GUIA: SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE

Segurança da Informação para pequenas empresas

Recentemente a Autoridade Nacional de Proteção de Dados –ANPD publicou um guia orientativo contendo medidas de segurança da informação administrativas e técnicas direcionadas para agentes de tratamento de pequeno porte. O guia já era esperado, uma vez que a própria Lei Geral de Proteção de Dados –LGPD já havia feito prenuncio no sentido de que caberia a Autoridade a edição de normas, orientações e procedimentos diferenciados e simplificados para microempresas, empresas de pequeno porte e startups.

O guia leva em conta a realidade de inúmeras empresas de pequeno porte que não possuem dentro do seu quadro de funcionários pessoas especializadas em segurança da informação, mas que mesmo assim devem se submeter à Lei Geral de Proteção de Dados. Talvez esse seja um dos pontos mais evidenciados pelo Guia: os agentes de pequeno porte precisam se submeter à legislação e proteger os dados pessoais sob a sua guarda.

O guia também traz conceitos importantes que passarão a fazer parte do dia a dia das empresas e organizações, como o conceito de tratamento de dados e segurança da informação. Por tratamento de dados de dados se entende toda a operação realizada com dados pessoais e por segurança da informação, como registrou a ANPD, “ o conjunto de ações que visam à preservação da confiabilidade, integridade e disponibilidade da informação”, cujo objetivo é prevenir, detectar e combater as ameaças digitais. 

Dentre as medidas de segurança da informação, o Guia trouxe medidas administrativas, medidas técnicas, medidas relacionadas ao uso de dispositivos móveis e medidas relacionadas ao serviço de nuvem. Entre as medidas administrativas estão a criação de Política de Segurança da Informação – PSI, conscientização e treinamento de funcionários, bem como o gerenciamento dos contratos com a inclusão de cláusulas referente a proteção de dados.

A Autoridade deixou claro que a Política de Segurança da Informação –PSI, embora não obrigatória, evidencia boa fé e diligência no trato dos dados pessoais, o que – se registre – vai ser levado em conta por ela no momento de aplicação de eventual sanção administrativa, conforme previsto pela própria LGPD (artigo 52,§1º). 

No que se refere a conscientização e treinamento, a Autoridade registrou o importante papel dos recursos humanos para o sucesso das medidas que se referem à segurança da informação. Nesse sentido, de fato, não há como negar, são realmente as pessoas da organização, especialmente em se tratando do pequeno, que lidarão com os dados. Logo, nada mais lógico do que a sua conscientização. 

O gerenciamento de contrato, por sua vez, poderá ser feito não somente com a revisão dos contratos já firmados pela empresa com funcionários, fornecedores, prestadores de serviços e outros, mas também, como sugeriu a Autoridade, com a confecção de termos de confiabilidade (non-disclosure agrément – NDA) a serem firmados pelos funcionários a fim de que esses se comprometam a não divulgar informações confidenciais que envolvam dados pessoais.

Outro ponto importante é a orientação para que as pequenas empresas que terceirizam os serviços de TI incluam nos contratos de prestação de serviço cláusulas que assegurem a adequada proteção dos dados pessoais, entre outros como regras sobre compartilhamentos e a vedação dos tratamentos incompatíveis com a legislação e políticas da empresa.

Em continuidade, também constou no guia a necessidade de controle de acesso aos dados somente por pessoas autorizadas, bem como da manutenção da segurança dos dados pessoais armazenados, incluindo o respeito ao princípio da finalidade e o descarte correto de dados, sejam físicos ou digitais. 

A Autoridade considerou importante a necessidade de evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives, discos rígidos e outros. Destacou também que os “backups”, cópias de segurança, não devem ser sincronizados em tempo real, mas sim realizados periodicamente de forma completa com armazenamento em locais seguros e distintos dos principais. 

Igualmente, restou salientada a necessidade de segurança das comunicações, uma vez que certa a vulnerabilidade no processo de transmissão de dados e informações, especialmente em aplicativos de mensagens. Dentre as orientações mais relevantes estão a instalação e manutenção de um sistema de firewall, bem como a utilização de antivírus integrados.

Por outro lado, também restaram dispostas outrasw medidas relacionadas ao uso de dispositivos móveis como smartphones e laptops, os quais devem necessariamente se sujeitar aos mesmos procedimentos de controle de acesso que outros equipamentos de TI, ainda que também utilizados para uso particular.

Quanto ao serviço de nuvem, a Autoridade também sugeriu como medida prioritária a realização de contrato de acordo de nível de serviço, bem como a utilização de técnicas de autenticação multi fator para acesso aos serviços em nuvem relacionados a dados pessoais.

O guia é finalizado destacando-se o seu objetivo de disseminar boas práticas e medidas consideradas básicas pela Autoridade de segurança da informação, bem como salientando que o seu conteúdo não possui caráter normativo vinculante, mas orientativo. 

Apesar disso, mais uma vez, é importante destacar que em nenhum momento a Autoridade dispensou a necessidade de as pequenas empresas adequarem suas atividades à legislação de proteção de dados. Da mesma forma, demonstrou o que considera serem boas práticas, ponto importante e que deve ser levado em conta pela própria instituição no momento das aplicações das sanções administrativas.

Destarte, vale ressaltar, a Autoridade deixa claro que as medidas dispostas devem ser complementadas com outras identificadas como necessárias para a promoção de segurança de cada empresa/organização. Por fim, também é relevante notar a necessidade de aculturamento das organizações a essa nova forma de pensar e agir que poderá interferir na sobrevivência de pequenas empresas nos próximos anos. 

 

Para acesso na integra do referido Guia acesse: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf

Ficou com dúvidas? Contate a Russell Bedford.

 

Debora Soares Prudêncio Caberlon

Supervisora de LGPD Russell Bedford

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *