Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte da ANPD


por Amanda Fuso





No dia 04 de outubro de 2021, a Autoridade Nacional de Proteção de Dados - ANPD publicou o Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte (“Guia”)[1] que elenca uma série de medidas de segurança técnicas e administrativas capazes de promover, em agentes de tratamento de pequeno porte, um ambiente institucional mais seguro quanto ao tratamento de dados pessoais.


Considerando o caráter action oriented do documento, o presente texto busca introduzir os principais conceitos do Guia, em seguida algumas considerações a respeito das medidas administrativas e, por fim, uma série de exemplos práticos relacionados às medidas técnicas de segurança de informação apresentadas. A intenção é promover discussões sobre as diferentes partes do Guia e aproximar os termos técnicos utilizados à realidade das empresas brasileiras.


Mas, atenção: esse texto foi produzido antes da publicação da Resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais - LGPD para os Agentes de Tratamento de Pequeno Porte (“Resolução”)[2], logo algumas considerações estão sujeitas a alteração.


Quem são os Agentes de Tratamento de Pequeno Porte?


O Guia considerou como agentes de pequeno porte as figuras previstas no art. 55-J, XVII da LGPD, ou seja, as sociedades empresárias, sociedades simples e empresário individual com receita bruta anual de até R$ 4,8 milhões[3], microempreendedor individual com receita bruta anual de até R$81 mil e startups autodeclaradas ou empresas de inovação com receita bruta anual de até R $16 milhões[4].


Nesse sentido, a elaboração de um guia de segurança da informação específico para estes agentes se justifica em razão do tamanho e de eventuais limitações, associadas a tais empresas, que muitas vezes não possuem dentre o seu corpo de funcionários, pessoas especializadas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.


Quanto às ausências, percebe-se as pessoas jurídicas sem fins lucrativos, tais como, associações, fundações, organizações religiosas e partidos políticos - tópico que ficou pendente a determinação via Resolução.


Quais são os conceitos apresentados pelo Guia?


O Guia também trouxe, pela primeira vez, como a ANPD define:


Segurança da Informação: conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais.”; e


Gerenciamento de riscos no âmbito da segurança da informação: processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização. Ele visa a obter um equilíbrio eficiente entre a concretização de oportunidades de ganhos e a minimização de vulnerabilidades e perdas.”


A apresentação do conceito de gerenciamento de riscos no guia de segurança da informação para agentes de tratamento de pequeno porte não foi sem objetivo. Percebe-se que a ANPD se aproxima a abordagem risk based da LGPD, defendida por autores como Maria Cecília Oliveira Gomes[5] e Rafael Zanatta[6]. O modelo de teórico de regulação do risco aplicável à proteção de dados, inclui, dentre outras obrigações:


“No modelo tipológico da regulação do risco, a proteção de dados pessoais “risquificada” passa a ter os seguintes elementos: (i) instrumentos de tutela coletiva e participação de entidades civis no diálogo preventivo com autoridades independentes de proteção de dados pessoais, (ii) obrigações e instrumentos de regulação ex ante atribuídas aos controladores para identificação de riscos a direitos e liberdades fundamentais, (iii) disseminação de metodologias de “gestão de risco” e calibragem entre riscos gerados pelo tratamento e uso de dados pessoais e imunidades jurídicas construídas pela discussão ética sobre os limites do progresso técnico.”[7]

Sobre esse tema, o próprio conceito de gerenciamento de risco contempla as ações de identificação e quantificação do risco relacionado à proteção de dados pessoais, que estão diretamente vinculadas ao mapeamento do ciclo de vida dos dados pessoais dentro da empresa. É com o levantamento das informações e registros das atividades que identifica-se os dados pessoais tratados, os sistemas utilizados e os compartilhamentos realizados; consequentemente, são percebidas as vulnerabilidades no âmbito da segurança da informação e/ou as inconformidades à LGPD a que se sujeita a empresa.


