Dentre os diversos tópicos a serem atendidos para que a LGPD seja implementada com sucesso, um que deve ser verificado diz respeito aos acessos controlados nos sistemas a que os funcionários ou terceiros precisam e podem ter. Constantemente, surgem na mídia informações sobre empresas que tiveram dados vazados.
Para saber mais: 6 perguntas sobre LGPD que todo gestor precisa saber responder
Normalmente, os sistemas em uso nas empresas já possuem recursos de definição de permissão de acesso, sendo estas permissões atribuídas de acordo com as características demandadas para a função que será exercida. Não vamos abordar neste contexto condições para Segregação de Função, o qual pode ser discutido em post específico, mas atender o que diz a LGPD.
Basicamente, a LGPD cita que o indivíduo tem direito que o acesso aos seus dados somente possa ser realizado e visualizado pelas pessoas para a atividade a que se destina, conforme o serviço requisitado, e compartilhado apenas com parceiros que necessitem, por força do negócio, receber os dados.
Estes dados são divididos de acordo com a LGPD em “Dados Pessoais” e “Dados Sensíveis”.
Ambos são importantes, mas a atenção aos Dados Sensíveis deve ser mais criteriosa. O consentimento expresso e formal do indivíduo é fundamental para garantia de fornecimento.
Se o indivíduo faz a compra de uma passagem aérea e seus dados são requisitados para a conclusão do processo, quem poderá ter acesso a esse cadastro realizado e, dentro desse acesso, quais dados poderão ser visualizados e deverão ser compartilhados?
Definir esta estrutura não é tarefa fácil, demanda muito conhecimento do processo e também muito tempo e dinheiro. Portanto, muitas vezes a necessidade de liberar rapidamente o acesso a um novo funcionário possibilita falhas. Algo como “Use um template de acesso de determinado usuário ou cargo e atribua a este novo funcionário” é prática comum. Sem menosprezos, imagine um estagiário recém contratado com acesso aos dados sensíveis cadastrados no sistema? No mínimo, catastrófico!
E dúvidas sobre a maneira correta sempre permeiam o pessoal de TI, como:
- Quais campos poderão ficar abertos e quais deverão ser criptografados?
- Qual o perfil de acesso que terá o privilégio de acessar os dados criptografados?
- Em qual ou quais sistemas estes dados captados deverão ser inseridos (propagados) e quais dados deverão ser propagados e/ou criptografados no momento da criação do cadastro neste novo sistema?
- Nestes novos sistemas, como atribuir as permissões de acesso?
- Caso seja necessário acessar os dados que foram armazenados criptografados, porém de maneira aberta (para uso em alguma demanda, por exemplo), qual procedimento a ser adotado? Quem tem a chave de criptografia?
- Como fica a auditoria destes perfis de acesso, caso a agência reguladora, DPO ou auditoria interna requisite as informações e como comprovar que os dados estão controlados por perfis de acesso?
Concluindo
As permissões de acesso terão que ser revisadas e novas funcionalidades (cadastros, parâmetros de sistemas, regras, etc) referentes a controle dos dados, principalmente os sensíveis (origem racial ou étnica, opinião política, sindicato, religião, vida sexual, dados biométricos, etc), terão que receber características específicas de tratamento.
Vários departamentos dentro da empresa serão amplamente afetados com esta necessidade de gestão dentre as quais: TI, auditoria, compliance e governança corporativa.
Processos precisarão ser revisados e procedimentos operacionais terão que ser muito bem elaborados e controlados afim de fornecer as respostas que cada envolvido necessitar. Não basta atender a LGPD, tem que comprovar como está atendendo.
Acessos físicos e lógicos deverão passar por revisão e ser documentados quanto a quem pode acessar e o que poderá fazer com este acesso.
O prazo para adequação sem aplicação de multas está muito próximo e o tempo para que as empresas estejam compliance está no limite.
Norberto Tordin (norberto.tordin@nai-it.com)
CEO – NAI-IT
A NAI-IT é empresa especializada em Gestão de Identidades e Gestão de Acessos.