Recomendação de programa open source pra tratamento de dados pessoais

[Guilherme Montelo]

Galera sou servidor público e como em muitas empresas privadas o TI não bem visto como investimento na maior parte das instituições públicas.

Desta forma sempre acabo recorrendo a soluções open source para os problemas que acabo enfrentando (diga-se de passagem acredito que deveria ser regra o uso e disseminação de programas livre dentro de entidades públicas). A mais recente empreitada trata-se da adequação a LGPD, que há muito venho tentando conscientizar minha administração que trata-se de algo bem sério e não exclusivo do TI, entretanto como ainda recaí sobre meu departamento qualquer mobilização deste tipo, optei por além de continuar a conscientização na tentativa de angariar mais investimentos na área de segurança da informação, também procurar alguma solução/sistema que mesmo que de forma simples eu consiga ao menos manter um inventário de quais e onde os dados pessoais que detenho são tratados e armazenados, além de manter um histórico de eventuais incidentes e solicitação dos titulares.

Andei procurando algo do tipo para a GPDR, visto que, está já esta bem consolidada não União Europeia, entretanto ainda não consegui localizar algo mais acabado que possa colocar ao menos em um ambiente de treinamento.

Alguém já viu algo do tipo?

[Guilherme Montelo]

Atualizando um pouco o status desta busca.

Não localizei nenhuma plataforma open-source que ao meu ver consiga atender aos principais pontos da LGPD, entretanto acredito que o uso de algumas ferramentas podem auxiliar e muito.

Pensando em Data Discovery (processo de varredura e descoberta de dados pessoais tratados e armazenados de forma estruturada em sistemas, banco de dados e arquivos físicos organizados ou de forma não estruturada como fotos, imagens de documentos, documentos diversos como pdf, doc/docx, xls/xlsx, formulários, requerimentos, cartas e etc.), localizei algumas soluções ainda um pouco cru, mas com bastante potencial e outras já estabelecidas, de toda forma acredito que um pouco de esforço da comunidade conseguiria integrar tais soluções e criar uma plataforma poderosa na aplicação a LGPD e GPDR:

 

Alfresco Community Editio - Trata-se de uma ferramenta de GED com recursos de OCR, que acredito ser o ideal para a digitalização dos documentos físicos e organização dos documentos digitais, além de proporcionar um controle de acesso ao dados, possibilitaria a organização dos dados não estruturados fornecendo uma interface a ferramenta a seguir.

 

ReDiscovery - Como descrito no github, trata-se de um fork do projeto DataDefender, com a remoção de algumas funcionalidades de geração randomizada de dados e anonimização, já que o foco deste fork é a varredura dos dados em banco de dados Oracle, MS SQL Server, DB2, MySQL e PostgreSQL.

 

Seal Report / BIRT / Pilha ELK - Penso neles como uma ferramenta de BI, agregador de informações e talvez uma interface para o Data Monitoring, ainda estou engatinhando em como realizar esta interface, mas vejo potencial.

 

Já no processo de Data Mapping (processo de identificação dos fluxos de tratamento de dados e repositórios de dados), Gestão de Incidentes e Interface com o titular dos dados tenho utilizado o GLPI.

 

GLPI - É uma ferramenta de ITSM, que possibilita realizarmos o inventários dos ativos de TIC, possibilitando um sistema de controle de requisições e incidentes.

Uso estabelecendo uma conexão da Aplicação -> Banco de dados -> Servidor -> Data Center, desta forma caso ocorra um incidente de segurança a uma aplicação X, sei que preciso investigar o Banco de Dados Y, no servidor Z, para determinar a extensão do problema e se houve alguma acesso indevido ou exposição de dados daquela aplicação, Banco de Dados ou Servidor. O mesmo acontece se houver um incidente no Banco de Dados ou Servidor, pois sei que terei que avaliar todas as aplicações ou bancos que aquele servidor hospeda.

O GLPI também é interessante por possibilitar o controle das solicitações dos titulares dos dados, permitindo o acompanhamento da tratativa e o cumprimento dos prazos. Assim como possibilita a emissão de relatórios de incidentes, problemas e atendimentos às demandas numa eventual ação da ANPD.

 

Uma plataforma open-source que atenda a todos os requisitos da LGPD acho que ainda esta distante, mas as proprietárias em sua maioria ainda também estão, de qualquer forma imagino com essas poucas opções que localizei já possa ser um trabalho inicial, imaginem o seguinte cenário:

 

O GLPI Agente (agente do GLPI instalados nas workstations que realiza a coleta das informações de hardware, software, rede e perfis de usuário e envia a instancia do GLPI) com a funcionalidade de identificação de dados pessoais não estruturados, coletando de forma automática estas informações ou identificando os arquivos de fotos, imagens, pds, doc/docx, xls/xlsx/csv e importando tais arquivos na Instancia do Afresco.

O ReDiscovery sendo executa com x frequência sobre o Banco de Dados das Aplicações da entidade e do Afresco, varrendo os dados pessoais identificados e mapeando os repositórios e arquivos que contenham dados pessoais, impontando estas informações na instancia do GLPI, estando as ferramentas de BI conectadas a base de dados do GLPI de modo que seja possível a análise por estas ferramentas, assim como a notificação automática aos titulares na ocorrência de incidentes.

 

Sei que pensar e falar é fácil difícil e implementar, mas esse brifieng pode instigar muita gente a trabalhar nisso.

[ValdessonDev]

@Guilherme Montelo criei uma conta aqui só para responder que estou desenvolvendo um padrão para os programas ficarem de acordo para obedecerem a LGPD como tema de TCC meu, espero que o pessoal daqui me ajudem, e o código-fonte será aberto, ou seja, open-source.