Direito da Tecnologia

Site do Prof. Guilherme Damasio Goulart

Mês: novembro 2006

Breves comentários sobre Segurança da Informação e Desenvolvimento de Softwares

Muitas vezes a atividade de desenvolvimento de softwares não é orientada pelos princípios básicos de Segurança da Informação. Diversas conseqüências podem advir dessa inobservância: problemas relativos à propriedade do programa; a apropriação ou mau uso de dados sensíveis da empresa; a divulgação de dados cadastrais de clientes ou seu uso para fins espúrios; a ocorrência de incidentes pelo não monitoramento dos dados de saída dos softwares; problemas advindos da atividade de terceirização do desenvolvimento, etc.

Em primeiro lugar, no que diz respeito à propriedade intelectual, temos a lei 9.609/98 que dispõe sobre a propriedade intelectual de programa de computador. Seu artigo 4º é claro em dizer:

Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário…

Com isso, é importante a correta orientação dos desenvolvedores no sentido de impedir que os códigos fontes gerados pela relação de emprego sejam reutilizados pelo profissional em atividades particulares. Também, sempre é útil um aditivo no contrato de trabalho ou um termo de ciência de tal disposição para reforçar tal orientação.

Na maioria dos casos, os desenvolvedores têm acesso a dados sensíveis da empresa , tais como informações financeiras, cadastros de clientes, segredos industriais, dados telefônicos ou bancários etc. Nesse diapasão, um monitoramento preventivo pela equipe de segurança é útil para evitar o mau uso desses dados. O resultado desse monitoramento (logs) também deve ser corretamente gerado bem como armazenado. Também é útil a criação de rotinas de autorização para o uso de dados sensíveis. Ademais, dependendo do caso, cada desenvolvedor deve ter acesso apenas aos dados estritamente necessários para a sua atividade. Em casos extremos, é gerado um banco de dados fictício apenas para o fim de desenvolvimento, para que os desenvolvedores não tenham acesso aos dados reais de propriedade da empresa.

A norma ISO/IEC NBR 17799:2005, que trata das melhores práticas para Segurança da Informação, dispõe especialmente sobre os controles necessários atinentes à atividade de desenvolvimento de sistemas. A validação de dados de entrada e saída é um dos itens comentados. Vemos a importância desse controle na medida em que sistemas que geram informações bancárias, fiscais, etc, podem causar um prejuízo quando da emissão de dados errôneos. Além do prejuízo financeiro e dos possíveis danos à imagem, há o risco jurídico de emissão errônea de dados bancários, por exemplo, em ações movidas pelos atingidos.

A referida norma também fala sobre o acesso ao código fonte. Deve ser implementado um controle específico para restringir o acesso ao código fonte, para evitar questões de propriedade intelectual e também para evitar a inserção de códigos não autorizados no corpo do programa, os conhecidos rootkits.

A troca de sistema operacional deve ser sempre observada, com o fim de verificar a compatibilidade do programa desenvolvido e evitar o possível impacto negativo no caso de incompatibilidade.

Cuidados específicos no caso de terceirização da atividade também devem ser desenvolvidos. A transferência dessa tarefa não implica necessariamente a transferência de responsabilidades. Nesse sentido, a realização dos contratos por uma assessoria jurídica especializada é importantíssima. Em tais contratos, estabelece-se uma série de cláusulas específicas da atividade indo desde os processos de trabalho, bem como os resultados pretendidos, até questões como acordos de confidencialidade e acordos de monitoramento entre outros. Esses contratos também regulam questões sobre o nível de responsabilidade de cada parte e questões de suporte quanto a eventuais futuros problemas.

A realização de testes também é importante nesse cenário. Algumas empresas são especializadas apenas em encontrar defeitos em softwares. Além de tais testes terem o condão de evitar perdas futuras pelo mau funcionamento do software, também previne-se o retrabalho de desenvolvedores para identificar e corrigir futuros defeitos.

Em sendo assim, finalizamos com a indicação do aconselhamento legal e aplicação de controles de segurança da informação para a atividade de desenvolvimento de software.

A ampliação do tipo penal de divulgação de material contendo pornografia infantil

Atenção: Artigo escrito antes da Lei nº 11.829, de 2008.
Em uma semana em que o senado promete endurecer nossa legislação contra os adquirentes de pornografia infantil na internet, cabem algumas considerações sobre o assunto. Nossa legislação estabelece a punição pela divulgação de material contendo pornografia infantil no artigo 241 do Estatuto da Criança e do Adolescente:

Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:
Pena – reclusão de 2 (dois) a 6 (seis) anos, e multa.

O grande problema desse artigo é que não se enquadram nesse tipo penal as condutas de “acessar” e “comprar”. A conduta de comprar estaria, de certa forma, abrangida pela conduta de acessar. É nessa esteira que o projeto do senador Marcelo Crivela foi aprovado na Comissão de Constituição e Justiça do Senado. O projeto de lei visa a punição também de quem acessa, além de quem transmite o material na internet.

