Micro e pequenos empresários têm tido uma grande preocupação em relação à adequação de suas empresas à Lei Geral de Proteção de Dados (Lei 13.709/2018 – LGPD). A preocupação é justificada, uma vez que, segundo dados da consultoria PwC, o custo para adequação à LGPD pode variar de R$50 mil a R$ 800 mil, o que seria inviável para as empresas de pequeno porte. Contudo, com o objetivo de regulamentar o art. 55-J, inciso XVIII, a Autoridade Nacional de Proteção de Dados (ANPD) incluiu em sua agenda regulatória um item específico para tratar da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos”. Pois bem, nesse diapasão, a ANPD iniciou a tomada de subsídios sobre o tema em 29 de janeiro de 2021 e submeteu a minuta de resolução à consulta pública no último dia 30 de agosto. A minuta da resolução definiu os critérios para enquadramento de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que foram denominados “agentes de tratamento de pequeno porte”.
Embora a resolução venha para flexibilizar algumas regras, a Autoridade ressalta que o porte da empresa “não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º.” Essa afirmação vai ao encontro do que afirma Patrícia Peck Pinheiro em Proteção de Dados Pessoais: comentários à lei (2021): “um dos objetivos da LGPD é assegurar a proteção e o livre desenvolvimento da personalidade da pessoa natural” e que isso está relacionado à garantia de titularidade de seus dados e “inviolabilidade da vida privada”.
Em função disso, mesmo não possuindo funcionários especializados em segurança da informação, os agentes de tratamento de pequeno porte não podem deixar de tomar as medidas administrativas e técnicas de segurança da informação, conforme previsto nos artigos 46, 47, 48 e 49 da LGPD. Cabe destacar que o § 1º do art. 46 define que a ANPD poderá dispor sobre “padrões técnicos mínimos” relativos às medidas de segurança técnicas e administrativas para proteção dos dados pessoais. A minuta da Resolução para Agentes de Tratamento de Pequeno Porte tem um item que se refere às medidas administrativas e técnicas em relação à segurança da informação, afirmando que esses agentes de tratamento deverão adotar as medidas com base em um guia orientativo a ser elaborado pela ANPD.
Pois bem, a ANPD lançou no dia 04 de outubro, o seu segundo guia orientativo, intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”. Trata-se de um documento que sugere padrões técnicos mínimos de segurança que as micro e pequenas empresas, além de startups, podem utilizar para proteger os dados pessoais sob a guarda dessas empresas, fazendo com que se tenha um ambiente institucional mais seguro. Contudo, o guia informa que “as medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização”, ou seja, trata-se de sugestões que devem ser complementadas pelos agentes de tratamento de pequeno porte, especialmente para promover a segurança no fluxo informacional das empresas. O guia é dividido em Medidas Administrativas, Medidas Técnicas e recomendações para dispositivos móveis e serviços na nuvem.
Medidas Administrativas
As medidas administrativas são aquelas que tratam de política e procedimentos relacionados à segurança da informação. As medidas citadas no guia são:
Política de Segurança da Informação: mesmo que seja simplificada, perfaz um conjunto de diretrizes e regras para viabilizar o planejamento, implementação e o controle de ações de segurança da informação dentro da instituição;
Conscientização e Treinamento: uma vez que as pessoas muitas vezes são negligenciadas, mas são parte vital para o sucesso de qualquer ação em relação à segurança da informação e proteção de dados;
Gerenciamento de contratos: com a inclusão de termos de confidencialidade para funcionários e em contratos com fornecedores e clientes nos quais deve haver a inclusão de cláusulas que determinem as responsabilidades e funções em relação à LGPD.
Medidas Técnicas
As medidas técnicas seriam aquelas mais relacionadas às tecnologias e controles que podem ser implementados em relação à segurança da informação. O guia cita as seguintes medidas técnicas:
Controle de acesso: baseado na necessidade de acesso aos dados pessoais, implementando política de senhas complexas e desabilitando senhas padrões de fabricantes. Também recomenda que não se faça o compartilhamento de senhas entre funcionários e que se adote o princípio do menor privilégio, ou seja, atribuir o nível de acesso necessário para a realização das atividades de cada funcionário. Por fim, recomenda a utilização de autenticação multi-fator. O processo de autenticação é uma das medidas que abordei em outros dois artigos aqui na MIT Technology Review Brasil: “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques” e “Quais são os padrões técnicos mínimos exigidos pela LGPD?”;
Segurança dos dados pessoais armazenados: com ressalva para a observação ao princípio da necessidade (art. 6º, III), com a minimização da coleta dos dados, atentando-se para a configuração segura das estações de trabalho – o hardening já citado em artigo aqui nesta MIT Technology Review Brasil — e para a não utilização de dispositivos de armazenamento externo, como HD ou pendrives. Essa medida também se relaciona com as cópias de segurança (backup) e uso de criptografia nos dados armazenados;
Segurança das comunicações: com a utilização de protocolos de comunicação seguros – como TLS/HTTPS – e aplicativos com criptografia fim a fim, inclusive com o uso de e-mails criptografados, se forem utilizados para envio de dados pessoais. Há ainda a necessidade de se utilizar tecnologias de proteção de tráfego, como sistema de firewall, antivírus, antispyware e anti-spam. Por fim, remover qualquer dado pessoal que esteja em redes públicas, como o site da empresa, caso não exista a necessidade de tal publicidade;
Manutenção de programa de gerenciamento de vulnerabilidades: para monitorar e aplicar correções de sistemas e aplicativos lançadas pelos servidores. É importante manter os sistemas atualizados, para se minimizar o risco de ser vítima de um ataque que explore vulnerabilidades conhecidas. Além disso, deve-se também manter antivírus e antimalwares sempre atualizados e com varreduras periódicas em todos os dispositivos da empresa.
Recomendações para Dispositivos Móveis e Serviços na Nuvem
Para dispositivos móveis, como notebooks, tablets e smartphones, o guia sugere que estejam sujeitos aos mesmos procedimentos de controle de acesso implantados para os demais equipamentos da empresa, incluindo autenticação multi-fator. O guia recomenda, ainda, que a empresa separe os dispositivos móveis de uso privado daqueles de uso institucional. Ou seja, a recomendação é que não se utilize dispositivos móveis particulares para fins institucionais, uma vez que estão mais sujeitos a vulnerabilidades, trazendo mais risco para o agente de tratamento. Uma última recomendação é a implementação de funcionalidade que permita apagar todos os dados no dispositivo, de forma remota, para ser usada em caso de perda ou roubo do equipamento.
Quanto à serviços na nuvem, é importante ter um contrato de acordo de nível de serviço (SLA – Service Level Agreement) adequado, que contemple a segurança dos dados armazenados e uso de autenticação multi-fator, para acesso aos serviços e dados pessoais que estão na nuvem.
Isso é apenas o começo
Cabe ressaltar que a ANPD destaca que o guia não tem efeito normativo vinculante e trata-se apenas de um guia de boas práticas, que poderá ser atualizado e aperfeiçoado sempre que necessário. Isso é importante, uma vez que a Segurança da Informação é uma área muito dinâmica, muito embora as recomendações feitas no guia possam servir como um caminho inicial para os agentes de tratamento de pequeno porte.
Contudo, há outras práticas e recomendações que podem (e devem) ser buscadas, para que se tenha um ecossistema de privacidade e proteção de dados cada vez mais efetivo. Por exemplo, o § 2º do art. 46 consagra claramente que as organizações devem adotar o conceito de “privacidade desde a concepção” (privacy by design), quando diz que “as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até sua execução”. Basicamente, utilizar o conceito de privacidade desde a concepção significa que a privacidade e proteção de dados devem ser consideradas fator importante e crucial desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço produto ou processo. Há, ainda, boas práticas já consolidadas no mercado, como as normas da família 27.000 da ABNT/ISO/IEC. Por fim, recomendo também a observância em relação às principais violações que ensejaram a aplicação de multas pelas autoridades de proteção de dados da Europa, como já abordei no artigo “Quais são os padrões técnicos mínimos exigidos pela LGPD?”.
O importante é que todos trabalhem para que tenhamos um comportamento digital cada vez mais seguro, de forma que os direitos dos titulares sejam sempre respeitados.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e Colunista da MIT Technology Review.
Fabio Correa Xavier
