Em agosto de 2024, a Lei Geral de Proteção de Dados – 13.709/2018, LGPD – completou seis anos de sua promulgação e quatro em vigor
Por Marcelo Leite
Em agosto de 2024, a Lei Geral de Proteção de Dados – 13.709/2018, LGPD – completou seis anos de sua promulgação e quatro em vigor. Modelada em grande parte à raiz europeia, GDPR, não apenas federalizou a disciplina da Privacidade – inserindo o país no arcabouço regulatório mundial – como levou à inserção dela no artigo quinto da Constituição Federal: “LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.”
Que isso signifique um direito constitucional à segurança de dados como discriminado no Capítulo VII da LGPD é um novelo e tanto a desfiar, mas estando esta coluna ainda no começo de uma caminhada e buscando ater-me à proposta de falar um pouco mais da IAM/Gestão de Identidades, que tal abordar a coisa mais do começo?
Em seu artigo sexto, a 13.709/2018 pauta-se em 11 princípios – a boa-fé e dez incisos que seguem: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não-discriminação e responsabilização.
A Gestão de Identidades e Acesso traz noções muitas vezes similares a estas da disciplina da Privacidade e, claro, não por mera coincidência.
E se o legislador não é fruto do meio da Tecnologia da Informação e por muitas vezes ignora o universo do Compliance técnico de ISOs e ABNTs, ainda assim pede à letra de lei que organizações busquem regras de boas práticas e de governança.
Menor privilégio
A proposta de que usuários recebam o menor volume de acesso e privilégios possível, cumprindo tão somente com o necessário à sua função de trabalho comunica-se diretamente com o que à LGPD apresenta-se por necessidade.
Assim como a análise de tarefas e responsabilidades diminui a exposição do colaborador a informações sensíveis da organização e protege a mesma de vazamentos e exposição, a minimização do tratamento de dados pessoais, restrito à finalidade de uso, diminui o risco ao Titular de Dados, pelos mesmos motivos e meios.
Controle de acesso baseado em funções
A gestão de recursos baseada nos cargos e tarefas individuais de usuários dentro da organização comunica-se diretamente com o princípio da adequação, na Lei Geral, que exige a compatibilidade do tratamento realizado com a finalidade informada.
A implementação de controle acesso por cargos que possibilita otimizar a governança de identidades tem seu espelho no mapeamento de dados pessoais, importante ferramenta no caminho para um Sistema de Gestão de Privacidade da Informação.
Zero confiança
Já na semana passada toquei muito brevemente nesse tópico, que consiste na noção de que acesso algum, venha de dentro ou fora da organização, deve ser ‘de confiança’ por padrão. Todo pedido e solicitação deve ser autenticado, confirmado e registrado. Significa verificar continuamente cada usuário e dispositivo, mesmo aqueles já dentro do perímetro da rede.
Trata-se de garantir que cada solicitação de acesso seja legítima e que cada usuário seja quem diz ser. A confiança precisa ser reconfirmada e gerar novo registro a cada nova solicitação de acesso.
A disciplina da privacidade prevê à responsabilização a obrigação de que todo tratamento que envolve dados pessoais seja registrado e rastreável nos casos em que a segurança – outro princípio – venha a falhar.
Login único (Single Sign-On)
Alguns podem torcer o nariz para o conceito de um acesso único facilitado, um sistema de gestão de identidade que dá entrada para múltiplos serviços sem a necessidade de repetidas solicitações. Mas o uso correto de SSO não existe apenas para conveniência do usuário como diminui o risco de violações relacionadas a senhas.
Quando menciona o livre acesso, a LGPD especifica uma “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”, exigindo, portanto, um meio ao mesmo conveniente e seguro de acesso aos dados em poder de entes que fazem uso comercial de suas informações.
Políticas de acesso e senhas
Muitas vezes o que mais se associa à IAM quando começamos a conversar a respeito é a Política de Senhas: “Ah, eu já sei, doze caracteres, uma letra maiúscula, números, símbolos…”
Todo profissional de segurança da informação pode lhe explicar que de 2013 para 2022 as boas práticas e normas internacionais mudaram, saindo de um volume muito maior de soluções técnicas para o foco na gestão de colaboradores, fornecedores e pessoal.
Segurança passa a ser mais sobre medir, avaliar e mitigar os riscos da operação do que a ideia de que seja possível alcançar soluções impugnáveis.
A Proteção de Dados traz então o princípio da transparência voltada para o titular. Políticas claras e voltadas para pessoas, nessa compreensão – que também tem a IAM – de que o usuário demanda uma atenção constante e demonstração do seu papel na segurança.
Políticas sem treinamentos, apenas por reforço normativo e nada mais, são pouco transparentes e menos eficazes por isso.
É proposto já há algum tempo que a obrigatoriedade periódica de mudança de senhas piora a saúde das mesmas, causando fenômenos como tão somente usuários acrescendo numerais “+1” a cada 3 meses em todos os seus acessos, por exemplo.
Novas soluções ‘sem senha’
A necessidade de evolução das ferramentas de acesso e segurança, por métodos como Senhas de Uso Único, autenticação biométrica ou chaveiros eletrônicos muitas vezes vêm acompanhadas do discurso “Autenticar quem você é, algo que você tem ou preferencialmente ambos”, que dispara implicações no mínimo interessantes vindas do lado da Privacidade.
Em junho de 2023, a União Europeia baniu o uso de reconhecimento facial em público e colocou em estudo a regulação de ferramentas do tipo para fins exclusivos de identificação.
No Brasil em 2020 o STF considerou tratamento excessivo de dados pessoais a coleta pelo IBGE de dados de usuários de telecomunicações para produção de estatística oficial da pandemia do coronavírus.
Nos dois exemplos, finalidades amplas demais impediram a minimização do tratamento, impossibilitando demonstrar sua devida adequação.
Assim, da congruência entre as disciplinas de Governança de Identidades e da Proteção de Dados podemos tirar lições importantes para aplicar ao ambiente organizacional e às práticas de cibersegurança.
Soluções de IAM possíveis com a tecnologia atual atendem a uma necessidade importante de entregar maior segurança tanto às organizações quanto aos titulares de dados, mas cada vez mais estas ferramentas terão de demonstrar observância a este arcabouço legal e seus princípios basilares.
Mesmo porque um dos incisos do artigo sexto da LGPD ainda não mencionado, a prevenção, perpassa todo esse texto não como ferramenta, mas como motivo.
Marcelo Leite é consultor e oficial de segurança e proteção de dados, fundador da LGPD Sua. Gestor de Privacidade Internacional e DPO/BR pela iapp – Associação Internacional de Profissionais de Privacidade. Profissional de cibersegurança pela UCD Dublin, profissional de nuvem Amazon AWS, Auditor Líder de Segurança da Informação e Privacidade – ISOs 27.001 e 27.701, Gestor de Riscos Corporativos – ISO 31.000, e de Continuidade de Negócios – ISO 22.301. Consultor nomeado para a Comissão de Advocacia Jurídica 5.0 da OAB/RJ em outubro de 2024.
Leia outros artigos de Marcelo Leite aqui!
O papel da IAM na Advocacia 5.0
Como garantir uma gestão jurídica inteligente utilizando Legal Operations?
Conflito de Interesses na função de DPO segundo a Resolução nº 18 da ANPD
Fenalaw 2024: ZapSign Destaca a Importância da Assinatura Eletrônica para Advogados
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação, também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!