Imagine que um ex-colaborador desligado há 45 dias ainda consegue acessar o sistema de CRM da sua empresa, com login e senha válidos, sem qualquer alerta. Ou que um bot de automação criado para um projeto interno acumula, silenciosamente, permissões de leitura sobre bases de dados que contêm informações pessoais de clientes. Estes podem não ser apenas cenários hipotéticos, mas falhas estruturais que evidenciam falhas críticas em processos de Identity and Access Management (IAM), especialmente na ausência de controles formais de provisionamento, revisão periódica e desprovisionamento automático (deprovisioning) de acessos, falhas estruturais de governança de identidade que se tornaram rotina nas organizações que migraram para a nuvem sem revisar como controlam quem acessa o quê.
Do ponto de vista técnico, o problema é grave. Do ponto de vista regulatório, ele é ainda mais urgente: a Lei Geral de Proteção de Dados (LGPD) exige que as empresas demonstrem, a qualquer momento, que apenas pessoas autorizadas têm acesso a dados pessoais, e que esse controle é contínuo, documentado e auditável. Em 2026, com a ANPD em postura ativa de fiscalização, a ausência dessas evidências deixou de ser uma lacuna técnica para se tornar uma exposição jurídica concreta.
Quando os dados se movem, a governança precisa acompanhar
A migração para ambientes cloud já é uma realidade consolidada. Plataformas SaaS, infraestruturas multicloud, integrações via API e modelos de trabalho distribuído transformaram a forma como dados corporativos circulam. O que antes estava centralizado em um datacenter próprio agora se distribui entre dezenas de ambientes simultâneos. Muitos deles fora do controle direto da equipe de segurança, caracterizando cenários de Shadow IT e uso de integrações baseadas em APIs, tokens e credenciais persistentes, sem governança centralizada.
Esse movimento cria um problema específico para a conformidade com a LGPD: dados pessoais não ficam mais parados. Eles transitam entre sistemas, são acessados por identidades humanas e não humanas, replicados em ambientes de desenvolvimento e consumidos por integrações automatizadas. Em cada um desses pontos, a pergunta que a lei impõe é a mesma: quem está acessando, com qual base legal, e há controle e registro disso?
Segundo análise publicada pelo portal Data Guide em janeiro de 2026, a maior dificuldade das organizações em relação à LGPD em 2026 não é mais a elaboração de políticas, mas a governança: a capacidade de manter evidências consistentes e processos auditáveis de controle de acesso. Não basta ter uma política documentada, é preciso provar, na prática, que ela funciona.
O que a LGPD efetivamente exige de quem opera na nuvem
A LGPD não é uma lei de tecnologia, mas suas exigências têm consequências técnicas diretas. O artigo 6º estabelece, entre os princípios do tratamento de dados, a segurança (inciso VII) que obriga o controlador a adotar medidas técnicas e administrativas capazes de proteger dados pessoais de acessos não autorizados, e a responsabilização e prestação de contas (inciso X), que vai além: exige que a organização demonstre ativamente que os controles existem e funcionam.
Traduzindo para o contexto de identidade e acesso em ambientes cloud, isso significa que a empresa precisa ser capaz de responder, com evidências técnicas suportadas por controles como:
- Autenticação multifator (MFA)
- Princípio do menor privilégio (Least Privilege)
- Controle baseado em papéis (RBAC) ou atributos (ABAC)
- Trilhas de auditoria imutáveis (audit logs)
- Processos de recertificação periódica de acessos
A ANPD, segundo análise publicada pelo portal LGPD2U em dezembro de 2025 sobre os cinco anos da Autoridade, encerrou sua fase predominantemente educativa. A postura atual é de fiscalização estruturada, com capacidade para instaurar processos administrativos e aplicar sanções. O recado para 2026 é direto: não basta ter documentos. É preciso demonstrar que o programa de governança funciona no dia a dia.
Nesse cenário, a trilha de auditoria de acessos deixou de ser um log técnico e passou a ser um ativo de conformidade jurídica. E é exatamente aqui que a maioria das empresas que migraram para a nuvem sem revisar sua arquitetura de identidade opera com uma lacuna crítica.
