Entenda a diretriz da ANPD sobre segurança da informação para as pequenas empresas

diretriz da ANPD sobre seguranca da informacao para as pequenas empresas mascaro advogados

Por Dra. Camila Cruz

A Autoridade Nacional de Proteção de Dados (ANPD) recentemente lançou um guia orientativo de segurança da informação e um checklist direcionados aos agentes de tratamento de pequeno porte.

São agentes de tratamento: o controlador e o operador de dados pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado.

O guia e o checklist tem o objetivo de orientar as empresas e profissionais enquadrados como pequeno porte à implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados e é um ponto de partida com algumas das principais boas práticas que as empresas devem adotar no dia a dia para cumprimento da LGPD.

Os materiais disponibilizados pela ANPD recomendam algumas políticas, portanto, os empregadores de pequeno porte sejam eles pessoas físicas ou jurídicas devem inseri-las no seu acervo documental para compliance digital.

Os kits admissionais entregues aos empregados recém contratados devem já contemplar as políticas de segurança da informação e também a política de privacidade  e quanto aos meus empregados antigos é necessário realizar uma força tarefa para que os empregados também recebem esses documentos , e ainda assinem o termo de ciência e que todos os empregados independente de sua data de contratação recebam o treinamento de como tratar os dados respeitando a LGPD.

O checklist no seu segundo item reforça a necessidade de “CONSCIENTIZAÇÃO E TREINAMENTO” de todos os colaboradores.

O documento recomenda que as empresas realizem a conscientização dos funcionários, via treinamentos e campanhas sobre as suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais conforme disposto na LGPD e normas da ANPD.

Os impactos no dia a dia são grandes e as ações necessárias de imediato

  • Informar os funcionários sobre como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
  • orientar e alertar a todos sobre como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;
  • orientar sobre a importância de manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
  • orientar a importância de não compartilhar logins e senhas de acesso das estações de trabalho; bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;
  • orientar sobre a obrigatoriedade de seguir as orientações da política de segurança da informação.

E independente do porte da empresa , recomenda-se a criação um ambiente organizacional que incentive usuários de sistemas da empresa, tanto clientes quanto funcionários, a informar incidentes e vulnerabilidades detectadas.

Os documentos recomendamos também  impactam as relações trabalhistas e constam no checklist as seguintes recomendações para os empregadores de pequeno porte:

  1. Política de segurança de informação: documento que vai estabelecer os controles relacionados ao tratamento de dados pessoais, como cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.
  1. Contratos : elaborar contratos de trabalho com cláusulas de tratamento de dados específicas para LGPD para empregados novos e um aditivo contratual para empregados antigos.
  1. Assinar termos de confidencialidade (non-disclosure agreement – NDA) com os funcionários da empresa.
  1. Proibir o compartilhamento de contas ou de senhas entre funcionários.
  1. Orientar os funcionários para não desativar ou ignorar as configurações de segurança de estações de trabalho.
  1. Políticas de uso de celular e WhatsApp, e se possível, separar os dispositivos móveis de uso privado daqueles de uso institucional, pois a empresa terá condições de monitorar o uso quando os celulares forem de titularidade da empresa.

Considerações finais

E por fim a empresa deve ainda proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e, integrar o antivírus ao sistema de e-mail.

A lei geral de proteção de dados conceitua como dado pessoal, em seu art. 5o, inciso I, como sendo as informações relacionadas à pessoa natural identificada ou identificável; e dados sensíveis, nos termos do art. 5o, inciso II, são definidos como aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Essas são algumas medidas para contribuir  para o estabelecimento de um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais.

Compartilhe