Para aqueles que ainda não deram importância a Lei Geral de Proteção de Dados (LGPD) é bom ficar atento. A Autoridade Nacional de Proteção de Dados (ANPD) tem cumprido seus compromissos e prioridades dentro de seu planejamento estratégico e emitiu guia de boas práticas às PMES (pequenas, microempresas e startups).
Foi publicado pela ANPD no último dia 04 de outubro, o guia orientativo para agentes de tratamento de pequeno porte com foco nas diretrizes de segurança da informação. Segundo o guia, "Um importante ponto é o gerenciamento de riscos no âmbito da segurança da informação, que consiste no processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização. Ele visa a obter um equilíbrio eficiente entre a concretização de oportunidades de ganhos e a minimização de vulnerabilidades e perdas."
A intenção da ANPD foi priorizar as empresas de pequeno porte, que vem sobrevivendo em meio a um momento econômico hostil, e se sobressaem como vias alternativas de crescimento e geração de empregos no Brasil. Neste guia que contêm recomendações não vinculantes, são sugeridas medidas administrativas e técnicas para proteção de dados pessoais que se ajustem ao tamanho, necessidade e baixo custo para os pequenos empresários.
A proposta é criar uma política de segurança de informação de acordo com a estrutura organizacional e que disponha de ferramentas tais como: política de uso de senhas; regras de autenticação de acesso aos sistemas (baseada em níveis de permissão hierárquicos); instruções de segurança para compartilhamento de dados; regras formais para uso do e-mail corporativo; política de atualização de softwares periféricos; diretrizes para adoção de antivírus; definição de regras para as estações de trabalho; implementação de backups regulares e, inclusive, adoção de arquivos em nuvem, dentre outras opções de segurança que se adequam ao modelo de negócios e as soluções de TI apropriadas. Neste momento de trabalho remoto, regras são fundamentais.
Além disso, é crucial a geração da cultura de proteção de dados entre os funcionários, por meio de treinamentos e campanhas de conscientização sobre obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. Nestes eventos empregados podem ser instruídos sobre como utilizar controles de segurança dos sistemas de TI no trabalho diário; como evitar riscos de serem vítimas de incidentes de segurança corriqueiros, inclusive por contaminação de vírus ou ataques de "phishing" (golpe virtual quando a vítima é direcionada a um site falso e fornece involuntariamente seus dados); não compartilhamento de logins e senhas de acesso das estações de trabalho, dentre outros riscos. Veja o caso recente da plataforma brasileira Hariexpress (comércio eletrônico) que vazou mais de 1,7 bilhão de dados sensíveis de clientes e lojistas cadastrados, de marcas importantes Americanas, Submarino, Amazon, Shopee, Mercado Livre, inclusive Correios.
Quanto a terceirização de TI, recomenda-se a execução de contratos formais com fornecedores, incluindo cláusulas expressas de segurança da informação; regras sobre compartilhamentos, obrigações e responsabilidades na relação entre controlador e operador.
O guia baseou-se nas boas práticas internacionais e destina-se a criar um ambiente menos complicado para as PMEs permitindo a elas que sirvam como exemplo na Governança de Dados.
Por fim, junto com o guia foi publicado um "checklist de medidas de segurança da informação para empresas de pequeno porte", que vale a leitura. Mitos e desculpas já não cabem na LGPD, não importa o tamanho da empresa.
*Thais Carloni, advogada e sócia fundadora da Carloni Advocacia Empresarial
