03 Segurança da Informação e Gestão de consentimento para a LGPD

Prévia do material em texto

SEGURANÇA DA
INFORMAÇÃO E
GESTÃO DE
CONSENTIMENTO
PARA A LGPD
Aula 1
SEGURANÇA DA
INFORMAÇÃO NA LGPD
Segurança da informação na LGPD
Olá, estudante! Nesta videoaula você vai conhecer a segurança da
informação e a gestão de conhecimento para a LGPD. Veremos
algumas medidas de segurança da informação para proteção de
dados pessoais.
Esse conteúdo é importante para a sua prática profissional, pois
permitirá que você compreenda como garantir a segurança dos
dados pessoais de forma eficaz, o que é fundamental para a
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 1/46
conformidade com a LGPD e para a proteção da privacidade dos
indivíduos. Além disso, estar atualizado em relação às melhores
práticas de segurança da informação é essencial para qualquer
profissional que lide com dados sensíveis.
Prepare-se para essa jornada de conhecimento! Vamos lá!
Ponto de Partida
Como usuário, alguma vez você já parou para pensar por onde os
seus dados pessoais passam após entregá-lo a um prestador de
serviço? Quer tenham sido fornecidos por meio físico ou virtual,
quem teve ou terá acesso a eles? Como um profissional de proteção
de dados, no caso de vazamento, quais são as tratativas? Como é
feito o monitoramento desses eventos?
Nesta aula discutiremos os principais elementos para a adequação
das empresas à LGPD, relacionados à segurança da informação. A
sinergia entre a Lei Geral de Proteção de Dados (LGPD) e
segurança da informação é vital. Destaca-se a imperatividade de
barrar vazamentos para garantir conformidade, segurança e
gerenciamento de riscos. Com ameaças internas e externas que
podem comprometer dados pessoais, a eficácia da proteção é
crucial para evitar sanções legais. A compreensão dos riscos guia a
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 2/46
implementação de controles necessários. A proteção abrangente,
fundamental para a conformidade com a LGPD, é alcançada pela
segurança da informação, preservando confidencialidade,
integridade e disponibilidade. Medidas tecnológicas, processuais e
físicas combinadas são essenciais, com monitoramento e detecção
de incidentes proativos fundamentais no cenário de cibersegurança.
Junte-se a nós!
Vamos Começar!
Introdução 
A integração entre a Lei Geral de Proteção de Dados (LGPD) e a
segurança da informação é crucial, destacando-se a necessidade de
proteção contra vazamentos para garantir conformidade, segurança
e gestão de riscos. Há ameaças internas e externas que podem
comprometer dados pessoais e a privacidade. A proteção efetiva é
vital para preservar dados pessoais e evitar sanções legais, exigindo
a correta implementação de controles de segurança.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 3/46
Figura 1 | Elementos do risco de segurança da informação. Fonte: Nakamura (2021).
A compreensão dos riscos de segurança da informação, destacada
na Figura 1, orienta a definição e implementação de controles
necessários. Evitar vazamentos de dados pessoais, a principal
ameaça no contexto da LGPD, requer identificação, análise e
avaliação de elementos de risco. Dados pessoais podem existir em
diferentes formas, como meio físico, digital ou com indivíduos, e em
diferentes estados, como processamento, transmissão ou
armazenamento.
A proteção abrangente contra vazamentos, fundamental para a
conformidade com a LGPD, é alcançada por meio da segurança da
informação, preservando confidencialidade, integridade e
disponibilidade (ISO, 2018).
Figura 2 | Proteção de dados. Fonte: Nakamura (2021).
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 4/46
Jamerson Almeida
Realce
A Figura 2 destaca a necessidade de controles em todos os
componentes do sistema, incluindo a aplicação de criptografia como
controle adicional. A segurança da informação também deve ser
entendida a partir das cinco funções principais (Nist, 2021): 
Identificação: desenvolve um entendimento organizacional para
gerenciar os riscos de segurança da informação relacionados a
sistemas, pessoas, ativos, dados e capacidades.
Proteção: define e implanta os controles apropriados para
assegurar a entrega dos serviços críticos, suportando a
habilidade de limitar ou conter os impactos decorrentes de
potenciais eventos cibernéticos.
Detecção: define as atividades apropriadas para identificar a
ocorrência de eventos cibernéticos em tempo hábil.
Resposta: inclui atividades apropriadas para as ações
relacionadas com o incidente de segurança detectado,
suportando a habilidade de conter o impacto de um potencial
incidente de segurança.
Recuperação: identifica as atividades apropriadas para manter
planos para a resiliência e a restauração de capacidades ou
serviços afetados com o incidente de segurança. Com o
suporte para a recuperação das operações normais, os
impactos do incidente de segurança são reduzidos.
Siga em Frente...
Medidas de segurança da informação para
proteção de dados
A implementação de medidas de segurança da informação para
proteção de dados pessoais é uma tarefa complexa e crucial.
Envolve a avaliação de elementos de risco associados aos dados,
considerando a probabilidade de um agente de ameaça explorar
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 5/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
vulnerabilidades de um ativo, convertendo uma ameaça em um
incidente de segurança com impactos significativos para a empresa.
O entendimento desses elementos orienta a definição e implantação
de diversas categorias de medidas ou controles de segurança,
abrangendo:
Medidas tecnológicas, técnicas ou lógicas: envolvem a
aplicação de soluções tecnológicas e ferramentas
especializadas para proteger dados. Exemplos incluem
firewalls, antivírus, criptografia e autenticação multifatorial.
Medidas processuais, administrativas ou operacionais: referem-
se a procedimentos e práticas organizacionais que visam
garantir a segurança dos dados. Isso pode incluir políticas de
segurança, treinamentos para os colaboradores, gestão de
acesso e definição de responsabilidades.
Medidas físicas: englobam a segurança física dos locais nos
quais os dados são armazenados. Isso pode incluir restrições
de acesso físico a servidores, câmeras de vigilância e controle
de entrada e saída de pessoal, por exemplo.
A abordagem combinada dessas medidas é essencial para
criar uma estratégia abrangente e eficaz de segurança da
informação. A combinação de controles tecnológicos,
processuais e físicos visa criar uma defesa em camadas,
mitigando os riscos de maneira mais completa.
Monitoramento e Detecção de Incidentes 
No cenário atual, em que a cibersegurança é considerada uma
prioridade, o monitoramento e a detecção de incidentes
desempenham papéis cruciais na proteção de sistemas e dados
sensíveis. O monitoramento contínuo das atividades de rede e
sistemas é essencial para identificar padrões suspeitos ou
comportamentos anômalos que possam indicar potenciais ameaças.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 6/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
O processo de monitoramento envolve a coleta sistemática de
dados relevantes, que pode incluir registros de eventos, logsorientações para criar uma política de privacidade eficaz, incluindo a
simplificação da linguagem, o destaque para o consentimento, a
descrição dos direitos dos titulares, a transparência sobre o
compartilhamento de dados e as medidas de segurança adotadas.
Aula 4 - Aspectos internacionais da
privacidade
A aula abordou temas relacionados à proteção de dados pessoais,
destacando a Lei Geral de Proteção de Dados (LGPD) do Brasil
como um marco importante nesse contexto. A LGPD foi inspirada no
Regulamento Geral de Proteção de Dados (GDPR) da União
Europeia e busca harmonizar a proteção de dados no Brasil com
padrões internacionais mais rígidos. Além disso, a aula tratou da
cooperação internacional na proteção de dados, destacando a
Convenção 108 como um instrumento relevante nesse contexto, e
apresentou casos e precedentes globais que influenciaram a
regulação e o debate sobre a proteção de dados em nível
internacional.
Referências
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em
. Acessado em 08/12/2023.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 43/46
CASTRO, Evandro Thalles Vale de. Transações de dados e
privacidade à luz da lei geral de proteção de dados pessoais
(LGPD). 2021. 75 f., il. Trabalho de Conclusão de Curso
(Bacharelado em Engenharia da Computação) — Universidade de
Brasília, Brasília, 2021. Disponível em
. Acessado em
18/12/2023.
CONVENÇÃO para a Proteção das Pessoas relativamente ao
Tratamento Automatizado de Dados de Caráter Pessoal (Convenção
108) de 28 de janeiro de 1981. Disponível em inglês e francês em
. Acesso em 22/12/2023.
DE TEFFÉ, C. A. S.; TEPEDINO, G. O consentimento na circulação
de dados pessoais. Revista Brasileira de Direito Civil, [S. l.], v. 25, n.
