ANPD publica Guia de Segurança da Informação para MPEs e startups

anpd startups_Report Startup

A ANPD (Autoridade Nacional de Proteção de Dados) publicou, no dia 4 de outubro, guia orientativo de segurança da informação para auxiliar os agentes de tratamento de pequeno porte, como MPEs (micro e pequenas empresas) e startups, a implementar medidas mais eficazes para a proteção dos dados pessoais.

De acordo com a Autoridade, o guia é destinado a agentes de tratamento que, por causa de seu tamanho e eventuais limitações, muitas vezes não possuem, entre seus funcionários, especialistas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.

Segurança da informação

A segurança da informação corresponde a um conjunto de ações que objetivam a proteção da privacidade, confidencialidade, integridade e disponibilidade da informação, por meio do combate às ameaças digitais. A ANPD destaca que as empresas precisam estar preparadas para gerenciar os riscos que possam deixar seus sistemas vulneráveis.

Essas ações devem ser realizadas periodicamente, como forma de proteger a atividade de tratamento de dados desenvolvida pelas empresas, que consiste em coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A segurança é princípio previsto no artigo 6º, VII, da LGPD (Lei Geral de Proteção de Dados), devendo as empresas, por meio da utilização de medidas técnicas e administrativas, proteger os dados pessoais de qualquer ameaça, a exemplo de acessos não autorizados e situações ilícitas que levem à destruição ou à perda das informações.

Ainda segundo a LGPD, nos artigos 47 a 49, os agentes de tratamento de pequeno porte devem adotar medidas de segurança para:

(i) Garantir a segurança da informação prevista na Lei em relação aos dados pessoais, mesmo após seu término;

(ii) Comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados; e

(iii) Estruturar os sistemas utilizados para o tratamento de dados pessoais, com o objetivo de atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

No guia, a ANPD também destacou que garantir boas práticas de segurança pode ser um procedimento de alto custo às empresas e, por isso, disponibilizou sugestões capazes de promover, em agentes de tratamento de pequeno porte, ambiente institucional mais seguro quanto ao tratamento de dados pessoais.

Medidas administrativas

Uma das sugestões apontadas pela Autoridade Nacional de Proteção de Dados é a elaboração de uma Política de Segurança da Informação (PSI), que possibilitará o planejamento, a implementação e o controle de ações relacionadas à proteção de dados em uma organização de qualquer porte. Aqui cabe ressaltar que as medidas não são obrigatórias, apesar de serem incentivadas pela ANPD.

Outra medida administrativa diz respeito à conscientização dos funcionários por meio de treinamentos e campanhas sobre:

  • Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
  • Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up ou em links desconhecidos que chegam por e-mail;
  • Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
  • Não compartilhar logins e senhas de acesso das estações de trabalho;
  • Bloquear os computadores quando se afastarem das estações de trabalho, para evitar o acesso indevido de terceiros; e
  • Seguir as orientações da política de segurança da informação.

A ANPD ainda recomenda aos agentes de tratamento de pequeno porte que terceirizam os serviços de TI que “estabeleçam com os fornecedores contratos que incluam, entre outras, cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais”.

Medidas técnicas

A Autoridade Nacional de Proteção de Dados recomenda, ainda, aos agentes de tratamento de pequeno porte o cumprimento de medidas técnicas, como controle de acesso, garantindo, assim, que os dados sejam acessados somente por pessoas autorizadas.

Caso tenha rede interna de computadores, o agente poderá implementar sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão e garantir que os funcionários utilizem gerenciamento de senhas, para dificultar a ocorrência de incidentes.

Quanto à coleta e ao processamento dos dados pessoais por agentes de pequeno porte, o guia da ANPD dá atenção ao princípio da necessidade, previsto no artigo 6º, III, da LGPD. De acordo com esse princípio, a coleta e o processamento devem ocorrer somente sobre dados pessoais que são realmente necessários para atingir a finalidade pretendida. No caso dos dados sensíveis, a sugestão é que sejam implementadas técnicas que dificultem a identificação do titular, como a criptografia.

Ainda nas medidas técnicas, a ANPD destaca a segurança das comunicações, por meio do gerenciamento do tráfego de rede, o que pode ser feito com:

  • Instalação e manutenção de um sistema de firewall que monitora, detecta e bloqueia ameaças, impedindo conexões a redes não confiáveis;
  • Proteção de serviços de e-mail, utilizando antivírus integrados, ferramentas anti-spam e filtros de e-mail.

Dispositivos móveis e serviços de nuvem

No caso dos dispositivos móveis utilizados para o alcance da finalidade pretendida pelas MPEs e startups, a ANPD sugere que “estejam sujeitos aos mesmos procedimentos de controle de acesso dos outros equipamentos de TI, como uso da autenticação multifator para acesso aos dispositivos e sistemas de informação da organização, além de serem guardados em locais seguros quando não estiverem em uso”, caso contrário, recomenda-se que os dispositivos móveis não sejam utilizados para fins institucionais.

Já em relação à tecnologia de nuvem, a sugestão da ANPD é que “o agente de tratamento de pequeno porte feche contrato de acordo com o nível de utilização desses serviços, contemplando a segurança dos dados armazenados”, além de avaliar “se o serviço oferecido pelo provedor do serviço em nuvem atende aos requisitos estabelecidos”.

Regulação das startups

A ANPD está dedicada à regulação dos agentes de tratamento de pequeno porte, como MPEs e startups, para que estejam em conformidade com a LGPD. Em setembro, a Autoridade submeteu à consulta pública minuta de resolução para regulamentar a aplicação da Lei a esses agentes.

Marco Legal das Startups

Um mês antes, em agosto, o Marco Legal das Startups (Lei Complementar nº 182/2021) entrou em vigor. A norma prevê condições mais favoráveis às startups, por meio de maior segurança jurídica para investidores e do estabelecimento de regras de tratamento diferenciado para essas empresas. Entre os objetivos está a redução da burocracia, o que deve estimular o ambiente de negócios envolvendo startups.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp