Durante muito tempo, as organizações imaginaram que a proteção de dados pessoais dependia basicamente de cuidados internos: restringir acessos, treinar colaboradores, manter antivírus, fazer backups e organizar políticas.
Todos estes cuidados ainda permanecem importantes; no entanto, a realidade atual acrescentou um problema mais amplo e mais silencioso, que é o risco que chega por meio da cadeia de suprimentos de software.
Na atualidade, uma organização não depende apenas do sistema que contratou ou desenvolveu, mas também das bibliotecas que esse sistema utiliza, das atualizações fornecidas por terceiros, das ferramentas de desenvolvimento, dos serviços em nuvem, dos plugins, das integrações por API, dos pacotes de código aberto e, ainda, dos fornecedores dos seus próprios fornecedores.
Deste contexto, é fácil concluir que a operação digital moderna é formada por um ecossistema, que passa a interessar de maneira direta à LGPD na medida em que a organização trate dados pessoais.
O problema perante a LGPD
Não basta à LGPD que uma organização tenha "boas intenções", nem se limite a "ter cuidado" com as informações dos titulares, devendo haver a adoção comprovada de medidas aptas a demonstrar o cumprimento de suas exigências.
Por isto, a organização deve ter estrutura de governança, prevenção, segurança e responsabilização, o que significa que o tratamento de dados pessoais deve ser protegido por medidas técnicas e administrativas aptas a evitar acessos não autorizados, destruição, perda, alteração, comunicação ou difusão indevida.
Tal dever não desaparece quando o risco nasce fora dos muros da organização, em um fornecedor, em um subfornecedor ou em um componente de software aparentemente secundário, e por esta razão a cadeia de suprimentos de software se torna um tema de interesse à privacidade e proteção de dados.
Quando uma organização contrata um software de gestão, um prontuário eletrônico, um ERP, uma plataforma de atendimento, um CRM, um sistema de recursos humanos, um serviço de hospedagem ou uma ferramenta de autenticação, ela não está contratando apenas uma tela bonita e uma funcionalidade útil.
Muito além disto, esta organização está efetivamente conectando sua rotina de tratamento de dados a uma rede de dependências técnicas e operacionais que pode conter vulnerabilidades, falhas de atualização, bibliotecas comprometidas, credenciais expostas e rotinas inseguras de desenvolvimento.
É cada vez mais costumeiro que o incidente não nasça porque a organização "escolheu mal" um software, mas sim porque, dentro daquele software, existem dezenas ou centenas de dependências que o usuário final sequer conhece.
O problema deixa de ser apenas o programa principal e passa a ser toda a estrutura que o sustenta, caso em que um pacote comprometido, uma atualização adulterada ou uma ferramenta de desenvolvimento insegura pode abrir caminho para acessos indevidos, sequestro de dados, indisponibilidade de sistemas, vazamentos e falhas de integridade.
As consequências perante a LGPD
A primeira das consequências legais é que a organização não pode mais tratar o fornecedor como simples detalhe contratual, cabendo considerá-lo como parte relevante da estrutura de conformidade, na medida em que ele participe do tratamento de dados pessoais, armazene informações, processe cadastros, hospede bases, mantenha sistemas, opere autenticação, execute suporte técnico ou possua acesso a ambientes internos.
Nesta ordem de ideias, não basta à organização assinar contrato e seguir adiante, cabendo-lhe conhecer o papel desse fornecedor, delimitar responsabilidades, exigir padrões mínimos de segurança e manter algum grau de verificação.
A segunda consequência ligada à LGPD é que a organização precisa ampliar suas medidas de diligência, não lhe bastando cuidar para que seus sistemas sejam seguros, mas devendo sempre considerar quais terceiros, ferramentas, dependências, integrações e canais de atualização influenciam a segurança dos sistemas que tratam dados pessoais.
Tal postura permite à organização precaver-se quanto a um ponto de vulnerabilidade, onde cada vez mais os incidentes de segurança têm surgido.
Há ainda a consequência jurídica, pois em caso de incidente, não se examina apenas o fato bruto da invasão ou da falha, mas também o comportamento anterior da organização, perquirindo-se em relação aos terceiros se haviam medidas como processo de homologação de fornecedores, cláusulas contratuais específicas sobre segurança, sigilo, subcontratação e resposta a incidentes, limitação de acessos, controle de atualizações, registro das medidas adotadas e prova de diligência.
Afinal, em matéria de LGPD, não basta agir, sendo absolutamente necessário demonstrar que se agiu com responsabilidade; por tais motivos é que a cadeia de suprimentos de software deve ser trazida para dentro da governança de dados.
