#bomdialgpd

Muitas organizações optam por autorizar os usuários a utilizar seus próprios dispositivos para acessar os dados de trabalho e, quando estes equipamentos tratam dados pessoais, eles precisam estar no escopo da LGPD. Isso é chamado de Shadow IT (TI sombra).

Existem ferramentas que permitem criar 'containers' para apps e dados que ficam isolados dos outros dados e apps, por exemplo, no meu smartphone eu posso utilizar o Teams e minha filha usar a app da Moranguinho com segurança. No Microsoft 365 por exemplo é possível isolar o Outlook, o Teams e o Edge, no meu smartphone é assim, por exemplo, ele está configurado com autenticação forte e não permitir, por exemplo, copiar um texto do Teams para nenhum outro aplicativo. Este tipo de medida serve tanto para proteger dados pessoais quanto para aumentar a segurança cibernética. O mesmo pode acontecer com os computadores (notebooks e desktops).

Os equipamentos de propriedades dos usuários também são importantes no controle de acesso, por exemplo no caso de dois fatores de autenticação ao receber por exemplo contra-senha por SMS, ou na adoção de um cofre de senhas ou de um autenticador.

O conceito de Shadow IT não se limita a equipamentos, ele também deve considerar as aplicações, neste caso é necessário inventariar os sistemas que não estão sob controle da TI e ao mesmo tempo os usuários tratam dados pessoais, na maior parte dos casos é uma ação legítima, somente não está inventariada, por exemplo, é comum a área jurídica utilizar o sistema PJE disponibilizado pelo Conselho Nacional de Justiça e com ele realizar o tratamento de dados pessoais sob responsabilidade da organização. O PJE precisa estar no escopo da LGPD.

Além de implementar recursos técnicos, a organização deve incluir o assunto ShadowIT em suas políticas.