trata-se de
uma norma que coleta uma série de processos, procedimentos e informações
para que a empresa implemente um sistema de gestão da informação. Trata-
se de ISO relacionado à segurança da informação.
Autenticidade: quem acessou ou inseriu dados é quem se disse ser – não repúdio;
Legalidade: os dados devem ser criados e operados de acordo com os termos da lei
vigente.
Proteção técnica da disponibilidade: backup
Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em
razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser
classificada como ultrassecreta, secreta ou reservada.
Proteção técnica da autenticidade: Proteger o sigilo do fator de autenticação; não contar senhas
ou emprestar certificados digitais
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os
documentos eletrônicos de que trata esta Medida Provisória.
§ 1.º. As declarações constantes dos documentos em forma eletrônica produzidos com a utilização
de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação
aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 -Código Civil.
(atual art. 219)
§ 2.º. O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação
da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa
a quem for oposto o documento.
Algumas Definições de Segurança da Informação
Incluídos em um website
TÉCNICO (ferramentas)
JURÍDICO (documentação)
COMPORTAMENTAL (conscientização)
É necessário considerar as seguintes ameaças:
Sequestro de dados
Corporativo e Pesssoal
Hackers
Wi-fi
Mobilidade
Vírus
Implementação da Segurança da Informação:
Gestão de incidentes
Medidas Disciplinares
ESSAS NORMATIVAS SÃO
VÁLIDAS?
Aspectos da legislação trabalhista
A previsão contratual
8 Dever de proteção dos ativos intangíveis da Empresa ISO 27002 -8.1.2 + artigo 209 e
artigo 195 da Lei 9.279/96
9 Dever de cumprir com sigilo profissional Artigo 153, Código Penal e artigo
195 da Lei 9.279/96
10 Dever de classificação da informação ISO 27002 8.2
11 Dever de cumprir com o nível de segurança exigido pela classificação ISO 27002 8.2.1
12 Dever de armazenamento das informações na rede ISO 27002 -13.2 e 13.2.4
13 Previsão de uso de controles criptográficos ISO 27002 -10.1
14 Inventário dos recursos ISO 27002 -8.1.1
15 Proteção da identidade digital ISO 27002 -9.3.1 + artigo 5º,
IV, da Constituição Federal
16 Uso de softwares e hardwares legítimos, previamente homologados ou ISO 27002 -12.6.2 + Artigo
autorizados 184, do Código Penal + Lei
9.609 (Lei de Software)
17 Uso de conteúdos legais e legítimos, sempre com a devida citação de fonte e ISO 27002 -18.1.2, Artigos 46
autoria ao 48 da Lei nº 9.610, Lei nº
9.279 + artigo 184, do Código
Penal
18 Obrigatoriedade de uso de recursos de segurança (antivírus, antispyware, ISO 27002 -12.2
criptografia ou similar e firewall) e de mantê-los sempre ativos e atualizados
19 Proibição de conteúdos pessoais, pornográficos, antiéticos, ilícitos ou não Art. 482, CLT
condizentes com ambiente de trabalho
20 Acesso à rede institucional somente por funcionários e pessoas prévia e ISO 27002 -6.2.1 e 13.1.3
expressamente autorizadas
21 Dever de mesa limpa ISO 27002 11.2.9
22 Dever de tela limpa e de bloqueio do recurso ao se ausentar ISO 27002 11.2.9
23 Obrigatoriedade de redação com linguagem adequada, evitando excesso de Artigo 483, CLT
intimidade e palavras no diminutivo
24 Dever uso de dispositivo móvel de maneira ética e segura ISO 27002 6.2.1; 6.2.2; 13.2.3;
13.2
25 Dever de geração de backup ISO 27002 -12.3 e 12.3.1
26 Dever de portar sempre a menor quantidade possível de dados pelo menor tempo em ISO 27002 8.3.3; 11.2.9
dispositivos móveis.
27 Aviso que o mero acesso ao recurso e/ou à informação pode ocorrer de forma remota ISO 27002 6.2.2 + Artigo 6º, da
e a qualquer horário e, por si só, não configura sobrejornada nem hora extra. CLT + Súmula 428 TST
28 Orientação sobre postura em Mídias Sociais, a exemplo do uso da marca e assuntos Artigo 153, CP + artigo 195 da
profissionais. Lei 9.279/96 + artigo 927, do
Código Civil + artigo 5º, X, da
Constituição Federal
29 Proibição de uso de qualquer plataforma de armazenamento de dados na nuvem ou de ISO 27002 -13.2
Internet, a exemplo de Google Drive, SkyDrive e Dropbox para o upload de conteúdo
da Empresa sem autorização.
30 Requisitos para uso dos aplicativos de comunicação Artigo 154, Código Penal +
artigo 195 da Lei 9.279/96 +
Jurisprudência
31 Proibição de coleta de fotos e imagens, gravação de áudios e vídeos no perímetro Artigo 482, CLT + artigo 5º,
físico da Empresa, bem como de seu compartilhamento X, da Constituição Federal
32 Cuidados com engenharia social ISO 27002 -9.4.1 e 9.4.2
33 Prevenir o vício ou dependência tecnológica ISO 27002 17.1
+ Jurisprudência
34 Vedação para envio de conteúdo da Empresa para endereço eletrônico particular ou de ISO 27002 -13.2; 13.2.3; 10.1;
terceiro não autorizado 10.1.1
35 Dever observar exigências de segurança da informação nos processos de seleção de ISO 27002 -7.1.1 e 7.1.2
funcionários e contratação de terceiros
36 Dever de uso de cláusulas de confidencialidade e assinatura de termos/acordos de ISO 27002 -13.2.4, Artigo 153,
confidencialidade pelos terceirizados Código Penal e artigo 195 da
Lei 9.279/96 + artigo 927, do
Código Civil
37 Dever de uso de cláusulas de segurança da informação em contratos de trabalho ISO 27002 -7.1.2; 13.2.4;
18.1.2; 18.1.4; 8; 7.2.3 + artigo
927, do Código Civil
38 Responsabilidades contidas nos termos e condições de contratação continuem por ISO 27002 -7.1.2 e 7.3
tempo indefinido após o término da contratação, inclusive de terceiros
48 Obrigação de formação e atuação do Comitê de Segurança da Informação ISO 27002 -6 + ISO 27001 5.3
50 Atualização periódica dos documentos de Segurança da Informação, em intervalo ISO 27002 5.1.2 + atualizações
não superior a 2 anos constantes da legislação
brasileira
51 Dever de educação e conscientização dos funcionários ISO 27002 17.1 + Artigo 482, da CLT
52 Responsabilidade do gestor sobre os recursos e postura de sua equipe ISO 27002 17.1 e 18.2.2 + Artigo 932,
III, da Constituição Federal
53 Dever do colaborador se manter sempre atualizado e ciente das normas da Empresa ISO 27002 7.2.2 b + artigo 482, da CLT
54 Aviso claro e objetivo de monitoramento irrestrito, alcançando também dispositivos ISO 27002 -12.4.1 + Constituição
particulares que acessam o perímetro físico e lógico da Empresa Federal, artigo 5º, inc. IV, X, XII,
XXVIII, XIX e XXXV + artigos. 21 a
23 do Código Civil e Lei de
Interceptação + jurisprudência
55 Aviso claro e objetivo da inspeção física dos dispositivos, de acordo com os princípios ISO 27002 -12.4.1 + Constituição
da razoabilidade e da proporcionalidade Federal, artigo 5º, inc. IV, X, XII,
XXVIII, XIX e XXXV + artigos. 21 a
23 do Código Civil e Lei de
Interceptação + jurisprudência
56 Previsão de violações e sanções, estabelecendo bases para um processo disciplinar ISO 27002 7.2.3 + artigo 2º, 474 e 482,
da CLT
57 Aviso de que a tentativa de burlar será considerada também infração ISO 27002 7.2.3
58 Dever de denuncia imediata em caso de incidente para a área competente ISO 27002 16.1.2
Prévia ciência
Ordem judicial
Monitoramento de Conteúdos
DISPENSA POR JUSTA CAUSA. MAU PROCEDIMENTO. USO
INDEVIDO DO CORREIO ELETRÔNICO CORPORATIVO.
Demonstrado que a autora utilizava o correio eletrônico corporativo para
travar diálogos íntimos com o diretor da empresa, resta caracterizada a justa
causa por mau procedimento tendo em vista que o serviço de 'e-mail'
corporativo é ferramenta fornecida para uso estritamente profissional. (TRT-
3 -RO: 02198201103203005 0002198-22.2011.5.03.0032, Relator: Luiz
Ronan Neves Koury, Segunda Turma, Data de Publicação: 30/05/2012
29/05/2.012. DEJT. Página 106. Boletim: Sim.)
ACÓRDÃO. DA JUSTA CAUSA. CONFIGURAÇÃO. A falta grave
cometida pelo autor, em razão de má conduta, porquanto agiu de forma
contrária às regras estabelecidas na recorrida (envio de e-mail corporativo
de conteúdo pornográfico) (...). Correto o pronunciamento do Juiz
originário, que reconheceu a justa causa para a ruptura do pacto laboral.
(PROCESSO Nº TST-AIRR-4269-57.2010.5.02.0000. Ministro Relator
ALBERTO LUIZ BRESCIANI DE FONTAN PEREIRA. Mantenho.
Brasília, 16 de março de 2.011)
Os documentos de Segurança da Informação devem contar com
cláusulas informando que há o monitoramento, além de treinamentos e
avisos legais.
Vazamento de Informação
Impactos trabalhistas
Sigilo
CPC, art. 369. As partes têm o direito de empregar todos os meios legais, bem
como os moralmente legítimos, ainda que não especificados neste Código, para
provar a verdade dos fatos em que se funda o pedido ou a defesa e influir
eficazmente na convicção do juiz.
