O artigo 46 da Lei Geral de Proteção de Dados Pessoais (LGPD) prevê a obrigação aos agentes de tratamento de dados pessoais (controladores e operadores) de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Ocorre que até o momento, a Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou apenas um guia orientativo sobre a matéria (Acesse o guia aqui), o qual é destinado aos agentes de tratamento de pequeno porte, ou seja, aqueles que atendem aos requisitos da Resolução n. 2/2022 da ANPD (Acesse a resolução aqui).
Embora o guia seja destinado a eles, todo e qualquer agente de tratamento, dentre eles as cooperativas, podem se valer das boas práticas recomendadas e indicadas no documento, uma vez que são disposições que permitirão que a organização tenha condições minimamente necessárias para desenvolver a temática de segurança da informação dentro de sua estrutura organizacional.
O guia aborda alguns dos principais controles que devem ser observados pelos agentes:
- Política de segurança da informação: é recomendável a existência deste documento, ainda que no formato simplificado, com previsão de revisões periódicas e contemplando aspectos relacionados com cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, uso de antivírus, entre outros;
- Conscientização e treinamento: é imprescindível que as organizações, independentemente de seu tamanho, invistam em seu capital humano. Rotinas de treinamento e conscientização sobre a importância e cuidados que devem ser adotados no tratamento de dados pessoais é um dos principais mecanismos de mitigação dos riscos de eventuais irregularidades;
- Gerenciamento de contratos: a existência de instrumentos contratuais com cláusulas de segurança da informação que assegurem a adequada proteção dos dados pessoais contemplando regras sobre compartilhamentos, relações controlador-operador e orientações sobre o tratamento a ser realizado, são indispensáveis para a segurança nos relacionamentos estabelecidos pelos agentes;
- Controle de acesso: controlar e restringir o acesso aos dados pessoais contribui diretamente para a governança efetiva dos dados na organização;
- Segurança dos dados pessoais armazenados: a segurança dos locais em que os dados pessoais são armazenados deve ser avaliada pelas organizações. Lembre-se que quanto maior o número de locais em que os dados estão armazenados, maior será o nível de cuidados que os agentes deverão adotar para garantir a segurança das informações;
- Segurança das comunicações: para assegurar que as informações transitarão de forma segura, convém que as organizações atentem para cuidados específicos e técnicos nas soluções utilizadas para a transferência de dados;
- Manutenção de programa de gerenciamento de vulnerabilidades: vulnerabilidades estão diariamente sendo descobertas e as organizações precisam estar atentadas com estes movimentos, mantendo seus disposições e sistemas devidamente atualizados para assegurar que os riscos sejam adequadamente mitigados;
- Medidas relacionadas ao uso de dispositivos móveis: sempre que possível, é importante que os agentes separem o uso de dispositivos móveis de uso privado daqueles de uso institucional. Controles de acesso e fatores de autenticação devem ser utilizados nestes dispositivos para combater acessos não autorizados de terceiros;
- Medidas relacionadas ao serviço em nuvem: além de aspectos contratuais que devem ser observados entre o agente e o fornecedor dos serviços em nuvem, devem também ser avaliados aspectos técnicos de controle de acesso e as medidas de segurança de autenticação existentes nos acessos aos ambientes em nuvem.
Além do guia orientativo, a ANPD também disponibilizou um checklist com 48 pontos para serem observados pelos agentes de tratamento na implementação de medidas de segurança que contribuirão com o amadurecimento da proteção de dados pessoais. Acesse o checklist aqui.
É importante destacar que o guia orientativo da ANPD não possui efeito normativo vinculante e deve ser entendido como um guia de boas práticas relacionadas a segurança da informação. Segundo a ANPD, “espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais de pequeno porte.”
Em 2023 teremos diversos temas sendo regulamentados e que se relacionam indiretamente com os temas tratados acima, considerando a agenda regulatória publicada pela ANPD para o biênio 2023/2024. Clique aqui e confira o artigo sobre os temas que serão foco regulatório da ANPD no próximo ciclo de regulamentações da LGPD.
Por fim, vale reforçar que, embora o guia orientativo se destine aos agentes de tratamento de pequeno porte, é plenamente possível e recomendável que ele seja utilizado como ponto de início para que as cooperativas desenvolvam seus programas de conformidade com a LGPD.
