fbpx
(11) 5521-2021 [email protected]

Este artigo da série Como fazer proteção de Dados para a LGPD enfoca um dos aspectos mais críticos para estar adequado à LGPD: como fazer o controle de acesso aos dados.

Lendo este artigo, você vai entender porque é importante fazer o controle de acesso aos dados pessoais e porque é necessário ter ainda mais cuidados nos acesso aos dados pessoais sensíveis.

Para situar o desafio que todas as empresas têm com a entrada em vigor da LGPD, começo com uma pergunta: você consegue agora gerar um relatório com todas as pessoas que têm acesso aos dados pessoais armazenados na sua empresa?

Você e sua empresa podem não ter feito nada de errado, mas alguém pode acusar sua empresa de vazamento de dados. Os dados podem ter vazado sem nenhuma relação com a sua empresa, mas a sua empresa pode ser suspeita  porque processa aqueles dados.

A Autoridade Nacional de Proteção de Dados (ANPD) ou o Ministério Público (MP) vão querer saber quem são as pessoas que têm acesso aos dados pessoais na sua empresa. E você pode responder de várias formas:

  • Dados Pessoais? Como assim!?
  • Aqui é o João que cuida dos sistemas, tem que falar com ele.
  • É, veja bem…, a nossa equipe de TI é que cuida disso.

Ou você pode responder

  • Sem problemas, aqui está a lista de todas as pessoas que têm acesso aos dados pessoais processados na nossa empresa. E esta outra lista tem todas as pessoas que têm acesso a dados pessoais sensíveis.

Como é possível ter uma lista como essa pronta?

Tudo começa com a implantação de um sistema de gestão de identidades e acessos (GIA). Um sistema de GIA automatiza, controla e registra todos os direitos de acesso das pessoas aos dados pessoais.

A automação permite que uma nova colaboradora chegue ao seu posto de trabalho já com todas as contas criadas nos sistemas que ela vai usar no dia-a-dia, sem necessidade de intervenção manual de TI. Da mesma forma, quando encerra o contrato de trabalho de um colaborador, todos os acessos são revogados automaticamente, seja via conexão com a folha de pagamento seja via clique na tela pelo gestor ou RH.

O controle ocorre por meio dos fluxos necessários para aprovar acessos eventuais. Por exemplo, um colaborador substituindo outro nas férias ou uma participação em um novo projeto. Essas mudanças funcionais são aprovadas por fluxos de trabalho (workflows) e os acessos são automaticamente provisionados. Além disso, é possível garantir que colaboradores afastados do trabalho por licenças médicas férias e outros eventos similares têm os seus acessos bloqueados automaticamente pelo período de afastamento. Tudo para evitar uso indevido dos dados pessoais e, até mesmo, reduzindo riscos trabalhistas.

E os registros ocorrem quando ações são executadas como, por exemplo, as aprovações mencionadas acima. Os registros é que permitem comprovar, em qualquer circunstância, que a empresa possui processos e controles adequados para proteger os dados pessoais conforme mandado pela LGPD.

Objetivamente, um vazamento de dados pode ocorrer por diversos motivos: falha de sistema, falha humana ou, até mesmo, intencionalmente. O que vai diferenciar as empresas que serão multadas das que terão sanções mais leves vai ser o nível de proteção de dados que as empresas provarem que têm.

O caso do Hospital de Barreiro (link para https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479) em Portugal exemplifica muito bem o que falamos aqui. O hospital teve a multa agravada pela ausência de controles de acesso aos dados pessoais sensíveis porque pessoas com cargos que não precisavam ter acesso aos dados, tinham esses acessos concedidos nos sistemas.

Com um sistema de GIA, como o HORACIUS da e-trust, é possível registrar quais os tipos de acesso (perfis de acesso) dão direito a ver dados pessoais e dados pessoais sensíveis. Para isso basta definir um atributo em cada perfil de acesso que indique:

  • Se o perfil dá acesso a dados pessoais;
  • Se o perfil dá acesso a dados pessoais sensíveis.

Dessa forma, sua empresa sempre terá visão centralizada sobre todas as pessoas que acessam dados pessoais na empresa, não precisando ir perguntar para o pessoal de TI ou pedir para alguém listar os usuários do ERP, do CRM, das pastas de rede etc para ter essa informação, que será um grande atenuante caso sua empresa seja alvo de uma investigação por vazamento de dados.

E para finalizar, é importante lembrar que um sistema de GIA reduz falhas operacionais, diminui riscos de fraude, automatiza processos e aumenta o nível de satisfação dos usuários.

Espero que este artigo sobre protecão de dados para LGPD tenha sido útil. Nosso blog contém dezenas de outros artigos sobre o tema que podem auxiliar na adequação à lei.

A E-TRUST é líder em Gestão de Identidades e Acessos e seu sistema HORACIUS atende todos os requisitos de controle de acesso aos dados pessoais mandados pela LGPD e comentados aqui.

Quer receber conteúdos em primeira mão, além de convite para webinars e eventos? Então se inscreva na nossa newsletter: