Direito da Tecnologia

Site do Prof. Guilherme Damasio Goulart

Mês: maio 2007

Responsabilidade civil das empresas de assistência técnica

Um assunto que merece atenção tanto dos usuários quanto das empresas é a responsabilidade das empresas de assistência técnica quando da divulgação indevida de dados contidos nos computadores. Teceremos alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.

Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência técnica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).

Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mal-intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais, esses profissionais têm o dever anterior de preservar o sigilo das informações. Com isso , há dois deveres subsequentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.

Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.

O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda, se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.

Mesmo assim, sabemos que a culpa exclusiva do consumidor ou, ainda, de terceiro pode afastar a responsabilidade da empresa. Nessa seara, por exemplo, a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente, o Tribunal de Justiça do RS se manifestou sobre o dever de segurança, por parte do consumidor/usuário, na apelação civil n. 70011140902:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA

No caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso, há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.

Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados) impedindo, assim, a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação. Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentando para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor, sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para o fato de que a divulgação dos dados constitui crime de Violação de Segredo Profissional.

Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título “Assistência técnica e a segurança das suas informações”. Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.

Provas Digitais e Produção de Logs

Atenção: Artigo escrito antes do Marco Civil da Internet (Lei 12.965/2014)

Um assunto muito interessante e controvertido em relação aos controles de Segurança da Informação é o controle de produção e armazenamento de logs. Os logs são registros de atividades ou eventos pré-determinados e servem para estabelecer um histórico de uma atividade tecnológica. Para tornar a explicação mais compreensível, podemos trazer alguns exemplos práticos das situações em que são produzidos os logs. Um servidor de e-mail (seja ele corporativo ou comercial) geralmente é configurado para registrar os logs de sua atividade. Em geral, são armazenadas informações tais como IP de origem da mensagem, horário de envio e recebimento, servidores pelos quais a mensagem passou etc. Esses registros são úteis nos casos em que há a necessidade de identificar o autor de uma mensagem anônima. Com isso, identifica-se que em determinado horário, o ip de número X enviou um e-mail para aquele servidor. Com isso, chega-se até o servidor que controla aquele IP, sendo possível, com base no horário, identificar a pessoa que naquele determinado momento estava usando a referido IP. Todas essas ações, é claro, são precedidas de ordens judiciais específicas. Outro exemplo prático é a produção e armazenamento de logs em ambientes corporativos. Nesse caso, em geral, armazenam-se históricos de atividades tais como rotinas de backup, funcionamento de servidores, tráfego de internet, funcionamento de sistemas internos etc. Dependendo da atividade da empresa, há um sem número de atividades que podem ter seu histórico armazenado.

Dito isso, passemos à análise da utilização desses logs. Vamos imaginar que alguém necessite identificar a autoria de um e-mail difamatório, ofensivo ou ameaçador. Com a consulta dos logs dos servidores, chegou-se a um determinado IP,  identificando-se assim o remetente da mensagem. Pois bem, a questão principal deste artigo é: como ter certeza de que este log foi produzido e armazenado com integridade? Como é possível ter certeza de que este registro não foi alterado? Como podemos afirmar que a estrutura computacional que produz tais logs não está funcionando de maneira precária, produzindo, assim, dados incorretos?

No Brasil não temos uma normatização que regula a produção desses registros para o setor privado. No setor público temos alguns decretos que regulam controles de segurança aplicáveis ao assunto, porém, o mesmo não ocorre no setor privado. Temos visto inúmeros casos em nossos Tribunais em que, quando são produzidos esses logs, a parte contrária sequer impugna tais provas. Ao contrário de análises e provas produzidas por peritos judiciais, não há como ter certeza da integridade de registros produzidos, por exemplo, por um provedor comum de internet.

Já vimos provedores respondendo a ordens judiciais de pedidos de logs de maneira desinteressada e até negligente. Em uma situação verdadeira, um simples operador de sistemas acessou o sistema da armazenamento de logs do provedor e através do processo de “copiar e colar” montou um documento no Excel para instruir a resposta do ofício. Esse “documento”, ao chegar nos autos do processo, adquire uma força probante e uma integridade muito maior do que realmente teria se analisado sob o aspecto técnico-computacional. O processo judicial acaba por legitimar e um documento muitas vezes mal produzido e sem a certeza de integridade.

Cabe ainda mencionar a existência do dever dos provedores (aqui provedores em sentido amplo) em armazenar tais registros, em função da especificidade de sua atividade, conforme ensina Marcel Leonardi na sua obra “Responsabilidade Civil dos Provedores de Serviços de Internet”.

É sabido que a utilização de provas digitais é plenamente permitida em nosso sistema jurídico. Tal fato é indiscutível e aceito pela doutrina. No entanto, o artigo 225 do CC prega que:

“As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.”

Na grande maioria dos casos, a outra parte sequer ousa impugnar a exatidão de tais registros. Cabe lembrar que o provedor ou empresa que produz tais logs (em geral fundado em ordem judicial), em alguns casos, pode até ter interesses no julgamento da causa. Esse interesse pode existir até no fato de que se o provedor não possuir os logs, isso pode acarretar em uma co-responsabilidade pelo ato de terceiro, quando essa falha puder impedir a identificação de autoria. Isso, por si só, poderia invalidar a produção do documento ou ainda poderia servir como motivo para o provedor forjar a criação ou existências de eventos.

Tal situação torna-se ainda mais delicada se a única prova de condenação for um desses logs. Caso uma parte seja condenada em função apenas de um log e não se tenha a garantia da integridade e autenticidade dos dados, vemos a possibilidade de uma condenação indevida ou até mesmo nula.

Recentemente, tivemos notícia de uma situação ocorrida nos EUA que indica bem o quão delicada é essa questão. Na cidade de Greensburg, Pennsylvania, foi feita uma falsa denúncia de bomba por telefone em uma escola. A polícia, pela análise do histórico de ligações nos servidores (logs), chegou ao número de telefone de um estudante. Com base nessa informação, o estudante ficou 12 dias preso em um centro de detenção juvenil. Após alguns dias, descobriu-se que o servidor que armazenava os logs de ligações telefônicas estava com o horário atrasado em uma hora. Ou seja, como o estudante ligou uma hora após o verdadeiro denunciante, foi com este confundido. Esse é apenas um dos tantos casos em que o excesso de confiança nos logs pode causar um grande erro judicial. Os policiais, à época da prisão, ainda comentaram o fato de que o autor da ligação negava admitir sua culpa “amplamente demonstrada”.

Trazendo a questão para o Brasil, temos um julgado do TRT da 4ª Região que, através da analogia, pode muito bem ser aplicado às situações aqui colocadas. Vejamos:

EMENTA: CONTROLE DE PONTO. ART. 74, § 2º, DA CLT. Os controles de ponto eletrônico, em regra, não atendem as exigências do art. 74, parágrafo 2o, da CLT, que exige que o empregador com mais de dez empregados mantenha registros diários da jornada despendida pelo trabalhador, obrigando-se a apresentá-los no processo, caso determinado pelo juiz. De fato, os registros eletrônicos são elaborados por meio de “software”, que não é conhecido pelo empregado, que tampouco tem acesso ao código-fonte do mesmo, nem controla as operações informáticas que produzem os relatórios em que, supostamente, consta o horário de trabalho do trabalhador.

Como se vê, a decisão reconheceu o fato de que os registros produzidos por software, desconhecidos da parte interessada ou que não haja a certeza da integridade da produção, não podem ser utilizados em um processo. Ainda, haveria a necessidade de um perito analisar a produção de tais registros para garantir a sua validade no processo, uma vez que podem ser facilmente adulterados sem deixar rastros ou vestígios.

Em que pese a falta de leis específicas para a produção e armazenamento de tais logs, não faltam regras de experiência técnica que regulam tais atividades. A norma ISO/IEC NBR 17799, publicada no Brasil pela ABNT, dispõe sobre alguns controles que podem ser observados para elevar o nível de segurança em relação aos logs. Ainda, as regras de experiência técnica da atividade de Segurança da Informação estabelecem práticas usuais sobre o assunto. Um exemplo de regras de experiência técnica sobre o assunto pode ser lido no artigo “Precisa-se de um FDR” de autoria do professor Vinícius Serafim. Neste artigo são abordadas questões técnicas sobre o armazenamento e produção de logs à luz da Ciência da Computação. O artigo faz uma analogia com o sistema de FDR, ou Flight Data Recorder, que se constitui nas caixas pretas dos aviões. O autor fala confiabilidade de tais registros (das caixas pretas) e analisa uma possível utilização desta ideia para a produção de logs.

Por fim, defendemos que tais provas devem ser produzidas por um perito judicial e, se for o caso, acompanhado por assistentes técnicos das partes envolvidas. Tal perito deverá analisar a estrutura computacional para verificar a integridade e autenticidade dos registros para assim termos um maior grau de confiabilidade dos registros.

Desenvolvido em WordPress & Tema por Anders Norén