por Amanda Fuso
No dia 04 de outubro de 2021, a Autoridade Nacional de Proteção de Dados - ANPD publicou o Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte (“Guia”)[1] que elenca uma série de medidas de segurança técnicas e administrativas capazes de promover, em agentes de tratamento de pequeno porte, um ambiente institucional mais seguro quanto ao tratamento de dados pessoais.
Considerando o caráter action oriented do documento, o presente texto busca introduzir os principais conceitos do Guia, em seguida algumas considerações a respeito das medidas administrativas e, por fim, uma série de exemplos práticos relacionados às medidas técnicas de segurança de informação apresentadas. A intenção é promover discussões sobre as diferentes partes do Guia e aproximar os termos técnicos utilizados à realidade das empresas brasileiras.
Mas, atenção: esse texto foi produzido antes da publicação da Resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais - LGPD para os Agentes de Tratamento de Pequeno Porte (“Resolução”)[2], logo algumas considerações estão sujeitas a alteração.
Quem são os Agentes de Tratamento de Pequeno Porte?
O Guia considerou como agentes de pequeno porte as figuras previstas no art. 55-J, XVII da LGPD, ou seja, as sociedades empresárias, sociedades simples e empresário individual com receita bruta anual de até R$ 4,8 milhões[3], microempreendedor individual com receita bruta anual de até R$81 mil e startups autodeclaradas ou empresas de inovação com receita bruta anual de até R $16 milhões[4].
Nesse sentido, a elaboração de um guia de segurança da informação específico para estes agentes se justifica em razão do tamanho e de eventuais limitações, associadas a tais empresas, que muitas vezes não possuem dentre o seu corpo de funcionários, pessoas especializadas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.
Quanto às ausências, percebe-se as pessoas jurídicas sem fins lucrativos, tais como, associações, fundações, organizações religiosas e partidos políticos - tópico que ficou pendente a determinação via Resolução.
Quais são os conceitos apresentados pelo Guia?
O Guia também trouxe, pela primeira vez, como a ANPD define:
“Segurança da Informação: conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais.”; e
“Gerenciamento de riscos no âmbito da segurança da informação: processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização. Ele visa a obter um equilíbrio eficiente entre a concretização de oportunidades de ganhos e a minimização de vulnerabilidades e perdas.”
A apresentação do conceito de gerenciamento de riscos no guia de segurança da informação para agentes de tratamento de pequeno porte não foi sem objetivo. Percebe-se que a ANPD se aproxima a abordagem risk based da LGPD, defendida por autores como Maria Cecília Oliveira Gomes[5] e Rafael Zanatta[6]. O modelo de teórico de regulação do risco aplicável à proteção de dados, inclui, dentre outras obrigações:
“No modelo tipológico da regulação do risco, a proteção de dados pessoais “risquificada” passa a ter os seguintes elementos: (i) instrumentos de tutela coletiva e participação de entidades civis no diálogo preventivo com autoridades independentes de proteção de dados pessoais, (ii) obrigações e instrumentos de regulação ex ante atribuídas aos controladores para identificação de riscos a direitos e liberdades fundamentais, (iii) disseminação de metodologias de “gestão de risco” e calibragem entre riscos gerados pelo tratamento e uso de dados pessoais e imunidades jurídicas construídas pela discussão ética sobre os limites do progresso técnico.”[7]
Sobre esse tema, o próprio conceito de gerenciamento de risco contempla as ações de identificação e quantificação do risco relacionado à proteção de dados pessoais, que estão diretamente vinculadas ao mapeamento do ciclo de vida dos dados pessoais dentro da empresa. É com o levantamento das informações e registros das atividades que identifica-se os dados pessoais tratados, os sistemas utilizados e os compartilhamentos realizados; consequentemente, são percebidas as vulnerabilidades no âmbito da segurança da informação e/ou as inconformidades à LGPD a que se sujeita a empresa.
