Direito da Tecnologia

Site do Prof. Guilherme Damasio Goulart

Categoria: Artigos (Página 1 de 2)

Informações confidenciais, dispositivos móveis e o caso Petrobras

A mistura de informações confidenciais e dispositivos móveis pode ser realmente explosiva caso não existam controles técnicos adequados. Há muito tempo, o noticiário internacional tem trazido notícias sobre incidentes envolvendo furtos e perda de dispositivos móveis. Os profissionais de segurança da informação estão bastante habituados a encontrar situações assim. Há casos célebres envolvendo perda de fitas com dados sobre empregados, notebooks contendo dados do seguro social etc. O FBI, por exemplo, sofreu 160 incidentes deste tipo em quatro anos.

No Brasil, recentemente, tivemos um caso envolvendo o furto de um notebook da Polícia Militar do RJ. Segundo a reportagem o comandante Geral da PM teve seu notebook furtado e as informações sigilosas foram parar nas mãos de criminosos da Favela da Rocinha.

Erros humanos quase sempre estão presentes em casos envolvendo perda de informações confidenciais. Uma pesquisa do IT Policy Compliance Group demonstrou uma estatística interessante sobre a perda de dados: 50% dos incidentes dessa natureza são causados por erros humanos enquanto que a violação das políticas é responsável por 25% dos incidentes.

Em face disso é que a preocupação com a Segurança da Informação não deve ser apenas da equipe de tecnologia. Além do mais, o foco de preocupação não deve ser apenas em cima de computadores, mas em cima do processo como um todo. Assim, a Segurança da Informação deve abranger não apenas a informação digitalizada. Como a própria norma ISO IEC NBR 17799 nos ensina, processos de segurança envolvem Segurança Física, Segurança em Recursos Humanos, análise de requisitos legais em contratos, etc.

Um dos principais motivos para que os profissionais do Direito da Tecnologia devam se preocupar com esses assuntos é o grande auxílio preventivo que atividade jurídica presta em situações dessa natureza. A elaboração de contratos de outsourcing prevendo os termos de responsabilização de cada parte incluindo multas é um ponto muito importante nessa atividade. A previsão, também nos contratos, da observância das normas internacionais de segurança pode ser interessante para nortear a conduta dos envolvidos. Também o auxílio da equipe de Segurança da Informação através da orientação jurídica é outro ponto importante. Ao mesmo tempo, uma análise do eventual risco jurídico envolvendo processos TI é uma atividade que se realizada com a devida atenção pode evitar perdas no futuro. Casos como esse podem gerar muitos processos judiciais além do dano à imagem, sem contar, é claro, os impactos econômicos.

Por outro lado, os especialistas em Segurança da Informação que trabalham com análise de risco sabem que são tomadas decisões sobre de quais os riscos serão suportados ou não pela organização. Uma empresa dificilmente irá controlar e evitar a concretização de todas as ameaças envolvendo a Segurança da Informação. Isso seria virtualmente impossível. Em algumas situações, a empresa pode aceitar suportar um risco advindo de determinada ameaça. Nesses casos, é realizada também uma análise em relação ao custo do controle do risco em questão: caso seja mais caro controlar o risco do que aceitá-lo, provavelmente a organização pode não realizar ações de controle. Ao mesmo tempo, há diversas variáveis envolvendo probabilidade, ativos atingidos, grau de importância do ativo que suportaria o risco, etc. Todas essas atividades podem ser previstas contratualmente. Não raro, prestadores de serviços passam a ter que aderir às políticas de segurança da informação das empresas para as quais trabalham, fato que é determinado nos contratos.

É importante notar que incidentes envolvendo a perda ou furto de dados confidenciais envolvem, entre outras coisas: as disposições contratuais que regem a relação entre as partes envolvidas (e avaliação das práticas de outsourcing); a reavaliação e observação das práticas de Segurança de Informação da organização; o dano à imagem da empresa bem como as repercussões que o fato pode causar no mercado (queda no valor de ações, relação com investidores etc). Além de tudo isso, há também repercussões criminais sobre tais incidentes.