Teletrabalho: trabalho fora do escritório
de uma empresa, geralmente em casa, com
ou sem vínculo empregatício, havendo
comunicação coma a firma pela internet ou
por telefone. Atualmente o teletrabalho é
uma prática habitual em qualquer parte do
mundo.
CLT - DO TELETRABALHO
Art. 75-A. A prestação de serviços pelo empregado em regime de teletrabalho observará o disposto neste Capítulo.
Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de
tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo.
Parágrafo único. O comparecimento às dependências do empregador para a realização de atividades específicas que exijam a presença do
empregado no estabelecimento não descaracteriza o regime de teletrabalho.
Art. 75-C. A prestação de serviços na modalidade de teletrabalho deverá constar expressamente do contrato individual de trabalho, que
especificará as atividades que serão realizadas pelo empregado.
§ 1.º. Poderá ser realizada a alteração entre regime presencial e de teletrabalho desde que haja mútuo acordo entre as partes, registrado em
aditivo contratual.
§ 2.º. Poderá ser realizada a alteração do regime de teletrabalho para o presencial por determinação do empregador, garantido prazo de transição
mínimo de quinze dias, com correspondente registro em aditivo contratual.
Art. 75-D. As disposições relativas à responsabilidade pela aquisição, manutenção ou fornecimento dos equipamentos tecnológicos e da
infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado, serão
previstas em contrato escrito.
Parágrafo único. As utilidades mencionadas no caput deste artigo não integram a remuneração do empregado.
Art. 75-E. O empregador deverá instruir os empregados, de maneira expressa e ostensiva, quanto às precauções a tomar a fim de evitar doenças e
acidentes de trabalho.
Parágrafo único. O empregado deverá assinar termo de responsabilidade comprometendo-se a seguir as instruções fornecidas pelo empregador.
O teletrabalhador foi excluído do sistema celetista da duração do trabalho – ou seja: o
teletrabalhador NÃO possui direito à limitação da duração máxima de 8 horas diárias e 44 horas
semanais.
CLT, art. 62. Não são abrangidos pelo regime previsto neste capítulo:
Parágrafo único. O regime previsto neste capítulo será aplicável aos empregados mencionados no
inciso II deste artigo, quando o salário do cargo de confiança, compreendendo a gratificação de
função, se houver, for inferior ao valor do respectivo salário efetivo acrescido de 40% (quarenta
por cento).
Logo, se o empregado, embora em regime de teletrabalho, estiver ao controle de horário de trabalho, como, por exemplo, por
meio de sistemas de log in e log off no sistema, vigilância por câmeras ou qualquer outro meio de comando e fiscalização,
surgirá o direito ao pagamento de horas extras, como, a propósito, sucede com as demais hipóteses do art. 62 da CLT. Nesses
casos, vale registrar, caberá ao empregado o ônus da prova quanto ao controle de horário. Decisões - Teletrabalho:
SOBREAVISO - NÃO RECONHECIDO: Prevê o artigo 244 parágrafo 2º da CLT o pagamento de sobreaviso àqueles que
permanecessem aguardando em casa o chamado da empresa. Com a telefonia móvel, fixa e todos os outros meios de
comunicação, o empregado pode ser encontrado a qualquer tempo, em qualquer lugar, independente deste estar ou não em
sua casa, podendo ou não estar quer seja no convívio com sua família em momento de lazer ou mesmo laborando para outro
empregador ou dispondo de seu tempo como melhor lhe aprouver. Entendo " data máxima vênia" que à exceção da internet
por meio de programas de comunicação tal como "vídeo conferência" ou "messenger", qualquer outro meio de comunicação
para fins de caracterização de "horas de sobreaviso" é imprestável, eis que nenhum deles efetivamente cerceia ou é fator
impeditivo da liberdade de locomoção prevista pelo artigo 244 da CLT. TRT-2 RO PROCESSO Nº: 00441-2002-040-02-00-
0 ANO: 2006 RELATOR(A): LILIAN LYGIA ORTEGA MAZZEU TURMA: 8ª DATA DE PUBLICAÇÃO: 13/02/2007
Queda de produtividade;
TRT-15 considera válida demissão por justa causa por ‘curtida’ no Facebook
Disponível em
https://www.conjur.com.br/2015-jun-29/trt-15-considera-valida-justa-causa-curtida-faceb
ook
Contramedidas
CYBER ATTACH CHAIN
Reconhecimento: da área a ser invadida. Ex.: um anúncio de emprego que peça experiência em editores da Apple,
vai acabar revelando que a empresa tem máquinas da Apple. Técnicas de compliance são aplicadas aqui.
Engenharia social também pode ser aplicada nesta fase.
“Waponização”: nesta etapa, há o desenvolvimento de “armas” para o ataque. Ex.: arquivo *.pdf com scripts
maliciosos.
Entrega: da arma. Pode ser por e-mail (phishing) ou outros.
Exploração: nesta fase, os hackers exploram as vulnerabilidades do sistema. Pode criar brechas de segurança ou
explorar brechas que já existem.
Instalação: do malware. O primeiro arquivo apenas explora a vulnerabilidade; agora os malwares vão atacar de
outro modo.
Comando e controle. Finalmente, o hacker desenvolve seu objetivo. O malware configura uma backdoor, brecha
que muitas vezes permanece aberta.
REVENGE HACKING (hack back): trata-se de contra-ataque da empresa aos
hackers que primeiramente atacaram. Pode violar a lei. Honey pot.
Disponível em https://www.thedailybeast.com/inside-the-shadowy-world-of-revenge-
hackers?ref=scroll
Congresso dos EUA pondera primeira lei de vingança de 'hack back'. E sim, você
pode adivinhar o que vai deixar as pessoas fazerem
Disponível em https://www.theregister.com/2017/10/13/us_hack_back_law/
UNICODE PHISHING: Phishing com nomes de domínio.
Truque Unicode permite que hackers ocultem URLs de phishing
Alguns endereços da web com aparência perfeitamente autêntica não são o que parecem e nem todos os
navegadores estão levando o problema a sério
Aqui está um desafio para você: você clica em um link em seu e-mail e se encontra no site https://аррӏе.com
. Seu navegador mostra o ícone de cadeado verde, confirmando que é uma conexão segura; e diz “Seguro”
ao lado, para maior segurança. E, no entanto, você foi phishing. Você sabe como?
A resposta está nesse URL. Pode parecer que se lê “apple”, mas na verdade é um monte de caracteres
cirílicos: A, Er, Er, Palochka, Ie. O certificado de segurança é real o suficiente, mas tudo o que confirma é
que você tem uma conexão segura com o аррӏе.com – o que não informa se você está conectado a um site
legítimo ou não.
SPEAR PHISHING: quando os hackers tem um
alvo específico.
TEMPORARY PARADIGM: existem e-mails
temporários, números de cartão de crédito
temporários, números de telefones temporários.
Ex.: destructingmessege.com; privacy.com.
DATA SANITIZATION: serviços que limpam dispositivos.
German VSITR;
ITSG 06 (Canada);
US Army AR380-19;
US DoD 5220.22-M;
NSA 130-1 (NSA 130-2 does not specify any overwriting methods for HDDs, and instead
requires degaussing or physical destruction);
METADATA (EXIF, etc): são as propriedades dos arquivos, presentes em
todos os arquivos, principalmente em áudio e vídeo.
DUMPSTER DIVING: o mergulhador no lixo –
pessoas que conseguem mergulhar em dados
descartados e coletam informações. É necessário
sanitizar equipamentos descartados.
DIGITAL ARCHEOLOGY:
remontar o passado com base em
informações em equipamentos
antigos. Utilização de softwares
específicos.
PASSWORD MANAGERS: são formas de
gerenciar senhas. O ideal é ter senhas diferentes,
complexas. Esses app funcionam como um
sistema que guarda as suas senhas e, sendo
protegido com senha, o usuário fica protegido.
Ex.: KeePass, LastPass.
MALWARE SCAN ONLINE: são aplicações
que escaneiam arquivos para saber se eles
possuem scripts maliciosos. Ex.:
www.virustotal.com . Antivirus convencionais
também servem, inclusive para aparelhos
celulares.
SANDBOX: “caixa de areia”. Nasceu no exército, e era um local para testes.
Ele cria uma caixa de areia digital e nesse espaço você pode rodar um
navegador de internet, por exemplo. Caso haja algum download de conteúdo
malicioso, fica preso ali. Evidentemente que já existem hackers que tentam
burlar essas sandboxes.
DATA LEAKING: vazamento de informações. Ex.:
Cambridge analytica. As empresas devem usar data
leaking prevention system. São sistemas que são
instalados para evitar esses vazamentos. Alguns
trabalham com tags dentro de arquivos de sistema, e com
isso eles ficam bloqueados para cópias e vão enviar um
alerta de segurança para o sistema.
OSINT: Open Source Intelligence. É a coleta de informações abertas.
Chamada também de cerca eletrônica. Ex.: Shodan, Google hacking. Usando
Inteligência artificial, podemos ter algo próximo a uma polícia preditiva.
SENTIMENT ANALYSIS /
PROFILING: é a coleta de sentimentos
(ex.: curtidas do Facebook) para criar
ofertas direcionadas ou até mesmo um
sistema de crédito social por governos.
SENTIMENT
MANIPULATION: é a
possibilidade de manipulação de
sentimentos por meio das redes
sociais. Cognitive hacking.
ATTENTION ECONOMY: é um
modelo que usa a tecnologia e outras
ciências que vão prender o usuário por
mais tempo possível. Ex.:
gamification.
IOT HACKING: possibilidade de dispositivos
capturar dados e armazená-los.
Sem privacidade: Samsung admite que Smart
TVs podem gravar e transmitir conversas de
usuários Televisores são capazes de gravar as
conversas e transmiti-las para um centro de
armazenamento
STEGANOGRAPHY: trata-se de esconder dados dentro de arquivos.
RANSOMWARE: criptografam informações. A partir de
uma vulnerabilidade no sistema, um hacker pode entrar
no sistema de uma empresa, criptografar arquivos e em
seguida exigir dinheiro como resgate. Nesta situação, é
muito importante ter um backup de todos os seus
arquivos.
GDPR EXTORSION: extorsão baseada na falta de
proteção de dados.
45 normas da família ISO 27000 – Gestão da Segurança da Informação. A família
ISO/IEC 27000 é grande, existem diversas normas relacionadas à SGSI. As mais conhecidas
são:
ISO/IEC 27000 – São informações básicas sobre as normas da série.
ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da informação.
https://posdigital.pucpr.br/blog/iso-27000
MARCO CIVIL DA INTERNET
Marco Civil da Internet. Como surgiu?
Lei n.º 12.965/14, art. 18. O provedor de conexão à internet não será
responsabilizado civilmente por danos decorrentes de conteúdo gerado por
terceiros.
Lei n.º 12.965/14, art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o
provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes
de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no
âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo
apontado como infringente, ressalvadas as disposições legais em contrário.
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e
específica do conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2.º. A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende
de previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no
art. 5.º da Constituição Federal.
§ 3.º. As causas que versem sobre ressarcimento por danos decorrentes de conteúdos disponibilizados na
internet relacionados à honra, à reputação ou a direitos de personalidade, bem como sobre a
indisponibilização desses conteúdos por provedores de aplicações de internet, poderão ser apresentadas
perante os juizados especiais.
§ 4.º. O juiz, inclusive no procedimento previsto no § 3.º, poderá antecipar, total ou parcialmente, os efeitos
da tutela pretendida no pedido inicial, existindo prova inequívoca do fato e considerado o interesse da
coletividade na disponibilização do conteúdo na internet, desde que presentes os requisitos de
verossimilhança da alegação do autor e de fundado receio de dano irreparável ou de difícil reparação.
Maradona proíbe Yahoo e Google de fazer buscas com seu nome - disponível
em http://revistaepoca.globo.com/Revista/Epoca/0,,EMI17301-15260,00-
MARADONA+PROIBE+YAHOO+E+GOOGLE+DE+FAZER+BUSCAS+C
OM+SEU+NOME.html
Lei n.º 12.965/14, art. 20. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de
internet comunicar-lhe os motivos e informações relativos à indisponibilização de
conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo
expressa previsão legal ou expressa determinação judicial fundamentada em contrário.
Parágrafo único. Quando solicitado pelo usuário que disponibilizou o conteúdo tornado
indisponível, o provedor de aplicações de internet que exerce essa atividade de forma
organizada, profissionalmente e com fins econômicos substituirá o conteúdo tornado
indisponível pela motivação ou pela ordem judicial que deu fundamento à
indisponibilização.
Lei n.º 12.965/14, art. 21. O provedor de aplicações de internet que disponibilize conteúdo
gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade
decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou
de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando,
após o recebimento de notificação pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a
indisponibilização desse conteúdo.
Lei n.º 8.069/90, art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou
divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia,
vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou
adolescente: (Incluído pela Lei nº 11.829, de 2008)
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº 11.829, de 2008)
§ 1.º. Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 2008)
I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que
trata o caput deste artigo; (Incluído pela Lei nº 11.829, de 2008)
II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou
imagens de que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
§ 2.º. As condutas tipificadas nos incisos I e II do § 1 o deste artigo são puníveis quando o
responsável legal pela prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso
ao conteúdo ilícito de que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
Lei eleitoral: art. 57-F.
Lei n.º 9.504/97, art. 57-F. Aplicam-se ao provedor de conteúdo e de serviços multimídia
que hospeda a divulgação da propaganda eleitoral de candidato, de partido ou de coligação
as penalidades previstas nesta Lei, se, no prazo determinado pela Justiça Eleitoral, contado
a partir da notificação de decisão sobre a existência de propaganda irregular, não tomar
providências para a cessação dessa divulgação. (Incluído pela Lei nº 12.034, de
2009)
Lei n.º 12.965/14, art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o
dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano,
nos termos do regulamento.
§ 1.º. A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2.º. A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de
conexão sejam guardados por prazo superior ao previsto no caput.
§ 3.º. Na hipótese do § 2.º, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento,
para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4.º. O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no §
2.º, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no
prazo previsto no § 3.º.
§ 5.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida
de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a
gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes,
os antecedentes do infrator e a reincidência.
Subseção III - Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
Lei n.º 12.965/14, art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica
e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá
manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e
de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1.º. Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não
estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que
se trate de registros relativos a fatos específicos em período determinado.
§ 3.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo
deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a
natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator,
as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Como buscar esses dados?
Lei n.º 12.965/14, art. 22. A parte interessada poderá, com o propósito de formar
conjunto probatório em processo judicial cível ou penal, em caráter incidental ou
autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento
de registros de conexão ou de registros de acesso a aplicações de internet.
As diferenças tem a ver com o modo como o qual o usuário busca esses
dados;
Direito ao esquecimento.
Lei n.º 12.965/14, art. 7.º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são
assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral
decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da
lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;
VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o
regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre
práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a
aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em
lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados
pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá
ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu
requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros
previstas nesta Lei;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu
requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros
previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais;
(Redação dada pela Lei nº 13.709, de 2018) (Vigência)
XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de
internet;
XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e
mentais do usuário, nos termos da lei; e
XIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na
internet.
Neutralidade de rede. A inteligência da rede está nas pontas, e a rede apenas
transmite os dados.
CAPÍTULO III - DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET
Seção I - Da Neutralidade de Rede
Art. 9.º. O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer
pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.
§ 1.º. A discriminação ou degradação do tráfego será regulamentada nos termos das atribuições privativas do
Presidente da República previstas no inciso IV do art. 84 da Constituição Federal, para a fiel execução desta Lei,
ouvidos o Comitê Gestor da Internet e a Agência Nacional de Telecomunicações, e somente poderá decorrer de:
I - requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações; e
II - priorização de serviços de emergência.
§ 2.º. Na hipótese de discriminação ou degradação do tráfego prevista no § 1.º, o responsável mencionado
no caput deve:
I - abster-se de causar dano aos usuários, na forma do
art. 927 da Lei nº 10.406, de 10 de janeiro de 2002 - Código Civil;
II - agir com proporcionalidade, transparência e isonomia;
III - informar previamente de modo transparente, claro e suficientemente descritivo aos seus usuários sobre as práticas
de gerenciamento e mitigação de tráfego adotadas, inclusive as relacionadas à segurança da rede; e
IV - oferecer serviços em condições comerciais não discriminatórias e abster-se de praticar condutas
anticoncorrenciais.
§ 3.º. Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é
vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo.
CAPÍTULO II - DA NEUTRALIDADE DE REDE
Parágrafo único. As informações de que trata esse artigo deverão conter, no mínimo:
III - privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela
comutação ou pelo roteamento ou por empresas integrantes de seu grupo econômico.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados
pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos
um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação
brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações
privadas e dos registros.
§ 1.º. O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das
comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2.º. O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica
sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do
mesmo grupo econômico possua estabelecimento no Brasil.
§ 4.º. Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as
infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às
seguintes sanções, aplicadas de forma isolada ou cumulativa:
II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no
seu último exercício, excluídos os tributos, considerados a condição econômica do
infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade
da sanção;
III - suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou
IV - proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Ajuda a lidar com coisas repetitivas que consomem muito tempo dos
trabalhadores;
Previsão de inadimplência;
Recrutamento:
A IA pode tornar esse trabalho mais fácil por meio de câmeras e drones.
Essa combinação pode coletar dados vitais que ajudarão os agricultores a
estimar o tempo perfeito para tudo e ajustar as operações de acordo com as
informações recebidas.
Cibercrimes:
Identificação de imagens;
Classificação de suspeitos.
Tribunais:
Ferramenta de priorização
- Ansiedade
- Alienação
- Violações à privacidade e à intimidade: empresas podem saber muito sobre o usuário, inclusive coisas
que ele não deseja saber.
- Internet
- Website
- Ubiquidade
O website é uma página que pode ter qualquer tipo de conteúdo. É composto
por números (Internet Protocol - IP - localiza fisicamente a máquina). Ex.:
208.80.152.130. É substituído por letras para facilitar o acesso.
- Crimes Digitais
- Geolocalização
Salas de bate-papo
Endereços de email
Participação em fóruns
Comentários de notícias
Como identificar alguém na Internet?
PROVEDOR DE APLICAÇÕES
PROVEDOR DE CONEXÃO
IDENTIFICAÇÃO DO TERMINAL
Provedores de aplicações: Facebook, Google, Twitter
§ 1.º. O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput,
de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a
identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo,
respeitado o disposto no art. 7.º.
§ 2.º. O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas
hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7.º.
§ 3.º. O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e
endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
Decreto n.º 8.771/16, art. 11. As autoridades administrativas a que se refere o art. 10, § 3.º da Lei
n.º 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a
motivação para o pedido de acesso aos dados cadastrais.
§ 1.º. O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante,
ficando desobrigado de fornecer tais dados.
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
§ 3.º. Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo
requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou
inespecíficos.
Lei n.º 12.965/14, art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que
exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os
respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança,
pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1.º. Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão
sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de
registros relativos a fatos específicos em período determinado.
