ANPD publica guia de segurança da informação e checklist da LGPD

Recentemente, a Autoridade Nacional de Proteção de Dados publicou um guia orientativo com sugestões de boas práticas em relação à LGPD. O guia de segurança da informação elaborado pela ANPD traz, então, medidas administrativas e técnicas, previstas pelo art. 46 da LGPD a serem adotadas pelos agentes de pequeno porte. 

Medidas administrativas de segurança da informação

Dentre as medidas administrativas encontram-se a política de segurança da informação, conscientização, treinamento e gerenciamento de contrato. 

Medidas técnicas de segurança da informação

Com relação às medidas técnicas, o guia de segurança da informação cita a importância de observar:

• controle de acesso;
• segurança dos dados armazenados;
• transferências de informações;
• segurança de comunicações; e
• cuidados a serem tomados com o uso de dispositivos moveis e os serviços de nuvem.

Apesar de não ser um rol taxativo, e sim sugestivo, a ANPD tem visto com bons olhos as empresas que façam uso destas políticas. Isto porque evidencia a boa-fé na segurança dos dados que estão sob sua custódia.

A quem se aplica o Guia de Segurança da Informação: LGPD para agentes de tratamento de pequeno porte

Segundo a ANPD o guia de segurança da informação foi editado para aquelas empresas que, pelo seu tamanho, muitas vezes não possuem um corpo de funcionários especializados em segurança da informação, e em razão da entrada em vigor da LGPD necessitam se ajustar as boas práticas previstas nos artigos 46, 47, 48 e 49. 

Desse modo, o guia de segurança da informação delimitou como agentes de pequeno porte,: 

• microempresas;
• empresas de pequeno porte; e
• iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.

Ademais, também citou que outras categorias além das mencionadas podem ser incluídas. 

Leia também:

• A quem se aplica a LGPD – Lei Geral de Proteção de Dados
• LGPD: O que diz a Lei Geral de Proteção de Dados Pessoais
• Vazamento de dados por instituições privadas ou públicas

Checklist da LGPD

Com o propósito de ajudar na adoção destas boas práticas, o guia de segurança da informação disponibilizou um checklist. Dessa forma, é possível visualizar melhor as medidas sugeridas.

 Além disso, ele também auxilia na implementação dessas medidas.

Política de segurança da informação

Primeiramente, cita a importância da adoção de uma política de segurança, conhecida também como PSI. 

Visando facilitar o planejamento, implementação e ações relacionadas a segurança das informações. Sua principal função é servir como base na hora de implementar um processo bem estruturado, que se adapte a cada tipo de escritório. 

Ele ainda sugere que, nessas políticas, se realizem revisões periódicas. Estas devem, então, contemplar controles relacionados ao tratamento dos dados, como cópias de seguranças, uso de senhas, acesso às informações, compartilhamento de dados, utilização de softwares, uso de correio eletrônico e antivírus. 

Conscientização dos funcionários acerca das responsabilidade e obrigações na proteção de dados

Em seguida, expõe a importância de conscientizar os funcionários, por meio de treinamentos e campanhas sobre as suas obrigações e responsabilidades legais quanto ao tratamento de dados. 

Além disso, listas algumas ações que os funcionários devam adotar, como: 

1. Utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
2. Evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;
3. Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
4. Não compartilhar logins e senhas de acesso das estações de trabalho;
5. Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;
6. Seguir as orientações da política de segurança da informação.

Gerenciamento de contratos

Com relação a gerenciamento de contratos, o checklist sugere que todos os funcionários assinem os termos de confidencialidade (non-disclosure agreement– NDA). 

Também estabelece que se realizem contratos com cláusulas de segurança da informação, assegurando dados pessoais com regras para fornecedores e parceiros, regras sobre compartilhamentos, relações entre controlador-operador e, orientações sobre o tratamento com vedação a tratamentos incompatíveis com as orientações do controlador. 

Controle de acesso

Já em relação ao controle de acesso, preconiza a implementação de um sistema de controle a acessos para todos os usuários, com níveis e permissões conforme a necessidade do trabalho. 

A configuração de funcionalidades que possam detectar e não permitir o uso de senhas que não respeitem um nível de complexidade determinado. 

Gerenciamento de senhas

Com relação ao gerenciamento de senhas, estabelece medidas como: 

1. Evitar o uso de senhas padrão disponibilizadas pelos fornecedores de software ou hardware adquiridos;
2. Utilizar apenas senhas complexas para acessar aplicativos e outros sistemas informáticos;
3. Não reutilizar senhas.

Compartilhamento de contas

O guia de segurança da informação da ANPD fala ainda sobre a necessidade de proibir compartilhamento de contas e senhas entre os usuários, usando do princípio do menor privilegio, ou need to know, a utilização da autenticação multi-fator para acesso ao sistema ou bando de dados, e por fim, em caso de agentes de tratamento que tenham rede interna a implementação de um sistema de controle aos usuários que acessem o sistema de TI. 

Segurança dos dados armazenados

Quanto à segurança dos dados armazenados, o guia de segurança da informação salienta a importância do princípio da necessidade, previsto no art. 6°, III da LGPD. 

O princípio da necessidade impõe a limitação do mínimo necessário para a realização de sua atividade, abrangendo os dados pertinentes e proporcionais. No caso de dados sensíveis, indica métodos que dificultem a identificação, como o uso de criptografia.  

Vale lembrar que a coleta excessiva de dados vem sendo considerado uma prática inadequada. 

