Pode-se dizer que as etapas descritas até o momento visam contribuir justamente com a segurança dos dados pessoais armazenados, a fim de diminuir o risco de incidentes e aumentar a segurança que os agentes de tratamento devem ter ao longo do tratamento de dados pessoais.
Inicialmente, cabe salientar que, muitas vezes, os agentes de tratamento coletam mais dados do que o necessário para a realização de suas atividades ou para uma finalidade específica. Para se evitar riscos de incidentes de segurança e outros comprometimentos, e em atenção ao Princípio da Necessidade (LGPD, art. 6, inciso III), os agentes de tratamento devem coletar e processar apenas os dados pessoais que são realmente necessários para atingir a finalidade pretendida.
No contexto atual da LGPD, tratar (coletar e guardar, por exemplo) dados pessoais sem uma utilidade imediata e concreta, apenas porque um dia poderão ser úteis (sem se saber exatamente para quê), não é uma prática adequada, considerando os Princípios da Finalidade e da Necessidade (LGPD, art. 6, incisos I e III).
Além disso, tendo em vista que os dados pessoais sensíveis gozam de uma proteção especial pela LGPD, sugere-se que os agentes de tratamento que armazenam dados dessa natureza implementem soluções que dificultem a identificação do titular, como a criptografia.
Em relação às estações de trabalho, sugere-se que seja orientado aos funcionários a importância das configurações de segurança, a fim de que eles não as desativem ou ignorem, inclusive quanto a restrições de acesso de determinados tipos de sites.
Um importante ponto a ser considerado é evitar a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives, discos rígidos externos, dentre outros, tendo em vista o risco de se perder a guarda dos dados pessoais transferidos. Caso essa operação seja imprescindível, sugere-se a adoção de controles adicionais a esses dispositivos externos, como inventariá-los, cifrar os dados e armazená-los em locais seguros.
Em relação às cópias de segurança (backups), é importante que elas sejam realizadas regularmente de forma completa e armazenadas em locais seguros e distintos dos dispositivos de armazenamento principais. Também é importante que essas cópias não sejam sincronizadas em tempo real, para evitar a perda de dados em casos de infecções por códigos maliciosos que sequestram os dados (ransomware).
Por fim, sobre a eliminação de dados pessoais, sugere-se que em todas as mídias que contenham dados pessoais seja executado o método de formatar antes de descartá-las. Quando isso não for possível, como em CDs e DVDs, sugere-se que seja realizada a destruição física da mídia, o que também se aplica para destruição de papel e de mídia portátil para armazenar dados pessoais.
Além disso, para os agentes de tratamento que fazem uso de serviço de terceiros para o descarte, seja de mídia ou registro de papel, sugere-se que seja estabelecido um contrato de serviço com cláusulas de registro da destruição que for realizada.
Comments