§ 3.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser
precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza
e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as
circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Lei n.º 12.965/14, art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever
de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos
termos do regulamento.
§ 1.º. A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2.º. A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de
conexão sejam guardados por prazo superior ao previsto no caput.
§ 3.º. Na hipótese do § 2o, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento,
para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4.º. O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2.º,
que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo
previsto no § 3.º.
§ 5.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de
autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade
da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os
antecedentes do infrator e a reincidência.
RETENÇÃO DE DADOS
SEGUNDO O MARCO CIVIL DA
INTERNET:
Provedor de Provedor Provedor não
conexão comercial de comercial de
aplicações aplicações
Tipo de dados a Registros de Registros de acesso a aplicações
serem retidos: conexão à internet
Obrigatoriedade Obrigatório Mediante requisição
de retenção dos sem ordem judicial
dados:
Período de 1 ano 6 meses
retenção dos
dados:
Aumento do Mediante requisição sem ordem judicial
período de
retenção:
Acesso aos dados Mediante ordem judicial
retidos:
O acesso a esses registros depende de ordem judicial
Lei n.º 12.965/14, art. 22. A parte interessada poderá, com o propósito de formar conjunto probatório em
processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável
pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.
Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de
inadmissibilidade:
II - justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e
EMENTA Direito Constitucional. Proteção aos direitos da personalidade. Liberdade de expressão e de manifestação.
Violação dos arts. 5º, incisos IV, IX, XIV; e 220, caput, §§ 1º e 2º, da Constituição Federal. Prática de ato ilícito por
terceiro. Dever de fiscalização e de exclusão de conteúdo pelo prestador de serviços. Reserva de jurisdição.
Responsabilidade civil de provedor de internet, websites e gestores de aplicativos de redes sociais.
Constitucionalidade ou não do art. 19 do Marco Civil da Internet (Lei nº 12.965/14) e possibilidade de se condicionar
a retirada de perfil falso ou tornar indisponível o conteúdo apontado como infringente somente após ordem judicial
específica. Repercussão geral reconhecida. (RE n.º 1.037.396 RG, Relator(a): DIAS TOFFOLI, Tribunal Pleno,
julgado em 01/03/2.018, PROCESSO ELETRÔNICO DJe-063 DIVULG 03/04/2.018 PUBLIC 04/04/2.018)
“Fake news”? Qual seria a responsabilidade dos provedores? Haverá responsabilidade
após ordem judicial, caso não seja cumprida.
URL = uniform resource locator. Necessidade de indicação dos links onde o material se
encontra.
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade,
identificação clara e específica do conteúdo apontado como infringente, que permita a
localização inequívoca do material.
Caso Botelho (STJ): foram publicados vídeos de cursos na rede social “Orkut”, violando
direito autoral. O STJ reforçou que o autor deveria fornecer todos os links.
Caso Nissim Ourfali (TJSP) (Processo n.º 0192672-12.2012.8.26.0100):
- 1.ª instância: necessidade de indicação de URL 2.ª instância: plataforma deve retirar
vídeos que façam menção ao autor, mesmo sem links
- 2.ª instância: plataforma deve retirar vídeos que façam menção ao autor, mesmo sem
links
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do
conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2.º. A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de
previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5º da
Constituição Federal.
§ 3.º. As causas que versem sobre ressarcimento por danos decorrentes de conteúdos disponibilizados na internet
relacionados à honra, à reputação ou a direitos de personalidade, bem como sobre a indisponibilização desses
conteúdos por provedores de aplicações de internet, poderão ser apresentadas perante os juizados especiais.
§ 4.º. O juiz, inclusive no procedimento previsto no § 3.º, poderá antecipar, total ou parcialmente, os efeitos da tutela
pretendida no pedido inicial, existindo prova inequívoca do fato e considerado o interesse da coletividade na
disponibilização do conteúdo na internet, desde que presentes os requisitos de verossimilhança da alegação.
Lei n.º 12.965/14, art. 20. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de
internet comunicar-lhe os motivos e informações relativos à indisponibilização de conteúdo,
com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa
previsão legal ou expressa determinação judicial fundamentada em contrário.
Parágrafo único. Quando solicitado pelo usuário que disponibilizou o conteúdo tornado
indisponível, o provedor de aplicações de internet que exerce essa atividade de forma
organizada, profissionalmente e com fins econômicos substituirá o conteúdo tornado
indisponível pela motivação ou pela ordem judicial que deu fundamento à indisponibilização.
Lei n.º 12.965/14, art. 21. O provedor de aplicações de internet que disponibilize conteúdo
gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade
decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou
de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando,
após o recebimento de notificação pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a
indisponibilização desse conteúdo.
Parágrafo único. A notificação prevista no caput deverá conter, sob pena de nulidade,
elementos que permitam a identificação específica do material apontado como violador da
intimidade do participante e a verificação da legitimidade para apresentação do pedido.
A liberdade de expressão não é absoluta
Internet abriu novos canais e agregou novos atores ao processo de criação de conteúdos de humor;
Como esses limites têm sido estabelecidos? Quais os riscos de abuso que existem por trás de institutos
como o “direito à honra” e o “direito à imagem”?
Fontes: https://internetlab.org.br/pt/projetos/humor-e-liberdade-de-expressao-2/
https://www.conjur.com.br/2016-ago-31/dennys-antonialli-dano-moral-ameaca-liberdade-humor-internet
2.ª instância: todos os TJs, STJ e STF; Busca a partir da combinação dos termos “humor”, “sátira”,
“paródia”, “piada”, “ironia”, “sarcasmo”, “comédia” e “charge” com “Internet”, “online”, “virtual” e “rede”;
Políticos: R$ 16.352,38
liberdade de expressão
Direito ao esquecimento na Europa:
Direito de desindexação foi reconhecido. Questões afetas à uma execução civil, que foram publicadas na
internet. Entretanto, após ser resolvida a execução, as informações permaneceram na internet. Interessados
podem dirigir pedido diretamente à plataforma, que deve decidir a respeito de seu acolhimento. Mecanismos
de busca devem avaliar se as informações são “imprecisas, inadequadas, irrelevantes ou excessivas”. A
plataforma deve decidir realizar ou não a desindexação. Não é um direito exercido em relação aos sites que
postaram a informação, mas é direcionado aos mecanismos de busca.
Dados do aparelho;
Mensagens;
Dados de localização;
Preferências;
Fotos;
Músicas;
Futebol. “Hoje, todos os 20 estádios de futebol da Premier League no Reino Unido estão
equipados com um conjunto de 8-10 câmeras digitais que rastreiam cada jogador em campo.
Dez pontos de dados são coletados a cada segundo para cada um dos 22 jogadores em campo,
gerando 1,4 milhões de pontos de dados por jogo. Analistas (da ProZone) irão então codificar os
dados para identificar cada dividida, tiro ou passe, a fim de permitir aos gestores e analistas de
desempenho obter insights sobre o que exatamente aconteceu em cada jogo” (Bernard Marr)
Marketing político: Cambridge Analytica. Testes do Facebook cruzaram dados sobre usuários.
“Internet das coisas”: grande número de dispositivos e aparelhos funciona de
forma interligada e conectada à Internet;
O fenômeno conhecido como “big data” surge com o aumento da capacidade de gerar,
coletar, armazenar e tratar dados;
Quanto mais dados, mais apuradas podem ser as inferências e mais valiosas elas se tornam.
Empresas podem reunir e inferir características sobre o usuário que possibilitem a formação de perfis
detalhados de sua personalidade (“profiling”);
Possível aumento do poder de manipulação dessas empresas sobre o usuário. Ex.: geladeira do futuro
Dados e perfis podem ser vendidos ou compartilhados com terceiros (atenção para os termos das
políticas de privacidade!);
Desafio: como prever todas as finalidades antes de se ter acesso aos bancos de dados desestruturados?
Além das empresas, governos também podem se beneficiar com “big data”;
Quanto mais informações as empresas puderem reunir sobre o cidadão, mais valiosos são os seus
bancos de dados também para questões de vigilância.
Big data e privacidade: conclusões
Inferências obtidas pelas empresas aumentam seu poder de manipulação sobre o usuário;
Inferências podem ser vendidas, compartilhadas e acessadas por terceiros, incluindo os governos;
Legislações regem a utilização de dados pessoais em setores específicos, como saúde, dados
relativos à crianças, dados financeiros, etc.;
Não há legislação genérica em relação aos demais casos: fiscalização pela Federal Trade
Commission (FTC) com base na legislação de proteção ao consumidor;
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a
indenização pelo dano material ou moral decorrente de sua violação;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; (+
Lei n.º 9.507/97)
TJRS (apelação no 70060163623): Venda de dados pessoais como CPF, endereço, data de
nascimento, telefone sem consentimento expresso do cidadão não é ilícita;
Não há dano pelo mero “risco” de utilização dos dados vendidos para fraudes;
16.ª Vara Cível de Porto Alegre (Processo 001/11401789987): Venda de dados pessoais como CPF,
endereço, data de nascimento, telefone sem consentimento expresso do cidadão é ilícita;
Há dano pela exposição do cidadão a fraudes pelo uso indevido dos dados vendidos;
1ª Vara Federal RN (processo no 0805175-58.2015.4.05.8400): Venda de dados
pessoais como CPF, endereço, data de nascimento, telefone sem consentimento
expresso do cidadão é ilícita;
Pouca uniformidade;
Papel da autoridade?
Acesso a comunicações: telefonia e internet
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações
telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para
fins de investigação criminal ou instrução processual penal;
Comunicações telefônicas e telemáticas: Lei de Interceptações (Lei n.º 9.296/96). Quando a lei
regulamentou a comunicação, tratou do fluxo de comunicações. Requisitos específicos:
Art. 7, III: inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem
judicial
Art. 10, § 2.º: o conteúdo das comunicações privadas somente poderá ser disponibilizado
mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto
nos incisos II e III do art. 7.º. Não há regulamentação específica estabelecendo requisitos de
proteção.
PROCESSUAL PENAL. OPERAÇÃO "LAVA-JATO". MANDADO DE BUSCA E APREENSÃO. APREENSÃO
DE APARELHOS DE TELEFONE CELULAR. LEI 9296/96. OFENSA AO ART. 5º, XII, DA CONSTITUIÇÃO
FEDERAL. INOCORRÊNCIA. DECISÃO FUNDAMENTADA QUE NÃO SE SUBORDINA AOS DITAMES DA
LEI 9296/96. ACESSO AO CONTEÚDO DE MENSAGENS ARQUIVADAS NO APARELHO.
POSSIBILIDADE. LICITUDE DA PROVA. RECURSO DESPROVIDO. I - A obtenção do conteúdo de
conversas e mensagens armazenadas em aparelho de telefone celular ou smartphones não se subordina
aos ditames da Lei 9296/96. II - O acesso ao conteúdo armazenado em telefone celular ou smartphone,
quando determinada judicialmente a busca e apreensão destes aparelhos, não ofende o art. 5º, inciso XII,
da Constituição da República, porquanto o sigilo a que se refere o aludido preceito constitucional é em
relação à interceptação telefônica ou telemática propriamente dita, ou seja, é da comunicação de dados, e
não dos dados em si mesmos. III - Não há nulidade quando a decisão que determina a busca e apreensão
está suficientemente fundamentada, como ocorre na espécie. IV - Na pressuposição da ordem de apreensão
de aparelho celular ou smartphone está o acesso aos dados que neles estejam armazenados, sob pena de
a busca e apreensão resultar em medida írrita, dado que o aparelho desprovido de conteúdo simplesmente
não ostenta virtualidade de ser utilizado como prova criminal. V - Hipótese em que, demais disso, a decisão
judicial expressamente determinou o acesso aos dados armazenados nos aparelhos eventualmente
apreendidos, robustecendo o alvitre quanto à licitude da prova. Recurso desprovido. (RHC n.º 75.800/PR,
Rel. Ministro FELIX FISCHER, QUINTA TURMA, julgado em 15/09/2.016, DJe 26/09/2.016)
Quais seriam as balizas para acesso à esses dados? Certamente deve tutelar os valores
presentes na CF.
Apreensão dos dispositivos. Se a criptografia impediu o acesso aos dados durante o fluxo,
conseguindo o dispositivo, haveria acesso fácil ao conteúdo. Pesquisa:
https://internetlab.org.br/pt/itens-semanario/privacidade-acesso-a-dados-em-celulares-apree
ndidos-no-local-do-crime-nao-depende-de-autorizacao-judicial-defende-pgr/
NORMATIVOS DE SEGURANÇA
DA INFORMAÇÃO:
Sociedade Digital;
Desafios;
O que é a Segurança da Informação (trata-se de todos os dados que são importante para uma empresa, não somente
os dados pessoais);
Estrutura Normativa;
Principais Temas;
Mudança de Cultura.
Segurança cibernética está dentro da segurança da informação, pois trata-se de
dados digitalizados.
Dinheiro no banco, criptomoedas... Compras são feitas online. Hoje temos lojas
apenas para mostrar produtos. A comunicação é feita por aplicativo de mensagem,
quase ninguém liga. Os riscos também estão na internet.
Cerca de 3 mil consultas e exames foram cancelados e 350 pacientes deixaram de realizar tratamento de radioterapia
nesta terça-feira (27) depois que o sistema do Hospital de Câncer de Barretos (SP) foi invadido por hackers.
Disponível em
https://g1.globo.com/sp/ribeirao-preto-franca/noticia/ataque-de-hackers-suspende-3-mil-consultas-e-exames-nas-uni
dades-do-hospital-de-cancer-de-barretos-sp.ghtml
Empresa de bitcoin é acusada de vazamento de dados; Atlas Quantum diz que clientes não tiveram perda.
Segundo promotores, empresa que negocia moedas digitais, as chamadas criptomoeadas, permitiu que
informações de 264 mil clientes fossem divulgadas.
Disponível em
https://g1.globo.com/df/distrito-federal/noticia/2019/04/26/empresa-de-bitcoin-e-acusada-de-vazamento-
de-dados-mp-cobra-r-10-milhoes-em-indenizacao.ghtml
A Microsoft, ao adquirir a Linkedin, em 2.016, pagou 26 bilhões de
dólares por um cadastro de 430 milhões de usuários e 100 milhões de
visitantes por mês. O valor desembolsado representa U$ 60 dólares por
usuário ou 260 dólares por visitante mensal.
Segundo o FBI, anualmente são gastos aproximadamente US$ 1 bilhão com resgates nestes
ataques
Calcula-se que os danos causados pelos ataques ultrapassaram os US$ 5 bilhões em 2017
Mais de 90% dos casos de invasões bem sucedidas e vazamentos de dados estão relacionadas ao
phishing;
Planos de respostas a incidentes e treinamentos dos funcionários sobre como reconhecer e reagir
ao phishing são os melhores ROIs em segurança digital para empresas em todo o mundo
“Você pode investir uma fortuna comprando tecnologia e serviços, e a
infraestrutura da sua rede continuará vulnerável à manipulação da mais
obsoleta.” Kevin Mitnick, Hacker e atual consultor da KnowBe4, sobre a
vulnerabilidade de rede perante à engenharia social. Fonte: Veja, 21 fev. 2018.
Relatório McAfee:
https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.html
Herjavec Group:
https://www.herjavecgroup.com/2021-healthcare-cybersecurity-report-cybersecurity-ve
ntures/
Brasil perde US$ 10 bilhões por ano com cibercrime, diz McAfee
Disponível em
https://veja.abril.com.br/economia/brasil-perde-us-10-bilhoes-por-ano-com-cibercri
me-diz-mcafee/
SEGURANÇA DA
INFORMAÇÃO
Segurança da Informação: ABNT NBR ISO/IEC 27002:2013. Trata-se de
uma norma que coleta uma série de processos, procedimentos e informações
para que a empresa implemente um sistema de gestão da informação. Trata-
se de ISO relacionado à segurança da informação.
Autenticidade: quem acessou ou inseriu dados é quem se disse ser – não repúdio;
Legalidade: os dados devem ser criados e operados de acordo com os termos da lei
vigente.
Proteção técnica da disponibilidade: backup
Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em
razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser
classificada como ultrassecreta, secreta ou reservada.
Proteção técnica da autenticidade: Proteger o sigilo do fator de autenticação; não contar senhas
ou emprestar certificados digitais
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os
documentos eletrônicos de que trata esta Medida Provisória.
§ 1.º. As declarações constantes dos documentos em forma eletrônica produzidos com a utilização
de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação
aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 -Código Civil.
(atual art. 219)
§ 2.º. O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação
da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa
a quem for oposto o documento.
Algumas Definições de Segurança da Informação
Incluídos em um website
TÉCNICO (ferramentas)
JURÍDICO (documentação)
COMPORTAMENTAL (conscientização)
É necessário considerar as seguintes ameaças:
Sequestro de dados
Corporativo e Pesssoal
Hackers
Wi-fi
Mobilidade
Vírus
Implementação da Segurança da Informação:
Gestão de incidentes
Medidas Disciplinares
ESSAS NORMATIVAS SÃO
VÁLIDAS?
Aspectos da legislação trabalhista
A previsão contratual
8 Dever de proteção dos ativos intangíveis da Empresa ISO 27002 -8.1.2 + artigo 209 e
artigo 195 da Lei 9.279/96
9 Dever de cumprir com sigilo profissional Artigo 153, Código Penal e artigo
195 da Lei 9.279/96
10 Dever de classificação da informação ISO 27002 8.2
11 Dever de cumprir com o nível de segurança exigido pela classificação ISO 27002 8.2.1
12 Dever de armazenamento das informações na rede ISO 27002 -13.2 e 13.2.4
13 Previsão de uso de controles criptográficos ISO 27002 -10.1
14 Inventário dos recursos ISO 27002 -8.1.1
15 Proteção da identidade digital ISO 27002 -9.3.1 + artigo 5º,
IV, da Constituição Federal
16 Uso de softwares e hardwares legítimos, previamente homologados ou ISO 27002 -12.6.2 + Artigo
autorizados 184, do Código Penal + Lei
9.609 (Lei de Software)
17 Uso de conteúdos legais e legítimos, sempre com a devida citação de fonte e ISO 27002 -18.1.2, Artigos 46
autoria ao 48 da Lei nº 9.610, Lei nº
9.279 + artigo 184, do Código
Penal
18 Obrigatoriedade de uso de recursos de segurança (antivírus, antispyware, ISO 27002 -12.2
criptografia ou similar e firewall) e de mantê-los sempre ativos e atualizados
19 Proibição de conteúdos pessoais, pornográficos, antiéticos, ilícitos ou não Art. 482, CLT
condizentes com ambiente de trabalho
20 Acesso à rede institucional somente por funcionários e pessoas prévia e ISO 27002 -6.2.1 e 13.1.3
expressamente autorizadas
21 Dever de mesa limpa ISO 27002 11.2.9
22 Dever de tela limpa e de bloqueio do recurso ao se ausentar ISO 27002 11.2.9
23 Obrigatoriedade de redação com linguagem adequada, evitando excesso de Artigo 483, CLT
intimidade e palavras no diminutivo
24 Dever uso de dispositivo móvel de maneira ética e segura ISO 27002 6.2.1; 6.2.2; 13.2.3;
13.2
25 Dever de geração de backup ISO 27002 -12.3 e 12.3.1
26 Dever de portar sempre a menor quantidade possível de dados pelo menor tempo em ISO 27002 8.3.3; 11.2.9
dispositivos móveis.
