No dia 04 de outubro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável por zelar, regulamentar e fiscalizar o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), publicou o “Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte”.
O Guia indica sugestões de medidas técnicas e administrativas de segurança com vistas a apoiar microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptiva que se autodeclarem startups ou empresas de inovação ("agentes de tratamento de pequeno porte"), no atendimento às exigências da LGPD, considerando o tamanho de tais organizações e eventuais limitações de recursos econômico-financeiros e humanos. O documento também inclui um checklist para facilitar a visualização de tais sugestões.
Sobre o tema, é importante observar que a LGPD impõe aos agentes que realizam o tratamento de dados pessoais, independentemente do porte, uma série de obrigações para a proteção de tais informações, as quais incluem a adoção de medidas referentes à segurança de informação aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Diante do crescimento exponencial do número de incidentes de segurança envolvendo dados pessoais, especialmente vazamentos de dados[1], a adoção de medidas de segurança da informação mostra-se premente para a manutenção de um ecossistema de proteção de dados pessoais mais seguro e para a minimização de riscos.
Nesse sentido, o Guia apresenta sugestões de medidas a serem implementadas pelos agentes de tratamento de pequeno porte em quatro frentes:
- Medidas administrativas, a serem implementadas no âmbito administrativo-gerencial e jurídico, que incluem a elaboração de política de segurança da informação, a conscientização e treinamento de funcionários e o gerenciamento de contratos;
- Medidas técnicas, que compreendem a implementação de processos de controle de acesso, a segurança dos dados pessoais armazenados ou “em repouso”, medidas para a segurança das comunicações e a manutenção de programa de gerenciamento de vulnerabilidades;
- Medidas relacionadas ao uso de dispositivos móveis, como smartphones e laptops; e
- Medidas relacionadas ao uso de serviços de computação em nuvem.
A publicação do Guia Orientativo se insere no âmbito das medidas que vem sendo adotadas pela ANPD para adequar a aplicação da LGPD para agentes de tratamento de pequeno porte, conforme competência que lhe é conferida pelo artigo 55-J, inciso XVIII, da LGPD. Atualmente também está em consulta pública a minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos, a qual tem por objetivo disciplinar procedimentos simplificados e diferenciados que facilitem a adequação destas organizações à legislação de proteção de dados pessoais.
O “Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte” e o Checklist podem ser acessados na íntegra, respectivamente, pelos links:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf
Verônica do Nascimento Marques
E-mail: veronica.marques@brasilsalomao.com.br
Pedro Saad Abud
E-mail: pedro.saad@brasilsalomao.com.br
[1] Segundo pesquisa recente do Massachusetts Institute of Technology (“MIT”), os vazamentos de dados aumentaram 493% no Brasil no último ano. Disponível em: <https://cultura.uol.com.br/noticias/colunas/ricardofotios/35_vazamentos-de-dados-aumentaram-493-no-brasil-mostra-pesquisa-do-mit.html>.
