Autoridade Nacional de Proteção de Dados publica guia “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”

November 1, 2021

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 4 de outubro o "Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Ele é dividido em duas grandes seções:

1. Segurança da Informação Relacionada a Dados Pessoais

2. Medidas de Segurança da Informação

Segurança da Informação Relacionada a Dados Pessoais

O guia inicia essa seção afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação – um conceito oriundo da norma ISO 27001 –, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.

Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando os agentes de tratamento de dados a:

Art. 46 - adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito.

Art. 47 - garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término, caso eles ou terceiros intervenham em uma das fases do tratamento.

Art. 48 - comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados.

Art. 49 - garantir que os sistemas utilizados para o tratamento de dados pessoais estejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

Todas as normas acima, que levaram em consideração boas práticas internacionais, podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexidade e especificidade. Por isso são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.

Medidas de Segurança da Informação

As medidas de segurança da informação sugeridas pela ANPD dividem-se em administrativas e técnicas.

As medidas administrativas sugeridas pela ANPD são:

1. Política de Segurança da Informação (PSI).

2. Conscientização e Treinamento.

3. Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.

Com respeito às medidas técnicas, as sugeridas pela ANPD são:

1. Controle de Acesso.

2. Segurança dos Dados Pessoais Armazenados.

3. Segurança das Comunicações.

4. Manutenção de Programa de Gerenciamento de Vulnerabilidades.

Além das descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.

Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multifator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.

Aos provedores do serviço de computação em nuvem é sugerido que observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de

serviço, contemplando a segurança dos dados armazenados. Finalmente, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multifator, como aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem start-ups ou empresas de inovação.

Por fim, uma medida complementar muito interessante foi a criação de um checklist de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.

Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distantes da realidade nacional. Sua implementação demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E, diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. A implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Autoridade Nacional de Proteção de Dados publica guia “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”

No items found.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 4 de outubro o "Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Ele é dividido em duas grandes seções:

1. Segurança da Informação Relacionada a Dados Pessoais

2. Medidas de Segurança da Informação

Segurança da Informação Relacionada a Dados Pessoais

O guia inicia essa seção afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação – um conceito oriundo da norma ISO 27001 –, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.

Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando os agentes de tratamento de dados a:

Art. 46 - adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito.

Art. 47 - garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término, caso eles ou terceiros intervenham em uma das fases do tratamento.

Art. 48 - comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados.

Art. 49 - garantir que os sistemas utilizados para o tratamento de dados pessoais estejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

Todas as normas acima, que levaram em consideração boas práticas internacionais, podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexidade e especificidade. Por isso são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.

Medidas de Segurança da Informação

As medidas de segurança da informação sugeridas pela ANPD dividem-se em administrativas e técnicas.

As medidas administrativas sugeridas pela ANPD são:

1. Política de Segurança da Informação (PSI).

2. Conscientização e Treinamento.

3. Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.

Com respeito às medidas técnicas, as sugeridas pela ANPD são:

1. Controle de Acesso.

2. Segurança dos Dados Pessoais Armazenados.

3. Segurança das Comunicações.

4. Manutenção de Programa de Gerenciamento de Vulnerabilidades.

Além das descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.

Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multifator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.

Aos provedores do serviço de computação em nuvem é sugerido que observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de

serviço, contemplando a segurança dos dados armazenados. Finalmente, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multifator, como aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem start-ups ou empresas de inovação.

Por fim, uma medida complementar muito interessante foi a criação de um checklist de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.

Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distantes da realidade nacional. Sua implementação demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E, diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. A implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.

No items found.