Esta política explica como o consentimento e a autorização dos usuários devem ser obtidos, documentados e aplicados para garantir um acesso legal e responsável em ambientes organizacionais.
O objetivo desta política é definir os princípios que regem o consentimento dos usuários e a autorização de acesso a sistemas, dados e recursos digitais. Aplica-se a funcionários, administradores, prestadores de serviço e a todos os demais usuários autorizados.
Consentimento e autorização são conceitos distintos. Ambos devem estar presentes quando exigido por lei ou por normas internas de governança.
Consentimento refere-se ao acordo informado, voluntário e explícito de um usuário ou titular dos dados para permitir o acesso ou atividades de tratamento.
Autorização refere-se aos controles técnicos e administrativos que determinam quais ações um usuário autenticado está autorizado a realizar.
O consentimento não concede automaticamente acesso irrestrito. As autorizações devem sempre ser limitadas a funções definidas e a finalidades legítimas.
Privilégios administrativos, recursos de monitoramento e acesso a sistemas sensíveis exigem justificativa adicional, documentação adequada e controle reforçado.
As organizações são responsáveis por obter o consentimento dos usuários antes de habilitar acessos, atividades de monitoramento ou processamento de dados, quando exigido por lei.
O consentimento deve ser claro, documentado e comunicado de forma compreensível para os usuários. Mecanismos de consentimento implícito ou oculto não devem ser utilizados quando for necessário consentimento explícito.
O acesso deve ser concedido com base em funções definidas, responsabilidades e necessidades operacionais. O princípio do menor privilégio deve ser aplicado em todos os momentos.
As autorizações devem ser revisadas periodicamente e atualizadas imediatamente quando as funções mudarem ou quando o acesso não for mais necessário.
As decisões relacionadas ao consentimento e à autorização devem ser documentadas de forma a apoiar revisões internas, auditorias e solicitações regulatórias.
Os registros devem indicar quando o consentimento foi obtido, qual acesso foi autorizado e quem aprovou esse acesso.
A responsabilidade pela obtenção do consentimento, pela definição das regras de autorização e pela aplicação dos controles de acesso recai inteiramente sobre a organização. Violações desta política podem resultar na suspensão de acessos ou em medidas disciplinares internas.