27 Aviso que o mero acesso ao recurso e/ou à informação pode ocorrer de forma remota ISO 27002 6.2.2 + Artigo 6º, da
e a qualquer horário e, por si só, não configura sobrejornada nem hora extra. CLT + Súmula 428 TST
28 Orientação sobre postura em Mídias Sociais, a exemplo do uso da marca e assuntos Artigo 153, CP + artigo 195 da
profissionais. Lei 9.279/96 + artigo 927, do
Código Civil + artigo 5º, X, da
Constituição Federal
29 Proibição de uso de qualquer plataforma de armazenamento de dados na nuvem ou de ISO 27002 -13.2
Internet, a exemplo de Google Drive, SkyDrive e Dropbox para o upload de conteúdo
da Empresa sem autorização.
30 Requisitos para uso dos aplicativos de comunicação Artigo 154, Código Penal +
artigo 195 da Lei 9.279/96 +
Jurisprudência
31 Proibição de coleta de fotos e imagens, gravação de áudios e vídeos no perímetro Artigo 482, CLT + artigo 5º,
físico da Empresa, bem como de seu compartilhamento X, da Constituição Federal
32 Cuidados com engenharia social ISO 27002 -9.4.1 e 9.4.2
33 Prevenir o vício ou dependência tecnológica ISO 27002 17.1
+ Jurisprudência
34 Vedação para envio de conteúdo da Empresa para endereço eletrônico particular ou de ISO 27002 -13.2; 13.2.3; 10.1;
terceiro não autorizado 10.1.1
35 Dever observar exigências de segurança da informação nos processos de seleção de ISO 27002 -7.1.1 e 7.1.2
funcionários e contratação de terceiros
36 Dever de uso de cláusulas de confidencialidade e assinatura de termos/acordos de ISO 27002 -13.2.4, Artigo 153,
confidencialidade pelos terceirizados Código Penal e artigo 195 da
Lei 9.279/96 + artigo 927, do
Código Civil
37 Dever de uso de cláusulas de segurança da informação em contratos de trabalho ISO 27002 -7.1.2; 13.2.4;
18.1.2; 18.1.4; 8; 7.2.3 + artigo
927, do Código Civil
38 Responsabilidades contidas nos termos e condições de contratação continuem por ISO 27002 -7.1.2 e 7.3
tempo indefinido após o término da contratação, inclusive de terceiros
48 Obrigação de formação e atuação do Comitê de Segurança da Informação ISO 27002 -6 + ISO 27001 5.3
50 Atualização periódica dos documentos de Segurança da Informação, em intervalo ISO 27002 5.1.2 + atualizações
não superior a 2 anos constantes da legislação
brasileira
51 Dever de educação e conscientização dos funcionários ISO 27002 17.1 + Artigo 482, da CLT
52 Responsabilidade do gestor sobre os recursos e postura de sua equipe ISO 27002 17.1 e 18.2.2 + Artigo 932,
III, da Constituição Federal
53 Dever do colaborador se manter sempre atualizado e ciente das normas da Empresa ISO 27002 7.2.2 b + artigo 482, da CLT
54 Aviso claro e objetivo de monitoramento irrestrito, alcançando também dispositivos ISO 27002 -12.4.1 + Constituição
particulares que acessam o perímetro físico e lógico da Empresa Federal, artigo 5º, inc. IV, X, XII,
XXVIII, XIX e XXXV + artigos. 21 a
23 do Código Civil e Lei de
Interceptação + jurisprudência
55 Aviso claro e objetivo da inspeção física dos dispositivos, de acordo com os princípios ISO 27002 -12.4.1 + Constituição
da razoabilidade e da proporcionalidade Federal, artigo 5º, inc. IV, X, XII,
XXVIII, XIX e XXXV + artigos. 21 a
23 do Código Civil e Lei de
Interceptação + jurisprudência
56 Previsão de violações e sanções, estabelecendo bases para um processo disciplinar ISO 27002 7.2.3 + artigo 2º, 474 e 482,
da CLT
57 Aviso de que a tentativa de burlar será considerada também infração ISO 27002 7.2.3
58 Dever de denuncia imediata em caso de incidente para a área competente ISO 27002 16.1.2
Prévia ciência
Ordem judicial
Monitoramento de Conteúdos
DISPENSA POR JUSTA CAUSA. MAU PROCEDIMENTO. USO
INDEVIDO DO CORREIO ELETRÔNICO CORPORATIVO.
Demonstrado que a autora utilizava o correio eletrônico corporativo para
travar diálogos íntimos com o diretor da empresa, resta caracterizada a justa
causa por mau procedimento tendo em vista que o serviço de 'e-mail'
corporativo é ferramenta fornecida para uso estritamente profissional. (TRT-
3 -RO: 02198201103203005 0002198-22.2011.5.03.0032, Relator: Luiz
Ronan Neves Koury, Segunda Turma, Data de Publicação: 30/05/2012
29/05/2.012. DEJT. Página 106. Boletim: Sim.)
ACÓRDÃO. DA JUSTA CAUSA. CONFIGURAÇÃO. A falta grave
cometida pelo autor, em razão de má conduta, porquanto agiu de forma
contrária às regras estabelecidas na recorrida (envio de e-mail corporativo
de conteúdo pornográfico) (...). Correto o pronunciamento do Juiz
originário, que reconheceu a justa causa para a ruptura do pacto laboral.
(PROCESSO Nº TST-AIRR-4269-57.2010.5.02.0000. Ministro Relator
ALBERTO LUIZ BRESCIANI DE FONTAN PEREIRA. Mantenho.
Brasília, 16 de março de 2.011)
Os documentos de Segurança da Informação devem contar com
cláusulas informando que há o monitoramento, além de treinamentos e
avisos legais.
Vazamento de Informação
Impactos trabalhistas
Sigilo
CPC, art. 369. As partes têm o direito de empregar todos os meios legais, bem
como os moralmente legítimos, ainda que não especificados neste Código, para
provar a verdade dos fatos em que se funda o pedido ou a defesa e influir
eficazmente na convicção do juiz.
Teletrabalho: trabalho fora do escritório
de uma empresa, geralmente em casa, com
ou sem vínculo empregatício, havendo
comunicação coma a firma pela internet ou
por telefone. Atualmente o teletrabalho é
uma prática habitual em qualquer parte do
mundo.
CLT - DO TELETRABALHO
Art. 75-A. A prestação de serviços pelo empregado em regime de teletrabalho observará o disposto neste Capítulo.
Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de
tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo.
Parágrafo único. O comparecimento às dependências do empregador para a realização de atividades específicas que exijam a presença do
empregado no estabelecimento não descaracteriza o regime de teletrabalho.
Art. 75-C. A prestação de serviços na modalidade de teletrabalho deverá constar expressamente do contrato individual de trabalho, que
especificará as atividades que serão realizadas pelo empregado.
§ 1.º. Poderá ser realizada a alteração entre regime presencial e de teletrabalho desde que haja mútuo acordo entre as partes, registrado em
aditivo contratual.
§ 2.º. Poderá ser realizada a alteração do regime de teletrabalho para o presencial por determinação do empregador, garantido prazo de transição
mínimo de quinze dias, com correspondente registro em aditivo contratual.
Art. 75-D. As disposições relativas à responsabilidade pela aquisição, manutenção ou fornecimento dos equipamentos tecnológicos e da
infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado, serão
previstas em contrato escrito.
Parágrafo único. As utilidades mencionadas no caput deste artigo não integram a remuneração do empregado.
Art. 75-E. O empregador deverá instruir os empregados, de maneira expressa e ostensiva, quanto às precauções a tomar a fim de evitar doenças e
acidentes de trabalho.
Parágrafo único. O empregado deverá assinar termo de responsabilidade comprometendo-se a seguir as instruções fornecidas pelo empregador.
O teletrabalhador foi excluído do sistema celetista da duração do trabalho – ou seja: o
teletrabalhador NÃO possui direito à limitação da duração máxima de 8 horas diárias e 44 horas
semanais.
CLT, art. 62. Não são abrangidos pelo regime previsto neste capítulo:
Parágrafo único. O regime previsto neste capítulo será aplicável aos empregados mencionados no
inciso II deste artigo, quando o salário do cargo de confiança, compreendendo a gratificação de
função, se houver, for inferior ao valor do respectivo salário efetivo acrescido de 40% (quarenta
por cento).
Logo, se o empregado, embora em regime de teletrabalho, estiver ao controle de horário de trabalho, como, por exemplo, por
meio de sistemas de log in e log off no sistema, vigilância por câmeras ou qualquer outro meio de comando e fiscalização,
surgirá o direito ao pagamento de horas extras, como, a propósito, sucede com as demais hipóteses do art. 62 da CLT. Nesses
casos, vale registrar, caberá ao empregado o ônus da prova quanto ao controle de horário. Decisões - Teletrabalho:
SOBREAVISO - NÃO RECONHECIDO: Prevê o artigo 244 parágrafo 2º da CLT o pagamento de sobreaviso àqueles que
permanecessem aguardando em casa o chamado da empresa. Com a telefonia móvel, fixa e todos os outros meios de
comunicação, o empregado pode ser encontrado a qualquer tempo, em qualquer lugar, independente deste estar ou não em
sua casa, podendo ou não estar quer seja no convívio com sua família em momento de lazer ou mesmo laborando para outro
empregador ou dispondo de seu tempo como melhor lhe aprouver. Entendo " data máxima vênia" que à exceção da internet
por meio de programas de comunicação tal como "vídeo conferência" ou "messenger", qualquer outro meio de comunicação
para fins de caracterização de "horas de sobreaviso" é imprestável, eis que nenhum deles efetivamente cerceia ou é fator
impeditivo da liberdade de locomoção prevista pelo artigo 244 da CLT. TRT-2 RO PROCESSO Nº: 00441-2002-040-02-00-
0 ANO: 2006 RELATOR(A): LILIAN LYGIA ORTEGA MAZZEU TURMA: 8ª DATA DE PUBLICAÇÃO: 13/02/2007
Queda de produtividade;
TRT-15 considera válida demissão por justa causa por ‘curtida’ no Facebook
Disponível em
https://www.conjur.com.br/2015-jun-29/trt-15-considera-valida-justa-causa-curtida-faceb
ook
Contramedidas
CYBER ATTACH CHAIN
Reconhecimento: da área a ser invadida. Ex.: um anúncio de emprego que peça experiência em editores da Apple,
vai acabar revelando que a empresa tem máquinas da Apple. Técnicas de compliance são aplicadas aqui.
