A Autoridade Nacional de Proteção de Dados (ANPD) lançou em 04/10/2021 um Guia Orientativo voltado aos agentes de tratamento de dados de pequeno porte.

O objetivo do material é orientar sobre boas práticas na implementação de medidas e políticas de segurança da informação para proteção de dados pessoais especificamente para empresas de pequeno porte, as ajudando a entrar em conformidade com a Lei Geral de Proteção de Dados – LGPD.

O documento indica as principais medidas administrativas e técnicas a serem implementadas.

Quanto às medidas administrativas, o Guia ressalta os seguintes aspectos:

– Definição e formalização da Política de Segurança da Informação (PSI), contendo as principais regras a serem seguidas internamente pelos colaboradores das empresas com relação à segurança de dados pessoais;

– Importância do processo de conscientização através de campanhas e programas de treinamento sobre as obrigações e responsabilidades relacionadas ao tratamento de dados pessoais e atenção aos aspectos de segurança de informação;

– Gerenciamento de contratos tanto internos com a assinatura de um NDA – Non Disclosure Agreement – pelos funcionários, para que se comprometam a não divulgar informações confidenciais que envolvam dados pessoais, como externos, com fornecedores e parceiros de TI, incluindo cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais;

Quanto às medidas técnicas, o Guia destaca a importância dos seguintes aspectos, dentre outros:  

– Gestão do controle de acesso, para que os dados sejam acessados somente por pessoas autorizadas, através do processo conhecido como Triple A – Autenticação, Autorização e Auditoria. 

– Gestão efetiva do uso de senhas, desde a definição do uso de senhas com certo grau de complexidade, até a proibição de uso de senhas padrão (default) do fabricante e do compartilhamento de contas/senhas entre funcionários, um vetor crítico de vulnerabilidade de Segurança de Informação;

– Minimização do uso de dados – coletando o menor número de dados para a realização das tarefas específicas, evitando a duplicidade de dados (e-mail/whastsapp) diminuindo assim a chance de vazamento de dados;

– Definição de rotinas consistentes de back-up (seja offline ou em gravação em fita)

– Bloqueio do uso de USB;

– Uso de antivírus atualizado.

A ANPD também disponibilizou um Checklist para validação de pontos relacionados à política de segurança da informação, conscientização e treinamento, gerenciamento de contratos, controle de acesso, gerenciamento de vulnerabilidades, entre outros pontos relevantes para a conformidade com a LGPD.

Para consultar o Guia, clique aqui: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf

Para consultar o Checklist, clique aqui: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf

VBR CyberTeam