28.10.2021 – A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 04 de outubro de 2021 um novo guia denominado “Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte“.
O guia na verdade é dividido em duas grandes sesssões:
| 1. Segurança da Informação relacionada a Dados Pessoais |
| 2. Medidas de Segurança da Informação |
Segurança da Informação Relacionada à Dados Pessoais
O guia inicia essa sessão afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam
à preservação da confidencialidade, integridade e disponibilidade da informação, que é um conceito oriundo da norma ISO 27.001, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.
Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança, previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais deacessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando a agentes de tratamento de dados a:
| Art. 46 – adotar medidas desegurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito. |
| Art. 47 – garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término, caso eles ou terceiros intervenham em uma das fases do tratamento. |
| Art. 48 – comunicar à ANPD de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados. |
| Art. 49 – garantir que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares. |
.Todas as normas acima, que levaram em consideração boas práticas internacionais podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexididade e especificidade. Em razão disso, são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.
Medidas de Segurança da Informação
As medidas de segurança da informação sugeridas pela ANPD dividem-se em medidas administrativas e medidas técnicas.
Com respeito às medidas administrativas, eis as medidas sugeridas pela ANPD:
- Política de Segurança da Informação (PSI).
- Conscientização e Treinamento.
- Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.
Com respeito às medidas técnicas, eis as medidas sugeridas pela ANPD:
- Controle de Acesso.
- Segurança dos Dados Pessoais Armazenados.
- Segurança das Comunicações.
- Manutenção de Programa de Gerenciamento de Vulnerabilidades
Além das medidas descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.
Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multi fator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.
Para o serviço em nuvem, é sugerido que os provedores do serviço de computação em nuvem observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de
serviço, contemplando a segurança dos dados armazenados. Finalmente, é sugerido que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como que sejam usadas técnicas de autenticação multi fator, como por exemplo, aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.
É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.
Por fim, uma medida complementar muito interessante, foi a criação de um check-list de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.
Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distante da realidade nacional. A implementação dessas medidas demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. Certamente, a implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.
Post Disclaimer
A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.
