Aproveitamos que neste mês de outubro faz um ano da publicação pela Autoridade Nacional de Proteção de Dados (ANPD) do guia orientativo sobre medidas de Segurança da Informação (SI) que podem ser adotadas por Agentes de Tratamento de Pequeno Porte[1] para tratamento de dados pessoais (Guia Orientativo), para dar visibilidade para esse tema.
Com o objetivo de identificar, quantificar e gerenciar riscos, minimizando as vulnerabilidades da empresa e atendendo as obrigações estabelecidas pela LGPD, a ANPD buscou compilar diretrizes gerais acerca do tratamento de dados pessoais e orientar os agentes de pequeno porte acerca da previsão do art. 55-j, XVIII.
O Guia Orientativo apresentou de forma sintética o que serão compreendidas como melhores práticas. Nesse sentido, ressalta as normas regulamentares específicas de cada setor, bem como as de normalização, como a ISO 27001, mas não as apresenta como de implementação obrigatória.
Em relação a medidas de segurança da informação, administrativas e técnicas, dispõe sobre a cultura institucional e perante seus parceiros, em relação às quais destacamos os seguintes pontos:
Administrativas | Descrição |
Política de Segurança da Informação (PSI)
|
Documento que institui as regras e diretrizes da empresa que devem ser seguidas por todos os colaboradores.
Caso a empresa implemente a PSI, ela deverá conter: – Previsão de revisão periódica da política; e – Controles relacionados ao tratamento de dados pessoais (antivírus, cópias de segurança, uso de senhas, atualização de softwares etc.) |
Conscientização e treinamento
|
Realização de treinamentos para conscientização dos colaboradores sobre as obrigações e responsabilidades decorrentes do tratamento de dados pessoais e implementação efetiva da PSI
Os temas a serem objeto de treinamentos destacados pela ANPD são: – Controles de segurança dos sistemas; – Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, como vírus e phishing; – Política de mesa limpa; – Utilização de logins e senhas pessoais e intransferíveis para acesso às estações de trabalho; e – Bloqueio dos computadores e dispositivos quando se afastar das estações de trabalho. |
Gerenciamento de contratos | Adoção de termos de confidencialidade assinados por funcionários para evitar a divulgação de informações críticas que envolvam dados pessoais.
Estipulação de cláusulas que distribuam as funções e reponsabilidades das partes em relação ao tratamento de dados pessoais. Inclusão de cláusulas de segurança da informação em relação aos dados pessoais caso utilizados serviços terceirizados de TI. Orientações sobre o tratamento a ser realizado com vedação a realização de atividades incompatíveis com as orientações do controlador. |
As ações técnicas apresentadas pelo Guia Orientativo apresentam medidas a serem adotadas especialmente no ambiente digital, sobre as quais apresentamos o quadro resumo a seguir:
Técnicas | |
Controle de acesso | Consiste em restringir acesso aos dados apenas por pessoas autorizadas, possibilitando a autenticação da identificação de quem está acessando o sistema e auditoria sobre os acessos e atividades do usuário, tais como:
– Níveis de permissão de acesso a dados de acordo com as atividades e responsabilidades – Permissão para a criação, aprovação, revisão e exclusão de contas dos usuários – Senhas com certo nível de complexidade – Proibição de compartilhamento de senhas e usuários – Utilização de autenticação multi-fatores |
Segurança dos dados pessoais armazenados | – Revisão da base de dados para manutenção daqueles efetivamente necessários;
– Restrição de coleta de dados pessoais necessários à atividade. – Pseudonimização dos dados pessoais, especialmente para tratamento de dados pessoais sensíveis (ex.: criptografia) – Configurações de segurança de rede padrão – Evitar o armazenamento de dados em dispositivos externos (pendrive, disco rígido externo etc.) – Utilização de dispositivos externos mediante inventário dos dados pessoais e com adoção de medidas para cifrá-los e mantê-los em locais seguros. – Realização periódica de cópias de segurança dos dados armazenados no sistema interno em locais seguros, sem estar sincronizadas em tempo real, e distintos dos dispositivos principais. – Eliminação dos dados armazenados em mídias físicas mediante prévia formatação dos dados e, quando não for possível, a destruição física. Em caso de contrato com terceiro para destruição de mídias físicas, recomenda-se a estipulação em cláusula de registros da operação. |
Segurança das comunicações | – Utilização de conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim
– Gerenciamento de tráfego de rede mediante Firewall e proteção de e-mail com utilização de antivírus integrado, ferramentas anti-spam e filtros de e-mail – Remoção de dados pessoais, especialmente sensíveis, que estejam disponibilizados em redes públicas |
Medidas relacionadas ao uso de dispositivos móveis | – Procedimentos de controle de acesso
– Separar os dispositivos móveis de uso privado dos de uso institucional, sobre os quais recomenda-se a implementação de funcionalidades que apaguem remotamente dados pessoais relacionados à sua atividade. – Não utilizar dispositivos móveis de uso pessoal para fins institucionais quando não foi possível a implementação das mesmas medidas de segurança estabelecidas pela empresa. |
Medidas relacionadas ao serviço em nuvem | Na utilização de nuvem para armazenamento de dados, diferente das demais, a ANPD evidencia a exigência de observação e implementação de recomendações internacionais e boas práticas de segurança da informação. Com isso, a recomendação é que seja realizado um Service Level Agreement (SLA), que apresente as técnicas que deverão ser adotadas ao longo do serviço, além da contínua avaliação do atendimento aos requisitos estabelecidos. Neste caso, também deverão ser observadas as recomendações de controle de acesso. |
Manutenção de programa de gerenciamento de vulnerabilidades | Monitoramento periódico da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos.
Adoção e atualização de softwares antivírus ou antimalwares que funcionem ativamente e atualizados, realizando varredura periódica nos dispositivos. |
Ainda que as orientações não representem obrigações gerais, sendo possível a implementação de recursos de alto nível de proteção mantendo a saúde financeira da empresa, essas medidas deverão ser aplicadas, sob pena de caracterização de tratamento irregular.
Ainda, a depender dos níveis de risco e criticidade dos dados pessoais envolvidos na operação, a não adoção das recomendações poderá acarretar eventuais passivos[2].
Sendo estas nossas considerações, estamos à disposição para esclarecer eventuais dúvidas.
Zavagna Gralha Advogados
[1] A publicação de Resolução que defina o conceito ainda está pendente. Por ora, entende-se que estão englobadas as microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.
[2] Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
(…)
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.