ANPD publica guia orientativo para agentes de pequeno porte

Publicado em 05/10/2021

A Lei Geral de Proteção de Dados Pessoais (LGPD), em sua maior parte, está em vigor desde 18 de setembro de 2020. Em 1º de agosto de 2021, as sanções administrativas passaram a ser aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), o que intensificou a preocupação das organizações em se adequar à Lei.

Os agentes de tratamento de dados (isto é, as pessoas físicas ou jurídicas que lidam com dados pessoais) são muito diversos entre si e possuem condições capacidades técnicas diferentes. Por isso, a LGPD prevê um regime diferenciado para microempresas e empresas de pequeno porte (definidas na Lei Complementar n.º 123/2006), para as empresas de caráter disruptivo ou incremental (como as startups) e para outras organizações que possam se enquadrar como agentes de pequeno porte. A competência para a regulamentação desse regime é da ANPD (art. 55-J, XVIII da LGPD).

Em 04 de outubro de 2021, a ANPD publicou o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. A Autoridade também disponibilizou um Checklist simplificado para verificar a implementação dessas medidas. Esses documentos têm o objetivo de sugerir boas práticas para garantir a segurança da informação nas organizações. Embora nem todas as medidas sejam obrigatórias, é importante tentar integrar, na rotina das empresas e organizações, as recomendações da ANPD, destacadas a seguir.

Medidas administrativas

A ANPD recomenda a elaboração de uma Política de Segurança da Informação (PSI), que consiste em um conjunto de diretrizes com o objetivo de coordenar as ações de determinada organização em prol da segurança da informação. A ANPD sugere que as medidas sejam revisadas periodicamente e que a PSI contemple regras sobre cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, uso de antivírus etc. Esse documento não é obrigatório, mas é recomendável e é visto como demonstração de boa-fé e diligência pela ANPD.

A ANPD também recomenda a adoção de ações de conscientização e de treinamento das equipes de trabalho sobre as responsabilidades dos colaboradores no cumprimento da LGPD. Por exemplo, a orientação sobre o uso de controles de segurança dos sistemas de TI, a prevenção contra vírus ou ataques cibernéticos, a adequada guarda de documentos físicos, o não compartilhamento de logins e de senhas de acesso etc. Também é importante que o ambiente da organização permita e estimule que os colaboradores informem sobre incidentes ou sobre vulnerabilidades que venham a identificar.

A ANPD orienta que as organizações também adotem medidas de gerenciamento contratual tendo em vista a proteção de dados. Dentre as medidas, destacam-se a assinatura de termos de confidencialidade (NDAs) com os colaboradores e o estabelecimento de regras sobre os deveres e sobre a distribuição de responsabilidades nos contratos com fornecedores.

Medidas técnicas

A ANPD destaca a importância de manter controles de acesso, de forma a restringir o contato com dados a pessoas autorizadas, mediante processos de autenticação, autorização e auditoria. É recomendável o uso de senhas com um nível mínimo de complexidade, o uso de autenticação multi-fatores e a adoção de uma política de acessos baseada em níveis de permissão, na proporção da necessidade para o trabalho. O ideal é que os usuários acessem apenas o mínimo necessário para que possam realizar as suas atividades.

Também é fundamental manter armazenados somente os dados que forem necessários, no presente, para alguma finalidade. Recomenda-se que os dados armazenados, especialmente os sensíveis (aqueles referentes à etnia, à saúde, à vida sexual, à orientação filosófico-política ou religiosa etc.) sejam pseudonimizados, por exemplo, mediante criptografia. É importante que esses dados possuam cópias de segurança locais, protegidos de ataques e de vírus. No momento do descarte, a ANPD sugere que se faça a formatação dos dados antes da eliminação e, se for o caso, a destruição física da mídia.

Dispositivos móveis

Caso a empresa ou organização utilize dispositivos móveis para o trabalho, recomenda-se que eles sejam distintos daqueles de uso pessoal e que possuam todos os demais controles de segurança. É interessante configurar a possibilidade de apagamento remoto dos dados em caso de furto, roubo ou perda, a fim de diminuir a chance de um incidente de segurança.

Serviços em nuvem

O uso de serviços em nuvem também deve obedecer a todos os demais protocolos de segurança. Muitas das soluções disponíveis no mercado são fornecidas por entidades que atuam internacionalmente, então se espera que essas empresas observem e implementem todas as medidas de boas práticas de segurança da informação. De qualquer forma, é importante que haja um acordo de nível de serviço (SLA) firmado com esses fornecedores, no qual estejam previstas disposições sobre a proteção e a segurança de dados.

O TRA recomenda a todas as empresas e organizações que, independentemente do seu porte ou da natureza de suas atividades, adotem as recomendações da ANPD e busquem aprimorar constantemente as suas práticas de segurança da informação e de proteção de dados pessoais. Sugerimos a todos que consultem a íntegra dos documentos publicados pela ANPD, tanto o Guia Orientativo, quanto o Checklist, disponíveis nos links referidos abaixo.

Fontes:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf

https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf