ANPD publica guia de Segurança da Informação para pequenas empresas. Confira principais pontos

Na última segunda-feira (04), a ANPD publicou em seu site oficial mais um documento orientativo voltado para agentes de tratamento de pequeno porte que, em razão de seu tamanho e eventuais limitações, necessitam de orientações a fim de aprimorar suas operações internas sobre tratamento de dados pessoais.

O guia expõe medidas técnicas e administrativas sobre segurança da informação e um checklist para facilitar a visualização das sugestões trazidas pela ANPD. Segundo a diretora Nairane Rabelo Farias Leitão, “induzir e direcionar a proteção de dados pessoais é uma importante missão da ANPD e avançar no fornecimento de ferramentas e modelos de documentos pode ajudar as organizações a entrarem em conformidade com a LGPD”.

Conheça os principais pontos do guia de boas práticas:

Política de segurança da informação

O documento publicado pela ANPD começa a listagem de medidas de boas práticas com a implementação, mesmo que simplificada, de uma política específica de segurança da informação, sempre adequada ao modelo de negócio e porte da empresa. O propósito fundamental da PSI, alega o documento, é desempenhar um papel de apoio a implementação de um processo estruturado de segurança da informação adequado a cada organização.

Embora não obrigatório, a ‘PSI’ demonstra boa-fé e diligência na segurança dos dados pessoais sob sua custódia, incluindo diretrizes a serem seguidas em casos de incidentes, por exemplo. Nesse sentido, a ANPD elenca tópicos considerados essenciais dentro da Política a ser construída, mesmo que simplificada, como, por exemplo: cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros.

Conscientização e Treinamento

O documento reforça a importância do aculturamento dos recursos humanos da empresa, em especial àqueles que atuarão com proximidade ao tratamento de dados pessoais. Sugestões de assuntos a serem passados são:

• como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;

• como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;

• manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;

• não compartilhar logins e senhas de acesso das estações de trabalho; • bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;

• seguir as orientações da política de segurança da informação

Gerenciamento de contratos

Dentro escopo de gestão de contratos com terceiros, a ANPD define como boa prática essencial ao tratamento de dados pessoais, a inserção de cláusulas de confidencialidade (os já conhecidos NDAs), bem como atenção à distribuição de funções e responsabilidades entre as partes do contrato.

No caso de agentes de tratamento de pequeno porte que terceirizam os serviços de TI, a autoridade recomenda que estabeleçam com os fornecedores contratos que incluam, dentre outras, cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais, como, por exemplo:

• regras para fornecedores e parceiros;

• regras sobre compartilhamentos;

• relações entre controlador-operador;

• orientações sobre o tratamento a ser realizado com vedação a tratamentos incompatíveis com as orientações do controlador.

Além dos temas supracitados, o guia de boas práticas também versa sobre questões chave de gerenciamento interno se SI, como, por exemplo, o armazenamento de dados pessoais adequado, medidas de controle de acesso eficientes, segurança das comunicações segurança de dispositivos móveis, dentre outros.

O documento foi assinado por todo o corpo diretivo da ANPD e ressalta o cunho orientativo do documento, onde, mesmo sem a obrigatoriedade da lei, deve ser interpretado em conjunto com demais políticas internas da companhia em questão, bem como outras legislações vigentes sobre proteção de dados e segurança cibernética.

Você pode acessar o documento na íntegra abaixo: