Acesse o melhor conteúdo do seu dia, o único que você precisa.
LGPD (Vectorpower/Getty Images)
Da Redação
Publicado em 14 de fevereiro de 2022 às 13h28.
Última atualização em 14 de fevereiro de 2022 às 13h48.
Em setembro de 2020, entrou em vigor no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018). Apesar disso, mesmo que essa legislação já esteja em vigor, sua implantação por muitas empresas ainda não foi concluída e, em alguns casos, sequer iniciada, o que gera um grande risco de sofrerem penalização.
A LGPD se aplica a todas as empresas que tratam dados pessoais em território brasileiro, inclusive as PMEs. Sabemos, contudo, que, considerando sua complexidade e especificidade, a implementação e manutenção de medidas, que atendam às obrigações previstas nessa legislação, demandam elevado investimento, com potencial de causar impacto financeiro.
Por esta razão, o instrumento regulatório publicado pela Agência Nacional de Proteção de Dados (ANPD), no último dia 27 de janeiro, era muito esperado pelos empreendedores.
Trata-se da Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD para microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, adequando as obrigações previstas às suas possibilidades.
Vejamos os principais itens dessa resolução que flexibilizam e dispensam obrigações para essas empresas:
1. Possibilidade de disponibilização das informações sobre o tratamento de dados pessoais e atendimento às requisições dos titulares por meio eletrônico, impresso, ou qualquer outro que assegure o acesso facilitado às informações pelos titulares.
2. Possibilidade de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
3. Procedimento simplificado de elaboração e manutenção de registro das operações de tratamento de dados pessoais.
4. Simplificação do procedimento de comunicação de incidentes de segurança.
5. Dispensa da obrigação de indicar o encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer). Ao não indicar, as PMEs devem, no entanto, disponibilizar um canal de comunicação para que titulares dos dados possam exercer seus direitos.
6. Simplificação da política de segurança da informação, que contemplará requisitos essenciais e necessários para o tratamento de dados pessoais, levando em conta os custos de implementação e as possibilidades das PMEs.
7. Prazo em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais e na comunicação com a ANPD, em casos de incidente de segurança.
Vale ressaltar que esta resolução, mesmo flexibilizando algumas regras, não alterou o direito que o titular dos dados tem à proteção de seus dados pessoais. Em função disso, os agentes de tratamento das PMEs não podem deixar de tomar as medidas administrativas e técnicas de segurança da informação, conforme previsto na LGPD.
Para auxiliar os agentes de tratamento de pequeno porte, a ANPD elaborou um guia orientativo intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”. Este guia sugere padrões técnicos mínimos de segurança que as PMEs poderão utilizar. A seguir, apresentaremos os pontos relevantes que recomendamos serem adotados:
Estabelecimento de uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, entre outros: cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.
Realização de campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais e de treinamento aos empregados para que possam cumpri-los. Algumas informações úteis que podem ser passadas aos funcionários são:
- Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário.
- Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-ups de ofertas promocionais ou em links desconhecidos que chegam por e-mail.
- Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas.
- Não compartilhar logins e senhas de acesso das estações de trabalho.
- Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros.
- Seguir as orientações da política de segurança da informação.
As PMEs deverão incluir em seus contratos de trabalho termos de confidencialidade (non-disclosure agreement - NDA) para que os empregados se comprometam a não divulgar informações confidenciais que envolvam dados pessoais obtidos durante o trabalho. Além disso, nos contratos celebrados com fornecedores e parceiros comerciais deverão ser incluídas cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.
Implementação de sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.
Para se evitar riscos de incidentes de segurança e outros comprometimentos, as PMEs devem, entre outros: coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida; utilizar tecnologia de criptografia para a proteção de dados pessoais; evitar a transferência de dados pessoais para dispositivos de armazenamento externo (pendrive, HD externo etc.); formatar as mídias que contenham dados pessoais antes de descartá-las e, quando não for possível, como em CDs e DVDs, sugere-se que seja realizada a destruição física da mídia.
Deve-se utilizar protocolos de comunicação seguros que contenham criptografia, inclusive no uso de e-mails cujo conteúdo ou anexos contenham dados pessoais. Também deve-se manter um sistema de firewall que monitore e bloqueie ameaças, assim como utilizar ferramentas Antispam.
Uma medida adicional de segurança consiste na adoção e atualização de softwares antivírus ou antimalwares, que detectam, impedem e atuam na remoção de programas maliciosos, a exemplo dos vírus, em todos os dispositivos da empresa.
Devem ser implementados procedimentos de controle de acesso, como o uso da autenticação multifator para acesso aos dispositivos e sistemas de informação da organização, além de serem guardados em locais seguros quando não estiverem em uso. Sugere-se também que sejam implementadas funcionalidades que permitam apagar remotamente os dados pessoais, em eventual perda ou roubo.
O serviço oferecido pelo provedor deve atender aos requisitos estabelecidos pelas PMEs, tais como procedimentos de autenticação multifator, aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais
Espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais das PMEs.
Por fim, as medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que venham a ser identificadas pelas PMEs como necessárias para promover a segurança no fluxo informacional dos dados pessoais.
:format(webp))
:format(webp))
:format(webp))
:format(webp))
:format(webp))
:format(webp))
:format(webp))
:format(webp))
:format(webp))