Desde 2016, quando o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR) foi adotado pelo Parlamento Europeu, venho me dedicando à implementação da adequação de empresas às leis de privacidade de dados e à função de DPO (Data Protection Officer), ou, no Brasil, Encarregado de Dados Pessoais.
GDPR e LGPD: Uma Visão Geral das Leis de Proteção de Dados
O GDPR, que entrou em vigor em 25 de maio de 2018, é uma lei da União Europeia (UE) que estabelece regras para o tratamento de dados pessoais de seus residentes. O regulamento visa padronizar as regras que administram o processamento de dados pessoais, determinando como as empresas devem armazenar, proteger e disponibilizar os dados.
No Brasil, temos a Lei Geral de Proteção de Dados (LGPD), que é uma lei brasileira que estabelece regras para a coleta, tratamento, armazenamento e compartilhamento de dados pessoais. A LGPD foi sancionada em 2018, entrou em vigor em 2020 e é uma lei inspirada na GDPR.
Nestes anos dedicados à introdução e ao aculturamento das pessoas e organizações ao universo da privacidade de dados pessoais, me deparei com empresas gastando rios de dinheiro na aquisição e alteração de sistemas em busca da adequação ao tema, mas deixando de lado algumas questões básicas de segurança da informação, como a “Mesa Limpa” e “Tela Limpa”.
Imagine um colaborador em sua mesa do escritório realizando o fechamento mensal, com documentos sobre a mesa e sistemas abertos no computador, quando, de repente, o presidente o chama para uma reunião de urgência, ou simplesmente, este vai tomar uma xícara de café, e deixa sua mesa.
Esta situação é mais comum do que se imagina e representa um grande risco a organização, já que sem medidas apropriadas, todas as informações deixadas na mesa pelo empregado podem ser acessadas ou até levadas por uma pessoa não autorizada. O mesmo pode acontecer com as informações nos sistemas que estiverem logados no computador.
A Importância da ISO 27001 na Proteção de Dados
Há muitos anos as empresas estão envolvidas com a necessidade e importância da segurança das informações, e estas mesmas preocupações precisam ser trazidas ao tratamento dos dados pessoais.
A Política de ‘Mesa Limpa’ e ‘Tela Limpa’ é uma recomendação da ISO 27001 e busca resguardar as empresas contra o acesso não autorizado às informações, prevenir vazamentos de dados e proteger a integridade e a privacidade das informações sensíveis e dos dados pessoais.
A norma ISO 27001 é um padrão internacional que define processos e requisitos para garantir a segurança da informação. Baseada em três princípios fundamentais da segurança da informação — confidencialidade, integridade e disponibilidade —, esta norma define processos e requisitos para garantir a gestão de segurança da informação de uma organização.
A sua implementação pode trazer vários benefícios, como:
- Proteção de dados,
- Prevenção de perdas financeiras,
- Melhoria da relação com clientes e parceiros e
- Reconhecimento de melhores práticas.
Portanto, a Política de “Mesa limpa” e “Tela Limpa” não é algo novo e trata-se de uma recomendação de melhores práticas internacionais.
O que é a Política de Mesa Limpa e Tela Limpa?
A política se refere a práticas relacionadas a assegurar que informações sensíveis ou que exijam segurança específica, como os dados pessoais, tanto em formato físico quanto no digital, não fiquem desprotegidos em espaços de trabalho.
- Mesa limpa consiste em remover todos os documentos, impressões e notas da mesa de trabalho, garantindo que sejam arquivados ou descartados de forma adequada.
- Tela limpa, por sua vez, consiste em bloquear a tela do computador ou dispositivo eletrônico quando não estiver em uso. Com o advento da LGPD, uma outra boa prática a ser incorporada aos sistemas é uma melhor segregação de acesso aos dados pessoais, limitando o acesso apenas aos dados imprescindíveis, evitando telas de sistemas com todos os dados pessoais expostos.
