Artigo publicado no Boletim da Câmara Portuguesa de Comércio no Brasil:
Razões e aplicação das medidas indicadas pela Autoridade Nacional de Proteção de Dados (ANPD) com base nas melhores práticas de segurança da informação para a adequação de agentes de tratamento de pequeno porte com os princípios e requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Carlos A. I. Bernardo
Consultor e Instrutor em Segurança da Informação
carlos.bernardo@itsecure.com.br
Os princípios e requisitos da Lei Geral de Proteção de Dados (LGPD) brasileira se aplicam também aos processos de trabalho de pequenas empresas e startups que lidam com dados pessoais de funcionários, clientes ou de outras partes, mesmo que este tratamento não envolva grandes volumes de dados ou que não sejam sensíveis.
Dentre estes princípios e requisitos está a necessidade de garantir que o tratamento seja feito dentro das condições adequadas de segurança da informação, preservando a confidencialidade, a integridade e a disponibilidade dos dados pessoais tratados e diminuindo eventuais riscos para os respectivos titulares decorrentes do seu comprometimento.
A lei traz inclusive um capítulo inteiro, o VII, dedicado à segurança e as boas práticas, abordando a exigência de medidas técnicas e administrativas aptas a proteger os dados pessoais, bem como orientações para a aplicação de boas práticas de segurança e de governança para a eficácia dessas medidas.
Disposições legais similares existem em outros países. Na União Europeia elas fazem parte da General Protection Data Protection Regulation (GDPR) e nos Estados Unidos de leis estaduais e federais que regulamentam diversas circunstâncias de uso de dados pessoais, como, por exemplo, a California Consumer Privacy Act (CCPA) e a Health Insurance Portability and Accountability Act (HIPAA).
A razão para esta preocupação dos legisladores é que os riscos de segurança da informação estão presentes independentemente do tamanho da empresa ou do seu processo de tratamento de dados. São riscos provenientes de ameaças como o crime cibernético, falhas humanas, erros em sistemas etc.
A mídia tem alertado com frequência sobre os casos de golpes eletrônicos, que são um dos tipos de riscos aos quais as empresas e os titulares dos dados pessoais tratados por elas estão expostos.
Os riscos de segurança vêm crescendo ao longo do tempo, à medida que os negócios passam pela transformação digital, usam cada vez mais computadores, conectam seus sistemas na Internet, fazem transações bancárias online com mais frequência e migram suas comunicações com os clientes e parceiros de negócios para os meios eletrônicos.
Os números de incidentes reportados para o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) refletem esse crescimento, tendo passado da casa dos 3 mil em 1999 para quase 700 mil em 2020.
A propósito, por conta da exposição cada vez maior das empresas aos riscos provenientes de ataques externos provenientes da internet, que abrange quase 5 bilhões de usuários, a cibersegurança ou segurança cibernética está bastante em evidência. Trata-se da parte da disciplina de segurança da informação que lida especificamente com as medidas que protegem computadores e sistemas interligados entre si por redes de comunicação.
Características comuns nos pequenos agentes de tratamento de dados, além de redes de computadores menores e de arquitetura mais simples, são a ausência de estruturas formais de Segurança da Informação em seus organogramas e o foco principal do trabalho da equipe de Tecnologia da Informação no suporte aos usuários e não na gestão dos riscos de segurança.
Não é incomum também encontrar pequenos agentes de tratamento que não contam com ninguém de tecnologia da informação em seus quadros, recorrendo a técnicos externos para as atividades de instalação ou manutenção dos computadores.
Tais características não impossibilitam o atendimento à LGPD. A própria Autoridade Nacional de Proteção de Dados (ANPD) publicou um Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte com orientações, baseadas nas melhores práticas, para estabelecer um patamar mínimo de segurança da informação.
De forma bastante resumida, as principais medidas de segurança recomendadas no guia são:
- Medidas administrativas: política de segurança da informação, conscientização e treinamento da equipe, gerenciamento dos contratos de fornecedores e prestadores de serviço;
- Medidas técnicas: controle de acesso, segurança dos dados pessoais armazenados, segurança das comunicações, manutenção de programa de gerenciamento de vulnerabilidades.
- Medidas relacionadas ao uso de dispositivos móveis: separar o uso privado do uso a serviço; ter controles de segurança aplicados aos dispositivos da mesma forma que é feito com outros equipamentos da empresa, implantar funcionalidades que permitam apagar os dados remotamente em caso de perdas ou roubos e gerenciamento dos dispositivos da empresa.
- Medidas relacionadas ao serviço em nuvem: Avaliar se o prestador do serviço atende aos requisitos de segurança necessários, conferir se o serviço em nuvem implementa as recomendações internacionais e as boas práticas de segurança da informação, ter um contrato com acordos de níveis de serviço adequados para a segurança dos dados pessoais tratados e usar o serviço de forma adequada, com autenticação segura e usuários internos cientes dos procedimentos adequados de uso.
É verdade que a implementação inicial destas medidas demanda conhecimento técnico especializado, diferente em foco daquele necessário para o suporte técnico ou para a manutenção de computadores, mas as empresas podem ter acesso a esse conhecimento por meio de treinamentos, mentorias ou consultorias.
A operacionalização das medidas, após a sua implementação, pode ser feita por meio da contratação da prestação de serviços de segurança da informação, mantendo-se a ressalva de que a gestão da empresa deve ter, pelo menos, um conhecimento mínimo de gestão da segurança da informação que lhe permita supervisionar a qualidade do serviço contratado para garantir sua conformidade contínua com a LGPD.
A responsabilidade legal da direção da empresa pelo cumprimento da legislação não pode ser terceirizada, transferida ou delegada. Neste ponto, a segurança da informação não é diferente de outras obrigações que estão na essência do negócio.
Esta última declaração, da segurança no tratamento dos dados pessoais como componente essencial dos bens e serviços entregues para a sociedade pela empresa, pode parecer estranha em uma visão mais tradicional, mas, considerando que a proteção de dados pessoais é agora um direito fundamental estabelecido no artigo V da constituição e que a segurança da informação é um dos pilares da LGPD, não dá mais para pensar de outra forma.
A escolha da solução específica, a ser aplicada em cada empresa para implementar as medidas propostas pela ANPD, deve levar em conta o contexto dos seus processos de tratamento de dados pessoais, principalmente sua exposição aos riscos.
A boa solução para qualquer empresa é aquela que possa ser mantida funcionando e caiba no seu orçamento. Entendendo aqui por solução, não só equipamentos ou ferramentas eventualmente adquiridos, mas também as pessoas e processos que participarão do seu uso na empresa.
Um erro comum é a implantação de soluções com ferramentas até muito boas tecnicamente, mas sem que se pense como operá-las continuamente dentro da realidade de um pequeno agente de tratamento e que, por isso, depois de algum tempo de uso sofrível, caem no desuso.
É possível achar boas soluções e, para isto, o planejamento é o fator decisivo. O que uma empresa, mesmo sendo um pequeno agente de tratamento, não pode é não fazer nada para a sua adequação, pois, a LGPD está em vigor e a proteção de dados é um direito fundamental.
Referências:
Estatísticas de Incidentes Reportados ao CERT.br
https://www.cert.br/stats/incidentes/
Lei Geral de Proteção de Dados
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf
Imagem – Banco de imagens pixabay.com