Em 04 de outubro de 2021, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, bem como um checklist com as sugestões de medidas a serem adotadas. Ambos os documentos são endereçados aos agentes de tratamento que, em razão de seu tamanho e eventuais limitações, muitas vezes não contam com funcionários especializados em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.
Os novos documentos desenvolvidos pela ANPD estão em linha com o art. 55-J, XVIII da LGPD, que determina a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para empresas que se declarem startups ou de inovação, a fim de não só facilitar, como incentivar o cumprimento da lei por essas empresas. Ademais, o Guia também busca proteger não só o direito dos titulares dos dados pessoais, levando em conta o risco aplicado ao tratamento e o dano que um possível vazamento dos dados pode vir a causar, mas também o alto impacto financeiro aos agentes de tratamento de pequeno porte em caso de violações as diretrizes da LGPD.
Guia Orientativo de Segurança da Informação busca atender ao Princípio da Segurança, previsto no Art. 6º, VII da LGPD, que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou ilícitos. Mais especificamente, a Lei estabelece em seus artigos 46 a 49 que os agentes de tratamento devem: (i) garantir a segurança da informação dos dados pessoais, mesmo após o término de seu tratamento; (ii) comunicar incidentes de segurança à Autoridade Nacional e ao titular dos dados; e (iii) possuir sistemas de segurança estruturados de acordo com os padrões de boas práticas e governança e aos princípios gerais da Lei.
Assim, o Guia traz sugestões de medidas de segurança da informação capazes de promover, em agentes de tratamento de pequeno porte, um ambiente institucional mais seguro. Tais medidas foram divididas em:
- medidas administrativas;
- medidas técnicas;
- medidas relacionadas ao uso de dispositivos móveis; e
- medidas relacionadas ao serviço em nuvem.
Dentre as medidas administrativas destaca-se a elaboração de uma Política de Segurança da Informação, que tem como propósito fundamental ser uma ferramenta que apoie a implementação de um processo estruturado de segurança da informação, considerando o negócio e o porte de cada organização. Além disso, é mencionada a importância de campanhas de conscientização e treinamento dos funcionários dos agentes de tratamento, bem como a inclusão de cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais em contratos relevantes.
Já as medidas técnicas incluem controles de acesso, de forma a garantir que os dados pessoais apenas serão acessados por pessoal autorizado; garantir que apenas os dados pessoais estritamente necessários para o cumprimento da finalidade estão sendo tratados, e a segurança das comunicações, por meio do gerenciamento do tráfego de rede. Também inclui manutenção de um programa de gerenciamento de vulnerabilidades, mantendo seus sistemas e aplicativos sempre atualizados com as últimas versões e adoção de antivírus.
As medidas relacionadas ao uso de dispositivos móveis são similares aos procedimentos de controle de acesso dos outros equipamentos de TI, bem como o uso da autenticação multi-fator, funcionalidades que permitam apagar remotamente os dados pessoais no aparelho, guardá-los em locais seguros quando não estiverem em uso e que haja uma separação entre os dispositivos móveis de uso privado e de uso institucional.
Por fim, considerando a crescente disseminação do uso da nuvem para armazenamento de dados, a ANPD sugere a realização de um contrato de nível de serviço que contemple a segurança dos dados armazenados e a avaliação de se o serviço fornecido pelo provedor atende aos requisitos definidos pelo agente de tratamento.
É importante pontuar que essas medidas sugeridas não são taxativas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização.
Cabe frisar que diversos temas importantes no que se refere a aplicação da LGPD para agentes de tratamento de pequeno porte ainda devem ser regulamentados por meio de Resolução da ANPD, cuja minuta ficou aberta a consulta pública até o dia 14 de outubro de 2021. No momento, aguarda-se a consideração pela Autoridade Nacional de todas as contribuições recebidas e emissão da versão oficial da Resolução.
No entanto, outra Resolução importante foi publicada pela Autoridade menos de um mês depois do lançamento do Guia Orientativo. Em 29 de outubro de 2021, publicou-se a Resolução que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador pelo Conselho Diretor da ANPD, através da Resolução CD/ANPD N° 1, que entrou em vigor no mesmo dia, e terá seu primeiro ciclo de monitoramento a partir de janeiro de 2022. O principal objetivo do Regulamento é estabelecer procedimentos inerentes ao processo de fiscalização, bem como as regras que devem ser observadas no âmbito do processo administrativo sancionador pela ANPD.
Dessa forma, dentre as novas regras, alguns pontos importantes a frisar da nova Resolução são:
- a contagem dos prazos no processo administrativo, que serão contados em dias úteis, excluindo o dia do começo e incluindo o dia do vencimento;
- os meios pelos quais os atos administrativos serão praticados, incluindo a intimação, sendo preferencialmente realizados de forma eletrônica;
- as premissas da fiscalização da Autoridade Nacional, que consistem em (i) priorizar a atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado; (ii) estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador; (iii) exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais; (iv) incentivo à responsabilização e prestação de contas pelos agentes de tratamento, (v) atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados, entre outras;
- do processo de recebimento de requerimentos, que além de considerar seus requisitos de admissibilidade também deverá verificar se a petição do titular vem acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação;
- as possibilidades de atividades de orientação e preventivas que poderão ser aplicadas pela Autoridade Nacional, incluindo sugestão de treinamentos, implementação de Programa de Governança em Privacidade e elaboração de plano de conformidade;
- Coordenação-Geral de Fiscalização responsável pelo julgamento em primeira instância e possibilidade de interposição de recurso administrativo ao Conselho Diretor, como instância administrativa máxima; e
- possibilidade de celebração de Termo de Ajustamento de Conduta, que uma vez assinado causará a suspensão do processo.
Clique aqui para acessar o Guia e o Checklist de Segurança da Informação para Agentes de Tratamento de Pequeno Porte e aqui para acessar a Resolução CD/ANPD N° 1.
Para mais informações, entre em contato com Saud Advogados.