03, p. 83, 2020. Disponível em
. Acessado
em 21/12/2023.
DIREITOS dos titulares. Tribunal Regional Eleitoral – PR. 2023.
Disponível em .
Acessado em 20/12/2023.
GLOBAL Privacy Assembly. 2023. https://globalprivacyassembly.org/.
Acessado em 22/12/2023.
GUIDELINES 05/2020 on consent under Regulation 2016/679.
Version 1.1. European Protection Board. 04/05/2020. Disponível em
. Acessado em 20/12/2023.
ISO/IEC 27000: Information technology — Security techniques —
Information security management systems — Overview and
vocabulary. INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO). Suíça, fev. 2018.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 44/46
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/direitos-dos-titulares-1
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/direitos-dos-titulares-1
https://globalprivacyassembly.org/
KIMURA, Marcos Hideshi et al. Avaliação de usabilidade das
funcionalidades assíncronas de privacidade do Facebook. In:
WAIHCWS. 2012. p. 11-20. Disponível em . Acessado em 21/12/2023.
NAKAMURA, E. T. Análise de vulnerabilicade e pentest. 2021.
Disponível em
. Acessado em 17/12/2023.
NAKAMURA, E. T. Segurança da Informação e de Redes. Editora e
Distribuidora Educacional S.A, 2016.
NIST - NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY. Cybersecurity Framework: the five functions. 2021.
Disponível em . Acessado em 17/12/2023.
O QUE é a LGPD? Ministério Público Federal. 2023. Disponível em
. Acessado em
22/12/2023. 
OCDE. Organisation for Economic Co-operation and Development.
2023. https://www.oecd.org/. Acessado em 22/12/2023.
POLITICA de Privacidade na LGPD: [Passo a Passo para criar].
06/11/2020. Disponível em . Acessado em 21/12/2023.
SANTANA, Egberto; VILELA, Jéssyka; PEIXOTO, Mariana Maia.
Diretrizes para apresentação de políticas de privacidade voltadas à
experiência do usuário. In: WER 2022. 2022. Disponível em
. Acessado em 21/12/2023. 
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 45/46
https://www.oecd.org/
SANTOS, F. C. S. O consentimento no contexto da proteção de
dados pessoais. 18/05/2021. Disponível em
.
Acessado em 20/12/2023.
SEU consentimento é lei! LGPD - Lei Geral de Proteção de Dados
Pessoais. Serpro. 2018. Disponível em
.
Acessado em 20/12/2023.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 46/46de
sistemas, tráfego de rede e atividades de usuários. Ferramentas
avançadas de monitoramento analisam esses dados em tempo real,
proporcionando uma visão abrangente do ambiente digital.
A detecção de incidentes entra em cena ao empregar tecnologias e
algoritmos sofisticados para identificar atividades maliciosas ou
violações de segurança. Isso inclui a busca por indicadores de
comprometimento (IoCs), como padrões de tráfego suspeitos,
atividades de login incomuns ou tentativas de acesso não
autorizado.
Ao adotar uma abordagem proativa, as equipes de segurança
podem antecipar e responder rapidamente a incidentes em
andamento. A detecção precoce não apenas limita os danos
potenciais, mas também fornece insights valiosos para fortalecer as
defesas e prevenir futuros ataques.
Vamos Exercitar?
Um sistema médico especializado contém vários dados pessoais e
sensíveis de pacientes, e é composto por componentes que incluem
sistema operacional, aplicação, middleware, servidor web e banco
de dados. Você é um especialista de segurança da informação e
está preocupado porque, com a vigência da LGPD, esse sistema
deve estar adequado, protegendo os dados pessoais e sensíveis
que são tratados pelo sistema. Você já entrou em contato com o
fornecedor do sistema, que afirma que a proteção dos dados
pessoais e sensíveis é feita com criptografia, e, portanto, não há
possibilidades de data exfiltration.
Qual análise você faz sobre essa situação?
Saiba Mais
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 7/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
O artigo indicado a seguir, de caráter bibliográfico, averigua as
medidas de segurança da informação essenciais em relação aos
dados, no ambiente computacional, que as empresas devem aderir,
para garantir a proteção e a segurança de seus ativos, bem como
iniciarem o processo de conformidade com a Lei Geral de Proteção
de Dados Pessoais (LGPD).
LGPD: medidas essenciais de segurança da informação.
FatecSeg – Congresso de Segurança da Informação, [S. l.], v.
1, n. 2, 2022
Para prosseguir nos estudos de criptografia e proteção de dados, o
trabalho seguinte aborda a interface pouco explorada entre
anonimato e criptografia no cenário brasileiro. Trata das implicações
jurídicas do processo de anonimização de dados e destaca a
adesão da criptografia como medida de segurança adotada por
empresas e usuários para proteger informações contra riscos de
vazamento e problemas de segurança em sistemas e bases de
dados.
Proteção de dados pessoais e criptografia: tecnologias
criptográficas entre anonimização e pseudonimização de
dados. 2019.
E, para aprofundar uma pouco mais o tema de detecção e
monitoramento de incidentes, é interessante conhecer o conceito de
SOC. Um SOC – Security Operations Center, em português centro
de operações de segurança –, é um termo genérico que descreve
parte ou a totalidade de uma plataforma cujo objetivo é prestar
serviços de detecção e reação a incidentes de segurança. No
entanto, a sua implementação por vezes é vista como custosa e não
essencial para a organização. O artigo a seguir mostra uma
abordagem para um projeto de pequeno porte que contorna essas
limitações.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 8/46
https://www.fatecourinhos.edu.br/fatecseg/index.php/fatecseg/article/view/68
https://www.fatecourinhos.edu.br/fatecseg/index.php/fatecseg/article/view/68
https://www.researchgate.net/publication/330401277_Protecao_de_dados_pessoais_e_criptografia_tecnologias_criptograficas_entre_anonimizacao_e_pseudonimizacao_de_dados
https://www.researchgate.net/publication/330401277_Protecao_de_dados_pessoais_e_criptografia_tecnologias_criptograficas_entre_anonimizacao_e_pseudonimizacao_de_dados
https://www.researchgate.net/publication/330401277_Protecao_de_dados_pessoais_e_criptografia_tecnologias_criptograficas_entre_anonimizacao_e_pseudonimizacao_de_dados
Criação de um projeto de soc de pequeno porte, viabilizando
melhoras de monitoramento e soluções de segurança da
informação. Tecnologias em Projeção, v. 10, n. 2, p. 46-57,
2019.
Referências Bibliográficas
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO).
ISO/IEC 27000: Information technology — Security techniques —
Information security management systems — Overview and
vocabulary. International Organization for Standardization (ISO).
Suíça, fev. 2018.
NAKAMURA, E. T. Análise de vulnerabilidade e pentest. 2021.
Disponível em:
https://conteudo.colaboraread.com.br/202101/INTERATIVAS_2_0/S
EGURANCA_E_AUDITORIA_DE_SISTEMAS/LIVRO_DIGITAL/npf_
u3s3.html. Acesso em: 17 dez. 2023.
NAKAMURA, E. T. Segurança da Informação e de Redes.
Londrina: Editora e Distribuidora Educacional S.A, 2016.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
(NIST). Cybersecurity Framework: the five functions. Nist, 2021.
Disponível em: https://www.nist.gov/cyberframework/online-
learning/five-functions. Acesso em: 17 dez. 2023. 
Aula 2
GESTÃO DE
CONSENTIMENTO NA LGPD
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 9/46
https://revista.projecao.br/index.php/Projecao4/article/view/1527
https://revista.projecao.br/index.php/Projecao4/article/view/1527
https://revista.projecao.br/index.php/Projecao4/article/view/1527
https://conteudo.colaboraread.com.br/202101/INTERATIVAS_2_0/SEGURANCA_E_AUDITORIA_DE_SISTEMAS/LIVRO_DIGITAL/npf_u3s3.html.
https://conteudo.colaboraread.com.br/202101/INTERATIVAS_2_0/SEGURANCA_E_AUDITORIA_DE_SISTEMAS/LIVRO_DIGITAL/npf_u3s3.html.
https://conteudo.colaboraread.com.br/202101/INTERATIVAS_2_0/SEGURANCA_E_AUDITORIA_DE_SISTEMAS/LIVRO_DIGITAL/npf_u3s3.html.
https://www.nist.gov/cyberframework/online-learning/five-functions.
https://www.nist.gov/cyberframework/online-learning/five-functions.
Gestão de consentimento na LGPD
Olá, estudante! Nesta videoaula você vai conhecer a gestão de
consentimento na LGPD e entenderá os seus critérios, e verá como
ficam os direitos dos titulares de acordo com a lei.
Esse conteúdo é importante para a sua prática profissional, pois
permitirá que você compreenda como obter e gerenciar o
consentimento dos titulares de dados de acordo com as exigências
da LGPD, garantindo que sua empresa esteja em conformidade com
a legislação e respeitando os direitos dos indivíduos em relação aos
seus dados pessoais. Entender esses aspectos é fundamental para
qualquer profissional que lide com dados pessoais em sua rotina de
trabalho.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
Ponto de Partida
Você já passou por uma situação em que, após uma operação de
M&A da empresa prestadora de um serviço, é preciso fazer uma
migração do seu cadastro e ele solicita o seu consentimento? Ou
ainda, mais recentemente, os aplicativos de bancos apresentam
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 10/46
banners solicitando a autorização do compartilhamento de dados
para o open finance?
Nesta aula abordaremos o consentimento na Lei Geral de Proteção
de Dados Pessoais (LGPD), destacando seus critérios: livre,
informado, inequívoco e utilizado para uma finalidade determinada.
O consentimento deve ser uma decisão autônoma, com informações
claras acerca do tratamento dos dados. 
Também veremos como a LGPD baseia-se no Regulamento Geral
de Proteção de Dados da União Europeia (GDPR) e no Guideline
05/2020 para preencher lacunas. É importante conhecer essas
bases, pois elas também influenciam a maneira como as
autoridades interpretam os incidentes relacionados ao
consentimento e a LGPD.
Junte-se a nós!
Vamos Começar!
De acordo com a Lei Geralde Proteção de Dados Pessoais (LGPD),
o consentimento é fundamental. Como o Serpro (2018) relata, se
fosse para eleger a principal palavra da LGPD, a escolhida seria,
sem dúvida, consentimento.
Como titular dos dados, o usuário tem o poder de decidir como suas
informações pessoais podem ser usadas por terceiros. É ele quem
autoriza explicitamente o uso de seus dados por empresas e órgãos
públicos na oferta de produtos e serviços. A LGPD estabelece que
os dados pessoais pertencem estritamente à pessoa a quem eles se
referem, não aos que os utilizam ou armazenam. Portanto, é
essencial conhecer seus direitos e aprender a exercê-los para evitar
o uso indevido de seus dados.
Consentimento
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 11/46
Jamerson Almeida
Realce
O artigo 5, inciso XII da lei, define consentimento como
manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma
finalidade determinada (Brasil, 2018).
Esse conceito remete a quatro critérios para a existência de
consentimento válido, pelos quais o consentimento deve ser:
Livre.
Informado.
Inequívoco.
Utilizado para uma finalidade determinada.
A LGPD não especifica claramente os critérios para o
consentimento, como "livre", "informado", "inequívoco" e "utilizado
para uma finalidade determinada". Nesses casos, recorre-se ao
Regulamento Geral de Proteção de Dados da União Europeia
(GDPR) e às orientações do Conselho Europeu de Proteção de
Dados (European Data Protection Board – EDPB).
Como relata Santos (2021), a LGPD se baseia fortemente no GDPR,
e as lacunas na lei brasileira são frequentemente preenchidas com a
legislação europeia. Portanto, para compreender o consentimento
na LGPD, é necessário consultar o GDPR e as orientações do
EDPB, como a Guideline (2020) do antigo Grupo de Trabalho do
Artigo 29.
O Grupo de Trabalho do Artigo 29 (Art. 29 WP) era um órgão
consultivo composto por representantes das autoridades de
proteção de dados de cada Estado-Membro da União Europeia, da
Autoridade Europeia para a Proteção de Dados e da Comissão
Europeia. Seu nome derivava do Artigo 29 da Diretiva de Proteção
de Dados (Diretiva 95/46/CE), que estabelecia sua composição e
objetivo. O Grupo foi substituído pelo Conselho Europeu de
Proteção de Dados.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 12/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Livre
O critério "livre", no consentimento de dados da LGPD, refere-se à
capacidade do titular de tomar uma decisão real e autônoma. Se
houver coerção, pressão ou consequências negativas pelo não
consentimento, este será inválido. Em casos de desequilíbrio de
poder, como entre o titular e o poder público, o consentimento
geralmente não é válido, mas há exceções.
A norma europeia GDPR e a Guideline 05/2020 do EDPB são
referências importantes para entender o consentimento. O
consentimento deve ser específico para cada finalidade de
tratamento de dados e não pode ser obtido de forma combinada
para diferentes propósitos, o que violaria a "granularidade" do
consentimento. 
Informado
O consentimento informado é essencial para a validade do
consentimento segundo a LGPD. O titular dos dados deve receber
informações claras e acessíveis acerca do tratamento de seus
dados antes de consentir. Essas informações incluem a identidade
do controlador, a finalidade do tratamento, o tipo de dados
coletados, o direito de retirar o consentimento, o uso de dados para
decisões automatizadas e os possíveis riscos. 
O consentimento deve ser solicitado de forma clara e concisa,
especialmente se for eletrônico, e deve ser distinto de outros
assuntos em contratos. É fundamental que os controladores evitem
políticas de privacidade longas e de difícil compreensão, garantindo
que as informações relevantes para o consentimento sejam
facilmente acessíveis.
Inequívoco
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 13/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
O consentimento deve ser inequívoco, o que significa que o titular
deve manifestar de forma clara e afirmativa sua autorização para o
tratamento de seus dados pessoais.
O Artigo 4 (11) do GDPR esclarece que o consentimento válido
requer uma indicação inequívoca por meio de uma declaração ou
por uma ação afirmativa clara. 
Isso pode ser feito por meio de uma declaração explícita, como
clicar em um botão ou marcar uma caixa de texto, ou por meio de
uma ação clara, como gravar um áudio ou vídeo confirmando o
consentimento.
O silêncio, a inatividade ou a simples continuação do uso de um
serviço não são considerados consentimentos válidos. O controlador
deve ter meios para demonstrar que foi o titular que deu o
consentimento, especialmente em situações de tratamento remoto.
Siga em Frente...
Utilizado para finalidade específica
O consentimento do titular dos dados deve ser específico para cada
finalidade de uso, garantindo que o titular tenha controle e
transparência a respeito de como seus dados serão utilizados. Isso
significa que autorizações genéricas para o tratamento de dados
serão inválidas.
De acordo com a Guideline 05/2020, a obtenção do consentimento
válido é sempre precedida da avaliação de um propósito específico,
explícito e legítimo para o tratamento pretendido. Além disso, a
granularidade à qual nos referimos quando detalhamos o critério
“livre” também deve ser observada no critério “utilizado para uma
finalidade determinada” (Santos, 2020).
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 14/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Antes de obter o consentimento, o controlador deve avaliar um
propósito específico, explícito e legítimo para o tratamento
pretendido, seguindo a granularidade para cada finalidade. Se o
controlador deseja usar os dados para outra finalidade além daquela
para a qual foi concedido o consentimento, ele precisa buscar um
consentimento adicional.
Direitos dos titulares
A LGPD trouxe algumas mudanças na maneira como lidamos os
dados, tanto em nossa vida pessoal quanto na rotina das empresas.
Uma dessas mudanças foi estabelecer uma série de direitos que o
titular de dados pode exercer perante todos os controladores.
Segundo o Tribunal Regional Eleitoral – PR (2023), a razão disso é
que o fundamento básico da LGPD é um direito que foi reconhecido
pela primeira vez na Alemanha, em 1982: a autodeterminação
informativa, que é uma espécie, um pedacinho, do direito à
privacidade.
Apesar de o nome ser um pouco difícil a explicação é fácil: os dados
pessoais pertencem ao sujeito ao qual eles se referem, que tem o
direito de controlar como e para que esses dados serão utilizados e
de protegê-los do uso indevido ou malicioso (Tribunal Regional
Eleitoral – PR, 2023).
Isso significa que quando você fornece os seus dados pessoais para
alguém, você continua sendo o proprietário daqueles dados e dos
registros que a pessoa fez deles. E ela só poderá utilizá-los para as
finalidades que você autorizar ou para as finalidades previstas em
lei.
