A Lei Geral de Proteo de Dados – LGPD (Lei n 13.709/2018) determina que todas as pessoas jurdicas, de qualquer porte, com ou sem fins lucrativos, e as pessoas naturais, no exerccio da sua atividade econmica, devem adequar a coleta, o armazenamento e o uso de informaes de carter pessoal s disposies legais, sob pena de pesadas sanes.

Para que uma organizao possa trabalhar em conformidade com a LGPD e proteger os dados pessoais que detm, necessrio implementar um programa de adequao Lei, no qual so levantados e mapeados os dados pessoais e o seu fluxo, identificados os pontos de desconformidade legal para que ento as medidas apropriadas sejam implementadas e a organizao possa, a partir da, dar continuidade s suas atividades mantendo o estado de conformidade legal adquirido.

Como parte do processo de adequao LGPD so elaborados diversos documentos para guiar os colaboradores no trato com dados pessoais, dentre os quais est a Poltica de Segurana da Informao (PSI), que consiste num conjunto de regras e diretrizes voltadas para o planejamento, a execuo e o controle de aes para a segurana da informao relativa a dados pessoais.

No Guia Orientativo de Segurana da Informao para Agentes de Tratamento de Pequeno Porte, lanado em 04 de outubro de 2021, informa a Autoridade Nacional de Proteo de Dados - ANPD que a Poltica de Segurana da Informao (PSI) no obrigatria, mas a sua implementao evidencia a boa f e diligncia na segurana dos dados.

No que tange LGPD, no ser obrigatrio no significa ter a faculdade de no fazer, uma vez que a Lei no traz medidas concretas a serem adotadas, mas impe aos agentes de tratamento de dados o dever de proteo dos dados contra os no autorizados e situaes acidentais ou ilcitas que possam causar dano aos titulares destes dados (art. 46).

Todas as organizaes e profissionais liberais devem, portanto, instituir uma PSI ajustada sua realidade, ainda que simplificada, contemplando medidas de controle como uso de senhas individuais; instituio de regras para compartilhamento interno de dados e uso do correio eletrnico, bem como para manuteno de documentos fsicos em gavetas e no sobre mesas e para bloqueio do computador sempre que o colaborador se ausentar da sua estao de trabalho; restrio do uso de dispositivos mveis pessoais como smarphones e tablets para fins do trabalho; realizao de backups peridicos, que devem ser guardados em local seguro e separado do armazenamento principal; uso de antivrus; manuteno de softwares de sistema e aplicativos atualizados; desabilitao de programas e servios desnecessrios; normas restritivas para transferncia de dados para pendrives ou HD externos; coleta apenas de dados necessrios, dentre outras.

Somente quanto ao controle de o h vrias medidas de segurana que podem ser adotadas. Deve haver regras proibitivas de compartilhamento de senhas e s. O o ao sistema deve ser definido por nveis de permisso de acordo com a necessidade funcional de cada colaborador, autorizado mediante autenticao (identificao de quem a) e registrado para possibilitar auditoria que indique o que foi feito naquele o. Deve ser obrigatria a substituio das senhas padro disponibilizadas pelos fornecedores e as funcionalidades do sistema podem ser configuradas para no permitir a definio de senhas com baixo nvel de segurana.

No se deve perder de vista, entretanto, que o compliance legal jurdico, e no tcnico, sendo a segurana da informao uma ferramenta para se alcanar a conformidade jurdica.

No Guia Orientativo mencionado, a ANDP ressalta o papel preponderante dos recursos humanos para o sucesso das medidas de segurana da informao relativa a proteo de dados pessoais e sugere, como medida essencial, a realizao de treinamentos e campanhas de conscientizao para informar e sensibilizar os colaboradores sobre as suas responsabilidades e as obrigaes legais.

Por fim, havendo medidas j reconhecidamente eficazes na proteo dos dados pessoais, a opo por no implementar uma PSI aumenta a responsabilidade do agente de tratamento de dados em caso de incidente de segurana, seja qual for o porte da organizao. E para a LGPD o mero tratamento dos dados em desconformidade com as suas normas constitui incidente de segurana de dados.