A Lei Geral de Proteção de Dados (LGPD) define que as empresas devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Pensando nisso, em outubro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte. O documento tem como objetivo trazer boas práticas para empresas menores e/ou startups que possuem limitações, sejam por seu tamanho, orçamento ou equipe, e precisam de medidas de segurança eficientes.

Por serem recomendações oficiais, selecionamos abaixo alguns pontos importantes que as startups devem se atentar:

1) Política de Segurança da Informação (PSI)

A Política de Segurança da Informação (PSI) é definida como “um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização”.

Apesar da LGPD não exigir esse documento como obrigatório, a empresa possuir uma PSI demonstra boa-fé e diligência no sentido de trazer mais segurança aos dados pessoais e estabelecer as diretrizes para a gestão da segurança da informação.

O indicado é que a Política de Segurança da Informação estabeleça revisões periódicas e controles em tópicos como:

- Cópias de segurança;

- Uso de senhas;

- Acesso à informação;

- Compartilhamento de dados;

- Atualização de softwares;

- Uso de correio eletrônico;

- Uso de antivírus.

2) Conscientização e Treinamento

Como já alertamos em outros textos, mesmo que a empresa invista muito em tecnologia, se as pessoas que lidam com dados pessoais diariamente não estiverem preparadas para fazer tratamentos de acordo com a LGPD, as chances de incidentes de segurança continuam muito altas.

Por isso, o guia reforça a necessidade de as startups realizarem treinamentos e campanhas de conscientização sobre as obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.

Os assuntos sugeridos pela ANPD a serem tratados com as equipes, parceiros, prestadores de serviços são:

- Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;

- Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing;

- Manter documentos físicos que contenham dados pessoais dentro de gavetas e não sobre as mesas;

- Não compartilhar logins e senhas de acesso das estações de trabalho;

- Bloquear os computadores quando se afastar das estações de trabalho;

- Seguir as orientações da política de segurança da informação;

- Incentivar usuários de sistemas da empresa a informarem incidentes e

vulnerabilidades detectadas.

3) Contratos e Cláusulas de Proteção de Dados

O guia recomenda que as empresas de pequeno porte e startups:

- Tenham termos de confidencialidade (NDA) assinados com os colaboradores, protegendo a divulgação de dados pessoais;

- Gerenciem e revisem seus contratos, deixando claras todas as responsabilidades dos envolvidos, observando à LGPD e o tratamento adequado dos dados pessoais.

- Especialmente no caso de serviços de tecnologia terceirizados, prática muito comum entre as startups e empresas de pequeno porte, é recomendada a inclusão de cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais, indicando: regras sobre fornecedores e parceiros, compartilhamentos, relações entre controlador-operador e proibição a tratamentos incompatíveis com as ordens do controlador.

4) Medidas Técnicas

Como medidas técnicas aptas a proteger os dados pessoais, a Autoridade Nacional de Proteção de Dados recomenda:

- Controle de Acesso: criar processos para processos de autenticação, autorização e auditoria, para identificar quem acessa o sistema ou os dados, determinar o que o usuário identificado pode fazer e registrar o que foi feito pelo usuário;

- Gerenciamento de senha: não permitir o uso de senhas que não respeitem um certo nível de complexidade.

- Não permitir o compartilhamento de contas ou de senhas entre funcionários;

- Seguir o princípio do menos privilégio (need to know): os usuários de devem ter o menor nível de acesso necessário para a realização de suas atividades;

- Utilizar a autenticação multi-fatores (MFA), como o envio de códigos de segurança por SMS ou e-mail e o uso de tokens de segurança;

- Implementar soluções que dificultem a identificação do titular, como as técnicas de pseudonimização;

- Usar configurações de segurança nas estações de trabalho e evitar transferência de dados para dispositivos de armazenamento externo;

- Realizar backups regulares, armazenados em locais seguros;

- Executar o método de formatar antes de descartar dados em todas as mídias. No caso de dados coletados de forma física, sugere-se que seja realizada a destruição física da mídia.

- Nas comunicações, utilizar conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim;

- Manter um sistema de firewall, antivírus integrados, ferramentas anti-spam e filtros de e-mail;

- Remover quaisquer dados pessoais que estejam desnecessariamente disponibilizados em redes públicas, por exemplo, o site da empresa;

- Manter um programa de gerenciamento de vulnerabilidades, aplicando medidas como utilizar todos os sistemas e aplicativos em suas últimas versões, bem como instalar todas as correções de segurança disponíveis;

- Separar os dispositivos móveis de uso privado daqueles de uso para executar os serviços;

- Contratar serviços em nuvem que implementem as recomendações internacionais e as boas práticas de segurança da informação, realizando um contrato de acordo de nível de serviço e usando técnicas de autenticação multi fator.

Apesar de trazerem sugestões muito úteis, é importante ressaltar que o próprio guia indica que essas medidas sejam complementadas com outras que possam ser identificadas no processo, a fim de promover a segurança no fluxo dos dados pessoais. Por isso, é indispensável contar com profissionais capacitados, especialmente na área jurídica, da tecnologia da informação e da segurança da informação, para que a startup esteja de fato protegida.

Por Natália Martins Nunes