Três falhas de governança que transformam acesso em passivo regulatório
1- Identidades que ninguém revisou
Em ambientes cloud, recursos são provisionados com agilidade e permissões são concedidas na mesma velocidade. O problema é que elas raramente são revisadas com a mesma frequência. Um colaborador que muda de função acumula os acessos do cargo anterior. Um projeto encerrado deixa credenciais ativas em sistemas que continuam processando dados pessoais. Uma integração entre plataformas, criada provisoriamente, permanece ativa por meses.
Esse acúmulo de permissões excessivas (permission creep) amplia a superfície de ataque e facilita cenários de lateral movement em caso de comprometimento de credenciais, chamado de permission creep, não gera alertas imediatos. Ele se instala gradualmente e cria uma superfície de exposição que só se torna visível quando algo dá errado. Sob a LGPD, cada uma dessas identidades com acesso desnecessário a dados pessoais representa uma potencial violação do princípio da necessidade (Art. 6º, III): tratar apenas o mínimo necessário para a finalidade declarada.
2- O intervalo entre o desligamento e a revogação
O processo de offboarding é um dos pontos de maior risco regulatório em organizações com ambientes distribuídos. Quando um colaborador é desligado, os sistemas de RH são atualizados, mas os acessos em plataformas SaaS, repositórios de código, ferramentas de comunicação e painéis de dados raramente são revogados de forma centralizada e imediata.
A ausência de integração entre sistemas de RH e IAM compromete o modelo Joiner-Mover-Leaver (JML), criando janelas de exposição exploráveis em cenários de insider threat ou uso indevido de credenciais válidas.
Dados da SailPoint indicam que, em processos manuais de revogação, esse intervalo pode superar 30 dias. Durante esse período, credenciais de ex-colaboradores permanecem válidas em sistemas que contêm dados pessoais de clientes, funcionários ou parceiros. Sob a LGPD, isso configura acesso não autorizado, com obrigação de notificação à ANPD quando o incidente resultar em risco ou dano relevante aos titulares.
3- Identidades não humanas sem ciclo de vida definido
Scripts de automação, bots de integração, aplicações que consomem APIs, contêineres em ambientes de DevOps: todas essas entidades operam com credenciais próprias e, com frequência, com privilégios muito além do necessário para sua função. Diferentemente de usuários humanos, essas identidades raramente passam por revisões periódicas, e muitas permanecem ativas muito além do prazo de vida do projeto que as originou.
Em ambientes multicloud, esse problema se multiplica. Chaves de API, secrets de CI/CD e tokens de serviço, quando não gerenciados por soluções de Secrets Management (ex: Vault), permanecem estáticos e expostos, aumentando o risco de comprometimento via supply chain attacks em repositórios, variáveis de ambiente e configurações de infraestrutura sem inventário centralizado ou política de rotação definida. Do ponto de vista da LGPD, qualquer uma dessas credenciais que acesse sistemas com dados pessoais representa um ponto de exposição que precisa ser controlado, documentado e auditado.
Da exposição regulatória à conformidade operacional
Fechar essas lacunas não é um exercício de adequação pontual, mas a construção de uma arquitetura de governança de identidade que opere de forma contínua, automatizada e capaz de gerar as evidências que a LGPD e a ANPD exigem.
Automatizando o ciclo de vida das identidades
O modelo Joiner-Mover-Leaver traduz o requisito regulatório em processo operacional: cada identidade tem seu acesso provisionado automaticamente com base na função real do cargo, revisado de forma periódica conforme mudanças organizacionais e revogado imediatamente no momento do desligamento. Essa automação elimina o intervalo de exposição entre o desligamento e a revogação, substitui revisões manuais, que raramente acontecem com a frequência necessária, por certificações sistemáticas, e gera trilhas de auditoria que documentam cada decisão de acesso.
A Asper opera o SailPoint nesse contexto, entregando ao CISO e ao DPO a visibilidade que a LGPD exige: quem tem acesso a quais dados, desde quando, com qual justificativa e quando isso será revisado. Isso transforma a prestação de contas de uma obrigação abstrata em um relatório acessível a qualquer momento, inclusive em caso de fiscalização da ANPD. Os números ilustram o impacto prático dessa automação: processos que levavam mais de 14 horas de trabalho manual passam a ser concluídos em menos de 3 minutos, e revisões de acesso que demandavam um ano de esforço são realizadas em um único mês.
Controlando o acesso privilegiado com rastreabilidade total
Credenciais de alto impacto como contas de administrador, chaves de API, secrets de pipelines, acessos a bancos de dados com dados pessoais exigem um nível adicional de controle. Não basta saber que existem: é preciso registrar cada uso, restringir o acesso ao contexto estritamente necessário e garantir que senhas e tokens sejam rotacionados automaticamente, eliminando credenciais estáticas que acumulam risco ao longo do tempo.O CyberArk, operado pelo Cyber Fusion Center da Asper, entrega essa camada de controle para identidades privilegiadas humanas e não humanas. Cada sessão de alto impacto é isolada e gravada. Cada acesso a sistemas críticos, incluindo aqueles que processam dados pessoais, é registrado com contexto completo: quem acessou, quando, de onde e o que foi feito. Essa rastreabilidade não é apenas um controle de segurança, é uma evidência de conformidade que responde diretamente ao princípio de responsabilização da LGPD.
Visibilidade sobre onde os dados pessoais realmente estão
Controlar identidades sem saber onde estão os dados é como travar uma porta sem saber se existem outras entradas. A governança de identidade eficaz em ambientes cloud precisa ser acompanhada de visibilidade sobre onde os dados pessoais são armazenados, quais sistemas os processam e quais identidades têm acesso a eles.
Segundo publicação do portal Information Management de maio de 2026, a mesma flexibilidade que torna a nuvem atraente acelera a disseminação de dados além das fronteiras tradicionais, criando pontos cegos para a TI e lacunas de conformidade para as equipes de segurança. A integração entre governança de identidade e classificação de dados é o que fecha esse ciclo: garantindo que os controles de acesso sejam aplicados precisamente onde os dados pessoais estão, e não apenas onde os sistemas mais visíveis operam.
Conformidade que a ANPD pode auditar, não apenas declarar
O Dia da Privacidade de Dados de 2026, conforme registrado pelo portal TI Inside em janeiro do mesmo ano, marcou uma mudança de perspectiva no mercado brasileiro: privacidade e governança deixaram de ser temas de TI e passaram a ser indicadores acompanhados pelo conselho, determinantes para o valor reputacional e econômico das organizações. Empresas que acumulam grandes volumes de dados não gerenciados em ambientes híbridos não carregam apenas risco técnico mas também, carregam risco de negócio.
A governança de identidade bem estruturada responde a essa exigência em dois níveis. No nível operacional, ela garante que apenas acessos legítimos e necessários existam, reduzindo a superfície de exposição de dados pessoais. No nível regulatório, ela gera as evidências que a ANPD pode solicitar em uma fiscalização: trilhas de auditoria, certificações de acesso, registros de revogação e relatórios de revisão periódica.
A abordagem da Asper conecta esses dois níveis por meio do Cyber Fusion Center: as ferramentas de identidade (SailPoint para o ciclo de vida e CyberArk para o controle privilegiado), operam integradas ao monitoramento contínuo do CFC, que correlaciona comportamentos anômalos de acesso com o contexto regulatório do cliente. O resultado é uma postura de conformidade que não depende de auditorias anuais para existir, ela é contínua, documentada e auditável a qualquer momento.
A pergunta que o DPO precisa conseguir responder hoje
Quem tem acesso a dados pessoais na sua empresa agora? Esse acesso ainda é necessário? Quando foi revisado pela última vez?
Se essas perguntas não têm respostas imediatas e documentadas, a organização está operando com uma lacuna de conformidade que a ANPD está em condições de identificar e de sancionar. A migração para a nuvem não reverte. A pressão regulatória não diminui. E a governança de identidade que não foi construída junto com a jornada cloud precisará ser construída depois, com o custo e a urgência que os incidentes e as fiscalizações impõem.
Construir essa governança antes que o problema se manifeste é o que separa uma postura proativa de uma reativa. E é exatamente para isso que a Asper trabalha ao lado dos seus clientes.
Quer mapear as lacunas de governança de identidade na sua organização e entender como estruturar uma arquitetura de acesso aderente à LGPD? Fale com os especialistas da Asper.