Configurações de segurança dos computadores, dispositivos de armazenamento e backups

Orienta, também que os funcionários não desativem ou ignorem as configurações de segurança de seus computadores, evitem a transferência de dados pessoais para dispositivos de armazenamento externo, como pendrives e discos rígidos externos. 

A respeito dos dispositivos de armazenamento externos, indica a realização de backups offline e periódicos, que o armazenamento dos discos seja feito em local seguro, e que sejam inventariados e cifrados. Caso ainda faço uso de mídias físicas, sugere que a formatação e a subscrição delas antes de descartá-las. 

Segurança das comunicações

O guia destaca a segurança das comunicações, para isso recomenda a utilização de conexões cifradas (TLS/HTTPS), criptografadas de ponta a ponta, além do gerenciamento do trafego de rede, que podem ser feitos por meio de instalação de um firewall. 

Da mesma forma, um monitoramento que detecte e bloqueie ameaças e a proteção de serviços de e-mail, utilizando antivírus integrados, ferramentas anti-spam e filtros de e-mail e a remoção de qualquer tipo de dados pessoais e sensíveis que estejam disponibilizadas em redes públicas de forma desnecessários. 

Gerenciamento de vulnerabilidades

A respeito do gerenciamento de vulnerabilidades aponta algumas medidas que são simples, mas muitas vezes deixadas de lado pela maioria dos usuários. São elas, dessa maneira: a atualização periódica de sistemas e aplicativos, utilização de softwares antivírus e antimalware e a realização de varreduras dos dispositivos. 

Ademais, cita os cuidados referentes aos dispositivos móveis, como a utilização de autenticação multi-fator para o controle de acessos, a separação dos dispositivos de uso privado e de uso institucional e implementação de sistemas que permitam a remoção de dados remotamente. 

Cuidados com serviços em nuvem

O guia destaca também os cuidados quanto aos serviços de nuvem. Então, cabe avaliar se o serviço oferecido pelo provedor atende aos requisitos de segurança da informação, se há requisitos para o acesso de cada usuários, se utilizem técnicas de autenticação, e por fim, que o contrato com o provedor do serviço seja de acordo com o nível da atividade, contemplando a segurança dos dados armazenados. 

A importância da segurança da informação para a LGPD

Com pouco mais de 1 ano em vigência, a LGPD mostra gradativamente o seu real valor, especialmente no que diz respeito à segurança da informação, que trata de garantir que os dados, físicos e digitais, fiquem protegidos contra quaisquer tipos ataques. 

Assim, quando falamos em segurança da informação, podemos relacionar diretamente com a advocacia, uma vez que grande parte da atividade envolve dados de todos os tipos, desde um simplesmente o nome de um cliente até informações extremamente sensíveis, como aquelas contidas em processos em segredo de justiça. 

Por consequência, os escritórios de advocacia, que de alguma forma ainda resistem a se adequarem à LGPD, acabam não só comprometendo a si, mas também todos os seus clientes que ali confiaram suas informações. Além de toda a essa imagem negativa, as sanções impostas pela LGPD não são nada pacíficas. 

Os exemplos destas sanções estão citados nos arts. 52 a 54, que variam de advertências, multas de 2% do faturamento da pessoa jurídica de direito privado, até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Saiba mais sobre as multas na LGPD, e como elas podem afetar as empresas. Ouça o Juriscast abaixo:

Quais as melhores práticas de segurança da informação para escritórios de advocacia

Bom, como podemos ver não há como questionar a aplicabilidade do guia de segurança da informação no ambiente da advocacia, tendo em vista as dezenas de dados que são tratados a todo momento. 

E como estar em conformidade com este novo mundo não é uma tarefa nada simples, reunimos algumas dicas que podem proteger seu escritório de possíveis ataques. 

1. Nomeie um colaborador responsável ou crie um comitê que será responsáveis por todas as tarefas relacionadas a segurança da informação e pelo tratamento de dados – saiba mais sobre a figura do DPO;
2. Envolva todas as áreas do seu escritório, todos devem compartilhar desta responsabilidade;
3. Monitore os seus processos internos relacionados a LGPD;
4. Como já tido anteriormente, invista em treinamentos da sua equipe;
5. Mantenha suas políticas sempre atualizadas;
6. Evite e-mails suspeitos, quem nunca recebeu um e-mail com promoções inacreditáveis, não é mesmo? Pois é, na maioria das vezes é sua uma forma de você abrir o link e conseguirem roubar seus dados;
7. Mude suas senhas regularmente e evite que elas sejam sempre as mesmas para todos os seus acessos. Assim, fica muito mais fácil de ocorrer alguma vulnerabilidade em seus dados, e caso aconteça somente uma parte estará comprometida;
8. Mantenha seu computador sempre atualizado. Pode até parecer uma tarefa simples, mas isso faz com que qualquer tipo de vulnerabilidade seja corrigida, assim dificultando qualquer tipo de ataque;
9. Realize backups físicos, por mais os serviços de nuvem sejam de extrema importância, caso ocorra algum incidente, você sempre tenha seus dados a salvo;

Considerando essas dicas te convidamos a dar uma olhada em nosso artigo sobre segurança da informação da advocacia e como o uso de um software jurídico pode ajudar nesta missão. 

Quer ficar por dentro de todas as novidades sobre LGPD? Faça seu cadastro e receba as novidades em seu e-mail.

Receba meus artigos jurídicos por email

Preencha seus dados abaixo e receba um resumo de meus artigos jurídicos 1 vez por mês em seu email