DIRETO AO PONTO – VOCÊ ESTÁ ADEQUADA À LGPD?
Diante da entrada em vigor da Lei Geral de Proteção de Dados, já é possível concluir que os titulares de dados, sejam eles consumidores ou funcionários, estão mais cientes acerca dos seus direitos e que a legislação os conscientizou para serem mais cuidadosos com o uso de suas informações pessoais.
De acordo com pesquisas realizadas pela empresa Capterra em agosto de 2020, apenas 3 de cada 10 pequenas ou médias empresas acreditam estar totalmente adequadas à LGPD.
Embora a implementação total da LGPD pelas PMEs ainda seja baixa, não significa que os empreendedores estão indiferentes à lei, visto que os gestores, preocupados com os reflexos da LGPD, aumentaram o nível de cuidado da sua empresa com cibersegurança.
Essa preocupação não é exclusiva apenas dos gestores, mas também dos consumidores e funcionários, a qual se deve principalmente ao aumento de casos de fraude digital e a série de vazamentos de dados pessoais no Brasil.
Apesar de o aumento nos investimentos em cibersegurança pelas empresas, é importante ressaltar que somente tais medidas não são suficientes para a adequação da organização na LGPD, para isso, listamos algumas medidas administrativas que, sem a necessidade de grandes investimentos, podem auxiliar a empresa na evolução do seu processo de adequação.
Para tanto, visando auxiliar sua empresa, listamos abaixo 3 MEDIDAS ADMINISTRATIVAS DE SEGURANÇA PARA AUXILIAR A SUA EMPRESA NA ADEQUAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS:
1. CRIAÇÃO DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A criação de uma política de segurança da informação, é um conjunto de regras básicas e princípios que irão nortear os procedimentos da empresa no uso dos dispositivos, sistemas e no tratamento dos dados pessoais.
Essa política compreende uma boa prática para a gestão da segurança.
Muito embora não seja obrigatória, a elaboração dessa política e sua implementação evidenciam boa-fé e diligência na segurança dos dados pessoais de responsabilidade da empresa.
Nesse sentido, a ANPD sugere que, quando possível, seja estabelecida pela organização uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de
correio eletrônico; uso de antivírus, entre outros.
2. CONSCIENTIZAÇÃO E TREINAMENTOS
Após a criação de uma política de segurança da informação, é necessário que ela seja devidamente implementada na empresa, ou seja, que as regras lá definidas sejam postas em prática pelos funcionários e colaboradores da empresa.
Os recursos humanos de uma organização são o fator preponderante para o sucesso das medidas que se referem à segurança da informação e à proteção de dados pessoais, já que efetivamente são as pessoas que trabalham para os agentes de tratamento de pequeno porte que realizarão o tratamento dos dados pessoais.
Sugere-se que as empresas de pequeno porte conscientizem os seus funcionários por meio de treinamentos e campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.
Essa conscientização implica informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD, tais como:
• utilização dos controles de segurança dos sistemas de TI relacionados ao trabalho diário;
• manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
• não compartilhar logins e senhas de acesso das estações de trabalho.
3. GERENCIAMENTO DE CONTRATOS
Além da criação de políticas de segurança da informação e do treinamento dos colaboradores, é necessário tomar precauções com demais empresas terceirizadas e prestadoras de serviços.
Para tanto, é recomendável que termos de confidencialidade sejam assinados com os funcionários da empresa para que estes se comprometam a não divulgar informações confidenciais que envolvam dados pessoais.
Também é indicado o gerenciamento dos contratos, e se necessário, realizar os aditivos necessários para a definição de funções e responsabilidades entre as partes, com observância à LGPD e ao tratamento adequado dos dados pessoais.
Sugere-se também que no caso de agentes de tratamento de pequeno porte que terceirizam os serviços de TI, a previsão de cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.
Por fim, a Autoridade Nacional de Proteção de Dados editou uma cartilha com orientações específicas para Pequenas e Médias Empresas, visando auxiliar no processo de adequação, acesse: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf