CIPL dá boas vindas à ANPD

Por Matheus Silva * – Em 1º de março de 2021, o Center for Information Policy Leadership (“CIPL”) da Hunton Andrews Kurth apresentou uma resposta à consulta pública da nova autoridade de proteção de dados brasileira (Agência Nacional de Proteção de Dados, a “ANPD”) sobre o impacto da lei de proteção de dados (Lei Geral de Proteção de Dados, a “LGPD”) nas pequenas e médias empresas (“PMEs”), que informará as próximas regras especiais da ANPD para PMEs.

Esta chamada para contribuições públicas é a primeira etapa do processo de consulta pública da ANPD. A segunda etapa será a redação de regras para as PMEs, que também serão submetidas à análise e comentários do público.

Esta é a primeira consulta pública realizada pela ANPD, criada há apenas quatro meses. Neste artigo iremos compartilhar o que vem sendo feito pela ANPD e como as PMEs devem se adequar à nova legislação.

Recomendações e contribuições da CIPL

A CIPL deu as boas-vindas à vontade da ANPD de se envolver com várias partes interessadas, obtendo feedback e contribuições antes da redação das regras e orientações.

Em sua resposta, a CIPL observou que o principal desafio da Autoridade Nacional de Proteção de Dados em relação ao impacto da LGPD nas PMEs é duplo, ou seja, para:

  • Fornecer regras flexíveis e escaláveis ​​para PMEs que possibilitem a conformidade com o LGPD, encorajá-los a se tornarem responsáveis e facilitar seu funcionamento efetivo em uma economia baseada em dados pós-COVID-19;
  • Enquanto evita isenções excessivas às regras de cumprimento e fiscalização que possam levar as PMEs a não cumprir outras regras LGPD aplicáveis ​​e a não se preocupar com a fiscalização pela ANPD.

A CIPL recomendou que a ANPD se concentrasse nas seguintes atividades:

  • Fornecer orientação às PME para esclarecer as muitas disposições LGPD aplicáveis ​​e ajudá-las a compreender a importância de proteger os dados pessoais e de se tornarem responsáveis;
  • Desenvolver e promover ferramentas e modelos de responsabilidade e conformidade para PMEs;
  • Encorajar o desenvolvimento de códigos de conduta da indústria;
  • Possibilitar o desenvolvimento de certificações, selos e marcas;
  • Incentivar o compartilhamento das melhores práticas em proteção de dados, gerenciamento de dados e higiene de dados entre organizações profissionais brasileiras;
  • Promover programas de educação e conscientização com foco nas PMEs;
  • E permitir a transferência internacional de dados pessoais para permitir que as PMEs brasileiras participem da economia digital global.

A CIPL explicou que a responsabilidade é um conceito escalonável e independente do setor que pode ser aplicado por organizações de todos os tipos (incluindo PMEs), tamanhos e setores, incluindo o setor público.

Práticas recomendadas para segurança de dados sob regulação da ANPD

Os avanços da tecnologia trouxeram novos desafios para a proteção de dados pessoais, portanto, cada organização precisa de uma abordagem abrangente para o gerenciamento de privacidade.

Mas muitas empresas ainda caem nos fundamentos da segurança, e novos regulamentos, como:

  • O Regulamento Geral de Proteção de Dados (GDPR);
  • Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI);
  • Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA);
  • E ISO 27001;

Regulamentos e diretrizes são inevitáveis ​​e, com o não cumprimento, multas e auditorias certamente virão. No entanto, embora esses regulamentos pareçam um fardo, ao empregar medidas básicas de segurança, eles podem se tornar uma oportunidade.

Muitos dos riscos estão nos próprios dados e nos processos usados ​​para gerenciá-los. Portanto, essas são partes essenciais de uma iniciativa corporativa voltada para a segurança de dados.

Aqui estão 5 maneiras de melhorar a conformidade de segurança com os regulamentos de privacidade de dados:

Mantenha um inventário preciso dos ativos de software

Uma visão completa de todos softwares instalados pode conduzir a consolidação do portfólio de softwares da empresa para reduzir os riscos de segurança, reduzindo a superfície de ataque para vulnerabilidades.

Identifique e remova freeware e softwares não autorizados que possam representar um risco à segurança. Mantenha a segurança de dados pessoais usando um software antivírus com VPN embutido.

Para esse fim, realize uma auditoria completa para coletar dados abrangentes de inventário de hardware e software, bem como identificar quais aplicativos estão usando dados pessoais e as pessoas que estão usando esses aplicativos.

Isso permitirá que a organização garanta que os dados que não estão em conformidade com os padrões de proteção de dados em uso sejam revisados.

Saiba qual software de código aberto (OSS) é usado nos aplicativos desenvolvidos internamente

Normalmente, as organizações conhecem menos de 10% do software que é realmente usado.

Os engenheiros de software usam componentes de código aberto para agilizar seu trabalho, mas geralmente não entendem os riscos de vulnerabilidade de software que eles podem conter. Assuma o controle e gerencie o uso de OSS e componentes de terceiros.

Use a automação para criar um inventário formal de OSS e uma política que equilibre os benefícios do negócio e o gerenciamento de riscos.

Fique atento ao rastrear e responder a alertas sobre ativos de software

Mantenha-se informado sobre vulnerabilidades de softwares conhecidas e sua criticidade.

Para este fim, certifique-se de que haja uma lista de softwares instalados que precisam ser monitorados quanto a vulnerabilidades e, em seguida, entenda os componentes OSS que foram usados ​​nos aplicativos desenvolvidos internamente.

Execute avaliações de vulnerabilidade em todos os sistemas com frequência: Identifique software vulnerável e sem patch em desktops, laptops e servidores.

Elimine o ruído para concentrar a pesquisa e os alertas nos ativos de software identificados no inventário da organização. Depois disso, detecte e avalie o estado de segurança dos aplicativos para reagir com mais rapidez.

Priorize e corrija as vulnerabilidades mais críticas primeiro

Implemente políticas e fluxos de trabalho de gerenciamento de vulnerabilidades.

Conduza e relate os processos de correção de ponta a ponta para garantir que os acordos de nível de serviço sejam cumpridos. Ao aplicar os patches corretos, as organizações fecham o principal método de intrusão externa para ataques cibernéticos.

A redução da superfície de ataque para os hackers reduz o risco e as consequências dispendiosas de violações de dados pessoais.

Considerações finais e conclusão

Todos os itens acima são práticas fundamentais que as organizações devem seguir no ambiente atual para garantir a segurança dos dados e a conformidade com os regulamentos de privacidade de dados.

De acordo com a Forrester Research, o principal método de intrusão externa que os hackers usam para obter acesso aos dados é por meio de vulnerabilidades no software. O gerenciamento proativo de vulnerabilidades é, portanto, vital para a segurança e conformidade dos dados.

Ainda virão muitas novas normas e regulamentos por parte da autoridade nacional de proteção de dados e cabe aos empresários ficarem atentos as últimas notícias e se manterem atualizados no que diz respeito a proteção de dados pessoais.

*Matheus Silva é graduado em Administração e atua como consultor, auxiliando empresas a crescerem.