Nesse sentido, o registro de operações de tratamento de dados é a peça-chave no gerenciamento dos riscos e não deveria ser dispensado de plano em razão do porte do agente de tratamento como previsto na minuta da Resolução.[8] Contudo, o Guia se adianta nessa discussão e, apesar de afirmar a importância do gerenciamento de risco, prevê que o processo não é obrigatório para agentes de tratamento de pequeno porte.[9]
Quais são as medidas administrativas recomendadas?
1. Política de Segurança da Informação
O Guia, novamente, se adianta a Resolução e prevê que a Política Segurança da Informação, apesar de não obrigatória para os agentes de tratamento de pequeno porte, compreende uma boa prática para a gestão da segurança, que evidencia “a boa-fé e diligência na segurança dos dados pessoais sob custódia e fornece as diretrizes para a gestão da segurança da informação”.
A título de exemplo, o Guia prevê que as Políticas de Segurança da Informação devem contemplar: “controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros”. Além disso, o agente de tratamento de pequeno porte seja classificado como “provedor de conexão ou aplicação” nos termos do Marco Civil da Internet (Lei 12.965/14), também deve observar as diretrizes de segurança previstas no art. 13 do Decreto n° 8.771/16 na elaboração deste documento.
2. Conscientização e treinamento dos colaboradores
Quanto à conscientização e treinamento, o objetivo do Guia é informar e sensibilizar os colaboradores sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD. Afinal, “são as pessoas que trabalham para os agentes de tratamento de pequeno porte que realizarão o tratamento dos dados pessoais”[10] e se essas pessoas não estão cientes do que estão tratando, elas também não estarão cientes das consequências decorrentes do tratamento irregular de dados pessoais.
Além das orientações básicas, o Guia ressalta a importância de criar um ambiente organizacional que incentive os usuários dos sistemas a informar incidentes e vulnerabilidades, por exemplo, através de canal de atendimento, anônimo ou não, disponibilizado no site da empresa.
3. Gerenciamento de contratos
Além de recomendar a assinatura de termos de confidencialidade por todos os colaboradores da empresa, o Guia prevê que para contratos e aquisições é necessária a clara “distribuição de funções e responsabilidades entre as partes”. Assim, as cláusulas de proteção de dados pessoais, devem, preferencialmente, considerar a posição das partes enquanto agentes de tratamento - apesar de que tal status legal é determinado por suas ações concretas em uma determinada situação.[11]
Para os agentes de tratamento de pequeno porte que terceirizam os serviços de TI, sugere-se a previsão de:
(i) regras para fornecedores e parceiros, tal como, condicionar a contratação de suboperadores a autorização expressa do controlador; [12]
(ii) regras para compartilhamentos de dados pessoais, por exemplo, a vedação de transferências internacionais de dados;
(iii) relações entre controlador-operador, como a garantia do tratamento de dados pessoais conforme boas práticas de segurança da informação e considerando a natureza do tratamento;[13]
(iv) vedação a tratamentos incompatíveis com as orientações do controlador.
Quais são as medidas técnicas recomendadas?
A tabela a seguir relaciona algumas das medidas técnicas recomendadas pelo Guia com elementos da Política de Segurança da Informação e exemplos de aplicações das determinações para agentes de tratamento de pequeno porte.
