Migalhas de Peso

Boas práticas de segurança da informação - Proteção de dados físicos

Se todos aqueles que tratarem dados pessoais e de extrema relevância tomarem os devidos cuidados o risco de Incidente diminui consideravelmente, o que aumenta a confiança do cliente, reputação da empresa e previne a Empresa de uma séria de riscos: como multas, indenizações, sejam elas judiciais ou administrativas do Procon, ANPD e outros Órgãos.

27/7/2022

Quando se fala a respeito de proteção de dados pessoais, é comum as pessoas pensarem em cyber segurança, e os outros assuntos pertinentes ao campo digital.

Contudo, é necessária a segurança da informação de dados pessoais e dados de extrema relevância, considerados dados críticos, também de forma física.

Os dados pessoais são aqueles resguardados pela LGPD, Lei Geral de Proteção de Dados, lei 13.709/18 definidos em seu art. 5º, inciso I como “Informação relacionada a pessoa natural identificada ou identificável.

Já os dados de extrema relevância, apesar de não serem abrangidos pela LGPD, geram grande risco para empresa como: dados bancários e fiscais.

Nesse sentido antes mesmo da vigência da LGPD, já existiam normas que visavam a proteção de dados bancários, como a Resolução 4.658, de 26 de abril de 2018 (documento normativo revogado, a partir de 1/7/21, pela Resolução CMN no 4.893, de 26/2/21).

A resolução dispõe sobre “a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

No art. 2º da lei, determina que “as instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Apesar da mencionada resolução tratar de dados de política de segurança cibernética, está clara a preocupação normativa de dados bancários. Contudo, não pode ser desconsiderada a segurança, inclusive de dados físicos.

Alguns exemplos de práticas que devem ser evitadas:

Sobre o processo de anonimização, previsto no art. 5º, inciso XI da LGPD diz respeito a “’utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Lembrando que o cruzamento de dados, que isoladamente não seriam considerados como dado pessoal, podem vir a ser classificados na categoria de dado pessoal, caso identifiquem um indivíduo.

Outro cuidado a ser observado é ter atenção aos blocos de anotações, o ideal é que não sejam feitos com rascunhos ou caso a empresa opte pela permanência, que a Instituição tenha os mesmos cuidados acima citados. Do mesmo modo que é essencial o cuidado com dados físicos avulsos, como deixar papéis jogados ou empilhados em qualquer local ou esquecidos na impressora.

Outro ponto importante a se abordar é a segurança de arquivos e salas com documentos físicos. O ideal é que haja o acesso restrito e identificação de quem pode ter este acesso, assim como deve ser mapeado e registrado todo fluxo do dado.

A pessoa jurídica ou pessoa natural, de direito público ou privado, deve sempre ter o cuidado extra com dados pessoais sensíveis, art. 5º, inciso II da LGPD: “aqueles quem podem gerar algum tipo de discriminação: dados sobre raça, etnia, filiação partidária ou sindical, orientação sexual, dados de menores de idade, relacionados à saúde, bem como a religião.

Também deve haver uma atenção redobrada aos dados financeiros e fiscais, que apesar de não ter respaldo na LGPD, são considerados dados de extrema relevância, e críticos, pois podem gerar processos judiciais e riscos de punições da Empresa com indenizações.

A proteção dessa espécie de dados está resguardada por outros diplomas legais, como a CF, art. 5º, inciso X, que garante o direito à intimidade, vida privada. Já o CDC, Lei 8.078/90, artigos 12 e 14, estabelece que a empresa que cometer ato ilícito responde de forma objetiva pelos danos causados, ou seja, independente de culpa.

Ademais, a violação pode facilmente levar ao acesso à dados sensíveis, como por exemplo a compra de artigo religioso ou alguma informação relacionada à saúde, entre outras possibilidades. No caso fiscal e previdenciário, vários dados sensíveis são coletados, como raça e gênero.

Outra medida que deve ser implementada é a maneira correta de descarte, dar preferência ao descarte na trituradora de papel, e, caso não seja possível caso o papel for eliminado no lixo comum, ter o cuidado de riscar os dados ou rasgar, de forma que não possa ser identificado um indivíduo, ou seja, o Titular do Dado Pessoal.

Se todos aqueles que tratarem dados pessoais e de extrema relevância tomarem os devidos cuidados o risco de Incidente diminui consideravelmente, o que aumenta a confiança do cliente, reputação da empresa e previne a Empresa de uma séria de riscos: como multas, indenizações, sejam elas judiciais ou administrativas do Procon, ANPD e outros Órgãos.

Aline Reis Motta
Advogada, especialista em Direito Civil e LGPD, pós-graduada em Direito Público e Processo Civil.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

Saiba como funciona a venda de dados pessoais na internet

23/4/2022

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024