As adaptações que estão ocorrendo na área de TI das empresas em função da LGPD (prestes a entrar em vigor em 2020) ainda são tratadas quase exclusivamente como questão de segurança e proteção de dados.
Com uma experiência de 15 anos em identidade e acesso, opino que esta abordagem não está exatamente errada, mas o fato é que ela não estanca a sangria nos termos da Lei de Proteção.
Tenhamos em mente que os negócios mais afetados pela LGPD são as operações de B2C, envolvendo transações em grande escala com indivíduos. Assim, em última instância, o que está em jogo aqui são questões diretamente ligadas ao trato com dados de clientes. E aí entram certos tópicos como as exigências de gestão de consentimento, direitos de eliminação de registros pelo cliente, acesso garantido ao titular para seus dados armazenados, segurança em todo o ciclo de dados, portabilidade e proteção baseada em design de dados.
Isto faz deslocar a problemática da LGPD do terreno estrito da segurança para o da chamada jornada do consumidor.
Uma pesquisa feita pela UbiSecure junto a desenvolvedores, especialistas em identidade digital, arquitetos técnicos e pessoas de nível C de várias verticais, com diferentes tamanhos de mercado, aponta que para 50% dos entrevistados é impossível estar em conformidade com a GDPR (LGPD versão Europeia) sem uma solução centralizada de gerenciamento de identidade e acesso.
Entretanto, a maior parte dos investimentos feitos até agora nas empresas, em torno da LGPD, envolve soluções de descoberta, classificação e monitoração dos dados estruturados (banco de dados) ou não estruturados (dispersos no interior de arquivos). É bem verdade que a visibilidade se trata de um fator importante para a organização, especialmente no contexto da LGPD, mas qual seria o próximo passo?” Entre as respostas mais aventadas para tal questionamento, podemos listar a tokenização, a criptografia e o mascaramento de dados.
O problema envolvido nessa resposta, porém, é que as empresas não possuem um nível de maturidade compatível com a sua adoção, além do fato de que seria enorme o impacto de sua aplicação para o negócio.
Autenticação Obsoleta Agrava o Risco
Cabe lembrar que a maior parte dos vazamentos recentes de dados no Brasil, por exemplo, nas empresas de telecomunicações, não foi pela falta de visibilidade da informação, mas por arquiteturas obsoletas de autenticação, sessão e autorização, além de falhas de segurança de API.
E é exatamente este o núcleo do problema. Hoje criar modelos e estrutura de proteção de dentro pra fora é muito complexo, pois temos estruturas legadas que não permitem um controle efetivo de privilégios. Ou mesmo controles de autorização efetivos, seja no consumo de big datas ou de data lakes (que têm como princípio o uso compartilhado e corporativo).
As empresas precisam amadurecer para a descoberta de que a atuação mais efetiva rumo à eficiência e compliance com a nova Lei está no processo de fora pra dentro. Assim como a própria segurança mudou o foco, indo para os endpoints, a proteção do dado deve caminhar para a ponta do cliente.
Assim, o maior desafio imposto pela LGPD está na necessidade de se oferecer a melhor experiência do cliente e, ao mesmo tempo, garantir a estes indivíduos a titularidade (e acesso garantido) a seus dados. Além, é claro, da preservação comprovada dos direitos de privacidade que são tutelados rigorosamente pela Lei e envolvem alta complexidade no trato com o cliente.
Temos que Automatizar a Jornada
Nesse contexto é indispensável o emprego de uma arquitetura CIAM (Consumer Identity Access Management) que seja capaz de tornar imediata e transparente a autenticação forte de usuários e conceder permissões (autorizações) na passagem de uma camada à outra. Esta automação da jornada envolve dois elementos principais: o primeiro é a autenticação (ou “AuthN”, para usar o jargão técnico), com as funções de registro onboarding dos clientes, emprego de social login, múltiplos fatores de autenticação, aplicação dos conceitos de SignOn, federação e Autenticação Baseada em Risco (RBA).
E o segundo elemento é o da autorização (ou “AuthZ”), com funções de controle e permissão de acesso ou transação, gestão de APIs, gestão de perfis de usuários, privacidade e gestão de consentimentos, além da agregação, virtualização e sincronização de dados e atributos.
As identidades de clientes e suas permissões de uso de dados são complexas e, na maior parte das vezes, limitadas a uma certa transação (ou tipo de transação). É essencial, portanto, eliminar barreiras de registro durante a navegação. A adoção do logon único adaptativo é uma das providências que respondem a tal requisito.
Por isto, a modelagem de uma nova plataforma e arquitetura voltada ao consumer (CIAM), além de permitir uma resposta rápida à LGPD, traz um ganho intrínseco ao próprio negócio, pois permite, através de controles de informações pessoais, uma nova modelagem de unificação de produtos com base em integrações seguras e modernas.
Este é o caso do emprego de padrões de mercado como “OAuth”, “OpenID” e “SAML”, que alavancam o negócio e proporcionam um melhor modelo de interoperabilidade e segurança como “OpenBanking”.
Quando a LGPD Impulsiona a Transformação do Negócio
Um dos desafios emergentes é que novos regulamentos de privacidade, bem como a evolução das expectativas dos clientes, pressionam as organizações a reavaliarem seu direito ao uso de Informações de Identificação Pessoal (PII).
O gerenciamento e a aplicação de políticas consistentes com esses requisitos estão criando uma nova categoria chamada gerenciamento de consentimento, que é o componente chave das soluções de CIAM.
As soluções de gerenciamento nessa categoria fornecem recursos que ajudam a cumprir não apenas a LGPD, mas também transformar o modo como as empresas enxergam os clientes durante sua jornada de transformação digital.
A LGPD será um divisor de águas e pode ser o gatilho para uma transformação digital no consumo de dados. As empresas que lidam com o consumidor poderão alavancar a produtividade da abordagem com o consumidor, e de quebra, poderão se sentir mais seguras até mesmo para monetizar seus dados de cliente.