A Autoridade Nacional de Proteção de Dados (ANPD) divulgou na última segunda-feira, 4/10/21, em seu site, o Guia Orientativo de Segurança da Informação direcionado aos agentes de tratamento de pequeno porte.
Essa é mais uma medida da ANPD para auxiliar na adequação à lei Geral de Proteção de Dados Pessoais (LGPD) dos agentes de tratamento de pequeno porte, conceito que inclui as microempresas e empresas de pequeno porte, startups ou empresas de inovação e outros agentes que venham a ser assim considerados em resolução com esse fim.
Um primeiro passo já havia sido dado pela ANPD com a abertura da consulta pública sobre aplicação da LGPD para os agentes de tratamento pequeno porte, que teve seu prazo prorrogado e ainda está disponível para envio de contribuições pela plataforma +Brasil.
O Guia indica medidas administrativas e técnicas de segurança da informação como sugestões a serem adotadas pelos agentes de tratamento de pequeno porte e tem o objetivo de fornecer ferramentas que possam auxiliar essas organizações a entrarem em conformidade com a LGPD e promover um ecossistema de dados pessoais mais seguro.
Por segurança da informação entende-se o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Nesse sentido, o Guia traz sugestões de medidas administrativas e técnicas que visam obter essa segurança, como, por exemplo, a elaboração e a manutenção de uma política de segurança da informação, a conscientização e o treinamento periódico de colaboradores, o gerenciamento de contratos em caso de terceirizações de serviços de tecnologia da informação (TI) e a celebração de termos de confidencialidade com colaboradores.
Entre as medidas sugeridas temos, ainda, a definição de controles de acessos com níveis de permissão na proporção necessária ao trabalho de cada colaborador, requisitos mínimos de segurança de senhas e logins, forma de realização de backups, restrições e cuidados com o uso de dispositivos móveis institucionais e pessoais, utilização de e-mails e mensagens cifradas, medidas prioritárias relacionadas ao serviço em nuvem e a manutenção de um programa de gerenciamento de vulnerabilidades.
O Guia conta, ainda, com um checklist para facilitar a visualização das sugestões e identificação da adoção – ou não – das medidas pelo agente de tratamento de pequeno porte.
Importante ressaltar que o Guia não tem efeito normativo vinculante e deverá ser entendido como um guia de boas práticas para os agentes de tratamento de pequeno porte, que poderá ser atualizado e aperfeiçoado sempre que necessário.