Pular para o conteúdo
Compliance MSPA

Artigo 46: A Obrigação de Adotar Medidas de Segurança

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

O que isso significa na prática?

Seção intitulada “O que isso significa na prática?”

Este artigo é o coração da segurança da informação na LGPD. Ele estabelece que não basta ter uma justificativa legal para tratar os dados; é obrigatório protegê-los ativamente.

Os pontos-chave são:

  1. Dois Tipos de Medidas: A proteção deve ser feita através de:

    • Medidas Técnicas: Soluções de tecnologia como criptografia, firewalls, controle de acesso, etc.
    • Medidas Administrativas: Processos, políticas e pessoas, como a criação de uma Política de Segurança da Informação e a realização de treinamentos.

  2. Segurança desde a Concepção (Privacy by Design): O § 2º introduz o conceito fundamental de “Privacidade desde a Concepção”. A segurança não pode ser uma camada adicionada no final. Ela deve ser um requisito desde o primeiro rascunho de um novo produto ou serviço.

Como se Aplica ao seu Negócio?

Seção intitulada “Como se Aplica ao seu Negócio?”

Este artigo exige que a segurança da informação seja tratada como uma área estratégica, não apenas como um custo de TI.

🔐 Medidas Técnicas Essenciais: Sua empresa precisa avaliar e implementar controles como criptografia para proteger dados em repouso e em trânsito, e controle de acesso para garantir que cada funcionário só acesse o necessário para sua função.

📄 Medidas Administrativas Obrigatórias: É fundamental ter uma Política de Segurança da Informação (PSI) clara, programas de treinamento e conscientização para os colaboradores e um Plano de Resposta a Incidentes.

🏗️ “Privacy by Design” na Prática: Ao desenvolver um novo aplicativo, por exemplo, a equipe deve se perguntar desde o início: Quais dados são realmente necessários (minimização)? Como vamos criptografar o banco de dados? Como será o controle de acesso dos administradores?