LGPD: Quais medidas de segurança as startups devem seguir de acordo com a ANPD?

A Lei Geral de Proteção de Dados (LGPD) define que as empresas devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Pensando nisso, em outubro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte. O documento tem como objetivo trazer boas práticas para empresas menores e/ou startups que possuem limitações, sejam por seu tamanho, orçamento ou equipe, e precisam de medidas de segurança eficientes.

Por serem recomendações oficiais, selecionamos abaixo alguns pontos importantes que as startups devem se atentar:

1) Política de Segurança da Informação (PSI)

A Política de Segurança da Informação (PSI) é definida como “um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização”.

Apesar da LGPD não exigir esse documento como obrigatório, a empresa possuir uma PSI demonstra boa-fé e diligência no sentido de trazer mais segurança aos dados pessoais e estabelecer as diretrizes para a gestão da segurança da informação.

O indicado é que a Política de Segurança da Informação estabeleça revisões periódicas e controles em tópicos como:

– Cópias de segurança;
– Uso de senhas;
– Acesso à informação;
– Compartilhamento de dados;
– Atualização de softwares;
– Uso de correio eletrônico;
– Uso de antivírus.

2) Conscientização e Treinamento

Como já alertamos em outros textos, mesmo que a empresa invista muito em tecnologia, se as pessoas que lidam com dados pessoais diariamente não estiverem preparadas para fazer tratamentos de acordo com a LGPD, as chances de incidentes de segurança continuam muito altas.

Por isso, o guia reforça a necessidade de as startups realizarem treinamentos e campanhas de conscientização sobre as obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.

Os assuntos sugeridos pela ANPD a serem tratados com as equipes, parceiros, prestadores de serviços são:

– Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
– Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing;
– Manter documentos físicos que contenham dados pessoais dentro de gavetas e não sobre as mesas;
– Não compartilhar logins e senhas de acesso das estações de trabalho;
– Bloquear os computadores quando se afastar das estações de trabalho;
– Seguir as orientações da política de segurança da informação;
– Incentivar usuários de sistemas da empresa a informarem incidentes e
vulnerabilidades detectadas.

3) Contratos e Cláusulas de Proteção de Dados

O guia recomenda que as empresas de pequeno porte e startups:

– Tenham termos de confidencialidade (NDA) assinados com os colaboradores, protegendo a divulgação de dados pessoais;

– Gerenciem e revisem seus contratos, deixando claras todas as responsabilidades dos envolvidos, observando à LGPD e o tratamento adequado dos dados pessoais.

– Especialmente no caso de serviços de tecnologia terceirizados, prática muito comum entre as startups e empresas de pequeno porte, é recomendada a inclusão de cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais, indicando: regras sobre fornecedores e parceiros, compartilhamentos, relações entre controlador-operador e proibição a tratamentos incompatíveis com as ordens do controlador.

4) Medidas Técnicas

Como medidas técnicas aptas a proteger os dados pessoais, a Autoridade Nacional de Proteção de Dados recomenda:

– Controle de Acesso: criar processos para processos de autenticação, autorização e auditoria, para identificar quem acessa o sistema ou os dados, determinar o que o usuário identificado pode fazer e registrar o que foi feito pelo usuário;

– Gerenciamento de senha: não permitir o uso de senhas que não respeitem um certo nível de complexidade.

– Não permitir o compartilhamento de contas ou de senhas entre funcionários;

– Seguir o princípio do menos privilégio (need to know): os usuários de devem ter o menor nível de acesso necessário para a realização de suas atividades;

– Utilizar a autenticação multi-fatores (MFA), como o envio de códigos de segurança por SMS ou e-mail e o uso de tokens de segurança;

– Implementar soluções que dificultem a identificação do titular, como as técnicas de pseudonimização;

– Usar configurações de segurança nas estações de trabalho e evitar transferência de dados para dispositivos de armazenamento externo;

– Realizar backups regulares, armazenados em locais seguros;

– Executar o método de formatar antes de descartar dados em todas as mídias. No caso de dados coletados de forma física, sugere-se que seja realizada a destruição física da mídia.

– Nas comunicações, utilizar conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim;

– Manter um sistema de firewall, antivírus integrados, ferramentas anti-spam e filtros de e-mail;

– Remover quaisquer dados pessoais que estejam desnecessariamente disponibilizados em redes públicas, por exemplo, o site da empresa;

– Manter um programa de gerenciamento de vulnerabilidades, aplicando medidas como utilizar todos os sistemas e aplicativos em suas últimas versões, bem como instalar todas as correções de segurança disponíveis;

– Separar os dispositivos móveis de uso privado daqueles de uso para executar os serviços;

– Contratar serviços em nuvem que implementem as recomendações internacionais e as boas práticas de segurança da informação, realizando um contrato de acordo de nível de serviço e usando técnicas de autenticação multi fator.

Apesar de trazerem sugestões muito úteis, é importante ressaltar que o próprio guia indica que essas medidas sejam complementadas com outras que possam ser identificadas no processo, a fim de promover a segurança no fluxo dos dados pessoais. Por isso, é indispensável contar com profissionais capacitados, especialmente na área jurídica, da tecnologia da informação e da segurança da informação, para que a startup esteja de fato protegida.

Por Natália Martins Nunes

LGPD: Quais medidas de segurança as startups devem seguir de acordo com a ANPD?

Deixe um comentárioCancelar resposta

Entre em
contato conosco

LGPD: Quais medidas de segurança as startups devem seguir de acordo com a ANPD?

Deixe um comentárioCancelar resposta

Você também pode se interessar

Segurança jurídica nos contratos digitais: tudo o que seu negócio precisa saber

LTDA para S.A: quando e por que fazer essa mudança?

O que é Tokenização de Ativos? Como aplicar no seu negócio?

How to obtain a payment license from the Central Bank of Brazil

Enquadramento Sindical. destrinchando o caso de condenação da Meli Developers, uma das empresas do Mercado Livre.

Nr-1 e o que sua Empresa precisa saber sobre as novidades da Norma

Entre em contato conosco

Entre em
contato conosco