De acordo com o art. 55-J, XVIII, da Lei Geral de Proteção de Dados (“LGPD”), cumpre à Agência Nacional de Proteção de Dados (“ANPD”) editar normas e orientações simplificadas para microempresas, empresas de pequeno porte e startups. Em razão disso, foi publicado, em 04 de outubro de 2021, o Guia Orientativo Sobre Segurança da Informação para agentes de tratamento de pequeno porte, endereçado às empresas mencionadas, que, em razão de seu tamanho e eventuais limitações, muitas vezes não possuem dentre o seu corpo de funcionários, pessoas especializadas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.
O Guia apresenta medidas de segurança da informação que podem ser adotadas pelas empresas, a fim de proteger os dados pessoais tratados pelos agentes de pequeno porte. Destacamos as seguintes medidas:
Políticas de segurança da informação: elaborar uma política de segurança da informação com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros.
Conscientização e treinamento de colaboradores: informar aos funcionários da organização, especialmente àqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.
Termos de confidencialidade: celebrar termos de confidencialidade com os funcionários da empresa, para que estes se comprometam a não divulgar informações confidenciais que envolvam dados pessoais.
Controle de acesso: realizar processo de autenticação, autorização e auditoria, para garantir que os dados pessoais sejam acessados apenas por pessoas autorizadas.
Segurança dos dados pessoais armazenados: coletar e processar apenas os dados pessoais necessários para a finalidade de tratamento pretendida, que tenham uma utilidade imediata e concreta.
Segurança das comunicações: utilizar conexões cifradas ou aplicativos com criptografia no processo de transmissão de dados ou informações, bem como tráfego de rede gerenciado.
No Guia foram apresentadas medidas administrativas para a política de segurança da informação, relacionada a dados pessoais e segurança em recursos humanos, bem como medidas técnicas que abordam o controle de acesso aos dados, a segurança nos dados armazenados, a manutenção de programa de gerenciamento de vulnerabilidades e a segurança das comunicações. Assim, as microempresas, empresas de pequeno porte e startups poderão se basear no Guia para estabelecer um sistema de proteção de dados pessoais mais seguro, de acordo as boas práticas de governança e com os princípios gerais da LGPD.
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf