ANPD e as orientações sobre segurança de dados pessoas para agentes de pequeno porte
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) disponibilizou, no último dia 04 de outubro, um guia orientativo e checklist sobre padrões mínimos de segurança da informação, destinado a empresas e pessoas naturais que tratam dados pessoais com fins econômicos (agentes de tratamento).
Embora direcionado especialmente para empresas de pequeno porte, recomenda-se este guia para todos os agentes que tratam dados, na medida em que pode servir como ponto de partida para construir um programa de gestão de ativos efetivos.
Em pequena síntese, os destinatários de honra deste guia são microempresas e empresas de pequeno porte, startups ou empresas de inovação, e outras que serão mencionadas em regulamentação futura.
As recomendações possuem natureza complementar e não vinculantes, e serão vistas como medidas de boas práticas, o que será levado em consideração em eventual fiscalização ou procedimento de responsabilização judicial ou administrativo, e possuem como objetivo tornar os ambientes institucionais mais seguros.
Este tema possui relevância impar no âmbito da Lei Geral de Proteção de Dados (LGPD), já que estabelece como um de seus principais princípios norteadores a prevenção e segurança de dados pessoais. Em síntese, temos o mandamento do art. 49, que estabelece que os sistemas utilizados para tratamento de dados devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança.
Quais as medidas administrativas que foram sugeridas?
- Política de Privacidade (PSI) simplificada;
- Ações de conscientização e treinamentos;
- Revisão de contratos e termos de confidencialidade com colaboradores.
Quais as medidas técnicas que foram sugeridas?
- Controle de acesso, como por exemplo, a instituição de níveis de complexidade de senhas e menor nível de acesso aos colaboradores, conferindo-lhes acesso apenas aos dados pessoais estritamente necessários para cumprimento de suas atividades internas;
- Estipular regras de backup e eliminação de dados em mídias físicas ou digitais;
- Implementar mecanismos de segurança evitando o comprometimento dos aplicativos de mensageria e correio eletrônico (e-mail). Como por exemplo, manter firewall e antivírus atualizados;
- Regras sobre a utilização de dispositivos móveis, inclusive, com a sugestão de não se utilizar dispositivos privados para atividades institucionais; e
- Revisar contratos e solicitar prova de conformidade com padrões de segurança aceitáveis dos fornecedores de serviços de aplicações em nuvem.
*Lucas Anjos é advogado e Data Protection Officer (DPO), pós-Graduando em Compliance, Auditoria e Controladoria pela PUC-RS, atuante no consultivo empresarial, cível, consumidor e líder de projetos de adequação de empresas à LGPD.