A Agência Nacional de Proteção de Dados (ANPD) publicou nesta semana o “Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte”.
O novo manual de “Boas Práticas” foi editado visando auxiliar micro e pequenas empresas, bem como as autodeclaradas startups, a implementar procedimentos voltados à proteção de dados, mas de forma a mitigar eventual onerosidade pela conformidade.
Mesmo na ausência de um conceito definitivo (até o momento) do que seriam os “agentes de tratamento de pequeno porte”, o novo Guia da ANPD é útil para orientar qualquer agente que necessite aprimorar seus padrões de segurança da informação, apesar de limitações orçamentárias ou de pessoal em decorrência do seu porte.
Nesse sentido, o documento esclarece alguns temas, definições e obrigações centrais da Lei Geral de Proteção de Dados (LGPD)[1], além de sugerir medidas de segurança que podem ser tomadas por essas organizações na promoção de um ambiente institucional mais seguro quanto ao tratamento de dados pessoais. As sugestões não são exaustivas e podem (devem) ser complementadas por outras medidas que forem julgadas pertinentes. Elas compreendem, em síntese:
- Segurança da informação: é recomendável, sempre que possível, estabelecer uma “política interna de segurança da informação”, com diretrizes sobre controles relacionados ao tratamento de dados pessoais (ex.: orientações sobre cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros). A política pode ser simplificada, mas é importante que haja revisão periódica.
- Treinamentos de dados pessoais: o Guia recomenda a realização de treinamentos e campanhas de conscientização de todos os funcionários (especialmente aqueles diretamente envolvidos em processos de tratamento de dados). Informações úteis a serem compartilhadas nesses treinamentos podem ir desde formas de utilizar controles de segurança dos sistemas de TI a orientações de arquivamento de documentos físicos em gavetas, entre outras.
- Criação de um ambiente organizacional que incentive usuários de sistemas da empresa (tanto clientes quanto funcionários) a informar incidentes e vulnerabilidades quando forem detectadas.
- Gerenciamento de contratos: recomenda-se a assinatura de termos de confidencialidade (NDAs) por funcionários da empresa ou funcionários terceirizados, garantindo o compromisso de não divulgação de informações confidenciais que envolvam dados pessoais. No caso da contratação de terceiros, recomenda-se incluir nos próprios contratos cláusulas específicas sobre compartilhamentos de dados, relações entre controlador-operador, orientações sobre o tratamento específico a ser realizado e vedação de outros tratamentos incompatíveis com as orientações dadas.
- Controle de acesso a dados: apenas pessoas autorizadas devem acessar os dados. O sistema de acesso deve contar com autenticação, que permita identificar e rastrear quem teve acesso ao dado, e autorizações para tratamentos específicos.
- Segurança dos dados armazenados: (i) coletar e armazenar somente os dados estritamente necessários; (ii) garantir que dados pessoais sensíveis[2] sejam armazenados com soluções que dificultem identificação do titular (ex. utilização de criptografia); (iii) garantir que os dados sejam acessados apenas por meio de senha de uso individual, orientando os colaboradores sobre a importância desta medida de segurança; (iv) evitar transferência de dados por dispositivos físicos como pendrives ou HDs externos, entre outros; (v) realização de cópias de segurança dos dados regularmente e armazenamento das cópias em dispositivos diferentes daqueles que fazem o armazenamento principal (se armazenadas em nuvem, é importante que não haja sincronização em tempo real); e (vi) para eliminação dos dados armazenados em mídias, sugere formatação antes do descarte e, se possível, destruição física da mídia (o que também se aplica para dados em papéis). Havendo contrato com terceiros para descarte, recomenda estabelecimento de cláusula de registro da destruição realizada.
- Garantir a segurança das comunicações de dados entre clientes e colaboradores (e entre colaboradores entre si): utilização de conexões cifradas ou aplicativos com criptografia, se possível, e gerenciamento do tráfego da rede, além de assegurar remoção de dados pessoais desnecessariamente disponibilizados em redes públicas.
- Manter um programa de gerenciamento de vulnerabilidades: atualização e varreduras constantes dos sistemas, aplicativos e softwares utilizados.
- Controlar acesso de dados por dispositivos móveis (como smartphones e laptops) utilizados para fins institucionais: colaboradores, sempre que possível, devem ter dispositivo exclusivo para fins profissionais. Ainda, como dispositivos móveis estão mais sujeitos a perdas ou roubos, sugere-se avaliar a implementação de funcionalidades que permitam apagar remotamente os dados pessoais armazenados nesses dispositivos.
- Avaliação dos serviços oferecidos por provedores de armazenamento em nuvem: verificar se atendem o nível de proteção exigido para o tratamento de dados que se pretende fazer. Além disso, os usuários do serviço devem ser instruídos sobre esses requisitos e sobre a utilização de técnicas de autenticação multi fator (ex.: tolkens ou envio de código por SMS) para acesso ao dataroom.
Para facilitar a verificação de implementação dessas medidas, a ANPD disponibilizou junto com o Guia de boas práticas uma checklist para uso interno dessas organizações.
O Guia faz parte da chamada regulamentação diferenciada da aplicação da LGPD que reconhece que agentes menores podem enfrentar maiores dificuldades orçamentárias ou de pessoal para a implementação dessas normas.
O debate sobre as regras para micro e pequenas e empresa e startups tem sido considerado prioritário. Se por um lado se entende que a adequação à LGPD pode representar um ônus para esses empreendimentos, por outro, dispensas ou simplificações podem gerar maior insegurança e reduzir o volume de negócios.
Seguindo a Agenda Regulatória 2021-2022 da ANPD, uma nova resolução, implementando este tratamento diferenciado às micro e pequenas empresas e às autodeclaradas startups, está em processo de avaliação de impacto regulatório. A minuta já foi discutida em duas sessões de Audiência Pública (ocorridas em 14/09 e 15/09) e, no momento, está disponível para comentários em Consulta Pública . Contribuições serão aceitas até o dia 14/10, por meio de plataforma própria.
[1] Lei n.º 13.709/2018, em vigor desde setembro de 2020.
[2] Lembrando que nos termos do art. 5º, II da LGPD são considerados dados sensíveis aqueles que podem ser utilizados para fins discriminatórios, sendo eles os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.