Nesse sentido, o registro de operações de tratamento de dados é a peça-chave no gerenciamento dos riscos e não deveria ser dispensado de plano em razão do porte do agente de tratamento como previsto na minuta da Resolução.[8] Contudo, o Guia se adianta nessa discussão e, apesar de afirmar a importância do gerenciamento de risco, prevê que o processo não é obrigatório para agentes de tratamento de pequeno porte.[9]



Quais são as medidas administrativas recomendadas?


1. Política de Segurança da Informação


O Guia, novamente, se adianta a Resolução e prevê que a Política Segurança da Informação, apesar de não obrigatória para os agentes de tratamento de pequeno porte, compreende uma boa prática para a gestão da segurança, que evidencia “a boa-fé e diligência na segurança dos dados pessoais sob custódia e fornece as diretrizes para a gestão da segurança da informação”.

A título de exemplo, o Guia prevê que as Políticas de Segurança da Informação devem contemplar: “controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros”. Além disso, o agente de tratamento de pequeno porte seja classificado como “provedor de conexão ou aplicação” nos termos do Marco Civil da Internet (Lei 12.965/14), também deve observar as diretrizes de segurança previstas no art. 13 do Decreto n° 8.771/16 na elaboração deste documento.


2. Conscientização e treinamento dos colaboradores


Quanto à conscientização e treinamento, o objetivo do Guia é informar e sensibilizar os colaboradores sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD. Afinal, “são as pessoas que trabalham para os agentes de tratamento de pequeno porte que realizarão o tratamento dos dados pessoais”[10] e se essas pessoas não estão cientes do que estão tratando, elas também não estarão cientes das consequências decorrentes do tratamento irregular de dados pessoais.


Além das orientações básicas, o Guia ressalta a importância de criar um ambiente organizacional que incentive os usuários dos sistemas a informar incidentes e vulnerabilidades, por exemplo, através de canal de atendimento, anônimo ou não, disponibilizado no site da empresa.

3. Gerenciamento de contratos


Além de recomendar a assinatura de termos de confidencialidade por todos os colaboradores da empresa, o Guia prevê que para contratos e aquisições é necessária a clara “distribuição de funções e responsabilidades entre as partes”. Assim, as cláusulas de proteção de dados pessoais, devem, preferencialmente, considerar a posição das partes enquanto agentes de tratamento - apesar de que tal status legal é determinado por suas ações concretas em uma determinada situação.[11]


Para os agentes de tratamento de pequeno porte que terceirizam os serviços de TI, sugere-se a previsão de:

(i) regras para fornecedores e parceiros, tal como, condicionar a contratação de suboperadores a autorização expressa do controlador; [12]


(ii) regras para compartilhamentos de dados pessoais, por exemplo, a vedação de transferências internacionais de dados;


(iii) relações entre controlador-operador, como a garantia do tratamento de dados pessoais conforme boas práticas de segurança da informação e considerando a natureza do tratamento;[13]


(iv) vedação a tratamentos incompatíveis com as orientações do controlador.



Quais são as medidas técnicas recomendadas?


A tabela a seguir relaciona algumas das medidas técnicas recomendadas pelo Guia com elementos da Política de Segurança da Informação e exemplos de aplicações das determinações para agentes de tratamento de pequeno porte.


Tópico de Segurança da Informação

Medida técnica relacionada

Exemplo de aplicação

Controles relacionados ao tratamento de dados pessoais

-Utilização de autenticação multifatores - MFA (41)

-Técnicas de pseudonimização (46)


-Configurações de segurança das estações de trabalho (47)



-Evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo e, caso imprescindível, adotar controles adicionais (48)


-Remoção de dados pessoais desnecessariamente disponibilizados em redes públicas (55)

​- Envio de códigos de segurança por short message service (SMS) ou por e-mail


-Utilização de técnicas de criptografia disponibilizadas por serviços em nuvem



-Criptografar os dados disponíveis através das configurações do próprio dispositivo





- Criação de canal de acesso restrito para que o usuário acesse suas informações

Cópias de segurança - backups

-Realização regular e completa, com o armazenamento em local seguro e distinto do dispositivo principal (49)


-Formatar as mídias antes do descarte (50)


-Destruição física da mídia antes do descarte (50)

