Segurança da informação e LGPD

A divisão de responsabilidades entre o gestor e a área de TI

Segurança da informação no contexto da LGPD tem duas dimensões que precisam de responsáveis distintos — e a confusão entre elas é o que gera lacunas de controle.

Medidas técnicas são implementadas em sistemas: criptografia de dados em repouso e em trânsito, controle de acesso por perfil no software, backup automatizado com teste de restauração, logs de acesso e atividade, e autenticação segura (autenticação em dois fatores, senhas fortes). Essas medidas são configuradas e mantidas por TI — o gestor não precisa saber como configurar, mas precisa saber o que perguntar e verificar.

Medidas administrativas são definidas e operadas pelo gestor: quem pode acessar quais dados, como novos funcionários recebem e perdem acesso ao se desligar, qual é o protocolo de descarte de documentos físicos e digitais, como a equipe é orientada sobre cuidados com dados. Essas medidas são de responsabilidade do gestor mesmo quando não há equipe de TI.

A separação importa porque é possível ter sistemas tecnicamente seguros e processos organizacionais falhos — um ex-funcionário com acesso ativo, uma planilha de clientes em pasta pública, documentos físicos descartados no lixo comum. Essas lacunas não são problema de TI; são problema do gestor.

Controles administrativos que o gestor implementa diretamente

Os controles a seguir estão na esfera de responsabilidade direta do gestor administrativo — independentemente do porte da empresa ou da existência de equipe de TI.

1. Controle de acesso por função (princípio do menor privilégio): cada pessoa acessa apenas os dados e sistemas necessários para fazer seu trabalho. Quem faz faturamento acessa o módulo fiscal; quem faz RH acessa os dados de funcionários. Ninguém tem acesso irrestrito sem necessidade comprovada.
2. Processo de onboarding de acesso: ao admitir um funcionário, definir quais sistemas ele precisa acessar e solicitar a criação das credenciais com os perfis corretos. Documentar o acesso concedido.
3. Processo de offboarding de acesso: ao desligar um funcionário, revogar todos os acessos no mesmo dia — e-mail corporativo, sistemas de gestão, planilhas compartilhadas, contas de fornecedores. Atraso no offboarding é uma das causas mais comuns de acesso indevido.
4. Revisão periódica de acessos: como orientação prática de mercado, revisar a cada 6 a 12 meses quem tem acesso a quais sistemas e dados, para identificar usuários inativos, mudanças de função ou acessos que não fazem mais sentido.
5. Descarte seguro de documentos físicos: documentos com dados pessoais — fichas de funcionários, extratos, contratos, cadastros — não devem ser descartados no lixo comum. A fragmentação em fragmentadora de papel ou o uso de empresa especializada em descarte seguro é o padrão correto.
6. Descarte seguro de arquivos digitais: excluir arquivos da pasta do sistema e esvaziar a lixeira não é descarte seguro para dados sensíveis — o arquivo permanece recuperável. Para dados sensíveis, usar ferramentas de exclusão definitiva ou formatar completamente os dispositivos antes de descarte.
7. Política de uso de e-mail e dispositivos: orientar a equipe sobre o que não deve ser compartilhado por e-mail ou aplicativos de mensagem, quais dados podem ficar em dispositivos pessoais e o que fazer ao suspeitar de um incidente.

O que cobrar de TI em relação à segurança dos dados

O gestor administrativo não precisa configurar sistemas de segurança, mas precisa saber o que perguntar para garantir que TI está cumprindo seu papel na proteção dos dados pessoais.

• Autenticação segura nos sistemas: os sistemas com dados pessoais usam autenticação em dois fatores? As senhas têm requisito de complexidade e prazo de validade? Credenciais compartilhadas entre múltiplos usuários são eliminadas?
• Backup regular com teste de restauração: backups são feitos com qual frequência? Quando foi a última vez que a restauração foi testada? Um backup não testado pode não funcionar quando for necessário.
• Criptografia em arquivos com dados sensíveis: dados de saúde de funcionários, dados bancários de fornecedores e outras informações sensíveis estão protegidos por criptografia no armazenamento?
• Registro de acessos (logs): os sistemas registram quem acessou quais dados, quando e de onde? Em caso de incidente, o log é o que permite identificar o que foi afetado e quem estava envolvido.
• Avaliação de segurança de fornecedores de software: antes de contratar uma plataforma que vai processar dados pessoais, TI deve verificar se o fornecedor tem certificações de segurança, política de privacidade adequada e contrato com cláusulas de proteção de dados.

Avaliando a segurança dos fornecedores de software

Qualquer plataforma que processa dados pessoais da empresa — sistema de gestão, ferramenta de folha de pagamento, CRM, plataforma de e-mail marketing, sistema de emissão de nota fiscal — é um operador de dados e precisa oferecer garantias mínimas de segurança.

O gestor deve verificar, antes de contratar e periodicamente durante a vigência do contrato:

• O sistema usa conexão HTTPS para transmissão de dados?
• O fornecedor tem política de privacidade própria publicada e atualizada?
• O contrato tem cláusula de operador de dados — onde o fornecedor assume responsabilidades sobre os dados que processa?
• Onde os servidores estão localizados? Dados armazenados em servidores fora do Brasil podem envolver transferência internacional — ponto relevante para a LGPD.
• O fornecedor tem processo de notificação de incidentes? Em quanto tempo comunica o contratante em caso de vazamento?

Contratar uma plataforma sem verificar esses pontos é transferir um risco para a empresa sem avaliar se o prestador tem as condições mínimas de segurança para o dado confiado a ele.

Treinamento básico da equipe: o que o gestor deve garantir

A maioria dos incidentes de dados não começa em falhas técnicas — começa em comportamentos humanos: um e-mail enviado para o destinatário errado, uma planilha compartilhada por engano, um link de phishing clicado por descuido. O gestor não precisa oferecer treinamento técnico avançado — precisa garantir que a equipe conheça o básico que previne os erros mais comuns.

Os pontos que todo funcionário que lida com dados pessoais deve conhecer:

• O que não compartilhar por e-mail ou WhatsApp: planilhas com dados de clientes ou funcionários, dados bancários, atestados médicos, contratos com informações confidenciais.
• Como verificar o destinatário antes de enviar dados sensíveis — especialmente em e-mails com muitos destinatários ou ao encaminhar mensagens.
• Como identificar tentativas de phishing: e-mails solicitando senha, links suspeitos, solicitações urgentes de dados ou transferências.
• O que fazer ao suspeitar de um incidente: comunicar imediatamente ao gestor ou ao responsável por privacidade — não tentar resolver sozinho, não esperar para ver se "foi coisa à toa".
• Onde podem e onde não podem salvar arquivos com dados pessoais: pasta corporativa controlada, não desktop pessoal, não e-mail pessoal, não pendrive sem criptografia.