No artigo 18, a LGPD prevê uma série de direitos que possibilitam
aos titulares exercerem sua autonomia informativa, garantido a
liberdade, a intimidade e a privacidade. Entre esses direitos, além do
consentimento, destacam-se:
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html15/46
Jamerson Almeida
Realce
Acesso: o titular tem o direito de obter do controlador, em
linguagem clara e de fácil compreensão, informações acerca do
tratamento de seus dados pessoais e a confirmação da
existência desse tratamento.
Retificação: o titular pode solicitar a correção de dados
incompletos, inexatos ou desatualizados, bem como a
atualização de informações desnecessárias, excessivas ou
tratadas em desconformidade com a LGPD.
Anonimização, bloqueio ou eliminação: o titular tem o direito de
solicitar a anonimização, o bloqueio ou a eliminação de dados
pessoais que sejam desnecessários, excessivos ou tratados
em desconformidade com a LGPD.
Portabilidade dos dados: o titular tem o direito de receber seus
dados pessoais em formato estruturado, de uso comum e de
leitura automática, bem como de transmitir esses dados a outro
controlador, quando isso for tecnicamente possível.
Informação acerca do compartilhamento de dados: o titular tem
o direito de ser informado a respeito das entidades públicas e
privadas com as quais o controlador realizou o
compartilhamento de seus dados.
Revogação do consentimento: o titular pode, a qualquer
momento, revogar o consentimento para o tratamento de seus
dados pessoais, mediante manifestação expressa.
Direito à exclusão: o titular tem o direito de solicitar a exclusão
de dados pessoais tratados com seu consentimento, exceto
nos casos em que a manutenção desses dados seja
necessária para cumprir obrigação legal ou regulatória pelo
controlador.
Vamos Exercitar?
Considerando os conceitos e critérios para o consentimento
presentes na Lei Geral de Proteção de Dados Pessoais (LGPD) e
suas relações com o Regulamento Geral de Proteção de Dados da
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 16/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
União Europeia (GDPR), discorra a respeito da importância do
consentimento informado, livre, inequívoco e utilizado para uma
finalidade específica na proteção dos direitos dos titulares de dados
pessoais. Explique como esses critérios visam garantir a autonomia
informativa, a privacidade e a liberdade dos usuários em relação ao
tratamento de seus dados, destacando os direitos dos titulares
previstos na LGPD e a relação entre a legislação brasileira e
europeia nesse contexto.
Saiba Mais
Para aprender um pouco mais sobre como funciona a gestão do
consentimento na prática, veja o artigo indicado a seguir a respeito
do RegConID. O RegConID é um projeto para a Fase II do Open
Banking no Brasil, centrado na gestão segura do compartilhamento
de dados de clientes. Utiliza a Distributed Ledger Technology (DLT)
e baseia-se no metassistema de identidade digital FinID. O FinID
usa credenciais digitais e contratos inteligentes para gerenciar os
registros de consentimento em operações do Open Banking.
Gestão do Registro de Consentimento e Identidade no Open
Banking. Revista LIFT Papers, v. 3, n. 3, 2020.
O próximo artigo destaca a importância do consentimento informado
na Lei Geral de Proteção de Dados Pessoais (LGPD) diante do
crescente uso e valorização dos dados pessoais pelas empresas.
Apesar de já ser exigido pelas plataformas, o consentimento precisa
ser revisto para atender aos critérios da LGPD. O texto também
aponta para a necessidade de os usuários lerem os termos de uso
das plataformas para compreenderem o que estão aceitando.
O problema do consentimento informado na Lei Geral de
Proteção de Dados Pessoais. ConJur, 31 mar. 2021.
Já no texto indicado a seguir, os autores abordam o consentimento
livre e esclarecido atrelado à Lei Geral de Proteção de Dados
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 17/46
https://revista.liftlab.com.br/lift/article/download/71/60
https://revista.liftlab.com.br/lift/article/download/71/60
https://www.conjur.com.br/2021-mar-31/garantias-consumo-problema-consentimento-informado-lgpd/
https://www.conjur.com.br/2021-mar-31/garantias-consumo-problema-consentimento-informado-lgpd/
(LGPD), para se aplicar este conceito em pesquisas e tratamentos
que envolvam seres humanos.
Consentimento livre e esclarecido na LGPD. Caderno de
resumos XIV Encontro de Iniciação Científica 2021, p. 142.
Para prosseguir com os estudos a respeito do consentimento para
propósito específicos, o artigo adiante aborda como a Lei Geral de
Proteção de Dados Pessoais (LGPD) estabelece que o
consentimento para o tratamento de dados deve ser específico e
informado, proibindo autorizações genéricas. O consentimento deve
ser livre de vícios, com informações claras acerca da finalidade do
tratamento e os riscos envolvidos.
LGPD prevê consentimento específico para uso de dados, e
não autorizações genéricas. ConJur, 20 jun. 2019.
O trabalho a seguir trata da temática da relação entre o direito e as
decisões automatizadas produzidas por máquinas eletrônicas à luz
do marco legal do tema no Brasil: A Lei Geral de Proteção de Dados.
Direito à proteção de dados e decisões automatizadas: os
direitos do titular à luz da LGPD. 2021. 203 f. Dissertação
(Mestrado Profissional em Direito) – Instituto Brasileiro de
Ensino, Desenvolvimento e Pesquisa, Brasília, 2022.
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
EUROPEAN DATA PROTECTION BOARD. Guidelines 05/2020 on
consent under Regulation 2016/679. Version 1.1. European
Protection Board, 4 maio 2020. Disponível em:
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 18/46
https://guarapuava.camporeal.edu.br/content/uploads/2023/04/ANAIS-XIV-IC-CAMPO-REAL-2021.pdf
https://guarapuava.camporeal.edu.br/content/uploads/2023/04/ANAIS-XIV-IC-CAMPO-REAL-2021.pdf
https://www.conjur.com.br/2019-jul-20/rossana-leques-lgpd-preve-permissao-especifica-uso-dados/
https://www.conjur.com.br/2019-jul-20/rossana-leques-lgpd-preve-permissao-especifica-uso-dados/
https://repositorio.idp.edu.br//handle/123456789/3653
https://repositorio.idp.edu.br//handle/123456789/3653
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2
02005_consent_en.pdf. Acesso em: 20 dez. 2023.
SANTOS, F. C. S. O consentimento no contexto da proteção de
dados pessoais. Lage e Portilho Jardim Advocacia e Consultoria, 2
maio 2021. Disponível em:
https://lageportilhojardim.com.br/blog/consentimento-lgpd. Acesso
em: 20 dez. 2023.
SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS
(SERPRO). Seu consentimento é lei! LGPD – Lei Geral de
Proteção de Dados Pessoais. Serpro, 2018. Disponível em:
https://www.serpro.gov.br/lgpd/cidadao/seu-consentimento-e-lei.
Acesso em: 20 dez. 2023.
TRIBUNAL REGIONAL ELEITORAL – PR. Direitos dos titulares.
Tribunal Regional Eleitoral – PR, 2023. Disponível em:
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-
geral-de-protecao-de-dados/direitos-dos-titulares-1. Acesso em: 20
dez. 2023.
 
Aula 3
PRÁTICAS
RECOMENDADAS PARA
GESTÃO DE
CONSENTIMENTO
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 19/46
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.https://lageportilhojardim.com.br/blog/consentimento-lgpd.
https://www.serpro.gov.br/lgpd/cidadao/seu-consentimento-e-lei.
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/direitos-dos-titulares-1
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/direitos-dos-titulares-1
Práticas recomendadas para
gestão de consentimento
Olá, estudante! Nesta videoaula você vai conhecer práticas
recomendadas para gestão de consentimento, incluindo práticas
para solicitar e revogar. Adicionalmente, também verá o conceito de
política de privacidade, e como elaborar uma.
Esse conteúdo é importante para a sua prática profissional, pois
permitirá que você compreenda como realizar a gestão de
consentimento de acordo com as diretrizes da LGPD, garantindo
que sua empresa obtenha e gerencie o consentimento dos titulares
de dados de forma adequada e transparente.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
Ponto de Partida
Certamente, durante algum cadastro, você já viu uma mensagem
solicitando o consentimento para o tratamento de dados. Mas você
já parou para pensar como esse consentimento é gerido? Como
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 20/46
fazer a revogação do consentimento? Há alguma política de
privacidade adotada pela empresa que aborde essa gestão?