Recomendações para Implementação da Política de Mesa Limpa e Tela Limpa
Algumas recomendações para a Política de Mesa Limpa e Tela Limpa são:
- Evitar a impressão de documentos desnecessários;
- Não deixar papéis, livros ou qualquer informação na mesa quando não estiver no local;
- Descartar documentos físicos de forma correta, por exemplo, utilizando uma fragmentadora de papel;
- Documentos contendo informações de cliente devem estar trancados em gavetas ou armários;
- Manter documentos contendo dados pessoais sensíveis em local separado, com segregação de acesso;
- Utilizar caixas boca de lobo com chave, para receber documentos;
- Ao final do dia, ou no caso de ausência prolongada, limpe a mesa de trabalho;
- Apagar informações escritas em quadro branco durante as reuniões;
- Desligar o computador ao final do dia;
- Proteger os computadores com key locks, senhas e outros controles;
- Utilizar um protetor de tela que solicite uma senha para acesso;
- Fotocopiadoras devem ser protegidas contra uso não autorizado, durante e fora do horário de expediente; e,
- Utilizar um gerenciador de impressão que só disponibilize as cópias através da inserção de senha, crachá ou impressão digital.
Controles adicionais de segurança física são fortes aliados das Políticas de Mesa Limpa e Tela Limpa no gerenciamento do risco de vazamento e perda de dados.
Fatores a Considerar na Implementação
Ainda tomando como base a ISO 27001, devemos adotar uma Política de Mesa Limpa e Tela Limpa considerando:
- A Classificação da Informação, ou seja, o nível de segurança que requer a informação. Exemplo, dados pessoais e dados sensíveis;
- Requisitos legais (LGPD) e contratuais que demandam proteção da informação;
- Riscos organizacionais identificados;
- Aspectos culturais; e,
- Medidas que deveriam ser adotadas para proteger mesas, dispositivos e mídias.
Os treinamentos e atividades de conscientização são imprescindíveis para realmente introduzir a cultura de Mesa e Tela Limpa. Campanhas de comunicação são uma forte ferramenta para esta disseminação cultural.
Adicionalmente, o monitoramento da conformidade é de suma importância para se entender os ajustes necessários, sendo uma boa prática a inclusão destes temas no programa de auditorias anuais.
Registro de Operações de Tratamento de Dados Pessoais (RoPA)
O Registro de Operações de Tratamento de Dados Pessoais é um documento exigido pela Lei Geral de Proteção de Dados (LGPD).
O ROPA é um instrumento que registra as atividades de tratamento de dados pessoais realizadas por uma organização, com o objetivo de garantir a transparência e a conformidade com as regulamentações de proteção de dados.
Neste documento são descritas as atividades de tratamento de dados pessoais, e o fluxo dos dados nestas atividades. Portanto, é possível se mapear, por exemplo, quando um documento contendo dados pessoais ou mesmo um atestado médico (dado sensível) fica parado sobre a mesa de um colaborador, aguardando a próxima etapa de um processo.
Através da análise deste mapeamento dos fluxos dos dados pessoais, pode se introduzir os controles sobre cada atividade, evitando que as vulnerabilidades já no desenho ou redesenho dos processos.
A descrição das atividades também é uma ótima ferramenta para se mapear a existência da segregação de acesso aos dados, fazendo que tanto dados físicos quanto digitais só sejam tratados por quem é de direito e na quantidade realmente necessária para se executar as atividades.
Isto pode evitar situações comuns em sistemas computacionais, onde o operador que vai lançar, por exemplo, as férias de um colaborador no sistema, tenha acesso a todos os dados do colaborador, inclusive dados pessoais sensíveis e dados dos menores a este vinculado.
CONCLUSÃO
A Política de Mesa Limpa e Tela Limpa é uma medida de segurança da informação simples, que pode ser implantada por qualquer organização sem gerar custos adicionais. Trata-se de um ótimo controle de apoio à conformidade com a LGPD, auxiliando no combate ao vazamento e à perda de dados pessoais.