A implantação de uma Política de Segurança da Informação (PSI) em um ambiente empresarial não deve ser apenas uma preocupação da equipe de TI. Este documento é uma ferramenta poderosa não só para regrar os controles de Segurança da Informação, mas também para prevenir o risco legal inerente à atividade de tecnologia da informação.

É inegável que segurança da informação é sinônimo de segurança jurídica. Dizemos isso, pois muitos incidentes de tecnologia têm não só impactos tecnológicos, mas também impactos legais. Em face da característica de prevenir o risco legal, a elaboração não deve ser realizada apenas pelos profissionais de TI. Ao contrário, deve haver uma equipe multidisciplinar que esteja envolvida na análise e elaboração do texto. Essa equipe pode consistir em um fórum composto por representantes de várias áreas da empresa, inclusive a área jurídica.

Sabemos que, em geral, antes de se iniciar a elaboração da política é realizada uma análise de risco tecnológico, onde se busca identificar a quais ameaças a organização está exposta. A partir daí serão definidas quais riscos serão controlados (ou não) e então serão escolhidos quais controles ou quais assuntos serão tratados na política. Em linhas gerais, esse é procedimento normalmente realizado.

No entanto, não podemos perder de vista a necessidade também da análise do risco legal da atividade tecnológica desenvolvida pela organização. O produto dessa análise servirá também (junto com o produto da análise de risco tecnológico) para embasar e instruir a elaboração da PSI. Tanto é assim que a norma internacional ISO 17799 estabelece procedimentos específicos envolvendo a atividade jurídica aplicada à tecnologia.

Em geral, as PSI’s, do ponto de vista legal, tratam de assuntos como gestão de direitos autorais; conformidade com legislação e contratos e SLA’s; tutela de ativos informacionais confidenciais; controle de liberação de ativos e informações protegidos por sigilo legal; monitoramento de funcionários; controle de ações em caso de incidentes, etc.

Há setores de negócios que detém uma complexa rede normativa que prevê diversos comportamentos e deveres específicos. Os bancos, por exemplo, devem respeitar normas referentes ao risco operacional (resolução 3380/06 do BCB) que abrange em seu bojo também o risco legal. Tanto é assim que o §1º do art. 2º da referida resolução é expresso em dizer:

A definição de que trata o caput inclui o RISCO LEGAL associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

As empresas (mesmo as brasileiras) com ações na bolsa dos EUA devem respeitar controles da lei SOX que trata da integridade de informações e balanços, bem como estabelece deveres específicos para os responsáveis pela atividade tecnológica. Essas normas legais devem ser observadas também quando da elaboração da PSI.

Um exemplo mais singelo, ao lado oposto dos bancos e empresas citadas acima, são as Lan’s Houses. No estado de SP há uma lei estadual (12.228/06) regulando sua atividade. Essa lei prevê o dever da guarda de logs de atividade por 60 meses, estabelecendo inclusive multas para a não observância deste preceito. Isso indica que mesmo uma empresa de pequeno porte, como uma Lan House, deve estar em conformidade com requisitos legais específicos acerca das atividades envolvendo TI. Essa conformidade pode ser iniciada com a elaboração de uma PSI que irá estabelecer as diretrizes necessárias para este controle.

Outro controle da PSI que merece atenção jurídica é o gerenciamento de incidentes. A empresa que não tem um plano de ação definido e nada faz na ocorrência de um incidente, dependendo do caso, pode ser considerada negligente e essa negligência pode ter conseqüências legais consideráveis. Caso a empresa venha a ser demandada judicialmente pelo incidente, o aspecto preventivo da PSI aparece para uma possível demonstração de que ela [a empresa] preocupava-se com o assunto “Segurança da Informação”. Isso pode ser determinante para afastar uma postura negligente ou demonstrar ainda que a empresa tomou as providências necessárias para evitar o incidente. Ao mesmo tempo, a implementação da PSI é um dos fatores que podem caracterizar também o cumprimento do dever de diligência do administrador da sociedade, dever este consubstanciado no art. 1011 do CC:

O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Um incidente que afete a disponibilidade de um serviço pode influir também em SLA’s definidos contratualmente. E não é raro tais contratos estabelecerem multas pelo descumprimento de um SLA. Com isso, há a necessidade de estabelecer um alinhamento entre os prazos de SLA, os contratos e as diretrizes referentes à resposta a incidentes, e isso pode ser feito através da PSI.

As empresas que divulgam conteúdo elaborado por seus funcionários através de blogs, também devem atentar para o eventual risco jurídico desta atividade. Já há empresas que adotam a “policy blogging“, um documento que pode ser previsto na PSI e que regra a atividade de publicação de conteúdo através dos blogs. Também não podemos perder de vista algumas decisões judiciais que reconheceram a responsabilidade do autor do blog por comentários de terceiros. Ao mesmo tempo, sabe-se que a empresa é responsável pelos atos dos funcionários quando estes os praticam sob sua estrutura tecnológica e em razão de seu trabalho. Um desregramento desta atividade pode representar a responsabilização da empresa pelas manifestações de pensamento de seus funcionários.

A prevenção do risco legal ocorre também com a previsão na PSI de outras políticas que regrem determinados comportamentos dentro da organização. Exemplos são as Políticas de Uso de E-mail e Internet, Políticas de Acesso, Política de Uso de Hardware etc. A justiça gaúcha recentemente analisou um caso1 envolvendo direitos de acesso a um servidor de arquivos. Uma empresa processou a própria funcionária por ela ter, deliberadamente, deletado várias arquivos da empresa. A turma decidiu no sentido de que se não havia uma política de acesso regrando exatamente como deveria ocorrer o acesso a arquivos, não se poderia exigir determinado comportamento do funcionário. Aliado a esse argumento, decidiu também que se ela tinha a permissão no sistema de arquivos para a deleção, ela não poderia sofrer uma punição em face da permissividade técnica.

Também é muito comum o desregramento acerca da atividade de monitoramento da atividade dos funcionários das organizações. A realização desregrada e descontrolada dessa atividade pode, em casos extremos, tipificar o crime de interceptação telemática não autorizada ou ainda o ilícito civil de violação de privacidade.

Nesse passo, as organizações devem observar a PSI também sob o aspecto legal, caso queiram gerenciar com mais efetividade o risco jurídico inerente à atividade de TI. A tendência é de que com a especialização da legislação brasileira, o número de leis envolvendo obrigações relativas à TI e à Segurança da Informação aumente rapidamente.


1 – TJ/RS AC 70019549971, 9ª Câmara Cível, j. em 4 jul. 2007, rel. Des. Odone Sanguiné.