Tópico de Segurança da Informação | Medida técnica relacionada | Exemplo de aplicação |
Controles relacionados ao tratamento de dados pessoais | -Utilização de autenticação multifatores - MFA (41) -Técnicas de pseudonimização (46) -Configurações de segurança das estações de trabalho (47) -Evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo e, caso imprescindível, adotar controles adicionais (48) -Remoção de dados pessoais desnecessariamente disponibilizados em redes públicas (55) | - Envio de códigos de segurança por short message service (SMS) ou por e-mail -Utilização de técnicas de criptografia disponibilizadas por serviços em nuvem -Criptografar os dados disponíveis através das configurações do próprio dispositivo - Criação de canal de acesso restrito para que o usuário acesse suas informações |
Cópias de segurança - backups | -Realização regular e completa, com o armazenamento em local seguro e distinto do dispositivo principal (49) -Formatar as mídias antes do descarte (50) -Destruição física da mídia antes do descarte (50) | -Backups em disco rígidos, com senha de acesso e mantido em cofres - Utilização de softwares formatadores para SSDs -Trituração de CDs e/ou DVDs |
Uso de senhas | -Exigência de senhas fortes, com número mínimo de caracteres, caracteres especiais ou outros fatores (36) | -Configuração através de softwares abertos para a exigência de senhas fortes e vedação de reutilização de senhas |
Permissões de acesso à informação | - Garantir que os dados sejam acessados somente por pessoas autorizadas através dos processos de autenticação - quem pode acessar, autorização - o que pode fazer e auditoria - registro do que foi feito (34) -Avaliação e implementação de funcionalidades que permitem a exclusão remota dos dados pessoais (62) | - Exigência de confirmação de titularidade para o controle de acesso - Configuração da função de exclusão remota do próprio sistema |
Atualização de softwares | -Atualização periódica de todos os sistemas e aplicativos utilizados (56) -Utilização de conexões cifradas (53) -Gerenciamento do tráfego de rede (54) | - Ativar a instalação automática de patches - Uso de ferramentas de ativação automática do HTTPS no navegador; - Instalação e manutenção de firewalls e firewalls de aplicação web e a criação de filtros de e-mail através das configurações do próprio servidor |
Uso de antivírus | Adoção e atualização periódica de softwares antivírus e antimalwares (57) | Ativação de antivírus já incorporados no sistemas e agendamento de varreduras periódicas dos sistemas |
É importante ressaltar que o Guia apresenta orientações sem efeito normativo vinculantes para os agentes de tratamento de pequeno porte. O documento poderá ser revisto pela ANPD, inclusive após a publicação da Resolução.
Referências
[1] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf . Acesso em: 18 out. 2021.
[2] Minuta disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/minuta_de_resolucao___aplicacao_da_lgpd_para_agentes_de_tratamento_de_pequeno_porte.pdf . Acesso em: 18 out. 2021.
[3] art. 3º da Lei Complementar nº 123 de 14 de dezembro de 2006.
[4] art. 4, §1° da Lei Complementar n° 123 de 1° de junho de 2021.
[5] GOMES, Maria Cecília O. Entre o método e a complexidade: compreendendo a noção de risco na LGPD. In Temas atuais de proteção de dados. PALHARES, Felipe (Coord.) São Paulo: Thomson Reuters Brasil, 2020, pp.245-271.
[6] ZANATTA, Rafael A.F. Proteção de dados pessoais como regulação de risco: uma nova moldura teórica? I ENCONTRO DA REDE DE PESQUISA EM GOVERNANÇA DA INTERNET, NOVEMBRO DE 2017. Disponível em: http://www.redegovernanca.net.br/public/conferences/1/anais/ZANATTA,%20Rafael_2017.pdf . Acesso em: 18 out. 2021.
[7] Ibdem.
[8] Para mais informações sobre essa discussão, a Associação de Pesquisa Data Privacy Brasil elaborou a “Contribuição à Consulta Pública sobre a Norma de aplicação da LGPD para microempresas e empresas de pequeno porte”, documento que apresenta 6 (seis) motivos pela não consagração dessa dispensa.Disponível em: https://dataprivacy.com.br/wp-content/uploads/2021/10/dpbr_contribuicao_pme_anpd.pdf . Acesso em: 18 out. 2021.
[9] “Ainda que não seja obrigatório, é indicado que o gerenciamento de riscos de segurança seja realizado periodicamente. Ele é parte integrante das práticas de gerenciamento e um importante elemento da boa governança, além de auxiliar na melhoria organizacional, no desempenho e na tomada de decisões.” Parágrafo 8, pág.6, Guia.
[10] Parágrafo 25, pág. 9, Guia.
[11] Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.
[12] Art. 28 (2) General Data Protection Regulation - GDPR. Disponível em: https://gdpr-info.eu/art-28-gdpr/ . Acesso em: 18 out. 2021.
[13] Art. 28 (3)(f), General Data Protection Regulation - GDPR. Disponível em: https://gdpr-info.eu/art-28-gdpr/ . Acesso em: 18 out. 2021.