ANPD lança guia com melhores práticas na proteção de dados para as PMEs
E nquanto ainda discute regras específicas para pequenas empresas e startups, a Autoridade Nacional de Proteção de Dados lançou um guia com orientações para agentes de tratamento de pequeno porte sobre segurança da informação. Essencialmente um guia de boas práticas, o documento aponta medidas administrativas e técnicas que devem ser adotadas para a proteção de dados.
O guia parte do reconhecimento que “agentes de tratamento de pequeno porte, em razão de seu tamanho e eventuais limitações, muitas vezes não possuem dentre o seu corpo de funcionários, pessoas especializadas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais”.
Por isso, apresenta algumas medidas que não implicam necessariamente em custos, mas são importantes para empresas de qualquer porte. Assim, a ANPD sugere que seja estabelecida uma política de segurança da informação, ainda que simplificada, com revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais – medidas como cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, etc.
Um ponto fundamental é disseminar a cultura de proteção de dados ente os funcionários, por meio de treinamentos e campanhas de conscientização sobre obrigações e responsabilidades relacionadas ao tratamento de dados pessoais. Isso envolve dicas de como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário; como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing; manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas; não compartilhar logins e senhas de acesso das estações de trabalho.
O guia também sugere a adoção de medidas de controle de acesso. A autenticação identifica quem acessa o sistema ou os dados; a autorização determina o que o usuário identificado pode fazer; a auditoria registra o que foi feito pelo usuário. Caso a empresa possua rede interna de computadores, seja implementado um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.
Como orientação básica, agentes de tratamento de pequeno porte devem coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida. Outras dicas envolvem evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives, discos rígidos externos, etc, além da realização de backups regulares. O guia também traz sugestões sobre uso de soluções de computação em nuvem.