A Autoridade Nacional de Proteção de Dados (“ANPD”) lançou, em 04 de outubro de 2021, guia orientativo de segurança da informação e checklist orientativo direcionados aos agentes de tratamento de pequeno porte, para auxiliar a implementação de medidas de segurança da informação para a proteção dos dados pessoais tratados.

Segurança da informação é o conjunto de ações que visam a preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, buscando prevenir, detectar e combater as ameaças digitais.

De acordo com a Lei Geral de Proteção de Dados (“LGPD”), os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que possam expor os dados dos titulares a tratamento inadequado ou ilícito.

A LGPD prevê, ainda, a obrigatoriedade de comunicação à ANPD sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados. Os conceitos de risco ou dano relevante, para os fins da LGPD, ainda não foram definidos pela ANPD, tampouco há regulamentação sobre como a comunicação deverá ser feita.

A implementação e a manutenção de medidas de segurança que atendam às obrigações legais podem demandar um investimento elevado, com potencial impacto financeiro. Com vistas a auxiliar principalmente os agentes de tratamento de pequeno porte nesse processo, a ANDP preparou um guia com sugestões de medidas de segurança da informação capazes de promover um ambiente institucional mais seguro quanto ao tratamento de dados pessoais. As medidas sugeridas pela ANPD devem ser entendidas como boas práticas, e complementadas com outras identificadas como necessárias para promover a segurança no fluxo informacional.

Para facilitar a análise do guia, esquematizamos abaixo os seus principais pontos:

I.   Medidas Administrativas

    • Política de Segurança da Informação. A elaboração de uma política de segurança com previsão de revisão periódica evidencia boa-fé e diligência na segurança dos dados pessoais sob custódia e fornece diretrizes para a gestão da segurança da informação.
    • Treinamentos. Treinamentos e campanhas de conscientização direcionados aos funcionários, especialmente àqueles diretamente envolvidos na atividade de tratamento de dados, abordando obrigações e responsabilidades relacionadas ao tratamento de dados pessoais, previstas na LGPD e em normas e orientações editadas pela ANPD.

Exemplo de informações úteis que podem ser passadas aos funcionários:

        • como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
        • como evitar incidentes de segurança corriqueiros, como contaminação por vírus ou ataques de phishing;
        • manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
        • não compartilhar logins e senhas de acesso das estações de trabalho;
        • bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros; e
        • seguir as orientações da política de segurança da informação.
    • Comunicação de incidente e/ou vulnerabilidade. Criar um ambiente organizacional que incentive os usuários dos sistemas da empresa, tanto clientes quanto funcionários, a informar incidentes e vulnerabilidades detectadas.
    • Gerenciamento de contratos. Gerenciar contratos e aquisições com observância ao tratamento adequado dos dados pessoais, incluindo:
        • Celebrar acordo de confidencialidade com os funcionários e colaboradores para garantir a não divulgação de dados pessoais; e
        • Ajustar os contratos com prestadores de serviços e fornecedores terceirizados do setor de TI, para que incluam cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais (ex.: compartilhamento, relações controlador/operador).

