Regularização do licenciamento de software e a LGPD

Ainda são poucos os empresários, gestores e profissionais que perceberam a abrangência do cumprimento da LGPD Lei Geral de Proteção de Dados Pessoais (Lei Nº 13.709, De 14 De Agosto De 2018) que entrará em vigor em Agosto de 2020.

O esforço não envolve tão somente inventariar os dados pessoais e sensíveis e, criptografá-los como muitos têm pensado. Quando muito, preocupam-se com o esforço que virá para a revalidação (ou obtenção) do consentimento para utilização dos dados pessoais. Obviamente, esse é um esforço necessário e tão pouco é simples, principalmente, quando nos deparamos com muitos processos de tratamento manuais, pouco automatizados ou ainda baseados em arquivos não estruturados (planilhas, documentos de texto, e-mails, etc.). Porém, existe muito mais “debaixo do tapete”...

Segurança da Informação é um conceito bastante amplo, mas, é o referencial que agora, mais que nunca, está diretamente conectado com o sucesso, sobrevivência e até mesmo viabilidade de muitos negócios. Em maior ou menor grau sempre houve essa conexão, porém, nunca ficou tão evidente. Agora, em função de uma onde de regulamentações e legislações que iniciou-se ao redor do mundo, com o impacto mais significativo percebido recentemente com a entrada em vigor da Legislação Europeia de proteção de dados, a GDPR em maio de 2018.

Se a Segurança da Informação é o referencial básico para o compliance de maneira geral, por que não entender mais profundamente e adotar as boas práticas?

Neste sentido, trago uma reflexão sobre uma boa prática, tão óbvia, mas, que precisa ser reforçada, principalmente no Brasil, onde a ética de conveniência impera.

As organizações, pinçando apenas algo que está “debaixo do tapete”, devem buscar urgentemente a regularização de todo o software que utiliza, seja ele licenciado ou contratado da forma que for. E são dois os principais motivadores, os quais deveríamos considerar RISCOS e alguns dos respectivos aspectos importantes:

Software com licenciamento irregular não possui garantias, assim, não há como:

·        exigir do fabricante ou desenvolvedor o correto funcionamento

·        contar com as atualizações de segurança deste software

·        ter certeza de que o software não foi corrompido, contaminado ou modificado para finalidades ilícitas

Software adquirido de maneira precária não conta com responsabilidades claramente estabelecidas e isso suscita muitas questões a serem verificadas, entre muitas outras:

·        Na organização existem regras para instalação de software? Elas são cumpridas? Existem evidências disso?

·        Foram estabelecidos e/ou verificados, além dos requisitos de negócio, requisitos de segurança para o software?

·        Foi verificado se o desenvolvedor / fabricante adota políticas de desenvolvimento seguro?

·        Existe um processo e procedimentos de controle de mudanças aplicadas ao software?

·        O software foi desenvolvido com conceitos privacy by design, isto é, considerando a garantia de privacidade de dados desde o princípio?

·        Os testes de aceitação ou procedimentos de homologação do software incluem a verificação de aspectos de privacidade de dados?

·        Nos testes ou procedimentos são utilizados dados de pessoas reais ou fictícias?

·        Se são utilizados dados de pessoas reais, os mesmos níveis de segurança do ambiente (servidores, estações de trabalho de usuários, sistemas gerenciados de bancos de dados, etc.) real (produção) de utilização são aplicados ao ambiente de testes/homologação?

·        O fornecedor do software, por intermédio de seus colaboradores, acessa e/ou manipula o(s) ambiente(s) da de produção, testes ou homologação da organização?

·        E por último, estes e quaisquer outros importantes aspectos de segurança da informação, que implicam ou não em compliance, estão previstos no contrato com este fornecedor?

Estes RISCOS precisam ser gerenciados como quaisquer outros que possam vir a afetar o negócio, isto é, precisam ser identificados/reconhecidos, analisados, avaliados e tratados, além de monitorados e comunicados. Desta forma, concentrando-se especificamente no tratamento destes riscos, deverão ocorrer em ambos os citados, Software com licenciamento irregular e Software adquirido de maneira precária ações para EVITAR O RISCO e para COMPARTILHAMENTO DO RISCO. Mas, por quais motivos isso tudo está intimamente relacionado ao compliance com a LGPD?

A REDUÇÃO DE RISCOS DE INCIDENTES E VAZAMENTOS de dados pessoais ou dados pessoais sensíveis, bom como a redução de riscos à proteção e ao tratamento destes dados, conforme a legislação dispõe.

Pense nisso, comece a olhar urgentemente o que mais existe "debaixo do tapete". O SUCESSO, A SOBREVIVÊNCIA OU A VIABILIDADE DO NEGÓCIO DEPENDEM DISSO!