A ANPD publicou Guia Orientativo de Segurança da Informação para Empresas de Pequeno Porte. Veja quais as principais tratativas!

Foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD), um Guia Orientativo em matéria de Segurança da Informação, voltado para agentes de tratamento de Pequeno Porte[1].

Tal tratativa faz parte de determinação dada pela Lei Geral de Proteção de Dados (LGPD), em seu art. 55-J, XVIII, no qual prevê a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas, empresas de pequeno porte e startups.

Assim, a ANPD está em processo de elaboração de normativa que regulará a aplicação da LGPD para microempresas e empresas de pequeno porte[2], atualmente em fase de consulta pública da Resolução, mas com perspectiva de publicação em breve.

Por óbvio, as obrigações impostas pela LGPD podem gerar significativos custos de implementação e manutenção, diante das medidas complexas e específicas exigidas, o que acarretaria em grande impacto financeiro para os agentes de pequeno porte.

A regulamentação da aplicação da LGPD para tais agentes é de suma importância para garantir o equilíbrio entre o regramento da lei e a possibilidade do agente de tratamento de dados pessoais.

Entretanto, enquanto a Resolução ainda não é finalizada, a ANPD já publicou um Guia Orientativo para auxiliar os agentes de pequeno porte a adequarem-se, tomando medidas de segurança, mesmo que simplificadas, para garantir a proteção dos dados pessoais de seus titulares.

Nesse sentido, seguem os principais pontos elencados no Guia Orientativo:

  1. Gerenciamento de risco realizado periodicamente

Ainda que não obrigatório, a ANPD indica a realização de avaliação de risco no âmbito da segurança da informação, de forma a garantir o gerenciamento dos dados, uma boa governança, de forma a equilibrar as oportunidades de ganho e a diminuição de vulnerabilidades.

  • Política de segurança da informação – PSI

A PSI consiste em um documento interno da empresa, no qual elenca um conjunto de diretrizes e práticas que objetivam o planejamento e execução de ações relacionadas à segurança da informação na empresa.

Na política de segurança da informação é onde estarão designados os controles sobre o tratamento dos dados pessoais, como cópias de segurança, uso de senhas, acesso à informação, uso de antivírus, compartilhamento, atualização de softwares, etc.

Esse documento pode ser elaborado de forma simplificada, adequada para cada organização, segundo o fluxo dos dados tratados, seu modelo de negócios e o porte da empresa.

  • Realização de treinamentos para os funcionários

Antes de qualquer coisa, para se mudar a cultura de proteção de dados dentro de uma empresa, precisamos começar pela conscientização. Assim, a ANPD indica como medida para os agentes de pequeno porte o treinamento de seus funcionários, especialmente aqueles envolvidos diretamente nas atividades de tratamento de dados, sobre as obrigações legais, normas e boas práticas.

  • Gerenciamento de contratos

Dentre os gerenciamentos contratuais indicados pela ANPD, pode-se pontuar como os principais:

  1. Termo de confidencialidade assinado pelos funcionários da empresa;
  2. Revisão de contratos que tratam da distribuição de dados e de responsabilidades entre as partes;
  3. Estabelecimento de contrato entre agentes que terceirizam serviços de TI, para incluir cláusulas de segurança da informação.
  • Controle de acesso

Refere-se a medidas técnicas para garantir o controle de acesso dos dados pessoais somente por pessoas autorizadas, aplicável à todos os usuários, com níveis de permissão na medida em que for necessário para a realização do trabalho.

Outras medidas incluem a proibição do uso de senhas fracas e repetitivas, o não compartilhamento de senhas entre funcionários, bem como a utilização de autenticação multi-fatores (MFA) em todos os seus processos de tratamento de dados, inclusive em dispositivos móveis.

  • Uso de conexões cifradas (TLS/HTTPS) ou aplicativos de criptografia ponta-a-ponta

Para a segurança das comunicações, a ANPD indica o uso de sistemas que evitem a vulnerabilidade no processo de transmissão dos dados. Isso inclui o uso de um antivírus integrado, ferramentas anti-spam, bem como a remoção de dados sensíveis desnecessários, que disponibilizados em redes públicas, como o site da empresa.

É possível conferir Checklist com um resumo completo das medidas de segurança para agentes de tratamento de pequeno porte disponibilizado pela ANPD no Guia Orientativo[3]!

Lembrando que o presente Guia é uma orientação de boas práticas e medidas básicas em matéria de segurança da informação.

Tais orientações foram repassadas como práticas iniciais a serem tomadas pelo agente de tratamento de pequeno porte, de forma a estabelecer um sistema de proteção de dados mais seguro para seus titulares.

Um ambiente seguro traz mais confiabilidade dos titulares no seu negócio, além de proporcionar um diferencial competitivo para as empresas que aderem à uma cultura de segurança da informação, em respeito à legislação e aos dados pessoais de seus clientes.


[1] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-de-seguranca-para-agentes-de-tratamento-de-pequeno-porte

[2]  Disponível em: https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-

[3] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *