Um assunto que merece atenção tanto dos usuários quanto das empresas é a responsabilidade das empresas de assistência técnica quando da divulgação indevida de dados contidos nos computadores. Teceremos alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.
Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência técnica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).
Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mal-intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais, esses profissionais têm o dever anterior de preservar o sigilo das informações. Com isso , há dois deveres subsequentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.
Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.
O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda, se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.
Mesmo assim, sabemos que a culpa exclusiva do consumidor ou, ainda, de terceiro pode afastar a responsabilidade da empresa. Nessa seara, por exemplo, a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente, o Tribunal de Justiça do RS se manifestou sobre o dever de segurança, por parte do consumidor/usuário, na apelação civil n. 70011140902:
APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA
No caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso, há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.
Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados) impedindo, assim, a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação. Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentando para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor, sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para o fato de que a divulgação dos dados constitui crime de Violação de Segredo Profissional.
Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título “Assistência técnica e a segurança das suas informações”. Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.