Para aqueles que ainda não se atentaram à importância da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) tem cumprido seus compromissos e prioridades. Verifique as recentes recomendações não vinculantes, mas que tem o propósito de servir como um guia de boas práticas às PMES (pequenas, microempresas e startups).
Dentro do planejamento estratégico da ANPD, que visa dar celeridade à implementação do Programa de Governança em Privacidade, foi publicado no último dia 04 de outubro o guia orientativo para agentes de tratamento de pequeno porte com foco nas diretrizes de segurança da informação. Segundo o guia, “Um importante ponto é o gerenciamento de riscos no âmbito da segurança da informação, que consiste no processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização. Ele visa a obter um equilíbrio eficiente entre a concretização de oportunidades de ganhos e a minimização de vulnerabilidades e perdas.”
A Lei Geral de Proteção de Dados (LGPD) estabelece que os agentes de tratamento de pequeno porte devem adotar medidas de segurança em caráter regular que promovam: (i) a garantia da segurança da informação em relação aos dados pessoais, mesmo após o término do tratamento; (ii) a obrigação de comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados; e (iii) meios de estruturar os sistemas e ferramentas de TI para o tratamento de dados pessoais, com base na segurança da informação para o cumprimento dos princípios gerais previstos na LGPD e nas demais normas regulamentares.
A intenção da ANPD foi auxiliar estas empresas de pequeno porte, que vem sobrevivendo em meio a um momento econômico difícil, mesmo assim tem aberto às portas a geração de muitos empregos no Brasil.
Neste guia são recomendadas medidas administrativas e técnicas para proteção de dados pessoais que se ajustem ao tamanho, necessidade e baixo custo para os pequenos empresários.
Essencialmente a ANPD recomendou medidas simples e eficazes como: (i) criação de uma política de segurança da informação (PSI) clara e consistente que permita a definição de regras para o controle de ações relacionadas a proteção de dados; (ii) implementação de um programa de treinamento e campanhas de conscientização de funcionários com vistas a solidificar a cultura de privacidade dentro da empresa; e (iii) a terceirização de serviços de TI como uma alternativa, uma vez que nem sempre estas empresas de pequeno porte tem funcionário especializado ou dedicado a esta tarefa.
Na prática, o guia pressupõe que por meio da construção dos requisitos estruturais de a proteção de dados nas empresas, sejam atenuados eventuais incidentes de privacidade.
No tocante a criação de uma política de segurança de informação, a recomendação é estabelecer uma política de acordo com a estrutura organizacional e que disponha de ferramentas efetivas, tais como: política de uso de senhas; regras de autenticação de acesso aos sistemas (baseada em níveis de permissão hierárquicos); instruções de segurança para compartilhamento de dados; regras formais para uso do e-mail corporativo; política de atualização de softwares periféricos; diretrizes para adoção de antivírus; definição de regras para as estações de trabalho; implementação de backups regulares e, inclusive, adoção de arquivos em nuvem, dentre outras opções de segurança que se adequam ao modelo de negócios e as soluções de TI apropriadas.
Em especial sobre a implementação de medidas de controle de acesso, é importante que a autenticação permita identificar quem acessa o sistema ou os dados; a autorização determina o que o usuário identificado pode fazer; a auditoria registra o que foi feito pelo usuário, ou seja auxiliará sobremaneira a assegurar o tratamento e controles necessários a serem reportados aos titulares de dados e ou eventualmente a ANPD. Caso a empresa possua rede interna de computadores deve ser implementado um sistema de controle de acesso aplicável a todos os usuários e, definitivamente, com níveis de permissão na proporção da necessidade de manuseio ou de acesso aos dados pessoais.
Destaca que é fundamental a disseminação da cultura de proteção de dados entre os funcionários, com treinamentos e campanhas de conscientização sobre obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. Nestes eventos pode-se comunicar, informar até dar dicas de como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário; como evitar os riscos de serem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de “phishing” (golpe virtual em que a vítima é direcionada a um site falso e fornece involuntariamente dados confidenciais ); documentos físicos que contenham dados pessoais devem ser mantidos dentro de gavetas, e não sobre as mesas; não compartilhar logins e senhas de acesso das estações de trabalho, dentre outros temas.
Na hipótese da terceirização dos serviços de TI, recomenda-se que se estabeleçam com os fornecedores, contratos formais que incluam cláusulas específicas de segurança da informação como por exemplo: regras sobre compartilhamentos; obrigações estabelecidas entre controlador-operador e determinação de regras detalhadas para afastar eventuais tratamentos não compatíveis com as orientações do controlador.
As recomendações aqui indicadas estão baseadas nos artigos 46, 47, 49 e 50 da LGPD, foram baseadas nas boas práticas internacionais e destinam-se a criar um ambiente menos complicado para empresas de pequeno porte, uma vez que na qualidade de agentes de tratamento não podem deixar de cumprir os objetivos da referida lei.
As PMEs podem dar bons exemplos com regras exemplares e destacarem-se muito no mercado, vez que seu principal objetivo é dar segurança jurídica a seus empregados, clientes e parceiros comerciais.
Veja também o “checklist de medidas de segurança da informação”. Agora ficou bem mais fácil cumprir a legislação para as PMEs.
Por Thais Carloni
Leia outras notícias no portal Mundo Agro Brasil