Garrastazu Advogados

ASPECTOS PRÁTICOS E GERAIS NA IMPLEMENTAÇÃO DA LGPD NAS PEQUENAS E MÉDIAS EMPRESAS

Recentemente a ANPD lançou o ‘Guia Orientativo’ sobre Segurança da informação para agentes de tratamento de pequeno porte, voltado à implementação da Lei Geral de Proteção de Dados às pequenas empresas.

O Guia, de um modo geral,  condiz com os diversos e recentes movimentos que vêm sendo adotados pela ANPD estimulando o cumprimento das novas regras legais acerca da segurança no tratamento dos dados pessoais, e conferindo maior efetividade ao regramento legal e proporcionando mais facilidade de adequação à LGPD pelas pequenas empresas.

Importante ressaltar, inicialmente, que a necessidade de adequação às exigências da LGPD inaugura um novo cenário de segurança jurídica no tratamento dos dados pessoais e impõe a todas as empresas, de todos os tamanhos, bem como aos entes públicos a adoção das regras prevista na LGPD, não se eximindo as pequenas empresas desta providência obrigatória.

Evidente, contudo, que, em que pese LGPD seja voltada a todos aqueles que tratam dados pessoais, existem situações e particularidades de empresas que devem ser atentadas, de modo que a ANPD ciente dessa casuística, elaborou o Guia fornecendo um ‘checklist’ de adoção de medidas tendentes a viabilizar a adequação da pequena empresa no âmbito da prevenção, detecção e combate às ameaças digitais.

Em conexão a isso, necessário ressaltar que a ANPD já previu no art. 55-j, inciso XVIII da LGPD a edição de normas, orientações e procedimentos diferenciados para pequenas e microempresas, bem como para empresas que se declarem ‘startups’, e as que não possuem fins lucrativos, demonstrando sensibilidade à realidade de cada organização, que muitas vezes não possui em seu quadro de funcionários pessoas especializadas em segurança da informação; mas sem deixar e garantir e facilitar o cumprimento da legislação.

Nessa toada, o presente Guia vem como um regulamento da LGPD voltado a essas pequenas empresas, microempresas, startups, sem prejuízo de ser estendido pela ANPD a outras organizações além das já exemplificadas.

A LGPD prevê em seus artigos 46 a 50 a necessidade da adoção de medidas de segurança em todo trajeto que engloba o tratamento dos dados, desde a coleta até sua eliminação, se necessária, atentadas como boas práticas, sem prejuízo de outras que se mostrarem necessárias para garantir a segurança no fluxo das informações da empresa. 

SOBRE O CHECKLIST

O Guia lista os mínimos instrumentos/cuidados que a pequena empresa deve adotar para estar adequada à LGPD:

Política de Segurança da Informação – PSI

A empresa deve possuir arquivada sua PSI que estabeleça controles no tratamento dos dados pessoais, a exemplo: controles de senhas, atualização de softwares, uso do site e do correio eletrônico, política de compartilhamento de dados, etc.

Esse instrumento deve ser revisado e adequado em relação a contratos vigentes envolvendo a empresa e parceiros, colaboradores, empregados e sócios.

Conscientização e Treinamento

A empresa deve promover regularmente treinamentos e campanhas envolvendo a segurança no tratamento dos dados pessoais visando fomentar essa cultura de segurança jurídica em seus funcionários acerca das exigências e obrigações previstas na LGPD.

Deve conscientizar seus funcionários, colaboradores, sócios, sobre como utilizar os controles de segurança; como reportar acidentes envolvendo tratamento de dados pessoais; como manter guardados os documentos físicos; a não manter informações pessoais em seus computadores acessíveis aos demais, etc., de molde a fomentar uma cultura de proteção em atenção às regras da LGPD.

Gerenciamento de Contratos

A empresa deve estabelecer cláusulas em seus contratos que assegurem a proteção dos dados pessoais relativamente aos fornecedores e parceiros, no tocante à relação entre controlador e operador, bem como incentivar a adoção de Termos de Confidencialidade para suas relações internas e externas. 

Controle de Acesso

A empresa deve implementar um sistema de controle de acesso aplicável a todos os usuários, adotando níveis de permissão e implementando gerenciamento de segurança, evitando adoção de senhas padrão ou  o compartilhamento de senhas e acessos entre funcionários.

Deve providenciar o uso de autenticação multifatorial para acessar sistemas e banco de dados que armazenem dados pessoais, de modo a evitar que qualquer membro, funcionário, parceiro ou colaborador tenha acesso a dados pessoais sem necessidade e sem finalidade específica - atendendo aos princípios norteadores da LGPD.

Segurança de Dados Pessoais Armazenados

A empresa, nos termos da LGPD, apenas deve tratar dados orientada pelos princípios da Finalidade e da Necessidade, e os funcionários devem ser orientados nesse sentido.

Da mesma forma, os sistemas de segurança da informação da empresa devem estar munidos de ferramentas que minimizem os riscos envolvendo acidentes de vazamentos de dados pessoais, tais como soluções de pseudonimização e criptografia, além de realizar backups off-line e armazená-los de forma segura, conforme previsto na LGPD.

Gerenciamento de Vulnerabilidades

A empresa deve manter sempre atualizados seus sistemas de segurança, seus softwares e antimalwares, realizar frequentes e periódicas varreduras nos dispositivos utilizados e implementar funcionalidades que possibilitem a exclusão remota de dados pessoais armazenados em dispositivos móveis, atendendo às exigências da LGPD.

Serviços em Nuvem

Procurar ter sempre contrato ativo com provedor de serviços em nuvem que atenda aos requisitos de segurança da informação exigidos pela LGPD utilizando técnicas de autenticação para acesso aos serviços relacionados a armazenamento de dados pessoais.

TER A ADEQUAÇÃO CORRETA E CULTURAL DENTRO DA LGPD

Observa-se que a ANPD, atenta às particularidades de cada empresa, viabilizou um guia explicativo e um checklist de alguns cuidados mínimos de segurança no tratamento dos dados pessoais pelas pequenas empresas, microempresas, startups e empresas do terceiro setor em atenção às exigências da LGPD.

Mas nada disso é válido se o fator humano, um dos principais pilares nesse movimento de adequação, não estiver preparado para atender a esses cuidados. Portanto, os colaboradores devem adotar providências ao manusear dados pessoais, ao utilizar sua estação de trabalho, ao realizar transferência de dados pessoais providenciando sempre na autorização de atualização de suas ferramentas de molde a garantir os cuidados necessários.

Porque não basta a empresa arquivar alguns instrumentos escritos e adquirir e implementar ferramentas de T.I para estar estruturada à LGPD, sendo necessária a adoção de uma nova cultura por todos os integrantes da organização.

Importante, salientar que se enxerga com otimismo esses movimentos realizados pela Autoridade Nacional de Proteção de Dados ao viabilizar que a regulamentação da LGPD seja sensível à realidade particular de cada empresa e de seu porte, pois inegável que a estruturação da organização à luz dessas novas regras demanda um custo a mais em seu orçamento.

CONCLUSÃO

Enfim, a LGPD é ‘daqui para sempre’’ e a ‘lei é para todos’, mas não se pode olvidar as diferenças estruturais existentes em empresas e seus portes, organizações, órgão públicos, e a ANPD mostra estar atenta a essa realidade.

Se você gostou desse artigo, deixe o seu comentário abaixo, ou caso você precise de um esclarecimento adicional sobre o tema, escreva e pergunte para a gente.