Em outubro, foi divulgado pela Autoridade Nacional de Proteção de Dados (ANPD), guia orientativo de segurança da informação, destinado a auxiliar agentes de tratamento de pequeno porte, mais especificamente MPEs (micro e pequenas empresas) e startups, em seus processos e procedimentos de adequação à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 “LGPD”).

Segundo a ANPD, foi necessária a elaboração do guia em razão da competência originária do órgão que, nos termos do art. 55J XVIII, deverá editar normas, divulgar orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para empresas autodeclaradas startups ou de inovação, que desempenham carácter incrementar ou disruptivos.

“Nesse sentido, a ANPD destaca a importância de que agentes de tratamento de pequeno porte estejam atentos e preparados para monitorar e gerenciar riscos que tenham o potencial de deixar seus sistemas vulneráveis, sendo estas medidas que visam proteger a confidencialidade, privacidade e integralidade das informações armazenadas em meios digitais”, explica Evelyn Macedo, advogada do Elias, Matias especializada em proteção de dados.

Assim, foi sugerida a adoção de uma série de providências objetivando auxiliar micro, pequenas empresas e startups que, devido a seu tamanho e eventuais limitações financeiras, muitas vezes não detêm corpo técnico especializado em segurança da informação. Entre as medidas sugeridas, destacam-se as sugestões de (i) ações voltadas à segurança da informação, orientando sobre a implementação de estrutura dos sistemas utilizados para o tratamento de dados pessoais; (ii) elaboração de Política de Segurança da Informação, visando a estruturação de processos e procedimentos voltados à proteção dos dados; (iii) conscientização de colaboradores, de modo a instruir todos os envolvidos sobre medidas de segurança a serem adotadas; e (iv) formalização da responsabilidade de eventuais terceiros envolvidos nos serviços de segurança da informação (empresas terceirizadas prestadoras de serviços de TI).

Além disso, a ANPD também recomenda aos agentes de tratamento de pequeno porte, a adoção de medidas técnicas que possam assegurar a segurança dos dados em ambientes digitais, como controle de acesso com níveis diferenciados de permissão; a minimização da coleta de dados, visando evitar o tratamento excessivo de dados pessoais; bem como a instalação de sistemas e softwares de segurança.

“Como visto, a Autoridade Nacional de Proteção de Dados tem se mostrado atuante, principalmente no sentido de orientar e informar os agentes de tratamento sobre seus deveres e responsabilidades, o que reforça o indicativo de que as empresas, que de algum modo se relacionam com dados pessoais e ainda não ajustaram seus processos internos, precisam estar em conformidade com a nova legislação”, reforça a advogada.