Nesta aula, vamos abordar algumas práticas recomendadas para a
gestão adequada do consentimento conforme previsto na Lei Geral
de Proteção de Dados Pessoais (LGPD). Essas práticas visam
garantir que o tratamento de dados pessoais seja realizado de forma
transparente, ética e em conformidade com a legislação vigente.
Junte-se a nós!
Vamos Começar!
A gestão do consentimento é uma das dez bases legais previstas
pela Lei Geral de Proteção de Dados (LGPD), e ajuda os
profissionais a protegerem seus interesses. Um dos principais
benefícios é garantir a validade da coleta de consentimento. Além
disso, esta solução pode ajudá-lo a cumprir adequadamente as
escolhas do cliente. Práticas eficazes de gestão de consentimento
podem ajudar sua organização a demonstrar conformidade com os
regulamentos, como a LGDP no Brasil.
Privacidade dos dados
Os dados coletados em sites são muito valiosos para algumas
empresas. Por exemplo, cada clique, cada visualização e cada
compra contam uma história a respeito do comportamento, das
preferências e dos desejos dos consumidores. Entretanto, junto com
o imenso poder dos dados vem uma responsabilidade igualmente
imensa: respeitar e proteger a privacidade dos indivíduos.
Nesses casos, a privacidade de dados é mais do que uma obrigação
legal: é um componente essencial para criar e manter a confiança
do cliente. Esse entendimento resultou em um aumento global nas
regulamentações de privacidade e em uma evolução nas
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 21/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
expectativas dos consumidores acerca de como seus dados são
tratados.
À medida que nos aprofundamos nesse território, as empresas
enfrentam o desafio de aproveitar os dados para oferecer
experiências personalizadas e, ao mesmo tempo, garantir a
conformidade com os padrões de privacidade em constante
evolução. É nesse contexto que surge a política de privacidade. 
Política de privacidade
A política de privacidade é um documento que detalha quais dados
são coletados e como serão usados por um site ou aplicativo. Além
de descrever as práticas e processos envolvidos, esse documento
reforça o compromisso com a transparência e a confiança dos
usuários. Em suma, a política de privacidade tem como objetivo
principal esclarecer quais dados são tratados, de que maneira e
para qual finalidade.
A elaboração de uma política de privacidade clara e transparente é
fundamental para informar os titulares de dados de como suas
informações serão tratadas. Essa política deve ser redigida em
linguagem acessível e de fácil compreensão, evitando jargões
técnicos que possam dificultar a compreensão do usuário. Deve
conter informações sobre os tipos de dados coletados, a finalidade
do tratamento, os direitos do titular, e os meios de contato com o
controlador, entre outros aspectos relevantes.
Além de ser clara, a política de privacidade deve ser facilmente
acessível aos usuários. Isso significa que ela deve estar Disponível
em: locais de destaque nos sites e aplicativos, de forma que os
usuários possam encontrá-la facilmente, inclusive levando em conta
limitações físicas deles. E, como apontam Kimura (2012) e Santana
(2022), esse ponto também passa pelas questões de usabilidade e
experiência do usuário respectivamente. É importante que a política
de privacidade seja atualizada sempre que houver mudanças
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 22/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
significativas nas práticas de tratamento de dados, garantindo assim
a transparência e a atualização das informações fornecidas aos
titulares.
Os formulários de consentimento devem ser elaborados de forma
clara e objetiva, explicando de maneira detalhada a finalidade para a
qual os dados serão utilizados. Devem ser evitadas ambiguidades
ou informações genéricas que não permitam ao titular compreender
claramente o que está autorizando. Além disso, o consentimento
não deve ser condicionado à prestação de serviços, a menos que o
tratamento seja necessário para a execução do contrato ou
obrigação legal do controlador.
O registro do consentimento deve ser feito de forma que o titular
possa facilmente revogá-lo caso deseje. Como apresenta Teffé
(2020), dentro das hipóteses relativas ao término do tratamento dos
dados, encontra-se a comunicação do titular, inclusive no exercício
de seu direito de revogação do consentimento, conforme disposto
no §5º, do art. 8º, da LGPD, resguardado o interesse público (art.
15, III). Isso pode ser feito por meio de documentos que sejam de
fácil acesso e compreensão pelo titular, permitindo que ele tenha
controle sobre suas escolhas. É importante que o controlador
mantenha registros claros e atualizados dos consentimentos
obtidos, para garantir a conformidade com a LGPD e facilitar a
gestão dos dados pessoais.
Ao adotar essas práticas recomendadas, as organizações estarão
não apenas cumprindo com as exigências legais, mas também
contribuindo para a construção de um ambiente digital mais
transparente e ético, no qual a privacidade e os direitos dos titulares
de dados sejam respeitados.
Siga em Frente...
Como criar uma política de privacidade?
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 23/46
Nesse guia passo a passo, adaptado de Legalcloud (2020), são
listados os principais pontos para criar uma política de privacidade:
1. Reúna informações sobre o seu negócio e os dados utilizados:
antes de redigir uma política de privacidade, reúna informações
como o modelo do seu negócio, as legislações pertinentes
(como a LGPD), quais informações do usuário são coletadas,
como são coletadas, para qual finalidade, se haverá
compartilhamento com terceiros e como as informações
coletadas são armazenadas e protegidas.
2. Simplifique a linguagem no texto da política de privacidade: a
política de privacidade precisa ser compreendida por qualquer
pessoa que a leia. Evite termos jurídicos técnicos e seja
simples, claro e direto ao escrever o texto.
3. Não esqueça do consentimento: o consentimento do usuário é
fundamental. Ele deve ser obtido de maneira inequívoca e
específica paracada finalidade. Informe as consequências de
uma negação por parte do usuário e como ele pode revogá-lo a
qualquer momento.
4. Apresente os direitos do titular segundo a LGPD: explique os
direitos que o usuário tem de acordo com a LGPD, como o
acesso aos dados e a revogação do consentimento.
5. Informe quem tem acesso aos dados e se eles serão
compartilhados: Elenque todas as pessoas que terão acesso às
informações dos usuários e se os dados serão compartilhados
com parceiros comerciais ou outras entidades.
6. Explique como os dados são armazenados e quais medidas de
segurança são tomadas: descreva como os dados são
armazenados, por quanto tempo e quais medidas de segurança
são adotadas para protegê-los.
7. Fale de sua política de cookies: explique o uso de cookies e
como o usuário pode obter mais informações sobre eles.
8. Disponibilize canais de atendimento de dúvidas e solicitações:
forneça canais de atendimento ao usuário para que ele possa
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 24/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
tirar dúvidas ou fazer solicitações relacionadas à sua política de
privacidade.
9. Mantenha a política de privacidade sempre atualizada: atualize
sua política de privacidade sempre que necessário e informe
aos usuários sobre as mudanças realizadas.
10. Indique quem é o encarregado de proteção de dados:
esclareça quem é o encarregado de proteção de dados e como
ele pode ser contatado.
Vamos Exercitar?
Considerando a importância da gestão do consentimento e da
política de privacidade para garantir a conformidade com a LGPD e
a proteção da privacidade dos usuários, discuta como a
transparência e a clareza na coleta e no tratamento de dados podem
impactar a confiança dos consumidores nas empresas e como
essas práticas podem ser implementadas de forma eficaz para
atender às exigências legais e às expectativas dos usuários.
Saiba Mais
Para elaborar políticas claras e transparentes, é fundamental
apresentar as informações sem deixar dúvidas. Um exemplo
clássico são os rótulos de privacidade da Apple em sua App Store.
Os rótulos de privacidade da Apple articulam claramente quais
dados são coletados por um aplicativo e como eles são usados,
simplificando as informações de privacidade para os usuários e
promovendo o consentimento informado.
Transparency is the best policy. Apple, 2023.
Essas políticas também devem ser facilmente acessíveis em seu
site, aplicativos móveis e quaisquer outras interfaces de usuário.
Assim, a usabilidade das interfaces dos sistemas passa a ter um
papel importante. O artigo a seguir avalia aspectos de privacidade
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 25/46
https://www.apple.com/privacy/labels/
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
no Facebook pelas lentes de usabilidade, acessibilidade e fatores
emocionais.
Avaliando aspectos de privacidade no Facebook pelas lentes
de usabilidade, acessibilidade e fatores emocionais. In
Companion Proceedings of the 11th Brazilian Symposium on
Human Factors in Computing Systems (IHC '12).
Como vimos, também é preciso apresentar o pedido de
consentimento de maneira adequada, com formulários adequados. A
Apple novamente acaba sendo uma referência nesse sentido.