Como nossos tribunais ainda não se manifestaram sobre a questão do acesso, recorremos ao Direito Comparado para a análise dessa situação. Nos EUA, no estado da Pennsylvania (Anthony Diodoro vs Commonwealth of Pennsylvania), decidiu-se que o acesso ao material contendo pornografia infantil sem o ato intencional de gravar as fotos acessadas não constitui crime pelas leis americanas. Tal decisão, se analisada sob a égide de nossa lei, também não levaria a consideração do ato como criminoso. O crime ocorreria (pela lei da Pennsylvania) apenas se alguém salvasse intencionalmente as mensagens e não pelo simples acesso. A referida decisão tratou a questão entendendo que :

State law says that a person must have “knowing possession” of child pornography in order for it to be a crime. A panel of three judges in the Pennsylvania Superior Court concluded that Diodoro (nome do acusado) could not be convicted of knowingly possessing the images because there was no evidence that Diodoro knew that his computer was storing the images in its internet cache file.

Ademais, também se discutiu a questão da ambiguidade da lei, no sentido de que em havendo dúvida, o réu deve ser absolvido. Algo como o princípio do “in dubio pro reo”. Isto uma vez que a lei americana considera crime apenas o “knowingly possesses” do material. A dubiedade do sentido de “knowingly possesses” é que garantiu a absolvição do réu. Cabe trazer o texto específico desse tipo penal:

Any person who knowingly possesses or controls any book, magazine, pamphlet, slide, photograph, film, videotape, computer depiction or other material depicting a child under the age of 18 years engaging in a prohibited sexual act or in the simulation of such acts commits an offense.

Isso significa que deveria haver, no caso da lei do referido estado, uma intenção prévia de salvar as imagens, não bastando que elas ficassem armazenadas nos arquivos temporários do computador (cache) para a tipificação do crime de acesso ilegal.

Torna-se importante essa discussão, uma vez que aquele tribunal entendeu que o armazenamento automático nos arquivos temporários do browser não configuraria a “intenção de armazenamento”. Isso, pois não se conseguiu provar que o acusado teria a intenção de salvar as mensagens ou que sabia que tais imagens ficariam guardadas nos arquivos temporários de seu navegador, circunstância que pesou na hora de sua absolvição.

Tais reflexões, mesmo que baseadas em casos fora da jurisdição nacional são importantes para o esclarecimento de nossos legisladores no momento em que se visa a ampliação do tipo penal de divulgação de material pedófilo. A especifidade do tipo penal deve ser muito bem observada sob pena de não abranger condutas reprováveis, como no caso da decisão americana.

A decisão integral pode ser lida em http://www.superior.court.state.pa.us/opinions/a23036_06.PDF

A responsabilidade pelo armazenamento de logs

Atenção: Artigo escrito antes do Marco Civil da Internet (lei 12.965/2014). Esta lei, em seus arts. 13 e 15, estabeleceu diretrizes para o armazenamento de logs por provedores de conexão e de aplicações. Ver também o Dec. 8771/2016 que estabelece outras disposições sobre o tema.

Recentemente, li uma notícia sobre um caso americano (Easton Sports, Inc. v. Warrior LaCrosse, Inc.) onde se discutia a questão de se uma empresa deveria ser responsabilizada pelo apagamento de logs, ou evidências, que potencialmente poderiam servir de prova em um processo futuro.
O caso era de um funcionário de uma empresa que foi instigado por outra empresa a transferir informações sigilosas através de e-mail e outros meios.
A empresa instigadora do ato posteriormente contratou o funcionário da primeira empresa e, após, esta processou a segunda pela violação. Com isso, a empresa processada apagou logs e o funcionário cancelou sua conta no Yahoo com a intensão de destruir as evidências digitais pertinentes.
Entre outras coisas, a decisão afirmava “Under Michigan law, “[a] trial court has the authority, derived from its inherent powers to sanction a party for failing to preserve evidence that it knows or should know is relevant before litigation is commenced. MASB-SEG Prop./Cas. Pool, Inc. v. Metalux, 231 Mich.App. 393, 400 (1998). A sanction may be appropriate “regardless of whether the evidence is lost as the result of a deliberate act or simple negligence, [as] the other party is unfairly prejudiced….” Brenner v. Colk, 226 Mich.App. 149, 161 (1997).
Em que pese as notáveis diferenças entre o sistema jurídico americano e o nosso, podemos fazer algumas considerações sobre os possíveis efeitos de um hipotético caso semelhante ocorrido no Brasil.
Em princípio podemos trazer à baila a questão de ninguém ser obrigado a produzir prova contra si mesmo. Aliado a isso, não há em nossa legislação nenhuma regra obrigando um provedor ou uma empresa a guardar logs sobre sua atividade. Também temos o inc. II do art. 5º da CF que diz: “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei“. A priori, não haveria nenhuma obrigação nesse sentido e a empresa não poderia ser responsabilizada por não armazenar os logs.
Por outro lado, o nosso Código Civil prega o princípio da boa-fé objetiva, que em alguns casos é caracterizado pela existência de deveres laterais ao cumprimento de uma obrigação. Ora, a atividade de TI tem como um dever lateral o armazenamento de logs para a correta medição de uso de seus recursos, bem como o monitoramento preventivo além de evitar o anonimato da expressão proibido pela CF. É uma conclusão extraída das regras de experiência técnica da atividade.
Nesse tom, sentimos que um apagamento intencional de dados que potencialmente possam servir como prova em situação em que este ato impeça uma investigação sobre um crime que saiba ter-se cometido naquela estrutura pode fundamentar uma ação indenizatória contra a empresa ou pessoa autora do ato. Claro que deve haver um dano por este apagamento. A ação indenizatória seria fundamentada no desrespeito ao dever geral de boa-fé objetiva que deve orientar toda a atividade de tecnologia traduzido pela obrigação lateral de guarda de logs.
Há também o tempo de guarda de logs que poderia ser discutido em uma possível ação dessa natureza. No caso americano, dados foram destruídos logo depois que se verificou a movimentaçõa para o início da ação judicial.
Não devemos esquecer, por fim, que se já há um processo judicial iniciado e há uma destruição de provas digitais, temos a tipificação do delito de Fraude Processual,  conforme o art. 347 do CP.

O art. 46 da lei 9610/98 e a ISO/IEC NBR 17799

Com as recentes discussões acerca da nossa anacrônica lei de Direitos Autorais, cabem algumas considerações sobre o art. 46 da referida lei. O art. 46 elenca os casos das condutas que não constituem ofensa aos direitos autorais. Entre os vários casos, destaca-se um que se aplica a uma situação de possível ocorrência nos Tribunais. Alguns juristas, entre eles Renato Opice Blum, dizem que a norma ISO/IEC NBR 17799, que trata das melhores práticas em Segurança da Informação, tem aplicabilidade obrigatória em face de nosso CDC. Explica-se: o CDC em seu art. 39 reza:

Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas:
VIII – colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro);

Isso significa que o CDC veda a colocação de um serviço ou produto em dissonância com as normas técnicas da ABNT. Ora, a referida norma foi publicada no Brasil através da ABNT, sendo uma norma brasileira a balizar a atividade de segurança da informação.

Em sendo assim, a questão sobre os direitos autorais seria a seguinte: em um processo judicial em que se discute a aplicabilidade da norma ISO/IEC NBR 17799 para classificação de um serviço de TI como sendo prática abusiva pela inobservância do art. 39 do CDC, o advogado teria que obrigatoriamente trazer esta norma como prova. Isso porque dificilmente o juiz conheceria o teor da referida norma. Em sendo assim, seria uma violação de Direitos Autorais a utilização de uma cópia da norma para instruir o referido processo? Entende-se que não com base no art. 46 da lei 9610 especificamente em seu inciso VII:

Art. 46. Não constitui ofensa aos direitos autorais:
VII – a utilização de obras literárias, artísticas ou científicas para produzir prova judiciária ou administrativa;

Nesse caso, há possibilidade da utilização da norma técnica para a instrução processual através de uma cópia juntada ao processo sem que isso signifique a violação de direitos autorais.

Direito e Comércio Eletrônico

Em 2005 o comércio eletrônico (B2C – Business to Consumers) movimentou aproximadamente R$ 2.5 Bilhões no Brasil. No mesmo ano, tivemos 4 milhões de  consumidores que realizaram compras pela Internet aqui no país. As grandes redes de lojas já aderiram totalmente ao comércio eletrônico e temos casos bem sucedidos de lojas brasileiras que funcionam apenas no meio eletrônico.
Os fornecedores virtuais devem sempre observar uma série de princípios com o fim de atender nosso Código de Defesa do Consumidor (CDC). Temos o dever de informar (que faz com que os estabelecimentos comerciais virtuais devam informar os consumidores sobre as peculiaridades do comércio eletrônico, bem como os riscos gerais atinentes às transações on-line); o princípio da boa-fé objetiva pregando, entre outras coisas, o dever lateral de transparência no desempenho das funções de fornecedor. Além disso, há a responsabilidade objetiva dos estabelecimentos comerciais eletrônicos. Isso significa que em havendo um dano ao consumidor nessa relação,  sua responsabilidade independe de culpa.
Vê-se que o comércio eletrônico modifica o conceito de confiança, uma vez que o consumidor precisa confiar em um fornecedor que não vê fisicamente e que está em um ambiente hostil e público que é a Internet. É a impessoalidade do comércio virtual. Isso motiva as empresas a investirem em Segurança da Informação para trazer mais integridade às transações eletrônicas, atendendo às expectativas de segurança dos clientes. Para amenizar essa impessoalidade, temos o direito de arrependimento nos contratos entre ausentes, estabelecido CDC.
Cabe aos gestores das empresas virtuais sempre observar tais peculiaridades para tentar mitigar o risco jurídico de sua atividade.

Artigo publicado no Jornal do Comércio de Porto Alegre. A singeleza do artigo justifica-se pelo pequeno espaço disponibilizado pelo jornal.

Desenvolvido em WordPress & Tema por Anders Norén