​-Backups em disco rígidos, com senha de acesso e mantido em cofres




- Utilização de softwares formatadores para SSDs


-Trituração de CDs e/ou DVDs

Uso de senhas

-Exigência de senhas fortes, com número mínimo de caracteres, caracteres especiais ou outros fatores (36)

-Configuração através de softwares abertos para a exigência de senhas fortes e vedação de reutilização de senhas

Permissões de acesso à informação

​- Garantir que os dados sejam acessados somente por pessoas autorizadas através dos processos de autenticação - quem pode acessar, autorização - o que pode fazer e auditoria - registro do que foi feito (34)


-Avaliação e implementação de funcionalidades que permitem a exclusão remota dos dados pessoais (62)

- Exigência de confirmação de titularidade para o controle de acesso







- Configuração da função de exclusão remota do próprio sistema

Atualização de softwares

-Atualização periódica de todos os sistemas e aplicativos utilizados (56)


-Utilização de conexões cifradas (53)



-Gerenciamento do tráfego de rede (54)

​- Ativar a instalação automática de patches



- Uso de ferramentas de ativação automática do HTTPS no navegador;


- Instalação e manutenção de firewalls e firewalls de aplicação web e a criação de filtros de e-mail através das configurações do próprio servidor

Uso de antivírus

Adoção e atualização periódica de softwares antivírus e antimalwares (57)

Ativação de antivírus já incorporados no sistemas e agendamento de varreduras periódicas dos sistemas


É importante ressaltar que o Guia apresenta orientações sem efeito normativo vinculantes para os agentes de tratamento de pequeno porte. O documento poderá ser revisto pela ANPD, inclusive após a publicação da Resolução.


Referências

[1] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf . Acesso em: 18 out. 2021.


[2] Minuta disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/minuta_de_resolucao___aplicacao_da_lgpd_para_agentes_de_tratamento_de_pequeno_porte.pdf . Acesso em: 18 out. 2021.


[3] art. 3º da Lei Complementar nº 123 de 14 de dezembro de 2006.


[4] art. 4, §1° da Lei Complementar n° 123 de 1° de junho de 2021.


[5] GOMES, Maria Cecília O. Entre o método e a complexidade: compreendendo a noção de risco na LGPD. In Temas atuais de proteção de dados. PALHARES, Felipe (Coord.) São Paulo: Thomson Reuters Brasil, 2020, pp.245-271.


[6] ZANATTA, Rafael A.F. Proteção de dados pessoais como regulação de risco: uma nova moldura teórica? I ENCONTRO DA REDE DE PESQUISA EM GOVERNANÇA DA INTERNET, NOVEMBRO DE 2017. Disponível em: http://www.redegovernanca.net.br/public/conferences/1/anais/ZANATTA,%20Rafael_2017.pdf . Acesso em: 18 out. 2021.


[7] Ibdem.


[8] Para mais informações sobre essa discussão, a Associação de Pesquisa Data Privacy Brasil elaborou a “Contribuição à Consulta Pública sobre a Norma de aplicação da LGPD para microempresas e empresas de pequeno porte”, documento que apresenta 6 (seis) motivos pela não consagração dessa dispensa.Disponível em: https://dataprivacy.com.br/wp-content/uploads/2021/10/dpbr_contribuicao_pme_anpd.pdf . Acesso em: 18 out. 2021.


[9] “Ainda que não seja obrigatório, é indicado que o gerenciamento de riscos de segurança seja realizado periodicamente. Ele é parte integrante das práticas de gerenciamento e um importante elemento da boa governança, além de auxiliar na melhoria organizacional, no desempenho e na tomada de decisões.” Parágrafo 8, pág.6, Guia.


[10] Parágrafo 25, pág. 9, Guia.


[11] Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.


[12] Art. 28 (2) General Data Protection Regulation - GDPR. Disponível em: https://gdpr-info.eu/art-28-gdpr/ . Acesso em: 18 out. 2021.


[13] Art. 28 (3)(f), General Data Protection Regulation - GDPR. Disponível em: https://gdpr-info.eu/art-28-gdpr/ . Acesso em: 18 out. 2021.