Enquanto não há uma legislação para proteção de dados específica para PMEs, conheça as principais recomendações da instituição nacional responsável
Por Camila Kojima, sócia do escritório Filhorini Advogados Associados.
Enquanto ainda não é publicada norma específica de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para pequenas e médias empresas, ansiosamente aguardada pelos empresários, é certo que essas empresas devem cumprir com o que dispõe a legislação vigente.
Assim, com o intuito de facilitar o processo de adequação dessas empresas, no início de outubro deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) publicou um guia orientativo de segurança da informação, direcionado aos agentes de tratamento de pequeno porte.
Nesse sentido, o material aponta algumas medidas administrativas e técnicas que poderão ser adotadas pelas empresas de pequeno porte, passíveis de complementação por outras que a organização entender necessárias, com o intuito de conferir proteção aos dados pessoais.
Resumimos as principais orientações, a seguir.
Principais medidas para proteger dados nas PMEs
Dentre as medidas administrativas, a ANPD sugere a elaboração de política de segurança da informação, contendo as diretrizes para a gestão da segurança da informação, bem como os controles relacionados ao tratamento de dados pessoais, como o uso de senhas, acesso aos dados, compartilhamento de dados, programas antivírus, dentre outros. Uma segunda providência é a conscientização e treinamento dos empregados, acerca das obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.
A terceira recomendação consiste na revisão de contratos. A revisão aplica-se aos contratos firmados com os empregados, em que se aconselha a inserção de cláusula de confidencialidade (non-disclosure agreement – NDA) acerca do acesso a dados pessoais, durante a vigência do contrato, e a vedação de divulgação das informações confidenciais que envolvam dados pessoais.
Também se aplica aos contratos em geral, nos quais devem constar cláusulas sobre a responsabilidades de cada uma das partes quanto à observância da LGPD e ao tratamento dos dados pessoais. Com relação aos contratos firmados com empresas que fornecem serviços em nuvem, é importante verificar a segurança que o sistema confere aos dados armazenados, bem como requisitos para acesso do usuário a cada serviço em nuvem utilizado.
Quanto às medidas técnicas, a autoridade sugere que as empresas de pequeno porte implementem as providências que possam conferir maior segurança no acesso e tratamento dos dados pessoais.
Algumas recomendações da ANP são:
- Não compartilhe contas ou senhas entre os usuários;
- Utilize autenticação de multi-fatores para acesso ao sistema ou base de dados que contenham dados pessoais, inclusive nos serviços de nuvem. Esta autenticação poderia ser feita, por exemplo, com o envio de código por e-mail, uso de aplicativos ou tokens de segurança;
- Limite o acesso aos sistemas/banco de dados na proporção que o cargo do empregado demandar o acesso aos dados pessoais;
- Estabeleça normas com relação às senhas, com a configuração do sistema, para que aceite apenas senhas que necessariamente contenham caracteres especiais, e um determinado número mínimo de caracteres;
- Faça backups regularmente e em locais distintos dos dispositivos de armazenamento principais;
- Formate mídias antes do descarte e, em caso de impossibilidade de formatação, destrua as vias físicas como CDs, DVDs e papéis;
- Medidas protetivas no processo de transmissão dos dados, como conexões cifradas (uso de TLS/HTTPS), aplicativos com criptografia fim a fim, instalação e manutenção de sistema firewall e ferramentas anti-spam;
- Faça manutenção de todos os sistemas e aplicativos atualizados, ou seja, em suas últimas versões disponíveis;
- Aplique as mesmas regras de proteção aos dispositivos móveis, como smartphones e laptops, sendo que, sempre que possível separar os dispositivos móveis de uso privado daqueles de uso profissional.
Mais recomendações para PMEs
Com relação aos dados sensíveis — ou seja, aqueles referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado à pessoa natural — o guia orienta as empresas de pequeno porte a adotarem meios que dificultem a identificação do titular, como, por exemplo, a criptografia.
No que se refere aos dados em si, recomenda-se coletar apenas aqueles estritamente necessários para atingir os objetivos do tratamento e para a finalidade pretendida. Além disso, é importante remover os dados pessoais desnecessários, inclusive aqueles sensíveis, de redes públicas, como o site da empresa, por exemplo.
Dessa forma, considerando a publicação do guia orientativo pela ANPD, as empresas de pequeno porte, que ainda não adotaram quaisquer medidas para se adequarem à LGPD, podem começar o processo, utilizando o referido guia como ponto de partida.
Além disso, devem manter-se atentas às inovações legislativas, uma vez que, quando for publicada norma específica de aplicação da LGPD para PMEs, seguramente será mais fácil adequar as medidas já implementadas, se assim for necessário.
Fonte: https://exame.com/
Foto: Freepik