Engenharia social também pode ser aplicada nesta fase.
“Waponização”: nesta etapa, há o desenvolvimento de “armas” para o ataque. Ex.: arquivo *.pdf com scripts
maliciosos.
Entrega: da arma. Pode ser por e-mail (phishing) ou outros.
Exploração: nesta fase, os hackers exploram as vulnerabilidades do sistema. Pode criar brechas de segurança ou
explorar brechas que já existem.
Instalação: do malware. O primeiro arquivo apenas explora a vulnerabilidade; agora os malwares vão atacar de
outro modo.
Comando e controle. Finalmente, o hacker desenvolve seu objetivo. O malware configura uma backdoor, brecha
que muitas vezes permanece aberta.
REVENGE HACKING (hack back): trata-se de contra-ataque da empresa aos hackers que
primeiramente atacaram. Pode violar a lei. Honey pot.
Disponível em https://www.thedailybeast.com/inside-the-shadowy-world-of-
revenge-hackers?ref=scroll
Congresso dos EUA pondera primeira lei de vingança de 'hack back'. E sim, você
pode adivinhar o que vai deixar as pessoas fazerem
Disponível em https://www.theregister.com/2017/10/13/us_hack_back_law/
UNICODE PHISHING: Phishing com nomes de domínio.
Truque Unicode permite que hackers ocultem URLs de phishing
Alguns endereços da web com aparência perfeitamente autêntica não são o que parecem e nem todos os
navegadores estão levando o problema a sério
Aqui está um desafio para você: você clica em um link em seu e-mail e se encontra no site https://аррӏе.com .
Seu navegador mostra o ícone de cadeado verde, confirmando que é uma conexão segura; e diz “Seguro” ao
lado, para maior segurança. E, no entanto, você foi phishing. Você sabe como?
A resposta está nesse URL. Pode parecer que se lê “apple”, mas na verdade é um monte de caracteres cirílicos:
A, Er, Er, Palochka, Ie. O certificado de segurança é real o suficiente, mas tudo o que confirma é que você tem
uma conexão segura com o аррӏе.com – o que não informa se você está conectado a um site legítimo ou não.
SPEAR PHISHING: quando os hackers tem um alvo específico.
TEMPORARY PARADIGM: existem e-mails temporários, números de cartão de
crédito temporários, números de telefones temporários. Ex.:
destructingmessege.com; privacy.com.
DATA SANITIZATION: serviços que limpam dispositivos.
German VSITR;
ITSG 06 (Canada);
US Army AR380-19;
US DoD 5220.22-M;
NSA 130-1 (NSA 130-2 does not specify any overwriting methods for HDDs, and instead requires
degaussing or physical destruction);
METADATA (EXIF, etc): são as propriedades dos arquivos, presentes em todos os
arquivos, principalmente em áudio e vídeo.
DUMPSTER DIVING: o mergulhador no lixo – pessoas que conseguem mergulhar
em dados descartados e coletam informações. É necessário sanitizar equipamentos
descartados.
DIGITAL ARCHEOLOGY: remontar o passado com base em informações em
equipamentos antigos. Utilização de softwares específicos.
PASSWORD MANAGERS: são formas de gerenciar senhas. O ideal é ter senhas
diferentes, complexas. Esses app funcionam como um sistema que guarda as suas
senhas e, sendo protegido com senha, o usuário fica protegido. Ex.: KeePass,
LastPass.
MALWARE SCAN ONLINE: são aplicações que escaneiam arquivos para saber se
eles possuem scripts maliciosos. Ex.: www.virustotal.com . Antivirus convencionais
também servem, inclusive para aparelhos celulares.
SANDBOX: “caixa de areia”. Nasceu no exército, e era um local para testes. Ele cria
uma caixa de areia digital e nesse espaço você pode rodar um navegador de internet,
por exemplo. Caso haja algum download de conteúdo malicioso, fica preso ali.
Evidentemente que já existem hackers que tentam burlar essas sandboxes.
DATA LEAKING: vazamento de informações. Ex.: Cambridge analytica. As empresas
devem usar data leaking prevention system. São sistemas que são instalados para
evitar esses vazamentos. Alguns trabalham com tags dentro de arquivos de sistema,
e com isso eles ficam bloqueados para cópias e vão enviar um alerta de segurança
para o sistema.
OSINT: Open Source Intelligence. É a coleta de informações abertas. Chamada
também de cerca eletrônica. Ex.: Shodan, Google hacking. Usando Inteligência
artificial, podemos ter algo próximo a uma polícia preditiva.
SENTIMENT ANALYSIS / PROFILING: é a coleta de sentimentos (ex.: curtidas do
Facebook) para criar ofertas direcionadas ou até mesmo um sistema de crédito social
por governos.
SENTIMENT MANIPULATION: é a possibilidade de manipulação de sentimentos por
meio das redes sociais. Cognitive hacking.
ATTENTION ECONOMY: é um modelo que usa a tecnologia e outras ciências que
vão prender o usuário por mais tempo possível. Ex.: gamification.
IOT HACKING: possibilidade de dispositivos capturar dados e armazená-los.
Sem privacidade: Samsung admite que Smart TVs podem gravar e transmitir
conversas de usuários Televisores são capazes de gravar as conversas e transmiti-
las para um centro de armazenamento
STEGANOGRAPHY: trata-se de esconder dados dentro de arquivos.
RANSOMWARE: criptografam informações. A partir de uma vulnerabilidade no
sistema, um hacker pode entrar no sistema de uma empresa, criptografar arquivos e
em seguida exigir dinheiro como resgate. Nesta situação, é muito importante ter um
backup de todos os seus arquivos.
GDPR EXTORSION: extorsão baseada na falta de proteção de dados.
45 normas da família ISO 27000 – Gestão da Segurança da Informação. A família ISO/IEC
27000 é grande, existem diversas normas relacionadas à SGSI. As mais conhecidas são:
ISO/IEC 27000 – São informações básicas sobre as normas da série.
ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da informação.
https://posdigital.pucpr.br/blog/iso-27000
MARCO CIVIL DA INTERNET
Marco Civil da Internet. Como surgiu?
Porque Marco Civil da Internet? Surgiu como uma maneira de oposição à tendencia de
regulação por meio de tipos penais.
Lei n.º 12.965/14, art. 18. O provedor de conexão à internet não será
responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
Lei n.º 12.965/14, art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de
aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado
por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do
seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as
disposições legais em contrário.
§ 1.º. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do
conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2.º. A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de
previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5.º da
Constituição Federal.
§ 3.º. As causas que versem sobre ressarcimento por danos decorrentes de conteúdos disponibilizados na internet
relacionados à honra, à reputação ou a direitos de personalidade, bem como sobre a indisponibilização desses
conteúdos por provedores de aplicações de internet, poderão ser apresentadas perante os juizados especiais.
§ 4.º. O juiz, inclusive no procedimento previsto no § 3.º, poderá antecipar, total ou parcialmente, os efeitos da tutela
pretendida no pedido inicial, existindo prova inequívoca do fato e considerado o interesse da coletividade na
disponibilização do conteúdo na internet, desde que presentes os requisitos de verossimilhança da alegação do
autor e de fundado receio de dano irreparável ou de difícil reparação.
Maradona proíbe Yahoo e Google de fazer buscas com seu nome - disponível em
http://revistaepoca.globo.com/Revista/Epoca/0,,EMI17301-15260,00-
MARADONA+PROIBE+YAHOO+E+GOOGLE+DE+FAZER+BUSCAS+COM+SEU+N
OME.html
Lei n.º 12.965/14, art. 20. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de
internet comunicar-lhe os motivos e informações relativos à indisponibilização de conteúdo,
com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa
previsão legal ou expressa determinação judicial fundamentada em contrário.
Parágrafo único. Quando solicitado pelo usuário que disponibilizou o conteúdo tornado
indisponível, o provedor de aplicações de internet que exerce essa atividade de forma
organizada, profissionalmente e com fins econômicos substituirá o conteúdo tornado
indisponível pela motivação ou pela ordem judicial que deu fundamento à indisponibilização.
Lei n.º 12.965/14, art. 21. O provedor de aplicações de internet que disponibilize conteúdo
gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade
decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou
de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando,
após o recebimento de notificação pelo participante ou seu representante legal, deixar de
promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a
indisponibilização desse conteúdo.
I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a
finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido
segundo parâmetros internacionais;
IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo
sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP
geograficamente referentes ao País;
V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou
autenticação de um endereço IP;
VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e
o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e
VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada
aplicação de internet a partir de um determinado endereço IP.
Situações em que se dispensa ordem judicial:
Direitos autorais: não necessita de ordem judicial. Não significa que o direito autorial
é superior a outros direitos, mas ele é auferido de modo objetivos.
