Autoridade Nacional de Proteção de Dados publica guia “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”

November 1, 2021

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 4 de outubro o "Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Ele é dividido em duas grandes seções:

1. Segurança da Informação Relacionada a Dados Pessoais

2. Medidas de Segurança da Informação

Segurança da Informação Relacionada a Dados Pessoais

O guia inicia essa seção afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação – um conceito oriundo da norma ISO 27001 –, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.

Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando os agentes de tratamento de dados a:

Art. 46 - adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito.

Art. 47 - garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término, caso eles ou terceiros intervenham em uma das fases do tratamento.

Art. 48 - comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados.

Art. 49 - garantir que os sistemas utilizados para o tratamento de dados pessoais estejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

Todas as normas acima, que levaram em consideração boas práticas internacionais, podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexidade e especificidade. Por isso são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.

Medidas de Segurança da Informação

As medidas de segurança da informação sugeridas pela ANPD dividem-se em administrativas e técnicas.

As medidas administrativas sugeridas pela ANPD são:

1. Política de Segurança da Informação (PSI).

2. Conscientização e Treinamento.

3. Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.

Com respeito às medidas técnicas, as sugeridas pela ANPD são:

1. Controle de Acesso.

2. Segurança dos Dados Pessoais Armazenados.

3. Segurança das Comunicações.

4. Manutenção de Programa de Gerenciamento de Vulnerabilidades.

Além das descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.

Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multifator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.

Aos provedores do serviço de computação em nuvem é sugerido que observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de

serviço, contemplando a segurança dos dados armazenados. Finalmente, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multifator, como aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem start-ups ou empresas de inovação.

Por fim, uma medida complementar muito interessante foi a criação de um checklist de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.

Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distantes da realidade nacional. Sua implementação demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E, diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. A implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.

No items found.

RECENT POSTS

Você sabe o que é a No Surprises Act? Entenda sua importância

October 7, 2024

SEC Combate Retaliação de Empresas Contra Informantes

September 20, 2024

CFM Intervém na Relação do Médico com a Indústria Farmacêutica e de Produtos Médicos

September 12, 2024

Do you know what the No Surprises Act is? Understanding its importance

October 7, 2024

SEC Combats Corporate Retaliation Against Whistleblowers

September 20, 2024

The Brazilian Medical Association Intervenes in the Relationship between Physicians and the Pharmaceutical and Medical Products Industry

September 12, 2024

Contratos e inteligência artificial: considerações legais e éticas

November 13, 2024

Assinaturas Digitais em Contratos (Parte 2)

November 5, 2024

Resolução de disputas contratuais: escolhendo o mecanismo certo

October 16, 2024

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Autoridade Nacional de Proteção de Dados publica guia “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”

November 1, 2021
No items found.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e de fiscalização da proteção de dados pessoais no Brasil, publicou em 4 de outubro o "Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Ele é dividido em duas grandes seções:

1. Segurança da Informação Relacionada a Dados Pessoais

2. Medidas de Segurança da Informação

Segurança da Informação Relacionada a Dados Pessoais

O guia inicia essa seção afirmando que a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação – um conceito oriundo da norma ISO 27001 –, devendo-se identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização.

Como não poderia deixar de ser, o guia faz alusão ao Princípio da Segurança previsto no Art. 6, VII da Lei Geral de Proteção de Dados (LGPD), que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Igualmente, os Arts. 46, 47, 48 e 49 da LGPD tratam da segurança da informação, obrigando os agentes de tratamento de dados a:

Art. 46 - adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito.

Art. 47 - garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término, caso eles ou terceiros intervenham em uma das fases do tratamento.

Art. 48 - comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados.

Art. 49 - garantir que os sistemas utilizados para o tratamento de dados pessoais estejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

Todas as normas acima, que levaram em consideração boas práticas internacionais, podem, entretanto, ser inviáveis para agentes de tratamento de pequeno porte, em razão de sua complexidade e especificidade. Por isso são apresentadas as medidas de segurança da informação na seção 2, descritas a seguir.

