Coluna | Seu Direito
Dra. Christiane Reyder
Advogada, Consultora e Mentora em proteção de dados. Mestre e Doutoranda em Direito pela Univ. Lisboa.
Perfil no Instagram: @chrisreyder_protecaodedados
Todo Empreendimento Precisa de uma Política de Segurança da Informação para Reduzir os Riscos de Violação da LGPD
14/10/2021
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) determina que todas as pessoas jurídicas, de qualquer porte, com ou sem fins lucrativos, e as pessoas naturais, no exercício da sua atividade econômica, devem adequar a coleta, o armazenamento e o uso de informações de caráter pessoal às disposições legais, sob pena de pesadas sanções.

Para que uma organização possa trabalhar em conformidade com a LGPD e proteger os dados pessoais que detém, é necessário implementar um programa de adequação à Lei, no qual são levantados e mapeados os dados pessoais e o seu fluxo, identificados os pontos de desconformidade legal para que então as medidas apropriadas sejam implementadas e a organização possa, a partir daí, dar continuidade às suas atividades mantendo o estado de conformidade legal adquirido.

Como parte do processo de adequação à LGPD são elaborados diversos documentos para guiar os colaboradores no trato com dados pessoais, dentre os quais está a Política de Segurança da Informação (PSI), que consiste num conjunto de regras e diretrizes voltadas para o planejamento, a execução e o controle de ações para a segurança da informação relativa a dados pessoais.

No Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, lançado em 04 de outubro de 2021, informa a Autoridade Nacional de Proteção de Dados - ANPD que a Política de Segurança da Informação (PSI) não é obrigatória, mas a sua implementação evidencia a boa fé e diligência na segurança dos dados. 

No que tange à LGPD, não ser obrigatório não significa ter a faculdade de não fazer, uma vez que a Lei não traz medidas concretas a serem adotadas, mas impõe aos agentes de tratamento de dados o dever de proteção dos dados contra acessos não autorizados e situações acidentais ou ilícitas que possam causar dano aos titulares destes dados (art. 46).

Todas as organizações e profissionais liberais devem, portanto, instituir uma PSI ajustada à sua realidade, ainda que simplificada, contemplando medidas de controle como uso de senhas individuais; instituição de regras para compartilhamento interno de dados e uso do correio eletrônico, bem como para manutenção de documentos físicos em gavetas e não sobre mesas e para bloqueio do computador sempre que o colaborador se ausentar da sua estação de trabalho; restrição do uso de dispositivos móveis pessoais como smarphones e tablets para fins do trabalho; realização de backups periódicos, que devem ser guardados em local seguro e separado do armazenamento principal; uso de antivírus;  manutenção de softwares de sistema e aplicativos atualizados; desabilitação de programas e serviços desnecessários; normas restritivas para transferência de dados para pendrives ou HD externos; coleta apenas de dados necessários, dentre outras.

Somente quanto ao controle de acesso há várias medidas de segurança que podem ser adotadas. Deve haver regras proibitivas de compartilhamento de senhas e logins. O acesso ao sistema deve ser definido por níveis de permissão de acordo com a necessidade funcional de cada colaborador, autorizado mediante autenticação (identificação de quem acessa) e registrado para possibilitar auditoria que indique o que foi feito naquele acesso. Deve ser obrigatória a substituição das senhas padrão disponibilizadas pelos fornecedores e as funcionalidades do sistema podem ser configuradas para não permitir a definição de senhas com baixo nível de segurança. 

Não se deve perder de vista, entretanto, que o compliance legal é jurídico, e não técnico, sendo a segurança da informação uma ferramenta para se alcançar a conformidade jurídica. 

No Guia Orientativo mencionado, a ANDP ressalta o papel preponderante dos recursos humanos para o sucesso das medidas de segurança da informação relativa a proteção de dados pessoais e sugere, como medida essencial, a realização de treinamentos e campanhas de conscientização para informar e sensibilizar os colaboradores sobre as suas responsabilidades e as obrigações legais. 

Por fim, havendo medidas já reconhecidamente eficazes na proteção dos dados pessoais, a opção por não implementar uma PSI aumenta a responsabilidade do agente de tratamento de dados em caso de incidente de segurança, seja qual for o porte da organização. E para a LGPD o mero tratamento dos dados em desconformidade com as suas normas constitui incidente de segurança de dados.

Comente!

 
Últimos artigos deste colunista
« ver todos
 
PUBLICIDADE
PUBLICIDADE
Colunistas

SIGA O VARGINHA ONLINE Curta a Página do VOL no Facebook Siga o VOL no Twitter Fale conosco
Página Principal | Expediente | Privacidade | Entre em Contato | Anuncie no Varginha Online
Site associado ao Sindijori

Todos os direitos reservados 2000 - 2023 - Varginha Online - IPHosting- Hospedagem de Sites (Parceiro Varginha Online)