Por Isabella Diniz[1]
Conforme publicação a Autoridade Nacional de Proteção de Dados – ANPD, a Lei nº 13.709, de 14-08-2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), representa um marco regulatório sobre o tratamento de dados pessoais. E um dos seus pilares é a proteção desses dados, envolvendo conceitos que remetem a atividades relacionadas à segurança da informação, à governança de dados e à gestão de riscos.
Como competência da ANPD, a LGPD determinou em seu art. 55-J, XVIII, a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação. A resolução com esse fim pode incluir no conceito de agentes de pequeno porte outras categorias de organizações além das anteriormente mencionadas.
Desse modo, no dia 04-10-2021 a ANPD publicou “Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte”, com o propósito fundamental de ser uma ferramenta de apoio a implementação de um processo estruturado de segurança da informação adequado a cada organização, considerando seu negócio e seu porte.
O guia indica medidas administrativas e técnicas de segurança da informação e um checklist para facilitar a visualização das sugestões que serão adotadas.
Nesse sentido, a ANPD sugere que, quando possível, seja estabelecida pela organização uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros.
Ainda, recomenda-se os agentes de tratamento de pequeno porte conscientizem os seus funcionários por meio de treinamentos e campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. Essa conscientização implica informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.
Portanto, o guia apresenta medidas administrativas que envolvem a política de segurança da informação relacionada a dados pessoais e a segurança em recursos humanos; e medidas técnicas, que tratam, entre outros, do controle de acesso aos dados; segurança nos dados armazenados; manutenção de programa de gerenciamento de vulnerabilidades; e segurança das comunicações.
Também se deu destaque as medidas relacionadas ao serviço em nuvem (de ordem técnica ou administrativa), tendo em vista a frequência com que esses serviços são utilizados por agentes de tratamento de pequeno porte.
Assim, espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais de pequeno porte.
Por fim, ressalta-se que o guia (https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf) disponibilizado pela ANPD e o checklist de medidas de segurança para agentes de tratamento de pequeno porte ( https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf) não possuem efeito normativo vinculante e deve ser entendido como um guia de boas práticas, que poderá ser atualizado e aperfeiçoado sempre que necessário.
Logo, caso você tenha ficado com alguma dúvida a respeito do tema abordado neste artigo, ou tenha interesse em nos conhecer melhor e saber mais sobre as legislações relacionadas à segurança da informação, não deixe de entrar em contato conosco!
Aproveite para conhecer também o nosso Departamento de Compliance e Riscos ESG!