O acesso a arquivos ou permissionamento para LGPD é uma das atividades/processos que poderá confirmar ou não que sua empresa está tratando adequadamente os dados pessoais, já que poderá demonstrar que o acesso aos dados pessoais possui segmentação e/ou hierarquia.
Arquivamento e a LGPD
Normalmente as empresas possuem um repositório único onde arquivos de textos, planilhas, imagens, projetos, etc., são disponibilizados. Esse repositório único é essencial também para otimizar as rotinas de backup. Exemplificando de maneira simples, vamos considerar que esse repositório possua as seguintes pastas:
– Administrativo, Comercial e Produção, e dentro de Administrativo possua as pastas: RH, Financeiro, Contabilidade e Compras. Se não houver algum tipo de segmentação de acesso não será possível demonstrar, em caso de necessidade, que sua empresa não foi negligente com os dados pessoais ali arquivados. Além disso, se todos os usuários possuírem acesso a todos os arquivos, eventuais utilizações indevidas ou até mesmo exclusões involuntários não poderão ser objetivamente identificadas, impossibilitando a correção dos processos e permissionamento.
Ainda considerando apenas a pasta Administrativo e subpasta RH, você poderá dar permissão a ela apenas ao pessoal do RH e em alguns casos segmentar a permissão: apenas leitura, inclusão, exclusão, etc., dando especial atenção as pastas que contenham dados pessoais. O Gerente administrativo poderá ter acesso a todas as pastas do seu setor, mas para a grande maioria, apenas acesso de leitura.
Já o Gestor da empresa poderá ter acesso a todas as pastas (Administrativo, Comercial e Produção), mas apenas para leitura e para uma subpasta específica, p.e., Administrativo – Gestores, acesso completo para inclusão e exclusões. Esse raciocínio também é válido para acesso a sistemas (ERP, Vendas, Cartão Ponto, etc.).
A não segmentação de acessos, demonstra que não houve uma análise crítica de sua empresa em relação aos dados pessoais arquivados/acessados. Uma outra sugestão é que os acessos sejam fornecidos por grupo e não individualmente.
Exemplo: Grupos RH Consulta, RH Completo e RH Inclusão e Alteração. A intenção é que os grupos sejam intuitivos, ou seja, que o nome já dê indicações necessárias de quais permissões são disponibilizadas.
Liberar somente o indispensável para realização das atividades
Em algumas empresas a regra era: libera todo acesso possível ao usuário. A partir de agora, uma das regras básicas da Segurança da Informação deve prevalecer: o acesso deve ser liberado apenas a quem precisa dele. As liberações devem ser feitas de maneira mais restritiva possível e os ajustes efetuados na medida da necessidade e isso vale tanto para os acessos digitais como o acesso aos dados pessoais em meio físico.
Caso sua empresa já possua esse tipo de segmentação de permissões é fundamental revisá-lo, seja no acesso a arquivos ou de sistemas. Isso por conta da regra acima, de maneira geral são dadas mais permissões do que realmente o usuário precisa para executar sua atividade, seja por comodidade ou desconhecimento de quem configura esses acessos, seja porque, na maioria dos casos, por motivos de férias, promoção ou realocação do usuário, ele mantém os acessos anteriores.
Férias ou ausências
Exemplo: João era auxiliar do RH e inicialmente tinha permissão apenas para acessar a pasta Administrativo, RH, Benefícios, para consulta, alteração e inclusão. Passados alguns meses ele foi promovido e passou a ter acesso total a essa pasta e as pastas Administrativo/RH/cadastros. Quando seu gerente saiu de férias ele passou a ter acesso total a pasta Administrativo/RH – de maneira geral, após o retorno do Gerente, os acessos do João não foram alterados. Então, João foi demitido e o novo funcionário – auxiliar de RH, passou a ter os mesmos acessos que o João, já que é muito mais simples copiar as permissões do que efetuar uma análise crítica em relação aos acessos.
Para os sistemas vale o mesmo exemplo, nas férias João passou a ter acesso a todas as requisições de compras para poder efetuar a aprovação em um primeiro nível, ou talvez até aprovação plena de compras, ao final do período de férias as permissões adicionais não são retiradas. Só um lembrete importante, nada de compartilhar usuário e senha para resolver essa questão.
Em resumo, caso sua empresa não possua nenhum tipo de segmentação de acesso, crie. Se já tiver, reveja o acesso a arquivos ou permissionamento. Por último, mas não menos importante, documente o processo e procedimentos. Assim, em caso de alguma solicitação e/ou notificação, sua empresa poderá demonstrar que não foi negligente com o tratamento de dados.
A Zemus oferece aos seus clientes, independente do porte e segmento, Diagnóstico de Segurança da Informação, que permite a correta identificação desses pontos e o estabelecimento de um planejamento adequado de melhorias. Entre em contato conosco.
:: Veja também:
– Visão crítica para LGPD
– Consentimento para LGPD
– Empresas não estão preparadas para LGPD