Já começou a tomada de subsídios para a elaboração do modelo de registro para simplificar as operações de tratamento de dados pessoais realizadas por agentes de pequeno porte (ATPP). A sociedade terá até o dia 04 de dezembro, próxima segunda-feira, para se manifestar sobre o assunto, por meio da plataforma Participa+Brasil.
Esse procedimento é previsto na LGPD e no regulamento de aplicação da norma para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 02/2022.
Leia:
Inicialmente, vamos esclarecer que a Resolução CD/ANPD nº 02/2022, que aprovou a normativa acima citada, facultou às organizações de pequeno porte - dentre elas as pequenas instituições do Ensino Básico – a manterem um registro simplificado das operações de tratamento de dados pessoais, dispensando-as também da obrigação de indicarem um Encarregado pelo Tratamento de Dados Pessoais (DPO), estabelecida no art. 41 da LGPD.
Em determinado momento as escolas da Educação Básica, por realizarem operações que envolvem “dados de grupos vulneráveis, incluindo crianças e adolescentes”, independentemente de seu porte econômico-financeiro e das atividades-fim que desenvolvem, foram relacionadas aos agentes de tratamento de alto risco e, portanto, desmerecedoras das flexibilizações estabelecidas no Regulamento.
Todavia, a Resolução CD/ANPD nº 02/2022 afastou esse juízo e entendeu de alto risco os tratamentos dotados das seguintes características:
Art. 4º Para fins deste regulamento [....], será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I - critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II - critérios específicos:
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Ou seja, a condição de a escola de Educação Básica realizar o tratamento de dados pessoais de crianças e adolescentes, por si só, não faz com que exista a circunstância prevista como ´tratamento de dados de alto risco´.
Segurança da Informação para agentes de tratamento de pequeno porte
A LGPD obriga aos agentes de tratamento uma série de práticas referentes à segurança de informação relacionada a dados pessoais. Essas determinações estão nos artigos 46, 47, 49 e 50 da norma e foram baseadas em boas práticas internacionais.
O próprio Guia Orientativo da ANPD, publicado em outubro de 2021, entende que a implementação e a manutenção de medidas que atendam a essas obrigações, considerando a complexidade e a especificidade em casos concretos, podem necessitar, em alguns casos, de elevado investimento, causando impacto financeiro aos agentes de tratamento de pequeno porte e, por isso, apresentam sugestões de medidas de segurança da informação capazes de promover, nesses agentes, um ambiente institucional mais seguro quanto ao tratamento de dados pessoais.
Medidas de Segurança da Informação
Medidas administrativas
Medidas Técnicas
Medidas relacionadas ao uso de dispositivos móveis
Medidas relacionadas ao serviço em nuvem
Medidas administrativas
Dentro das medidas administrativas nós temos a Política de Segurança da Informação – PSI - que consiste em um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização. Ela não é obrigatória, mas mostra boa-fé e diligência na segurança dos dados pessoais sob a custódia da instituição.
Essa política de segurança da informação pode prever uma revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como, por exemplo, cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico e uso de antivírus.
Outra medida administrativa é a conscientização e o treinamento dos recursos humanos, fator preponderante para o sucesso das medidas que se referem à segurança da informação e à proteção de dados pessoais, já que efetivamente são as pessoas que trabalham para os agentes de tratamento de pequeno porte que realizarão o tratamento dos dados pessoais.
Os funcionários precisam saber, mais a mais, lidar com incidentes de segurança corriqueiros, como contaminação por vírus ou ataques de phishing e ser atentos à própria segurança dos dados, como não compartilhar logins e senhas de acesso das estações de trabalho e bloquear os computadores quando delas se afastar.
Por último, o gerenciamento de contratos é outra medida administrativa. É recomendável que termos de confidencialidade sejam assinados com os funcionários da instituição/escola para que estes se comprometam a não divulgar informações confidenciais que envolvam dados pessoais.
Medidas técnicas
O controle de acesso é a primeira medida técnica que uma instituição de ensino de pequeno porte deve ter. Garante que os dados sejam acessados somente por pessoas autorizadas mediante processos de autenticação, autorização e auditoria. A autenticação identifica quem acessa o sistema ou os dados; a autorização determina o que o usuário identificado pode fazer e a auditoria registra o que foi feito pelo usuário.
É importante, ainda, na implementação de sistemas de segurança, utilizar um adequado gerenciamento de senhas e que os agentes considerem, preferencialmente, utilizar a autenticação multi-fatores para acessar sistemas ou base de dados que contenham dados pessoais. É a autenticação que estabelece uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação.
Outra medida técnica é a segurança dos dados pessoais armazenados, relacionada aqui com a segurança de dados ´em repouso´, expressão utilizada pela comunidade técnico-científica. Isso quer dizer que, muitas vezes, os agentes de tratamento coletam mais dados do que o necessário para a realização de suas atividades ou para uma finalidade específica e que, para se evitar riscos de incidentes de segurança e outros comprometimentos, e em atenção ao princípio da necessidade previsto no art. 6º, III, da LGPD, os agentes de tratamento de pequeno porte devem coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida.
Leia também:
A segurança das comunicações também é uma medida no campo técnico, tendo em vista a possibilidade da existência de vulnerabilidades no processo de transmissão de dados ou informações. Sobre o assunto, destaca-se a importância de se utilizar conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim. Isso se aplica também ao uso de e-mails para envio de informações de funcionários como salários ou de prontuários, por exemplo.
Por fim, temos a manutenção de programa de gerenciamento de vulnerabilidades, o que implica em estar sempre monitorando a existência de novas versões e correções disponíveis em todos os sistemas e aplicativos. É bastante relevante manter todos os sistemas e aplicativos em suas últimas versões, bem como instalar todas as correções de segurança disponíveis lançadas pelo desenvolvedor do sistema operacional e aplicativos. Uma medida adicional de segurança e detecção de comprometimentos consiste na adoção e atualização de softwares antivírus ou antimalwares, em todos os computadores e laptops.
Medidas relacionadas ao uso de dispositivos móveis
Os dispositivos móveis, como smartphones e laptops, caso sejam utilizados para fins institucionais, devem passar pelos mesmos processos que os outros equipamentos de TI, como o uso da autenticação multi fator para acesso aos dispositivos e sistemas de informação da organização, além de serem guardados em locais seguros quando não estiverem em uso. Ideal é que os agentes de tratamento de pequeno porte separem os dispositivos móveis de uso privado daqueles de uso institucional, inclusive porque dispositivos móveis podem ser comprometidos mais facilmente em eventual perda ou roubo e isso pode colocar em risco a guarda dos dados pessoais.
Medidas relacionadas ao serviço em nuvem
O serviço em nuvem, nos termos utilizados pelo Guia da ANPD, é o fornecimento de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet (“a nuvem”).
Em razão do porte dos provedores de serviço de computação em nuvem e à especificidade do trabalho exercido, é esperado que essas empresas observem e implementem as recomendações internacionais e as boas práticas de segurança da informação, sugerindo-se que o agente de tratamento de pequeno porte realize um contrato de acordo de nível de serviço que contemple a segurança dos dados armazenados.
Também, a sugestão é a de que sejam especificados os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, bem como sejam usadas técnicas de autenticação multi fator para acesso aos serviços em nuvem relacionados a dados pessoais.
Conclusões
As instituições de ensino que se encaixam no perfil de agente de tratamento de pequeno porte também devem estar atentas às boas práticas e medidas básicas de segurança da informação.
Além de se adequarem à LGPD, esses parâmetros contribuem para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados.
Leia também:
A publicação de fotos e vídeos de alunos nas redes sociais e o respeito à lei de dados: n. 13.709/18
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e também modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.