Nos últimos meses, temos visto a explosão de sites disponibilizando serviços caracterizados como da geração Web 2.0. Esse novo conceito de Internet certamente irá revolucionar a maneira como as pessoas e empresas utilizam a rede. A Web 2.0 traz novas funcionalidades até agora pouco exploradas e transforma a Internet em uma ferramenta muito mais poderosa e dinâmica.
A Web 2.0 se manifesta, entre outras situações, por sites que disponibilizam novas ferramentas tais como planilhas, editores de texto, agendas, CRM’s, etc, todos rodando no próprio browser do usuário. Em geral, é utlizada a tecnologia AJAX (Asynchronous Javascript and XML). A junção dessas duas tecnologias permite, a grosso modo, que essas novas aplicações Web possam responder e operar como um software instalado no próprio computador. A grande vantagem é que não há a necessidade de download e instalação de nenhum software no computador do usuário e ainda o sistema pode ser utilizado em qualquer computador, uma vez que roda no browser e fica instalado em um servidor central. É como se pudéssemos utilizar nosso processador de texto preferido, lendo e editando nossos arquivos sem precisar instalar nenhum programa e fazendo isso em qualquer computador que tenha acesso à Internet. São chamados também de Web Based Applications.

Temos diversos exemplos dessa nova tecnologia. O Google, pioneiro, lançou o Google Agenda e o Google Docs & Spreadsheets (que engloba um editor de texto e planilhas). O Aprex, um serviço brasileiro, engloba uma série de aplicativos de escritório. Com ótimas funcionalidades, ele engloba agenda, contatos, apresentação empresarial personalizada, disco virtual, blog etc. Para pequenas organizações, é uma ferramenta muito útil, tendo um ótimo custo benefício, além de evitar que a empresa se envolva na administração dessas ferramentas se tivesse que disponibilizá-las por conta própria. Outra site brasileiro é o Gobits Reader, que permite a leitura e cadastro de notícias no formato RSS. Para quem o utiliza pela primeira vez, tem a impressão de estar utilizando um software que parece estar instalado no computador. Além de uma bela interface o site conta com um suporte competentíssimo e permite até a publicação de uma lista na Internet com os RSS preferidos do usuário, tudo isso gratuitamente.

No entanto, todas essas observações preliminares dessa nova tecnologia servem para alertar sobre um problema: situações envolvendo a responsabilidade desses novos provedores tenderão a ser mais freqüentes. A ideia central desses novos serviços abrange a funcionalidade de tais provedores armazenarem documentos (algumas vezes confidenciais) tais como agendas (contendo dados pessoais e extremamente sensíveis), dados empresariais (cadastros de clientes, arquivos de uso da empresa guardados em disco virtual), entre outros arquivos. Se antes a própria empresa se responsabilizava pela guarda de informações e arcava com a responsabilidade pela sua perda ou mau uso, esses novos provedores adquirem, com estes novos serviços, a responsabilidade dobrada de trabalhar com estes novos dados. As empresas também devem estar cientes de que podem estar entregando dados sensíveis para provedores que, em certos casos, não estão devidamente preparados para a função.

Em geral, o acesso a tais ferramentas se dá com contratos de adesão “assinados” pela própria Web (os chamados ClickWrap Agreements). Vemos dois objetos principais destes contratos: a prestação do serviço em si e a guarda dos arquivos gerados pelo usuário nesse ambiente. Tais contratos, mesmo que disponibilizando o serviço gratuitamente, submetem-se ao Código de Defesa do Consumidor, com todas as possíveis conseqüências legais disso (inversão de ônus da prova, possível caracterização de cláusulas abusivas, propaganda enganosa, dever de informação etc). Talvez a principal conseqüência legal seja a responsabilidade objetiva desses novos provedores de serviços. Isso faz com que eles respondam, independentemente de culpa, pelos danos causados aos consumidores quando estes utilizarem seus serviços. Os tribunais brasileiros já decidiram, por exemplo, que o Orkut, mesmo sendo serviço gratuito, submete-se ao CDC. Por isso dizemos que, igualmente, os sites da Web 2.0 devem notar tal determinação.

Vemos, com isso, a ampliação do dever de guarda dos provedores desses novos serviços. Esse dever de guarda é estipulado pelo princípio geral da boa-fé que rege tanto nosso Código Civil quanto o Código de Defesa do Consumidor. A massificação do uso dessas ferramentas irá gerar novas situações jurídicas. A tendência é que a Web 2.0 em breve seja utilizada por todo o Internauta, o que ocorre hoje com o serviço de e-mail. Tal circunstância ampliará o ataque de crackers em cima dessas estruturas, gerando a possível responsabilização desses provedores pela falta de dever de cuidado. Entendemos a necessidade da utilização da norma ISO/IEC NBR 17799 como corolário do art. 39 inc. VIII do CDC, como forma de garantir a descaracterização de uma possível prestação de serviço ser considerada abusiva pela inobservância da referida norma.

Nada impede, apenas à título de argumentação, que uma empresa que contrate um desses serviços e que sofra algum dano pela sua eventual indisponibilidade, processe o provedor de serviços objetivando indenização por lucros cessantes. Até porque, a maioria dos contratos não conta com um bom SLA estabelecendo os possíveis níveis de indisponibilidade, rapidez de serviço, etc.

Enxergamos, em breve, a ocorrência de novos litígios envolvendo a responsabilidade pela guarda e manipulação dos dados de clientes que utilizam aplicativos da chamada Web 2.0. Tanto os provedores desses novos serviços quanto os usuários devem ter noção das novas responsabilidades pela guarda de informações. Também enxergamos a necessidade de algum tipo de criptografia na utilização desses serviços, como mais uma arma das empresas para, de maneira preventiva, evitar a responsabilização pela violação dos dados gerados pelos usuários.

Artigo publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma com que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa, mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades etc. Ela cientifica os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico, o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. Essa política, além de aumentar a produtividade, contribui para diminuir o risco advindo do mau uso da tecnologia , uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e, portanto, sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público, há muitos anos, já atenta para a elaboração de tais políticas com a publicação de resoluções e portarias que regulamentam o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia e segurança da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa, sendo indicado um aconselhamento para a elaboração destes documentos.

Complementando o artigo original, é interessante ressaltar a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também, o documento não deve ser formal demais e deve permitir o entendimento por todos os envolvidos. Realizar um documento extenso demais também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A ideia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas, bem como fazê-lo se sentir participante da atividade de segurança.