ANPD publica Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte
No dia 04 de outubro a Autoridade Nacional de Proteção Dados (“ANPD”) lançou um guia orientativo de segurança da informação, juntamente com um checklist, para auxiliar os agentes de tratamento de pequeno porte a implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados em suas atividades, de acordo com a Lei Geral de Proteção de Dados (“LGPD”). Dentre as principais medidas administrativas e técnicas de segurança da informação sugeridas pela ANPD, é possível destacar as que seguem:
– Política de segurança da informação: documento que descreve um conjunto de regras que têm por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.
– Conscientização e Treinamento: ações de recursos humanos para informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos nas atividades de tratamento de dados, sobre suas obrigações e responsabilidades relacionadas com a LGPD.
– Gerenciamento de contratos: assinatura de termos de confidencialidade com os funcionários da empresa e estabelecimento de cláusulas que assegurem a adequada proteção de dados pessoais nos contratos com fornecedores.
– Controles de acesso: processos de autenticação, autorização e auditoria para garantir que os dados sejam acessados somente por pessoas autorizadas.
– Segurança no armazenamento dos dados pessoais: segurança de dados em repouso por meio do uso de configurações de segurança, restrições de acesso de determinados tipos de sites, vedação a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, realização de backups regularmente de forma completa e armazenados em locais seguros e distintos dos dispositivos de armazenamento principais.
– Segurança nas comunicações: segurança de dados em trânsito através do uso de conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia ponta a ponta.
– Programa de gerenciamento de vulnerabilidades: monitoramento da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos com a adoção e atualização de softwares antivírus ou anti-malwares, que detectam, impedem e atuam na remoção de programas maliciosos, como vírus.
– Medidas relacionadas ao uso de dispositivos móveis: smartphones e laptops, caso seu uso seja necessário para fins institucionais, devem estar sujeitos aos mesmos procedimentos de controle de acesso que os outros equipamentos de TI.
– Medidas relacionadas ao serviço em nuvem: estabelecimento de contrato de acordo de nível de serviço, contemplando a segurança dos dados armazenados.
Trata-se do segundo guia orientativo editado pela ANPD (o primeiro versou sobre a identificação dos agentes de tratamento), nos termos do art. 55-J, XVIII, LGPD, sendo inédita a manifestação da autoridade sobre o tema da segurança da informação, que ainda gera dúvidas e incertezas a empresas de todos os portes durante os processos de adequação à LGPD.
Importante destacar que o guia é meramente orientativo, ou seja, não haverá penalidades imediatamente aplicáveis no caso de seu descumprimento pelos agentes. Todavia, as medidas administrativas e técnicas de segurança da informação sugeridas pela ANPD poderão ser consideradas boas práticas, sendo recomendável que sejam observadas.
Outro aspecto que denota a relevância do guia é a possibilidade de que os parâmetros apontados sejam considerados requisitos mínimos de um padrão de segurança a serem observados por todos os agentes de tratamento, e não apenas para aqueles considerados de “pequeno porte”, uma vez que a LGPD estipula a adoção de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais” (art. 46), sem trazer elementos concretos sobre essas medidas.