A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 4 de outubro o "Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Ele é dividido em duas grandes seções:

1. Segurança da Informação Relacionada a Dados Pessoais

2. Medidas de Segurança da Informação

‍

Segurança da Informação Relacionada a Dados Pessoais

O guia inicia essa seção afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação – um conceito oriundo da norma ISO 27001 –, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.

Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando os agentes de tratamento de dados a:

‍

Todas as normas acima, que levaram em consideração boas práticas internacionais, podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexidade e especificidade. Por isso são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.

‍

Medidas de Segurança da Informação

As medidas de segurança da informação sugeridas pela ANPD dividem-se em administrativas e técnicas.

‍

As medidas administrativas sugeridas pela ANPD são:

1. Política de Segurança da Informação (PSI).

2. Conscientização e Treinamento.

3. Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.

‍

Com respeito às medidas técnicas, as sugeridas pela ANPD são:

1. Controle de Acesso.

2. Segurança dos Dados Pessoais Armazenados.

3. Segurança das Comunicações.

4. Manutenção de Programa de Gerenciamento de Vulnerabilidades.

‍

Além das descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.

Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multifator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.

Aos provedores do serviço de computação em nuvem é sugerido que observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de

serviço, contemplando a segurança dos dados armazenados. Finalmente, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multifator, como aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem start-ups ou empresas de inovação.

Por fim, uma medida complementar muito interessante foi a criação de um checklist de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.

Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distantes da realidade nacional. Sua implementação demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E, diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. A implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.

‍