5 Principais recomendações trazidas pelo Guia da ANPD para agentes de tratamento de pequeno porte

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 04 de outubro, um guia orientativo de segurança da informação voltado para agentes de tratamento de pequeno porte.

Segundo a ANPD, são agentes de tratamento de pequeno porte as Microempresas, empresas de pequeno porte*, startups, pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais.

O documento não tem efeito normativo vinculante e deve ser entendido como um guia de boas práticas que poderá ser atualizado sempre que necessário.

Além dos tópicos abaixo, o Guia aborda, ainda, medidas de segurança dos dados armazenados, manutenção do programa de gerenciamento de vulnerabilidades e uso de dispositivos móveis, temas que abordaremos em um próximo artigo.

Destacamos aqui 5 das principais recomendações trazidas pelo Guia:

  1. Política de Segurança da Informação

A política de segurança da informação, consiste em um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.

A ANPD sugere que, quando possível, seja estabelecida pela organização uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais.

  1. Treinamentos

A conscientização dos colaboradores sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais é um fator extremamente importante para a criação de uma cultura de privacidade e proteção de dados nas empresas.

A ANPD recomenda que os colaboradores, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, recebam treinamentos sobre:

  • Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
  • Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing;
  • Como manter documentos físicos que contenham dados pessoais;
  • Gerenciamento de logins e senhas de acesso das estações de trabalho;
  • Como aplicar as orientações da política de segurança da informação.
  1. Gerenciamento de contratos

É indicada a celebração de contratos com parceiro, fornecedores e prestadores de serviço, formalizando a distribuição de funções e responsabilidades entre as partes, com observância à LGPD e ao tratamento adequado dos dados pessoais.

Além disso, é recomendável que termos de confidencialidade sejam assinados com os funcionários da empresa para que estes se comprometam a não divulgar informações confidenciais e que envolvam dados pessoais.

No caso de empresas que terceirizam os serviços de TI, recomenda-se que as empresas tenham atenção especial com esses contratos relacionados, assegurando a adequada proteção de dados pessoais e abordando pontos como:

  • Regras para contratação de fornecedores e parceiros;
  • Regras sobre compartilhamentos de dados pessoais;
  • Relações entre controlador-operador;
  • Orientações sobre o tratamento a ser realizado com vedação a tratamentos incompatíveis com as orientações do controlador.
  1. Controle de Acesso

O controle de acesso é uma medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas. Ele consiste em processos de autenticação, autorização e auditoria.

A ANPD sugere que a implementação de um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Esse sistema de controle de acesso pode, por exemplo, permitir ou não a criação, aprovação, revisão e exclusão de contas dos usuários.

  1. Segurança das comunicações

As comunicações possibilitam a existência de vulnerabilidades no processo de transmissão de dados ou informações. Por exemplo, aplicativos de mensageria podem comprometer a segurança de qualquer negócio se houver troca de links maliciosos ou se o usuário receber algum arquivo infectado.

Sendo assim, a ANPD sugere que o tráfego de rede seja gerenciado, o que pode ser feito, dentre outras formas, através (i) da instalação e manutenção um sistema de firewall, que monitore, detecte e bloqueie ameaças, impedindo conexões a redes não confiáveis e (ii) da proteção de serviços de e-mail, utilizando antivírus integrados, ferramentas anti-spam e filtros de e-mail.

Por Lucas Mello,
Consultor de Privacidade e Proteção de Dados na MKR Consultoria


* Empresas de pequeno porte: Faturamento bruto anual entre R$360 mil e R$4,8 milhões; ter de 20 a 99 funcionários na indústria, ou de 10 a 49 colaboradores nos setores de comércio e serviços.

Está gostando do conteúdo? Compartilhe!

Posts Recentes

Design sem nome (3)

Alameda Franca, 267 – 2º andar – Jardim Paulista São Paulo, SP.

Copyright © 2024. MKR PROTEÇÃO DE DADOS. All rights reserved.

Política de Privacidade

plugins premium WordPress