Lei n.º 8.069/90, art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por
qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro
que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº
11.829, de 2008)
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº 11.829, de 2008)
§ 1.º. Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 2008)
I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o
caput deste artigo; (Incluído pela Lei nº 11.829, de 2008)
II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de
que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
§ 2.º. As condutas tipificadas nos incisos I e II do § 1 o deste artigo são puníveis quando o responsável legal
pela prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que
trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
Lei eleitoral: art. 57-F.
Lei n.º 9.504/97, art. 57-F. Aplicam-se ao provedor de conteúdo e de serviços multimídia que
hospeda a divulgação da propaganda eleitoral de candidato, de partido ou de coligação as
penalidades previstas nesta Lei, se, no prazo determinado pela Justiça Eleitoral, contado a
partir da notificação de decisão sobre a existência de propaganda irregular, não tomar
providências para a cessação dessa divulgação. (Incluído pela Lei nº 12.034, de 2009)
Lei n.º 12.965/14, art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de
manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do
regulamento.
§ 1.º. A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2.º. A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam
guardados por prazo superior ao previsto no caput.
§ 3.º. Na hipótese do § 2.º, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento, para
ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4.º. O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2.º, que
perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo previsto no § 3.º.
§ 5.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de
autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da
infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator
e a reincidência.
Subseção III - Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
Lei n.º 12.965/14, art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e
que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os
respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança,
pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1.º. Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão
sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate
de registros relativos a fatos específicos em período determinado.
§ 3.º. Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá
ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4.º. Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a
natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as
circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Como buscar esses dados?
Lei n.º 12.965/14, art. 22. A parte interessada poderá, com o propósito de formar conjunto probatório em
processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável
pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.
Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de
inadmissibilidade:
II - justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e
As diferenças tem a ver com o modo como o qual o usuário busca esses dados;
Direito ao esquecimento.
Lei n.º 12.965/14, art. 7.º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados
os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente
de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;
VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o
regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre
práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações
de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que
somente poderão ser utilizados para finalidades que:
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma
destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da
relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da
relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que dispõe sobre a
proteção de dados pessoais; (Redação dada pela Lei nº 13.709, de 2018) (Vigência)
XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos
termos da lei; e
XIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.
Neutralidade de rede. A inteligência da rede está nas pontas, e a rede apenas
transmite os dados.
CAPÍTULO III - DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET
Seção I - Da Neutralidade de Rede
Art. 9.º. O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica
quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.
§ 1.º. A discriminação ou degradação do tráfego será regulamentada nos termos das atribuições privativas do
Presidente da República previstas no inciso IV do art. 84 da Constituição Federal, para a fiel execução desta Lei,
ouvidos o Comitê Gestor da Internet e a Agência Nacional de Telecomunicações, e somente poderá decorrer de:
I - requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações; e
II - priorização de serviços de emergência.
§ 2.º. Na hipótese de discriminação ou degradação do tráfego prevista no § 1.º, o responsável mencionado
no caput deve:
I - abster-se de causar dano aos usuários, na forma do
art. 927 da Lei nº 10.406, de 10 de janeiro de 2002 - Código Civil;
II - agir com proporcionalidade, transparência e isonomia;
III - informar previamente de modo transparente, claro e suficientemente descritivo aos seus usuários sobre as práticas
de gerenciamento e mitigação de tráfego adotadas, inclusive as relacionadas à segurança da rede; e
IV - oferecer serviços em condições comerciais não discriminatórias e abster-se de praticar condutas
anticoncorrenciais.
§ 3.º. Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é
vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo.
CAPÍTULO II - DA NEUTRALIDADE DE REDE
Decreto n.º 8.771/16, art. 3.º. A exigência de tratamento isonômico de que trata o art. 9º da Lei
nº 12.965, de 2014 , deve garantir a preservação do caráter público e irrestrito do acesso à
internet e os fundamentos, princípios e objetivos do uso da internet no País, conforme previsto
na Lei nº 12.965, de 2014 .
§ 1.º. Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de:
I - tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa ( spam ) e
controle de ataques de negação de serviço; e
II - tratamento de situações excepcionais de congestionamento de redes, tais como rotas alternativas em casos de
interrupções da rota principal e em situações de emergência.
§ 2.º. A Agência Nacional de Telecomunicações - Anatel atuará na fiscalização e na apuração de infrações quanto aos
requisitos técnicos elencados neste artigo, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet -
CGIbr.
Art. 6.º. Para a adequada prestação de serviços e aplicações na internet, é permitido
o gerenciamento de redes com o objetivo de preservar sua estabilidade, segurança e
funcionalidade, utilizando-se apenas de medidas técnicas compatíveis com os
padrões internacionais, desenvolvidos para o bom funcionamento da internet, e
observados os parâmetros regulatórios expedidos pela Anatel e consideradas as
diretrizes estabelecidas pelo CGIbr.
Art. 7.º. O responsável pela transmissão, pela comutação ou pelo roteamento deverá adotar medidas de transparência para
explicitar ao usuário os motivos do gerenciamento que implique a discriminação ou a degradação de que trata o art. 4º, tais
como:
I - a indicação nos contratos de prestação de serviço firmado com usuários finais ou provedores de aplicação; e
II - a divulgação de informações referentes às práticas de gerenciamento adotadas em seus sítios eletrônicos, por meio de
linguagem de fácil compreensão.
Parágrafo único. As informações de que trata esse artigo deverão conter, no mínimo:
Parágrafo único. A transmissão de dados nos casos elencados neste artigo será gratuita.
Art. 9.º. Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, pela comutação ou
pelo roteamento e os provedores de aplicação que:
III - privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela comutação ou pelo roteamento
ou por empresas integrantes de seu grupo econômico.
Art. 10. As ofertas comerciais e os modelos de cobrança de acesso à internet devem preservar uma internet única,
de natureza aberta, plural e diversa, compreendida como um meio para a promoção do desenvolvimento humano,
econômico, social e cultural, contribuindo para a construção de uma sociedade inclusiva e não discriminatória.
Aplicação do MCI:
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados
pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos
um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação
brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações
privadas e dos registros.
§ 1.º. O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das
comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2.º. O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica
sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do
mesmo grupo econômico possua estabelecimento no Brasil.
§ 4.º. Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos
arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos
os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da
falta e a intensidade da sanção;
III - suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou
IV - proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata
o caput sua filial, sucursal, escritório ou estabelecimento situado no País.
Dica: site “Observatório do Marco Civil da Internet”: www.omci.org.br
INTELIGÊNCIA ARTIFICIAL E
DIREITO
Como que o uso de análise de dados pode ajudar você a enxergar os próximos
passos da sua empresa? Necessidade de conhecer o direito, mas também elementos
de informática e estatísticas. No Direito, o cientista de dados vai trabalhar com
Inteligência Artificial.
Alicerces da Inteligência Artificial:
Ajuda a lidar com coisas repetitivas que consomem muito tempo dos
trabalhadores;
Previsão de inadimplência;
Recrutamento:
A agricultura moderna se baseia em acres de terra que precisam ser atendidos. É preciso muita mão de
obra para isso;
A IA pode tornar esse trabalho mais fácil por meio de câmeras e drones. Essa combinação pode coletar
dados vitais que ajudarão os agricultores a estimar o tempo perfeito para tudo e ajustar as operações de
acordo com as informações recebidas.
Cibercrimes:
Identificação de imagens;
Classificação de suspeitos.
Tribunais:
Coleta de dados;
Informações;
Formar padrões;
Tomada de decisão;
Conhecimento;
Mercado;
Venda.
Cientistas de dados é um desses “magos de dados”, que pode adquirir massas de dados de diversas
fontes e então limpar, tratar, organizar e preparar os dados e, em seguida, explorar as suas habilidades em
matemática, estatística e machine learning para descobrir insights ocultos de negócios e gerar inteligência.
Capacidades:
Ferramenta de priorização
Embora promoção exacerbada aqui envolve a bloco quem tenha sido originalmente focada na indústria de
serviços financeiros, a tecnologia pode ter muitas aplicações potenciais, incluindo na administração
pública, saúde, indústria fabril, distribuição de mídia, verificação de identidades, registro de titulos e
cadeias de abastecimento.
Apesar de ser uma promessa de longo prazo e de as tecnologias associadas seria ainda imaturas, o
blockchain será uma realidade nos próximos 2 a 3 anos em irá sem dúvidas criar disrupção, diz o Gartner
(consultoria internacional em tecnologia)
Tendências:
Pioneirismo/oportunidade;
Disseminação de conhecimento;
Comércio eletrônico;
Consultoria jurídica para planejamento tributário da operação de comércio eletrônico, em todas as esferas de
arrecadação de tributos.
Análise de risco quanto à situação da empresa frente ao cumprimento ou não das principais regras
vinculadas às tecnologias da informação
Auditorias prévias para implementação de políticas de compliance para forma com para conformidades
das práticas empresariais a regulação setorial exigente existente.
Auditoria sem alterações societárias para apurar atos de corrupção praticados através de meios
eletrônicos
Elaboração ou revisão das políticas de privacidade e termos de uso dos canais web das empresas
para regularidade com as regras do Marco Civil da Internet (Lei n.º 12.965/14), da Lei Carolina Dieckmann
(Lei n.º 12.737/12), e das novas regras do Código de Defesa do Consumidor (Lei n.º 8.078/90) sobre
internet;
Crimes como cyber bullying e o porn Revenge envolvendo jovens são um sem-
número de vezes divulgados diariamente, e nesse ínterim reputações foram
destruídas e vidas perdidas travessão não é incomum casos em que as vítimas
chegam a tirar a própria vida.
Mídia traço entretenimento: