A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada por Michel Temer em agosto de 2018 e entrará em vigor em agosto de 2020. Seu objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas. Ao longo deste ano de 2019, muito conteúdo foi gerado para discutir a lei, papéis, práticas e penalidades. Na esfera da discussão, advogados e profissionais de tecnologia passaram a conversar mais e buscar entendimento comum sobre os impactos que a Lei trará tanto para empresas quanto para pessoas físicas.
Ainda no ano de 2019, em um dos últimos movimentos importantes relacionas a adoção da Lei, foi criada a Autoridade Nacional de Proteção de Dados, que conduzirá a aplicação da lei. Ainda permanece dúvida sobre quais serão, na prática, as atividades que o órgão irá executar. Porém o recado que o governo passa é mais amplo e diz respeito ao seu comprometimento em manter a LGPD em vigor. Não é objetivo deste post explicar ou mesmo discutir os detalhes da LGPD. Vamos deixar aos profissionais da lei esta tarefa. Particularmente percebemos com bons olhos a união dos esforços conjuntos entre profissionais da área de tecnologia e jurídica, procurando alcançar uma sociedade mais transparente e respeitosa quantos aos dados pessoais dos seus indivíduos.
Pelo que já percebemos até aqui sobre a LGPD, haverá uma transformação radical na forma que indivíduos e empresas se relacionam ou seja, como solicitam, armazenam, processam, transmitem e realizam outras operações com informações pessoais. Os indivíduos em questão – clientes, funcionários, contratados, fornecedores – passam a possuir um controle maior sobre como seus dados pessoais são obtidos, processados, armazenados e compartilhados com terceiros. Este novo cenário vai demandar que as empresas desenvolvam e implementem mecanismos de controle e segurança de acesso para os seus clientes, empregados, parceiros e fornecedores.
Neste sentido, a LGPD demanda iniciativas para controlar como os diferentes atores acessam dados sensíveis e pessoais. Todo tipo de acesso requer um cuidado especial na forma como é gerenciado. Apesar da LGPD não mencionar especificamente a tecnologias e disciplinas de segurança da informação, torna-se extremamente relevante considerar um aspecto: Privacy by Design, ou em português claro e direto, a análise e implementação da Privacidade como parte do Design de um produto ou serviço. Seguindo este preceito, a privacidade está presente na própria arquitetura, permitindo inclusive que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.
Para obter este resultado, é necessária uma estratégia de IAM - Identity and Access Management ou Gestão de Identidade e Acesso - que contemple uma plataforma para fornecer acesso controlado a dados sensíveis e informações pessoais. O processo se inicia no momento em que um usuário é criado e faz seu primeiro acesso, passando por alterações de cargo e funções até o momento em que ele não precisará mais de acesso aos dados, seja por desligamento ou alteração do seu papel na empresa.
A plataforma de Gestão de Identidade deve ser aderente a diretrizes corporativas que se relacionam com a gestão de risco, como por exemplo, a existência de uma Matriz de Segregação de Riscos (SoD ou Segregation of Duties). A matriz SoD é um controle que impede que uma pessoa tenha acessos conflitantes, com base em regras de negócio da empresa ou órgão. Este controle se torna completo quando é composto ainda de relatórios que indiquem desvios na execução de acessos indevidos ou mesmo na atribuição de direitos para tais acessos.
Gestão de Identidade e Acesso e a Minimização dos Dados
Quando se fala de IAM - Identity and Access Management ou Gestão de Identidade e Acesso - o entendimento passa por gerenciar políticas e ferramentas corporativas para garantir que apenas o indivíduo necessário, acesse a informação necessária, apenas quando for necessário.
No âmbito da Lei Geral de Proteção de Dados Pessoais (LGPD) é observado que o tratamento de dados individuais deve estar orientado pelos seguintes princípios: finalidade, adequação, necessidade, livre acesso, transparência, segurança, responsabilidade e prestação de contas.
A combinação entre LGPD e Gestão de Identidade e Acesso nos permite visitar e discutir 3 destes princípios: Finalidade, Adequação e Necessidade de Acesso. Tais princípios compreendem o que é chamado conceitualmente como Minimização de Dados dentro da LGPD. O ponto central deste princípio é que as empresas (sejam elas operadores ou processadores, como são tratados dentro da Lei) são obrigadas a garantir que um indivíduo possui o mínimo suficiente de acesso a dados pessoais, para execução de suas atividades. Adequar o acesso, via concessão ou remoção de direitos, e controlar para que os acessos sejam mantidos e revisados periodicamente são objetivos atendidos pela Gestão de Identidade e Acesso.
Em breve, quando as empresas forem questionadas dentro do escopo da LGPD, será necessário comprovar que possuem apenas os dados pessoais realmente necessários para operarem e que também controlam o acesso a estes dados. Por sua vez, para que a Gestão de Identidade e Acesso seja efetiva é necessário que os controles sejam implementados por meio de um trabalho envolvendo setor de tecnologia da informação e áreas de negócio, com o objetivo de aplicar os controles no nível adequado.
Este não é um trabalho realizado uma única vez, afinal a empresa, mercado e regras de negócio estão em constante mudança. Uma estratégia de Gerenciamento de Identidade e Acesso com a ferramenta adequada deverá apoiar nesta jornada. Não é suficiente saber onde estão os dados sensíveis, quem tem acesso a estes dados e o nível de acesso operacional (leitura e/ou escrita por exemplo) aplicado.
Será necessário acompanhar e se ajustar às mudanças nos controles tão rápido quanto elas ocorram, para evitar situações de risco de acesso indevido à informação ao se gerir o ciclo de vida de uma identidade na corporação.
E sobre a Governança?
Governança da Identidade é a disciplina que foca em estabelecer a direção, controles, definição de papéis e responsabilidades para o gerenciamento efetivo da identidade do usuário e seus respectivos privilégios e acessos. Desta forma, a implementação da Gestão de Identidade e Acesso fornece os mecanismos para entender como usuários e clientes acessam informação e quando este acesso foi concedido ou revogado. Além de oferecer segurança por meio de controles, uma plataforma de IAM pode e deve ser capaz de entregar ferramentas e processos para que o próprio usuário gerencie as informações sobre a sua pessoa. Esta característica deve estar alinhada com as políticas aplicadas na organização para garantir rastreabilidade na gestão dos acessos e conformidade , alinhada inclusive com a própria LGPD.
A NetAdmin Software é uma empresa brasileira desenvolvedora de software voltados a Segurança da Informação e Governança de Dados.