LGPD: recomendações para municípios de pequeno porte

black android smartphone on top of white bookPhoto by Pixabay on <a href="https://www.pexels.com/photo/black-android-smartphone-on-top-of-white-book-39584/" rel="nofollow">Pexels.com</a>
Compartilhe:

por Fábio Correa Xavier

Publicado originalmente no Jota em 20/11/2021.

LGPD: recomendações para municípios de pequeno porte

Créditos da foto: Pexels.com

A Lei Geral de Proteção de Dados – Lei nº 13.709/2018 (LGPD) – se aplica tanto ao setor privado, quanto ao setor público. A Administração Pública vem há muito tempo coletando dados pessoais de maneira indiscriminada e sem se preocupar com princípios elencados no artigo 6º na LGPD – especialmente finalidade, adequação, necessidade ou mesmo segurança —, e nem com o caput do artigo 23, que define que o tratamento de dados pessoais pelas pessoas jurídicas de direito público, “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.

Via de regra, optava-se por maximizar a coleta de dados, mesmo sem ter a certeza em relação à sua necessidade para atender sua finalidade pública, para executar suas competências e atribuições legais, como previsto no caput do artigo 23 da LGPD.

Contudo, com a LGPD, é fundamental que o setor público esteja em conformidade com a novel legislação, sem prejuízo à consecução de suas atividades finalísticas. E essa adequação vale para todo e qualquer entidade pública, inclusive para os municípios de pequeno porte, que possuem, invariavelmente, dificuldades com disponibilidade de recursos – orçamentários, de infraestrutura e pessoal —, o que torna a jornada de adequação mais hercúlea.

Reforçando seu papel orientativo, especificado na competência atribuída pelo artigo 55-J, XVIII, da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) lançou no último dia 4 de outubro, o seu segundo guia orientativo, intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte” e um checklist – disponíveis no site da ANPD – para facilitar a visualização das sugestões que serão adotadas. Trata-se de um documento que sugere padrões técnicos mínimos de segurança que as micro e pequenas empresas, além de startups, podem utilizar para proteger os dados pessoais sob a guarda dessas empresas. Não obstante, o guia informa que “[a]s medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização”. Além disso, a ANPD afirma que o documento não tem efeito normativo vinculante e trata-se apenas de um guia de boas práticas, que poderá ser atualizado e aperfeiçoado sempre que necessário.

Embora não seja direcionado ao setor público, entendo que tais orientações possam ser seguidas pelos municípios, especialmente os de pequeno porte, como forma de se construir um ambiente institucional mais seguro e, consequentemente, materializar os princípios da boa-fé, segurança e prevenção, constantes no artigo 6º da LGPD.

O guia é dividido em medidas administrativas, medidas técnicas e recomendações para dispositivos móveis e serviços na nuvem.

Medidas administrativas em relação à segurança da informação

As medidas administrativas são aquelas que tratam de política e procedimentos relacionados à segurança da informação. As medidas citadas no guia são:

  • Política de segurança da informação, mesmo que seja simplificada, perfaz um conjunto de diretrizes e regras para viabilizar o planejamento, implementação e o controle de ações de segurança da informação dentro da instituição;
  • Conscientização e treinamento, uma vez que as pessoas muitas vezes são negligenciadas, mas são parte vital para o sucesso de qualquer ação em relação à segurança da informação e proteção de dados;
  • Gerenciamento de contratos, com a inclusão de termos de confidencialidade para funcionários e em contratos com fornecedores e clientes nos quais deve haver a inclusão de cláusulas que determinem as responsabilidades e funções em relação à LGPD.

Adicionalmente, diferentemente dos agentes de tratamento de pequeno porte, as prefeituras e câmaras de pequeno porte devem indicar um encarregado pelo tratamento de dados pessoais, como definido no artigo 23, inciso III, da LGPD. O encarregado é o responsável pelas comunicações entre o controlador, o titular de dados e a ANPD, sendo um canal interativo entre esses atores. Além disso, O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. O ideal é que o indicado tenha conhecimento multidisciplinar — legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. Além disso, ele deve ter autonomia, independência e recursos – financeiros, estrutura e pessoal – para exercer suas atribuições. Deve-se, também, evitar possíveis conflitos de interesse e acúmulo de funções dentro da instituição. No meu artigo “O encarregado de dados no setor público” [1], discorri mais sobre o tema.

A necessidade de indicação do encarregado é ratificada pelo Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado [2] que afirma que órgãos e entidades públicas devem indicar um encarregado de dados, baseando-se no já citado artigo 23, inciso III. Ademais, conforme §1º do artigo 41 da LGPD, a identidade e as informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD, quanto pelos titulares dos dados e demais interessados, atendendo ao princípio da transparência. Isso é importante, pois os “direitos dos titulares (artigo 18) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento” [3].

Medidas técnicas em relação à segurança da informação

As medidas técnicas seriam aquelas mais relacionadas às tecnologias e controles que podem ser implementados em relação à segurança da informação.

O guia cita as seguintes medidas técnicas:

  • controle de acesso, baseado na necessidade de acesso aos dados pessoais, implementando política de senhas complexas e desabilitando senhas padrões de fabricantes. Também recomenda que não se faça o compartilhamento de senhas entre funcionários e que se adote o princípio do menor privilégio, ou seja, atribuir o nível de acesso necessário para a realização das atividades de cada funcionário. Por fim, recomenda a utilização de autenticação com múltiplos fatores de autenticação, ou seja, utilizar, além da senha, biometria ou tokens para o processo de autenticação e autorização para acesso a sistemas. Ressalto que o processo de autenticação é uma das medidas que abordei em outros dois artigos aqui no MIT Technology Review: “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques” [4] e “Quais são os padrões técnicos mínimos exigidos pela LGPD?” [5];
  • segurança dos dados pessoais armazenados, com ressalva para a observação ao princípio da necessidade (artigo 6º, III), com a minimização da coleta dos dados, atentando-se para a configuração segura das estações de trabalho – o hardening que citei no artigo “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques” [6] — e não utilização de dispositivos de armazenamento externo, como HD ou pendrives. Essa medida também se relaciona com as cópias de segurança (backup) e uso de criptografia nos dados armazenados;
  • segurança das comunicações, com a utilização de protocolos de comunicação seguros – como TLS/HTTPS – e aplicativos com criptografia fim a fim, inclusive com o uso de e-mails criptografados, se forem utilizados para envio de dados pessoais. Há ainda a necessidade de se utilizar tecnologias de proteção de tráfego, como sistema de firewall, antivírus, antispyware e anti-spam. Por fim, remover qualquer dado pessoal que esteja em redes públicas, como o site da empresa, caso não exista a necessidade de tal publicidade; (iv) manutenção de programa de gerenciamento de vulnerabilidades, para monitorar e aplicar correções de sistemas e aplicativos lançadas pelos servidores. É importante manter os sistemas atualizados, para se minimizar o risco de ser vítima de um ataque que explore vulnerabilidades conhecidas. Essa também é uma das 3 ações que eu citei no meu artigo “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques” [7]. Além disso, deve-se também manter antivírus e antimalwares sempre atualizados e com varreduras periódicas em todos os dispositivos da empresa.
  • manutenção de programa de gerenciamento de vulnerabilidades, para monitorar e aplicar correções de sistemas e aplicativos lançadas pelos servidores. É importante manter os sistemas atualizados, para se minimizar o risco de ser vítima de um ataque que explore vulnerabilidades conhecidas. Além disso, deve-se também manter antivírus e antimalwares sempre atualizados e com varreduras periódicas em todos os dispositivos da empresa.

Recomendações para dispositivos móveis e serviços na nuvem

Para dispositivos móveis, como notebooks, tablets e smartphones, o guia sugere que estejam sujeitos aos mesmos procedimentos de controle de acesso implantados para os demais equipamentos da empresa, incluindo autenticação com múltiplos fatores. O guia recomenda, ainda, que a empresa separe os dispositivos móveis de uso privado daqueles de uso institucional. Ou seja, a recomendação é que não se utilize dispositivos móveis particulares para fins institucionais, uma vez que estão mais sujeitos a vulnerabilidades, trazendo mais risco para o agente de tratamento. Uma última recomendação neste quesito é a implementação de funcionalidade que permita apagar todos os dados no dispositivo, de forma remota, para ser usada em caso de perda ou roubo do equipamento.

Quanto à serviços na nuvem, é importante ter um contrato de acordo de nível de serviço (SLA – Service Level Agreement) adequado, que contemple a segurança dos dados armazenados e uso de autenticação com múltiplos fatores, para acesso aos serviços e dados pessoais que estão na nuvem.

Segurança da informação é um dever de todos

Segurança da informação é uma área muito dinâmica, muito embora as recomendações feitas no guia possam servir como um caminho inicial para os municípios de pequeno porte. Contudo, há outras práticas e recomendações que podem (e devem) ser buscadas, para que se tenha um ecossistema de privacidade e proteção de dados cada vez mais efetivo. A título exemplificativo, há boas práticas já consolidadas no mercado, como as normas da família 27 mil da ABNT/ISO/IEC. Recomendo também a observância em relação às principais violações que ensejaram a aplicação de multas pelas autoridades de proteção de dados da Europa, como já abordei em um artigo no MIT Technology Review “Quais são os padrões técnicos mínimos exigidos pela LGPD?” [8]. Embora o poder público não esteja sujeito às sanções pecuniárias, as principais falhas encontradas na Europa são um ótimo referencial para minimizar a probabilidade de ocorrência de incidentes de segurança, especialmente envolvendo dados pessoais.

É fundamental que todos busquem um comportamento digital cada vez mais seguro, de forma que os direitos dos titulares de dados pessoais sejam sempre respeitados.


[1] https://www.migalhas.com.br/depeso/339636/o-encarregado-de-dados-no-setor-publico

[2] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf

[3] https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em 14 jun. 2021.

[4] https://mittechreview.com.br/regra-de-pareto-para-a-seguranca-digital-3-acoes-que-mitigam-80-dos-ataques/

[5] https://mittechreview.com.br/quais-sao-os-padroes-tecnicos-minimos-exigidos-pela-lgpd/

[6] https://mittechreview.com.br/regra-de-pareto-para-a-seguranca-digital-3-acoes-que-mitigam-80-dos-ataques/

[7] https://mittechreview.com.br/regra-de-pareto-para-a-seguranca-digital-3-acoes-que-mitigam-80-dos-ataques/

[8] https://mittechreview.com.br/quais-sao-os-padroes-tecnicos-minimos-exigidos-pela-lgpd/

Fábio Correa Xavier

Mestre em Ciência da Computação | Professor | Colunista da MIT Technology Review Brasil | Inovação, Privacidade e Proteção de Dados | Membro IAPP, GovDados