oie_transparent.png
Buscar
  • Amanda Ferreira Eleuterio

O mínimo necessário para conformidade com a LGPD em termos de segurança da informação para startups


A entrada em vigência da LGPD ensejou difusa inquietação no mercado – especialmente para as startups, ME e EPP, que geralmente não possuem recursos suficientes a dispor para uma integral implementação.


Implementar um programa de conformidade à LGPD com alto nível de maturidade pode custar centenas de milhares de reais e, ainda, ser desnecessária face ao simplificado tratamento de dados promovido pelas pequenas empresas.


Há, portanto, uma baixa complexidade no processamento de dados de tais empresas, aliada à indisponibilidade de staff e recursos financeiros. E nesse sentido se dá a busca pela “mínima implementação necessária”.


Ou seja, o mínimo que as empresas precisam promover para estar em conformidade com a LGPD.


Havendo baixa complexidade no processamento de dados, é possível promover uma implementação sintética: focando-se em cumprir o que há de essencial na LGPD, protegendo direitos de titulares e evitando vazamento de dados, mas sem inviabilizar o processo pelas limitações físicas e econômicas da empresa.


Aqui, é de se destacar em breves linhas duas grandes etapas da LGPD que caminham em conjunto: há, de um lado, a implementação jurídica (elaboração de Política de Privacidade, conformidade dos contratos, conscientização do staff) e há, de outro, a implementação de segurança da informação.


A conformidade dos processos que envolvem segurança da informação pode ser extremamente custosa considerando a contratação de empresas de auditoria, softwares para monitoramento de breaches sistêmicos, etc.


Todavia, conforme dito, empresas cujo processamento de dados é de baixa complexidade não demandam tais medidas. Principalmente porque tendem a não tratar dados sensíveis ou excessivos, tampouco promover Outbound Marketing (aquele em que a empresa aborda potenciais clientes no mercado).


Para esses, a ANPD (Autoridade Nacional de Proteção de Dados) recentemente publicou o guia da segurança de informação para agentes de tratamento de pequeno porte.


No guia é destacado o cunho de baixo complexidade como fator autorizador de implementação sintética, com sugestões para se promover um ambiente institucional mais seguro.


Dentre as medidas técnicas sugeridas, destaca-se a implementação de controles de acesso, armazenamento seguro, comunicações controladas e programa de gerenciamento de vulnerabilidades.


Os controles de acesso servem para que apenas pessoas autorizadas tenham acesso aos dados pessoais e pode se dar por meio de registro de logs de acesso/inserção/alteração/exclusão, pela utilização de senhas seguras e autenticação multi-fatores.


É importante destacar que vige o princípio “need to know”, por meio do qual os colaboradores da empresa somente devem ter acesso aqueles dados que efetivamente forem necessários.


O armazenamento seguro é de certa forma simplificado considerando a ampla utilização de clouds internacionais cujo nível de conformidade já é alto (a exemplo da AWS, gerida pela Amazon).


As comunicações controladas referem-se ao processo de transmissão de dados e informações, que pode ser fortalecido por meio de criptografia de ponta a ponta e manutenção de sistema de firewall.


O programa de gerenciamento de vulnerabilidades, por fim, envolve ocorrências tais como o acompanhamento de atualizações dos softwares utilizados para que se mantenham na última versão disponível e o registro de incidentes e solicitações de titulares.


Tais medidas são financeiramente viáveis mesmo para pequenas empresas e podem, quando implementadas, gerar diversos benefícios. De um lado, evitam incidentes que lesariam tanto a terceiros (titulares cujos dados eventualmente fossem vazados) quando a si própria (multa a que a empresa teria de arcar em razão do incidente). De outro, demonstram a boa-fé da empresa no cumprimento da LGPD.


É importante pontuar, para finalizar, que mesmo o processo sintético de conformidade à LGPD não se encerra nas medidas de segurança da informação. É ainda necessária a elaboração de Política de Privacidade, revisão contratual, conscientização do staff, dentre outras medidas.


Amanda Ferreira Eleuterio

Advogada, Societário/M&A e Empresarial

amanda@gmslaw.com.br


*Advogada. Graduada em Direito pelo Centro Universitário Unicuritiba.


  • Facebook
  • LinkedIn
  • White Google+ Icon