Privacidade. 2023.
No que diz respeito à revogação do consentimento, como vimos na
aula, ela precisa ser de fácil acesso. No TRE–PR por exemplo, caso
você tenha qualquer requerimento relativo aos seus dados pessoais,
poderá fazê-lo por meio do preenchimento de um formulário ou por
e-mail. 
Política de Privacidade do Tribunal Regional Eleitoral do
Paraná, 1 mar. 2023.
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
KIMURA, M. H. et al. Avaliação de usabilidade das funcionalidades
assíncronas de privacidade do Facebook. In: Workshop sobre
Aspectos da Interação Humano-Computador na Web Social
(WAIHCWS'12), 4. Cuiabá, 2012. Anais […]. Cuiabá, 2012, p. 11-20.
Disponível em: https://ceur-ws.org/Vol-980/paper2.pdf. Acesso em:
21 dez. 2023.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 26/46
https://dl.acm.org/doi/abs/10.5555/2400076.2400112
https://dl.acm.org/doi/abs/10.5555/2400076.2400112
https://www.apple.com/br/privacy/control/
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/politica-de-privacidade-do-tribunal-regional-eleitoral-do-parana
https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/politica-de-privacidade-do-tribunal-regional-eleitoral-do-parana
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
https://ceur-ws.org/Vol-980/paper2.pdf.
LEGALCLOUD. Política de Privacidade na LGPD: Passo a Passo
para criar. Legalcloud, 6 nov. 2020. Disponível em:
https://legalcloud.com.br/politica-privacidade-passo-passo/. Acesso
em: 21 dez. 2023.
SANTANA, E.; VILELA, J.; PEIXOTO, M. M. Diretrizes para
apresentação de políticas de privacidade voltadas à experiência
do usuário. In: WER 2022. Disponível em: http://wer.inf.puc-
rio.br/WERpapers/artigos/artigos_WER22/WER_2022_Camera_read
y_paper_15.pdf. Acesso em: 21 dez. 2023.
TEFFÉ, C. A. S. de; TEPEDINO, G. O consentimento na circulação
de dados pessoais. Revista Brasileira de Direito Civil, [S. l.], v. 25,
n. 3, p. 83, 2020. Disponível em:
https://rbdcivil.emnuvens.com.br/rbdc/article/view/521. Acesso em:
21 dez. 2023.
 
Aula 4
ASPECTOS
INTERNACIONAIS DA
PRIVACIDADE
Aspectos internacionais da
privacidade
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 27/46
https://legalcloud.com.br/politica-privacidade-passo-passo/
http://wer.inf.puc-rio.br/WERpapers/artigos/artigos_WER22/WER_2022_Camera_ready_paper_15.pdf.
http://wer.inf.puc-rio.br/WERpapers/artigos/artigos_WER22/WER_2022_Camera_ready_paper_15.pdf.
http://wer.inf.puc-rio.br/WERpapers/artigos/artigos_WER22/WER_2022_Camera_ready_paper_15.pdf.
https://rbdcivil.emnuvens.com.br/rbdc/article/view/521.
Olá, estudante! Nesta videoaula você vai conhecer aspectos
internacionais da privacidade. Os artigos da LGPD relacionados à
transferência internacional serão destaque, e você entenderá como
ocorre a cooperação internacional na investigação de casos.
Esse conteúdo é importante para a sua prática profissional, pois
fornecerá insights de como lidar com questões de transferência
internacional de dados e cooperação em investigações que
envolvam dados pessoais. Isso é essencial em um contexto
globalizado, no qual as empresas frequentemente lidam com dados
de clientes e parceiros localizados em diferentes países, exigindo
conhecimento a respeito das regulamentações internacionais de
privacidade e das melhores práticas para garantir a conformidade e
a segurança dos dados.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
Ponto de Partida
Sabemos que a LGPD é importante marco na proteção de dados
pessoais no Brasil, mas você já parou para pensar em como ficam
os seus dados coletados fora do país? E quando seus dados
precisam ser transferidos para um serviço que está no exterior?
02/09/2024, 21:54 Segurança daInformação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 28/46
Nesta aula abordaremos a Lei Geral de Proteção de Dados (LGPD)
do Brasil e seus aspectos internacionais, destacando sua
harmonização com o Regulamento Geral de Proteção de Dados
(GDPR) da União Europeia. Discutiremos também a cooperação
internacional na proteção de dados, exemplificando com a
Convenção 108 e iniciativas da OCDE e da Global Privacy
Assembly. Veremos também algumas exceções da aplicação da
LGPD, como casos em que os dados estão apenas de passagem no
Brasil.
Junte-se a nós!
Vamos Começar!
A proteção da privacidade é uma preocupação global que se reflete
em diversas legislações em todo o mundo. No contexto
internacional, a Lei Geral de Proteção de Dados (LGPD) do Brasil se
destaca como um marco importante para a regulação desse tema. A
LGPD foi inspirada em regulamentações europeias, como o
Regulamento Geral de Proteção de Dados (GDPR), e faz parte de
um movimento global em direção a padrões mais rígidos de
proteção de dados pessoais.
Aspectos internacionais
Uma das características fundamentais da LGPD é o seu
alinhamento com os princípios e diretrizes estabelecidos pelo
GDPR. Essa harmonização é crucial para facilitar o intercâmbio de
dados pessoais entre o Brasil e países da União Europeia, além de
garantir que as empresas brasileiras que lidam com dados de
cidadãos europeus estejam em conformidade com as exigências
europeias.
Segundo os artigos 33 a 36 do capítulo 5 da LGPD, a transferência
internacional de dados pessoais é permitida em diversas situações,
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 29/46
Jamerson Almeida
Realce
como:
Para países ou organismos com proteção adequada.
Com garantias de cumprimento dos direitos do titular.
Cooperação jurídica internacional em investigações.
Proteção da vida ou da integridade física.
Autorização da ANPD.
Compromissos em acordos internacionais.
Execução de política pública ou serviço legal.
Mediante consentimento específico do titular.
Para cumprimento de obrigações legais ou contratuais.
Exercício de direitos em processos judiciais.
Além disso, a LGPD estabelece um novo paradigma para a proteção
de dados no Brasil, impactando não apenas empresas que atuam
internacionalmente, mas também organizações locais que precisam
se adaptar aos novos requisitos legais. A lei reforça a importância da
transparência no tratamento de dados, exigindo que as empresas
forneçam informações claras e acessíveis a respeito de suas
práticas de privacidade.
Outro aspecto importante da LGPD é a ênfase na responsabilidade
das empresas pelo tratamento de dados pessoais. Como apresenta
o Ministério Público Federal (2023), ela estabelece que não importa
se a sede de uma organização ou o centro de dados dela estão
localizados no Brasil ou no exterior: se há o processamento de
informações sobre pessoas, brasileiras ou não, que estão no
território nacional, a LGPD deve ser observada.
Siga em Frente...
Cooperação internacional
Também é importante a cooperação internacional na proteção de
dados e podemos destacar a Convenção 108 (Council of Europe,
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 30/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
1981) como um instrumento relevante nesse contexto. Ela
estabelece a necessidade de assistência mútua entre os países
signatários para implementar suas disposições, incluindo o
fornecimento de informações acerca de leis e práticas
administrativas internas relacionadas à proteção de dados. Além
disso, a Convenção prevê a cooperação entre autoridades para
coordenar investigações e tomar medidas conjuntas em casos que
envolvam múltiplas jurisdições.
O Brasil não é signatário da Convenção 108. Em outubro de 2018, o
Brasil tornou-se membro observador da Convenção, o que o permite
participar do Comitê da Convenção e, consequentemente, das
reuniões que ocorrem duas vezes ao ano em Strasbourg para
discutir aspectos relevantes de proteção de dados pessoais. 
Outras iniciativas, como a OCDE (2023) e a Global Privacy
Assembly – GPA (2023) também promovem a cooperação
internacional em questões de privacidade e proteção de dados.
Essa cooperação é fundamental para a padronização global das leis
de proteção de dados, reduzindo conflitos e garantindo segurança
jurídica nos fluxos internacionais de informações.
Exceções de aplicação da LGPD
Apesar de a norma ser significativamente rigorosa, existem casos
como os indicados no capítulo 1 artigo 4º, que tratam de tratamento
de dados pessoais em que a própria lei não se aplica.
Ficam excluídos da aplicação da lei aquelas hipóteses em que os
dados estejam apenas de passagem no Brasil, como visto no inciso
IV:
provenientes de fora do território nacional e que não sejam
objeto de comunicação, uso compartilhado de dados com
agentes de tratamento brasileiros ou objeto de transferência
internacional de dados com outro país que não o de
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 31/46
Jamerson Almeida
Realce
Jamerson Almeida
Realce
proveniência, desde que o país de proveniência proporcione
grau de proteção de dados pessoais adequado ao previsto
nesta Lei (Brasil, 2018).
Casos e precedentes globais
1. Facebook vs. Max Schrems (2020): este caso envolveu o
ativista de privacidade Max Schrems processando o Facebook
por violações do GDPR. O Tribunal de Justiça da União
Europeia (TJUE) decidiu que as transferências de dados
pessoais para os EUA sob o escudo de privacidade (privacy
shield) eram inválidas devido à falta de proteção adequada
contra a vigilância do governo dos EUA. Isso teve um impacto
significativo nas transferências internacionais de dados entre a
UE e os EUA.
2. Google vs. Autoridade de Proteção de Dados da França (2020):
neste caso, o Conselho de Estado francês confirmou uma
multa de 50 milhões de euros aplicada à Google pela
Autoridade Francesa de Proteção de Dados (CNIL) por
violações do GDPR. Isso demonstrou a aplicação rigorosa das
leis de privacidade e proteção de dados em nível internacional.
3. Schrems II (2020): este caso também envolveu Max Schrems e
teve um impacto significativo nas transferências internacionais
de dados entre a União Europeia e os Estados Unidos. O
Tribunal de Justiça da União Europeia (TJUE) decidiu que o
mecanismo de transferência de dados conhecido como
Cláusulas Contratuais Tipo (CCTs) é válido, mas exige uma
avaliação caso a caso sobre a proteção dos dados no país de
destino.
4. Cambridge Analytica (2018): este caso envolveu a coleta e uso
indevido de dados pessoais de milhões de usuários do
Facebook pela empresa Cambridge Analytica para influenciar
eleições. O escândalo levou a debates globais acerca do uso
ético e legal de dados pessoais, resultando em um maior
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 32/46
escrutínio das práticas de proteção de dados e privacidade por
parte das autoridades reguladoras em todo o mundo.
Vamos Exercitar?
Considerando o texto apresentado a respeito da Lei Geral de
Proteção de Dados (LGPD) e seus aspectos internacionais, bem
como a cooperação internacional na proteção de dados pessoais,
discuta a importância da harmonização entre legislações de
diferentes países e os impactos de casos e precedentes globais,
como Facebook vs. Max Schrems (2020) e Google vs. Autoridade de
Proteção de Dados da França (2020), na regulação e no intercâmbio
de dados pessoais em nível internacional. Como esseseventos
influenciam a aplicação da LGPD e a atuação das empresas e
organizações em relação à proteção de dados no cenário global?
Saiba Mais
Para aprender um pouco mais, veja este artigo, que esclarece os
principais pontos da lei que abordam a transferência internacional de
dados. 
Transferência internacional de dados pessoais e a LGPD.
ConJur, 14 mar. 2023.
Para a harmonização ideal entre a LGPD e GPDR, é importante o
conhecimento das diferenças e semelhanças entre as duas. O artigo
indicado a seguir faz um interessante comparativo entre elas.
LGPD e GDPR: quais as diferenças e semelhanças? 2020.
O trabalho indicado adiante, no tópico 3.2, “Cooperação
internacional e proteção de dados”, discute a importância da
cooperação internacional na proteção de dados, dando destaque à
Convenção 108, e a outras iniciativas, como a OCDE e a Global
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 33/46
https://www.conjur.com.br/2023-mar-14/ellen-silva-transferencia-internacional-dados-lgpd/
https://www.nextlawacademy.com.br/blog/lgpd-e-gdpr-quais-as-diferencas-e-semelhancas
Privacy Assembly, que também promovem a cooperação
internacional em questões de privacidade e proteção de dados.
Proteção internacional de dados pessoais. Enciclopédia
Jurídica da PUC-SP. Celso Fernandes Campilongo, Alvaro de
Azevedo Gonzaga e André Luiz Freire (coord.). Tomo: Direito
Internacional. Cláudio Finkelstein, Clarisse Laupman Ferraz
Lima (coord. de tomo). São Paulo: Pontifícia Universidade
Católica de São Paulo, 2017.
E para entender um pouco mais da influência dos casos de Max
Scherems na LGPD, veja o seguinte artigo:
Schrems II e LGPD: reflexões acerca dos impactos da decisão
da CJEU no cenário brasileiro. 2020.
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
CASTRO, E. T. V. de. Transações de dados e privacidade à luz da
lei geral de proteção de dados pessoais (LGPD). 2021. 75 f., il.
Trabalho de Conclusão de Curso (Bacharelado em Engenharia da
Computação) — Universidade de Brasília, Brasília, 2021. Disponível
em: https://bdm.unb.br/handle/10483/30277. Acesso em: 18 dez.
2023.
COUNCIL OF EUROPE. Convenção para a Proteção das
Pessoas relativamente ao Tratamento Automatizado de Dados
de Caráter Pessoal (Convenção 108) de 28 de janeiro de 1981.
Council of Europe, 1981. Disponível em:
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 34/46
https://enciclopediajuridica.pucsp.br/verbete/496/edicao-1/protecao-internacional-de-dados-pessoais
https://www.migalhas.com.br/depeso/331982/schrems-ii-e-lgpd--reflexoes-acerca-dos-impactos-da-decisao-da-cjeu-no-cenario-brasileiro
https://www.migalhas.com.br/depeso/331982/schrems-ii-e-lgpd--reflexoes-acerca-dos-impactos-da-decisao-da-cjeu-no-cenario-brasileiro
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
https://bdm.unb.br/handle/10483/30277.
https://www.coe.int/en/web/conventions/full-
list/-/conventions/treaty/108. Acesso em: 22 dez. 2023. 
GLOBAL PRIVACY ASSEMBLY. Página inicial. 2023. Disponível em:
https://globalprivacyassembly.org/. Acesso em: 22 dez. 2023.
MINISTÉRIO PÚBLICO FEDERAL. O que é a LGPD? Ministério
Público Federal. 2023. Disponível em:
https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 22
dez. 2023.
ORGANISATION FOR ECONOMIC CO-OPERATION AND
DEVELOPMENT (OCDE). Página inicial. 2023. Disponível em:
https://www.oecd.org/. Acesso em: 22 dez. 2023.
Encerramento da Unidade
SEGURANÇA DA
INFORMAÇÃO E GESTÃO
DE CONSENTIMENTO PARA
A LGPD
Videoaula de Encerramento
Olá estudante! Nesta videoaula você irá conhecer os princípios da
Segurança da Informação e Gestão de consentimento para a LGPD.
Esse conteúdo é importante para a sua prática profissional, pois
permitirá que você compreenda aspectos essenciais para a
conformidade com a LGPD. Ao entender esses princípios, você
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 35/46
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.
https://globalprivacyassembly.org/
https://www.oecd.org/
estará melhor preparado para implementar medidas de segurança
eficazes e garantir que a coleta, o armazenamento e o
processamento de dados pessoais estejam em conformidade com a
legislação, protegendo assim a privacidade e os direitos dos titulares
de dados.
Prepare-se para essa jornada de conhecimento!
Vamos lá!!!
Ponto de Chegada
Olá, estudante!
Para desenvolver a competência desta unidade, que é demonstrar
compreensão e aprendizado no que se refere aos princípios da
segurança da informação e gestão de consentimento para a LGPD,
é preciso compreender a importância da integração entre esses
princípios para garantir a proteção efetiva de dados pessoais, a
conformidade com a legislação e a mitigação de riscos.
É Hora de Praticar!
Uma empresa do setor alimentício desenvolve produtos para
diferentes perfis de consumidores, com base em uma pesquisa
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 36/46
direta com eles, em busca de nuances que variam de região para
região do Brasil e de Portugal.
Como a empresa lida com uma série de dados que precisam ser
trabalhados, há profissionais de inteligência de negócios, de
comunicação e de tecnologia de informação, para a construção da
plataforma que irá coletar, compilar e extrair os dados, de acordo
com as segmentações necessárias parar o desenvolvimento dos
novos produtos.
Imagine que você é o encarregado pelo tratamento de dados
pessoais ou Data Protection Officer (DPO) da empresa, possuindo
uma ampla visão sobre compliance, riscos, segurança da
informação e aspectos jurídicos da LGPD.
