AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS DISPONIBILIZA GUIA ORIENTATIVO SOBRE SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE
Escrito por Guilherme Melo de Morais
A Autoridade Nacional de Proteção de Dados (“ANPD”) disponibilizou em seu site (https://www.gov.br/anpd/pt-br) um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte (“Guia”), contendo orientações acerca da adoção de medidas e procedimentos diferenciados e simplificados para promover a preservação da confidencialidade, integridade e disponibilidade das informações e dados pessoais.
Por agentes de tratamento de pequeno porte, atualmente se considera a sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 do Código Civil, incluído o microempreendedor individual com faturamento máximo de até R$360.000,00 (trezentos e sessenta mil reais), nos termos do inciso I, do art. 3º da Lei Complementar nº123/2006. Além destes, a ANPD poderá, por meio de resolução específica, classificar outras sociedades como agentes de tratamento de pequeno porte.
Os procedimentos e medidas que a ANPD incluiu em seu Guia foram divididos em 9 (nove) tópicos, quais sejam: (i) Política de Segurança da Informação; (ii) Conscientização e Treinamento; (iii) Gerenciamento de Contratos; (iv) Controle de Acesso; (v) Segurança dos Dados Pessoais Armazenados; (vi) Segurança das Comunicações; (vii) Gerenciamento de Vulnerabilidades; (viii) Dispositivos Móveis; e (ix) Serviços de Nuvem. Dentre as ações indicadas estão, exemplificativamente:
- estabelecimento de uma política de segurança da informação simplificada (“PSI”);
- revisões periódicas da PSI;
- realizar a conscientização e o treinamento dos funcionários;
- assinar termos de confidencialidade (NDA´s) com os funcionários da empresa;
- estabelecer contratos com cláusulas de segurança da informação que assegurem a proteção de dados pessoais;
- implementar um sistema de controle de acesso aplicável a todos os usuários com níveis de permissão na proporção da necessidade;
- implementar um sistema adequação de gerenciamento de senhas;
- proibir o compartilhamento de senhas;
- utilizar a autenticação multi-fator para acesso a sistemas e base de dados que contenham dados pessoais;
- implementar soluções de pseudonimização, como criptografia, para cifrar dados pessoais;
- realizar backups offiline, periódicos e armazená-los de forma segura;
- estabelecer no contrato de serviço o registro da distribuição/descarte dos dados pessoais;
- utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim- afim para serviços de comunicação;
- proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e, integrar o antivírus ao sistema de e-mail;
- adotar e atualizar periodicamente softwares antivírus e antimalwares;
- separar os dispositivos móveis de uso privado daqueles de uso institucional, quando possível;
- implementar funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis; e
- analisar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado.
O Guia não possui efeito normativo vinculante e, por orientação da ANPD, deverá ser entendido como um guia de boas práticas, que poderá ser atualizado e aperfeiçoado constantemente.
As medidas e procedimentos constantes do Guia acabam por corroborar a necessidade de um acompanhamento técnico, jurídico e de tecnologia da informação, para um correto processo de adequação, implantação e manutenção das obrigações constantes da LGPD.
A Equipe de Negócios Digitais, Tecnologia e Proteção de Dados do PLC Advogados coloca-se à disposição para quaisquer esclarecimentos e providências que se fizerem necessários.
Escrito por Ester Carvalho da Costa A Consolidação das Leis de Defesa do
Escrito por Guilherme Domenech Silva A impenhorabilidade de valores deposit
Escrito por Fernanda de Oliveira Sanches A quarta turma do Tribunal Superio
Inscreva-se em nossa Newsletter
Fique por dentro dos acontecimentos mais relevantes do meio jurídico empresarial em um só canal