Medidas de Segurança da Informação

As medidas de segurança da informação sugeridas pela ANPD dividem-se em administrativas e técnicas.

As medidas administrativas sugeridas pela ANPD são:

1. Política de Segurança da Informação (PSI).

2. Conscientização e Treinamento.

3. Gerenciamento de Contratos, com assinatura de contratos de confidencialidade com os empregados.

Com respeito às medidas técnicas, as sugeridas pela ANPD são:

1. Controle de Acesso.

2. Segurança dos Dados Pessoais Armazenados.

3. Segurança das Comunicações.

4. Manutenção de Programa de Gerenciamento de Vulnerabilidades.

Além das descritas acima, o guia também traz medidas de segurança para o uso de dispositivos móveis e para o serviço em nuvem.

Para o uso de dispositivos móveis, o guia limita-se a informar que as mesmas medidas acima aplicáveis a equipamentos de tecnologia da informação (TI) devem estar sob as mesmas medidas de segurança da informação, especialmente o controle de acesso, a autenticação multifator, a guarda em local seguro e a funcionalidade de apagar remotamente os dados pessoais relacionados à sua atividade de processamento. Recomenda-se também que dispositivos móveis pessoais não sejam utilizados para fins institucionais.

Aos provedores do serviço de computação em nuvem é sugerido que observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sendo firmado um contrato de acordo de nível de

serviço, contemplando a segurança dos dados armazenados. Finalmente, sugere-se que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multifator, como aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais.

É importante salientar que os agentes de tratamento de pequeno porte são definidos como as microempresas e empresas de pequeno porte, bem como as iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem start-ups ou empresas de inovação.

Por fim, uma medida complementar muito interessante foi a criação de um checklist de medidas de segurança para agentes de tratamento de pequeno porte, que facilita sobremaneira a adequação ao que é exigido pela ANPD e que pode ser acessado aqui.

Resta, então, um último comentário. Mesmo tentando simplificar as exigências para o microempresário, tais medidas ainda parecem muito distantes da realidade nacional. Sua implementação demanda recursos e investimento que inviabilizam a maior parte dos pequenos negócios no país. A tarefa da ANPD é complexa e demandará um estudo mais aprofundado para trazer essas boas práticas à realidade nacional do microempreendedorismo. E, diga-se de passagem, o desafio está longe de abranger apenas microempresas e empresas de pequeno porte. A implementação de forma paulatina, segmentando as exigências, deveria ser algo levado em consideração.

Related
No items found.

ABOUT US

Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.

Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

ABOUT US

Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

QUEM SOMOS

O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.

Follow Us on Social Media

Offices

Rio de Janeiro

Av. Oscar Niemeyer, 2000
9th floor, Aqwa Corporate
Rio de Janeiro RJ - Brazil
20220-297
Phone: +55 21 3550 3700
Fax: +55 21 3956 9444
info@lickslegal.com

Sao Paulo

Rua George Ohm, 230
Tower A CJ 112/113
Sao Paulo SP - Brazil
04576-020
Phone: +55 11 3033 3700
info@lickslegal.com

Brasilia

SH/Sul Zone 06, Unit A,
Complexo Brasil 21, Block E,
Rooms 515 and 516 – Asa Sul
Brasilia DF - Brazil
70316-902
Phone: + 55 61 3772 3700
info@lickslegal.com

Curitiba

Rua da Glória, 251, #601
Centro Cívico
Curitiba - Brazil
80030-060
Phone: + 55 41 2391 0680
info@lickslegal.com

Tokyo

Chiyoda Kaikan Bldg, 6F, 1-6-17
Kudan Minami Chiyoda-Ku
Tokyo - Japan
102-0074
Phone:+81 3 6256 8972
Fax:+81 (03) 6740 1453
japan@lickslegal.com

© Copyright 2024 Licks Attorneys

Selo COVID-19 FIRJAN e Albert Einstein
Covid-19 Safe Certified Office