Sua missão é garantir que a empresa exerça a sua atividade de
acordo com a Lei Geral de Proteção de Dados Pessoais, definindo e
executando as ações relacionadas a adequações jurídicas, proteção
de dados pessoais e comunicação com usuários e autoridade
nacional de proteção de dados.
Nessa atividade, você deve preparar um plano para a empresa
construir a plataforma a ser adotada para o desenvolvimento dos
novos produtos. Considere que a plataforma é um sistema que será
acessado diretamente pelos consumidores, que irão se identificar e
indicar suas preferências e percepções, que serão posteriormente
tratadas para gerar o direcionamento para o desenvolvimento dos
novos produtos.
Prepare o plano contendo pelo menos os seguintes itens, com foco
na LGPD: 
Tipos de dados que serão tratados pela plataforma, desde a
sua coleta até o seu armazenamento e consumo pela
empresa. 
Ameaças relacionadas com a plataforma. 
Pontos de ataques que podem afetar a plataforma. 
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 37/46
Potenciais vulnerabilidades relacionadas com a plataforma. 
Ataques que podem afetar a plataforma. 
 
Reflita
1. Como a Lei Geral de Proteção de Dados (LGPD) do Brasil se
relaciona com regulamentações internacionais, como o
Regulamento Geral de Proteção de Dados (GDPR) da União
Europeia, e de que forma essa relação impacta as empresas
que lidam com dados pessoais?
2. Quais são os critérios estabelecidospela LGPD para a
obtenção de um consentimento válido para o tratamento de
dados pessoais, e como esses critérios se alinham com as
diretrizes do GDPR e do Conselho Europeu de Proteção de
Dados (European Data Protection Board - EDPB)?
3. Além de estabelecer diretrizes para o tratamento de dados
pessoais, como a LGPD aborda a questão da cooperação
internacional e quais são os principais instrumentos e iniciativas
mencionados no texto que promovem essa cooperação?
Resolução do estudo de caso
O plano para que a empresa esteja adequada à LGPD,
considerando o escopo dessa plataforma em construção, deve
considerar, pelo menos: 
Tipos de dados que serão tratados pela plataforma, desde a sua
coleta até o seu armazenamento e consumo pela empresa: o
tratamento de dados pessoais envolve toda operação realizada com
dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Serão coletados dados pessoais dos consumidores, como nome,
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 38/46
endereço, profissão, faixa etária, faixa de renda e as preferências
pessoais sobre diversos alimentos.
Ameaças relacionadas com a plataforma: para a LGPD a ameaça
está no vazamento de dados pessoais dos consumidores, que
podem afetar a sua privacidade. O vazamento de dados também é
conhecido como data exfiltration ou exfiltração de dados. Dados
confidenciais não estão relacionados com a LGPD.
Pontos de ataques que podem afetar a plataforma: os pontos de
ataques correspondem aos ativos que possuem contato com os
dados pessoais, que podem ser humanos, processuais ou
tecnológicos. São pontos de ataques os colaboradores da empresa,
incluindo os de tecnologia da informação, além dos processos que
envolvem qualquer atividade de tratamento de dados pessoais,
como os de compras, comunicação e o desenvolvimento dos novos
produtos. Outros pontos de ataques são os componentes da
plataforma, que podem possuir vulnerabilidades e serem alvos de
ataques, incluindo o sistema operacional, a aplicação ou o banco de
dados.
Potenciais vulnerabilidades relacionadas com a plataforma: os
colaboradores podem ser explorados em ataques que podem
resultar em vazamentos de dados pessoais, e as principais
vulnerabilidades humanas são a distração, a inocência ou a
incapacidade. Essas fraquezas humanas podem ser exploradas
para o furto de identidades ou para a instalação de malwares, por
exemplo. Já com os processos, as vulnerabilidades podem abrir
pontos que representam oportunidades de incidentes, como no
acesso desnecessário a dados pessoais por funcionários da
empresa. As vulnerabilidades nas tecnologias incluem software
desatualizado, má configuração de componentes, credenciais
fracas, relação de confiança excessiva, credenciais comprometidas,
criptografia ausente ou fraca, zero-days e métodos desconhecidos.
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 39/46
Ataques que podem afetar a plataforma: os ataques que podem
levar ao vazamento de dados podem ser destinados aos
colaboradores, aos processos ou a qualquer componente da
plataforma em construção. A exfiltração de dados pode ser feita com
a exploração de vulnerabilidades e uso de técnicas de ataques pelo
agente de ameaça. A rede pode ser explorada com o sniffing, que
captura os dados em trânsito. O ataque do homem do meio e o ARP
spoofing direciona o tráfego ao atacante, que pode, então, vazar
dados pessoais. Com o DNS spoofing, o atacante manipula o
serviço de resolução de nomes da internet para que a vítima acesse
sites falsos e entregue seus dados pessoais. E o phishing explora a
engenharia social para ludibriar usuários para entregar seus dados
pessoais ou instalar malwares que realizam a exfiltração de dados. A
engenharia social também é um dos principais vetores de
ransomwares, que além de tornarem os dados indisponíveis com a
criptografia, realizam a exfiltração de dados, podendo, assim,
comprometer a confidencialidade e a privacidade dos usuários. 
Dê o play!
Assimile
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 40/46
Nesta unidade discutimos os principais elementos para a adequação
das empresas à LGPD, relacionados à segurança da informação e à
proteção de dados. A gama de variáveis envolvidas com a proteção
de dados é ampla e, assim, surge a necessidade de entendermos
sobre como um dado pessoal pode ser alvo de um ataque e resultar
em um vazamento. Há diversos pontos de ataques envolvidos,
relacionados aos diferentes estados desses dados, que podem estar
em processamento, em transmissão ou em armazenamento.
Aula 1 - Segurança da informação na LGPD
Esta aula tratou da integração entre a Lei Geral de Proteção de
Dados (LGPD) e a segurança da informação, enfocando a
importância dessa integração para proteger dados pessoais, garantir
conformidade e gerenciar riscos. Compreender os riscos de
segurança da informação é fundamental para definir e implementar
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 41/46
os controles necessários a fim de evitar vazamentos de dados
pessoais, a principal ameaça no contexto da LGPD. A proteção
contra vazamentos é alcançada por meio da segurança da
informação, que preserva a confidencialidade, integridade e
disponibilidade dos dados. As cinco funções principais da segurança
da informação são: identificação, proteção, detecção, resposta e
recuperação. A implementação de medidas de segurança da
informação para proteção de dados pessoais envolve a avaliação de
elementos de risco, que orienta a definição e implantação de
controles tecnológicos, processuais e físicos. A combinação dessas
medidas é essencial para criar uma estratégia abrangente e eficaz
de segurança da informação. O monitoramento contínuo das
atividades de rede e sistemas, juntamente com a detecção de
incidentes, desempenha um papel crucial na proteção de sistemas e
dados sensíveis, permitindo a identificação precoce de ameaças e a
resposta rápida a incidentes em andamento.
Aula 2 - Gestão de consentimento na LGPD
Na Lei Geral de Proteção de Dados Pessoais (LGPD), o
consentimento é central, concedendo ao usuário o poder de decidir
sobre seus dados pessoais. Ele deve ser livre, informado,
inequívoco e específico para cada finalidade. A LGPD, embora não
detalhe esses critérios, baseia-se no Regulamento Geral de
Proteção de Dados (GDPR) da União Europeia. O consentimento
inválido ocorre quando há coerção, falta de informação ou uso
combinado para diferentes propósitos. A LGPD também estabelece
direitos dos titulares, como acesso, retificação, anonimização,
portabilidade, informação sobre compartilhamento e revogação do
consentimento. Estes devem ser garantidos pelos controladores de
dados.
Aula 3 - Práticas recomendadas para gestão
de consentimento
02/09/2024, 21:54 Segurança da Informação e Gestão de consentimento para a LGPD
https://alexandria-html-published.platosedu.io/ccde8995-e9cd-4ede-8b80-26b45cdbb304/v1/index.html 42/46
A aula abordou a importância da gestão do consentimento,
destacando a LGPD como um marco legal que exige práticas
eficazes para garantir a conformidade e proteger a privacidade dos
dados. Foi enfatizada a necessidade de uma política de privacidade
clara, acessível e atualizada, que explicite as práticas de tratamento
de dados e os direitos dos titulares. Além disso, foram apresentadas