Por Matheus Silva * – Em 1º de março de 2021, o Center for Information Policy Leadership (“CIPL”) da Hunton Andrews Kurth apresentou uma resposta à consulta pública da nova autoridade de proteção de dados brasileira (Agência Nacional de Proteção de Dados, a “ANPD”) sobre o impacto da lei de proteção de dados (Lei Geral de Proteção de Dados, a “LGPD”) nas pequenas e médias empresas (“PMEs”), que informará as próximas regras especiais da ANPD para PMEs.
Esta chamada para contribuições públicas é a primeira etapa do processo de consulta pública da ANPD. A segunda etapa será a redação de regras para as PMEs, que também serão submetidas à análise e comentários do público.
Esta é a primeira consulta pública realizada pela ANPD, criada há apenas quatro meses. Neste artigo iremos compartilhar o que vem sendo feito pela ANPD e como as PMEs devem se adequar à nova legislação.
Recomendações e contribuições da CIPL
A CIPL deu as boas-vindas à vontade da ANPD de se envolver com várias partes interessadas, obtendo feedback e contribuições antes da redação das regras e orientações.
Em sua resposta, a CIPL observou que o principal desafio da Autoridade Nacional de Proteção de Dados em relação ao impacto da LGPD nas PMEs é duplo, ou seja, para:
- Fornecer regras flexíveis e escaláveis para PMEs que possibilitem a conformidade com o LGPD, encorajá-los a se tornarem responsáveis e facilitar seu funcionamento efetivo em uma economia baseada em dados pós-COVID-19;
- Enquanto evita isenções excessivas às regras de cumprimento e fiscalização que possam levar as PMEs a não cumprir outras regras LGPD aplicáveis e a não se preocupar com a fiscalização pela ANPD.
A CIPL recomendou que a ANPD se concentrasse nas seguintes atividades:
- Fornecer orientação às PME para esclarecer as muitas disposições LGPD aplicáveis e ajudá-las a compreender a importância de proteger os dados pessoais e de se tornarem responsáveis;
- Desenvolver e promover ferramentas e modelos de responsabilidade e conformidade para PMEs;
- Encorajar o desenvolvimento de códigos de conduta da indústria;
- Possibilitar o desenvolvimento de certificações, selos e marcas;
- Incentivar o compartilhamento das melhores práticas em proteção de dados, gerenciamento de dados e higiene de dados entre organizações profissionais brasileiras;
- Promover programas de educação e conscientização com foco nas PMEs;
- E permitir a transferência internacional de dados pessoais para permitir que as PMEs brasileiras participem da economia digital global.
A CIPL explicou que a responsabilidade é um conceito escalonável e independente do setor que pode ser aplicado por organizações de todos os tipos (incluindo PMEs), tamanhos e setores, incluindo o setor público.
Práticas recomendadas para segurança de dados sob regulação da ANPD
Os avanços da tecnologia trouxeram novos desafios para a proteção de dados pessoais, portanto, cada organização precisa de uma abordagem abrangente para o gerenciamento de privacidade.
Mas muitas empresas ainda caem nos fundamentos da segurança, e novos regulamentos, como:
- O Regulamento Geral de Proteção de Dados (GDPR);
- Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI);
- Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA);
- E ISO 27001;
Regulamentos e diretrizes são inevitáveis e, com o não cumprimento, multas e auditorias certamente virão. No entanto, embora esses regulamentos pareçam um fardo, ao empregar medidas básicas de segurança, eles podem se tornar uma oportunidade.
Muitos dos riscos estão nos próprios dados e nos processos usados para gerenciá-los. Portanto, essas são partes essenciais de uma iniciativa corporativa voltada para a segurança de dados.
Aqui estão 5 maneiras de melhorar a conformidade de segurança com os regulamentos de privacidade de dados:
Mantenha um inventário preciso dos ativos de software
Uma visão completa de todos softwares instalados pode conduzir a consolidação do portfólio de softwares da empresa para reduzir os riscos de segurança, reduzindo a superfície de ataque para vulnerabilidades.
Identifique e remova freeware e softwares não autorizados que possam representar um risco à segurança. Mantenha a segurança de dados pessoais usando um software antivírus com VPN embutido.
Para esse fim, realize uma auditoria completa para coletar dados abrangentes de inventário de hardware e software, bem como identificar quais aplicativos estão usando dados pessoais e as pessoas que estão usando esses aplicativos.
Isso permitirá que a organização garanta que os dados que não estão em conformidade com os padrões de proteção de dados em uso sejam revisados.
Saiba qual software de código aberto (OSS) é usado nos aplicativos desenvolvidos internamente
Normalmente, as organizações conhecem menos de 10% do software que é realmente usado.
Os engenheiros de software usam componentes de código aberto para agilizar seu trabalho, mas geralmente não entendem os riscos de vulnerabilidade de software que eles podem conter. Assuma o controle e gerencie o uso de OSS e componentes de terceiros.
Use a automação para criar um inventário formal de OSS e uma política que equilibre os benefícios do negócio e o gerenciamento de riscos.
Fique atento ao rastrear e responder a alertas sobre ativos de software
Mantenha-se informado sobre vulnerabilidades de softwares conhecidas e sua criticidade.
Para este fim, certifique-se de que haja uma lista de softwares instalados que precisam ser monitorados quanto a vulnerabilidades e, em seguida, entenda os componentes OSS que foram usados nos aplicativos desenvolvidos internamente.
Execute avaliações de vulnerabilidade em todos os sistemas com frequência: Identifique software vulnerável e sem patch em desktops, laptops e servidores.
Elimine o ruído para concentrar a pesquisa e os alertas nos ativos de software identificados no inventário da organização. Depois disso, detecte e avalie o estado de segurança dos aplicativos para reagir com mais rapidez.
Priorize e corrija as vulnerabilidades mais críticas primeiro
Implemente políticas e fluxos de trabalho de gerenciamento de vulnerabilidades.
Conduza e relate os processos de correção de ponta a ponta para garantir que os acordos de nível de serviço sejam cumpridos. Ao aplicar os patches corretos, as organizações fecham o principal método de intrusão externa para ataques cibernéticos.
A redução da superfície de ataque para os hackers reduz o risco e as consequências dispendiosas de violações de dados pessoais.
Considerações finais e conclusão
Todos os itens acima são práticas fundamentais que as organizações devem seguir no ambiente atual para garantir a segurança dos dados e a conformidade com os regulamentos de privacidade de dados.
De acordo com a Forrester Research, o principal método de intrusão externa que os hackers usam para obter acesso aos dados é por meio de vulnerabilidades no software. O gerenciamento proativo de vulnerabilidades é, portanto, vital para a segurança e conformidade dos dados.
Ainda virão muitas novas normas e regulamentos por parte da autoridade nacional de proteção de dados e cabe aos empresários ficarem atentos as últimas notícias e se manterem atualizados no que diz respeito a proteção de dados pessoais.
*Matheus Silva é graduado em Administração e atua como consultor, auxiliando empresas a crescerem.
