5 Principais recomendações trazidas pelo Guia da ANPD para agentes de tratamento de pequeno porte

Destacamos aqui 5 das principais recomendações trazidas pelo Guia:

1. Política de Segurança da Informação

A política de segurança da informação, consiste em um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.

A ANPD sugere que, quando possível, seja estabelecida pela organização uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais.

2. Treinamentos

A conscientização dos colaboradores sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais é um fator extremamente importante para a criação de uma cultura de privacidade e proteção de dados nas empresas.

A ANPD recomenda que os colaboradores, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, recebam treinamentos sobre:

• Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
• Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing;
• Como manter documentos físicos que contenham dados pessoais;
• Gerenciamento de logins e senhas de acesso das estações de trabalho;
• Como aplicar as orientações da política de segurança da informação.

3. Gerenciamento de contratos

É indicada a celebração de contratos com parceiro, fornecedores e prestadores de serviço, formalizando a distribuição de funções e responsabilidades entre as partes, com observância à LGPD e ao tratamento adequado dos dados pessoais.

Além disso, é recomendável que termos de confidencialidade sejam assinados com os funcionários da empresa para que estes se comprometam a não divulgar informações confidenciais e que envolvam dados pessoais.

No caso de empresas que terceirizam os serviços de TI, recomenda-se que as empresas tenham atenção especial com esses contratos relacionados, assegurando a adequada proteção de dados pessoais e abordando pontos como:

• Regras para contratação de fornecedores e parceiros;
• Regras sobre compartilhamentos de dados pessoais;
• Relações entre controlador-operador;
• Orientações sobre o tratamento a ser realizado com vedação a tratamentos incompatíveis com as orientações do controlador.

4. Controle de Acesso

O controle de acesso é uma medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas. Ele consiste em processos de autenticação, autorização e auditoria.

A ANPD sugere que a implementação de um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Esse sistema de controle de acesso pode, por exemplo, permitir ou não a criação, aprovação, revisão e exclusão de contas dos usuários.

5. Segurança das comunicações

As comunicações possibilitam a existência de vulnerabilidades no processo de transmissão de dados ou informações. Por exemplo, aplicativos de mensageria podem comprometer a segurança de qualquer negócio se houver troca de links maliciosos ou se o usuário receber algum arquivo infectado.

Sendo assim, a ANPD sugere que o tráfego de rede seja gerenciado, o que pode ser feito, dentre outras formas, através (i) da instalação e manutenção um sistema de firewall, que monitore, detecte e bloqueie ameaças, impedindo conexões a redes não confiáveis e (ii) da proteção de serviços de e-mail, utilizando antivírus integrados, ferramentas anti-spam e filtros de e-mail.

Por Lucas Mello,
Consultor de Privacidade e Proteção de Dados na MKR Consultoria

---

* Empresas de pequeno porte: Faturamento bruto anual entre R$360 mil e R$4,8 milhões; ter de 20 a 99 funcionários na indústria, ou de 10 a 49 colaboradores nos setores de comércio e serviços.