AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS DISPONIBILIZA GUIA ORIENTATIVO SOBRE SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE

Escrito por Guilherme Melo de Morais

A Autoridade Nacional de Proteção de Dados (“ANPD”) disponibilizou em seu site (https://www.gov.br/anpd/pt-br) um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte (“Guia”), contendo orientações acerca da adoção de medidas e procedimentos diferenciados e simplificados para promover a preservação da confidencialidade, integridade e disponibilidade das informações e dados pessoais.

Por agentes de tratamento de pequeno porte, atualmente se considera a sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 do Código Civil, incluído o microempreendedor individual com faturamento máximo de até R$360.000,00 (trezentos e sessenta mil reais), nos termos do inciso I, do art. 3º da Lei Complementar nº123/2006. Além destes, a ANPD poderá, por meio de resolução específica, classificar outras sociedades como agentes de tratamento de pequeno porte.

Os procedimentos e medidas que a ANPD incluiu em seu Guia foram divididos em 9 (nove) tópicos, quais sejam: (i) Política de Segurança da Informação; (ii) Conscientização e Treinamento; (iii) Gerenciamento de Contratos; (iv) Controle de Acesso; (v) Segurança dos Dados Pessoais Armazenados; (vi) Segurança das Comunicações; (vii) Gerenciamento de Vulnerabilidades; (viii) Dispositivos Móveis; e (ix) Serviços de Nuvem. Dentre as ações indicadas estão, exemplificativamente:

1. estabelecimento de uma política de segurança da informação simplificada (“PSI”);
2. revisões periódicas da PSI;
3. realizar a conscientização e o treinamento dos funcionários;
4. assinar termos de confidencialidade (NDA´s) com os funcionários da empresa;
5. estabelecer contratos com cláusulas de segurança da informação que assegurem a proteção de dados pessoais;
6. implementar um sistema de controle de acesso aplicável a todos os usuários com níveis de permissão na proporção da necessidade;
7. implementar um sistema adequação de gerenciamento de senhas;
8. proibir o compartilhamento de senhas;
9. utilizar a autenticação multi-fator para acesso a sistemas e base de dados que contenham dados pessoais;
10. implementar soluções de pseudonimização, como criptografia, para cifrar dados pessoais;
11. realizar backups offiline, periódicos e armazená-los de forma segura;
12. estabelecer no contrato de serviço o registro da distribuição/descarte dos dados pessoais;
13. utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim- afim para serviços de comunicação;
14. proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e, integrar o antivírus ao sistema de e-mail;
15. adotar e atualizar periodicamente softwares antivírus e antimalwares;
16. separar os dispositivos móveis de uso privado daqueles de uso institucional, quando possível;
17. implementar funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis; e
18. analisar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado.

O Guia não possui efeito normativo vinculante e, por orientação da ANPD, deverá ser entendido como um guia de boas práticas, que poderá ser atualizado e aperfeiçoado constantemente.

As medidas e procedimentos constantes do Guia acabam por corroborar a necessidade de um acompanhamento técnico, jurídico e de tecnologia da informação, para um correto processo de adequação, implantação e manutenção das obrigações constantes da LGPD.

A Equipe de Negócios Digitais, Tecnologia e Proteção de Dados do PLC Advogados coloca-se à disposição para quaisquer esclarecimentos e providências que se fizerem necessários.