Os cuidados com os fornecedores
De pronto, é necessário que haja mapeamento, no qual a organização precisa saber quais sistemas tratam dados pessoais e quais terceiros interferem nesse tratamento; para que a organização tenha conhecimento preciso e não apenas sobre a superfície do risco, ela deve mapear não apenas o fornecedor principal, mas também hospedagem, suporte, integrações, serviços de autenticação, rotinas de backup, APIs, bibliotecas críticas e, quando possível, a própria política de subcontratação do parceiro.
A seguir, a organização deve realizar a análise e classificação levando em conta a criticidade, pois nem todo fornecedor tem o mesmo peso e, levando em conta o tamanho do risco, um terceiro que apenas presta manutenção predial não deve receber o mesmo tratamento de um fornecedor que hospeda banco de dados, de um operador que administra folha de pagamento, de uma empresa que mantém sistemas hospitalares ou de uma plataforma que concentra dados de clientes.
Por último, a relação precisa ser corretamente formalizada, e isto envolve contratos claros sobre finalidade do tratamento, dever de confidencialidade, limites de acesso, padrões mínimos de segurança, notificação rápida de incidentes, auditoria, exclusão ou devolução de dados ao término da relação, e disciplina sobre suboperadores.
Neste aspecto, deve-se atentar para o fato de que muitas vezes o problema não está apenas na ausência de contrato, mas na presença de contratos genéricos, vagos e sem mecanismo real de cobrança.
As evidências da diligência
Se uma organização quer realmente se proteger sob a ótica da LGPD, ela não deve contentar-se com declarações vagas de que o fornecedor "segue boas práticas", cabendo-lhe buscar elementos verificáveis neste fornecedor, tais como a forma e a periodicidade de atualização do software, a forma de tratamento das vulnerabilidades, quem autoriza mudanças, como acessos privilegiados são controlados, como logs são mantidos, como incidentes são reportados, como backups são protegidos, e quais medidas impedem que um componente inseguro seja levado à produção sem análise.
Jamais haverá precisão nem perfeição absoluta, pois nenhum ecossistema tecnológico é imune a falhas; diante das exigências da LGPD, basta haver documentação para a governança, compatibilidade com o risco, medidas proporcionais, conduta preventiva e capacidade de resposta.
Na fase final desta análise quanto aos fornecedores, a organização deve levar em conta que quando a cadeia de suprimentos é comprometida, o impacto costuma ser rápido e amplo: um pacote malicioso, uma atualização adulterada ou uma dependência vulnerável pode afetar diversos ambientes ao mesmo tempo.
Por isto, a organização precisa ter um fluxo prévio para situações desse tipo: quem detecta, quem avalia, quem isola, quem aciona o fornecedor, quem preserva evidências, quem examina o impacto sobre dados pessoais, quem decide medidas emergenciais e quem cuida da comunicação exigida pela legislação e pela regulamentação aplicável.
Sem esse preparo, a organização sofre duas vezes: primeiro com o incidente; depois com o improviso.
No Instituto Privacidade procuramos ir a fundo no que a LGPD diz, no contexto de suas exigências e na documentação que evidencie sua obediência, e consideramos que cadeia de suprimentos de software não é um assunto restrito ao setor de TI.
Ao contrário, trata-se de tema que interessa ao jurídico, à governança, à alta direção, à área de compras, à privacidade, à segurança da informação, à continuidade de negócios e ao compliance.
Afinal, o problema não se resume ao funcionamento técnico do sistema, mas alcança responsabilidade, reputação, prova de diligência, continuidade operacional e confiança.
A organização que depende de tecnologia para faturar, atender clientes, armazenar cadastros, operar contratos, gerir equipes, processar pagamentos ou tomar decisões não pode mais se limitar a olhar apenas para a própria rede interna, devendo efetivamente olhar para a cadeia inteira que sustenta sua operação digital.
O Instituto Privacidade tem por propósito o fomento à cultura da privacidade e proteção de dados, e para nós isto significa também examinar com seriedade as portas externas pelas quais o risco pode entrar, muitas das quais chegam embaladas como atualização rotineira, biblioteca útil, serviço terceirizado ou solução pronta de mercado.
A conformidade real começa quando a organização compreende que o tratamento de dados não termina nela, mas sim avança por contratos, integrações, dependências, fornecedores e subfornecedores.
Segurança é estrutura quando a cadeia de fornecedores é conhecida, escrutinada, organizada, controlada e documentada; do contrário, é apenas aparência.
Venha conosco nesta jornada!
