Importância do controle de acesso a dados pessoais

Maria Gabriela de Assis Souza*

1 – INTRODUÇÃO

O artigo 46 da LGPD (Lei Geral de Proteção de Dados Pessoais) estabelece que os agentes de tratamento possuem a obrigação de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados, dentre outras situações.

Todos os agentes de tratamento, independente do porte e da forma de tratar dados, estão sujeitos a incidentes de segurança envolvendo essas informações. Por isso, precisam implementar as medidas necessárias e que estejam ao seu alcance para mantê-los seguros, sendo esta uma obrigação legal.

O controle de acesso é uma das medidas de segurança que deve ser adotada pelos agentes de tratamento para minimizar o risco de violação de dados.

2 – O ACESSO NÃO AUTORIZADO

O acesso não autorizado deve ser compreendido como o acesso realizado por quem não tem permissão do agente de tratamento para conhecer os dados. Ou seja, se não existe uma justificativa para que determinada pessoa saiba daquelas informações não lhe deve ser concedido o acesso, resguardando a confidencialidade dos dados.

Ao atribuir ao agente de tratamento a responsabilidade pela segurança de dados contra acessos não autorizados, o legislador pretendeu impedir que quem não tem legitimidade e nem necessidade de saber das informações, as acessem.

Portanto, o acesso a dados somente deve ser concedido a quem precisa conhecê-los, para uma finalidade necessária e específica.

A limitação deve ocorrer mediante regras internas e externas de acesso, ou seja, mesmo quem faz parte da organização precisa ter justificativa para conhecer os dados. Se não tem, eventual acesso é indevido, mesmo que a pessoa faça parte do pessoal diretamente ligado ao agente de tratamento.

O que vai definir a permissão para acesso é a necessidade dele e não o vínculo que a pessoa tem com a organização.

Pode ser que um determinado empregado não tenha necessidade de acessar o banco de dados do empregador para realizar as suas atribuições. Logo, o seu acesso não poderá ser permitido, sob pena de infração à LGPD. Se ainda assim ele tem acesso, seja por ausência de limitação do empregador ou por acesso indevidamente disponibilizado por colega, estamos diante de um acesso não autorizado que viola a LGPD.

3 – O CONTROLE DE ACESSO E SUA IMPORTÂNCIA

A organização eleva os riscos de incidentes quando não adota o controle adequado de acesso aos dados, conferindo a todos os colaboradores ou a terceiros, acesso ilimitado ao seu banco de dados.

A implementação de medidas de controle de acessos, tanto para arquivos físicos quanto eletrônicos, é importante para definir quem são os responsáveis pelo tratamento, quais são suas atribuições, o que podem fazer com os dados que possuem ao seu alcance.

Limitar o acesso significa implementar normas corporativas e/ou sistemas informatizados, com níveis de permissão adequados e de acordo com a necessidade que a pessoa possui em trabalhar com aquelas informações. Assim, o risco de consequências prejudiciais decorrentes de acessos indevidos é reduzido.

Ainda que ocorram incidentes, a existência de limitação de acessos e meios de identificá-los facilitará a investigação dos fatos, possibilitando maior chances de rastrear a falha, conhecer suas causas e, até mesmo, responsabilizar quem agiu com dolo ou culpa naquele evento, se for o caso.

4 – CONCLUSÃO

O acesso a dados é uma forma de tratamento, portanto, precisa ser realizado de acordo com os princípios e diretrizes estabelecidas pela LGPD, especialmente os princípios da necessidade e segurança.

Desta forma, se for disponibilizado o acesso de forma ilimitada e sem qualquer critério, estamos diante de um risco elevado de violação de dados, mediante ocorrência de situações acidentais ou mesmo intencionais.

Trata-se de uma medida de segurança imprescindível para atender à exigência contida no artigo 46 da LGPD.