II.  Medidas Técnicas

    • Controle de Acesso. Consiste em uma medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas, abrangendo processos de autenticação (quem acessa), autorização (o que pode fazer) e auditoria (o que foi feito). Recomenda-se a utilização da autenticação multi-fatores (MFA), que consiste em estabelecer uma camada adicional de segurança para o processo de login para acessar sistemas ou base de dados que contenham dados pessoais.
    • Rede interna de Computadores. Criar níveis de permissão para acesso a dados pessoais, por meio das contas dos usuários. Permitir apenas o uso de senhas complexas (ex.: obrigatoriedade do uso de caractere especial), não permitir o uso de senhas padrão e exigir a alteração periódica das senhas.
    • Compartilhamento. Não permitir o compartilhamento de contas e senhas entre funcionários.
    • Coleta e Processamento. Coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida, minimizando a coleta de dados.
    • Dados Pessoais Sensíveis. Os dados pessoais sensíveis, assim considerados aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, gozam de uma proteção especial pela LGPD. Por isso, recomenda-se que os agentes de tratamento de pequeno porte que armazenem dados dessa natureza implementem soluções que dificultem a identificação do titular, como as técnicas de pseudonimização (ex.: criptografia).
    • Configurações de segurança nas estações de trabalho. Orientar os funcionários sobre a importância das configurações de segurança, a fim de que eles não as desativem ou ignorem, inclusive quanto a restrições de acesso de determinados tipos de sites.
    • Transferência de dados pessoais. Evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives e discos rígidos externos, tendo em vista o risco de se perder a guarda dos dados pessoais transferidos.
    • Cópias de Segurança. Orientar para que sejam realizadas cópias de segurança (comumente chamadas de backups) regularmente, de forma completa, a serem armazenadas em locais seguros e distintos dos dispositivos de armazenamento principais. Também é importante que essas cópias não sejam sincronizadas online (em tempo real), para evitar a perda de dados em casos de infecções por códigos maliciosos que sequestram os dados (ransomware).
    • Eliminação de dados pessoais. É recomendável que, em todas as mídias que contenham dados pessoais, seja executado o método de formatar antes de descarta-las. Quando isso não for possível, como em CDs e DVDs, sugere-se que seja realizada a destruição física da mídia – o que também se aplica para destruição de papel e de mídia portátil para armazenar dados pessoais. Caso seja utilizado o serviço de terceiros para o descarte, seja de mídia ou registro de papel, recomenda-se a adoção de cláusulas contratuais disciplinando o registro da destruição que for realizada.
    • Segurança da Comunicação. Orientar sobre segurança da comunicação, como no caso de aplicativos de mensagens, que podem comprometer a segurança do negócio se houver troca de links maliciosos ou se o usuário receber algum arquivo infectado.
    • Conexões cifradas. Utilizar conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim para serviços da comunicação.
    • Tráfego de Rede Gerenciado. Instalar e manter um sistema de firewall e/ou utilizar um Web Application Firewall. Proteger serviços de e-mail, utilizando antivírus integrados, ferramentas anti-spam e filtros de e-mail.
    • Remoção de Dados. Remover quaisquer dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas, por exemplo, o site da empresa. Caso o negócio envolva o tratamento de dados sensíveis (ex. serviços de saúde), recomenda-se criar um canal de acesso restrito para que o cliente acesse essas informações.
    • Manutenção de um Programa de Gerenciamento de Vulnerabilidades. Atualizar periodicamente todos os sistemas e aplicativos utilizados, mantendo-os em sua versão atualizada (ex.: instalar patches de segurança disponibilizados pelos fornecedores).
    • Medidas complementares. Adotar e atualizar periodicamente softwares antivírus e antimalwares. Realizar varreduras antivírus periódicas nos dispositivos e sistemas utilizados.
    • Dispositivos Móveis (como smartphones e laptops). Caso seu uso seja necessário para fins corporativos, sugere-se que estejam sujeitos aos mesmos procedimentos de controle de acesso que os outros equipamentos de TI, como o uso da autenticação multi fator para acesso aos dispositivos e sistemas de informação da organização, além de serem guardados em locais seguros quando não estiverem em uso.
    • Dispositivo Móvel Pessoal. É recomendável que os agentes de tratamento separem os dispositivos móveis de uso privado daqueles de uso corporativo. Dispositivos móveis de uso privado estão sujeitos a maior vulnerabilidade, em decorrência, por exemplo, do uso de aplicativos potencialmente inseguros para fins pessoais. Caso não seja possível implementar medidas de segurança equivalentes às da organização, recomenda-se que dispositivos móveis pessoais não sejam utilizados para fins corporativos.
    • Exclusão de Dados de Forma Remota. Dispositivos móveis podem ser comprometidos mais facilmente em eventual perda ou roubo. Por isso, recomenda-se a implementação de funcionalidades que permitam apagar remotamente os dados pessoais relacionados à sua atividade de processamento, de forma a reduzir o risco de eventual incidente de segurança.
    • Serviço de Nuvem. Realizar um contrato de acordo de nível de serviço com o provedor de serviços em nuvem, contemplando a segurança dos dados armazenados. É recomendável avaliar se o serviço oferecido pelo provedor atende os requisitos estabelecidos.
    • Acesso ao Serviço de Nuvem. Por fim, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, e usadas técnicas de autenticação multi fator, como por exemplo, aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

A equipe do Fraga, Bekierman e Cristiano Advogados encontra-se à disposição para prestar orientações e esclarecer eventuais dúvidas sobre a matéria.