Sabe-se que a manipulação e armazenamento de informações confidenciais em dispositivos móveis, na maioria dos casos, utiliza recursos de criptografia para a segurança. Criptografar informações em dispositivos móveis é um processo relativamente simples e que pode ser feito com baixo custo para uma organização. Existem ferramentas gratuitas e disponíveis na plataforma de software livre oferecendo recursos bastante avançados.

Para a correta aplicação e gerenciamento dos recursos criptográficos o ideal é que isso seja previsto na Política de Segurança. Porém, o ambiente corporativo conhece há muito os problemas relativos a efetiva aplicação e cumprimento. Lembro-me de um excelente artigo publicado no blog do especialista em Segurança da Informação, Anderson Ramos. O nome do artigo é “Como não implementar medidas de segurança“. Lá, ele faz um apanhado de algumas situações e dificuldades na aplicação de controles de segurança da informação. A visão do autor elucida bastante as reais dificuldades encontradas na atividade.

Nos famosos casos americanos em que notebooks são perdidos ou furtados, é comum as imprensa relatar que apesar da política da empresa prever diretrizes acerca da criptografia de dados, os dados envolvidos não estavam criptografados. Essa é outra demonstração das dificuldades envolvendo a aplicação de controles de segurança da informação. Na presente situação, não tivemos conhecimento ainda dos termos da Política de Segurança da Informação da Petrobras. No entanto, é bastante provável que ela preveja o armazenamento criptografado em dispositivos móveis. Além do mais, a empresa não noticiou, mas é possível que tais equipamentos furtados estejam com seus dados criptografados o que faz com que esses dados estejam virtualmente inacessíveis.

Quanto aos aspectos criminais do ocorrido, em primeiro lugar, uma informação básica é que não se trata de roubo de informações. O roubo envolve violência ou grave ameaça à pessoa, o que, em princípio, não houve. Em segundo lugar, se houvesse o roubo, ele seria dos equipamentos e não das informações. Nesse caso, com as informações preliminares, houve (entre outros crimes) um furto qualificado pela destruição de obstáculo. A Polícia Federal trabalha com várias linhas de investigação. Uma delas é realmente a ocorrência de um furto sem que os envolvidos soubessem que se tratava de equipamentos contendo informações sigilosas. Mesmo assim, a linha principal é que realmente a ação tenha sido direcionada para a apropriação das informações.

É importante destacar que ações como essa podem ocorrer com muito mais freqüência do que imaginamos. Uma ação bem sucedida de apropriação de informações especificamente realizada no ambiente digital pode ser feita sem deixar praticamente nenhum vestígio. A interceptação de e-mails e de conversas de Instant Messengers pode ocorrer através da instalação de spywares ou vírus. Redes sem fio também são um vetor para esse tipo de interceptação. Os ataques tem se tornado cada vez mais direcionados. Em geral, ao contrário do que muitas políticas pregam, informações confidenciais transitam por e-mail não criptografado, o que, potencialmente, é um risco para a segurança dessas informações.

Até esse momento, consegui identificar que provavelmente o crime seja tipificado como crime contra a segurança nacional (Lei 7170/83) (além do crime de formação de quadrilha). Diz-se isso uma vez que, segundo comentários da imprensa, estariam em jogo informações atinentes à segurança nacional entregues a grupo estrangeiro. O art. 13 dessa lei dessa lei é claro em definir:

Art. 13 – Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único – Incorre na mesma pena quem:

IV – obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.

Caso não se trate de informações envolvendo a segurança nacional, entendo que o crime seria caracterizado na Lei de Propriedade Industrial (9279/96). Em geral, esta lei classifica tais crimes como concorrência desleal. Não há no Brasil uma lei definindo o crime de Espionagem Industrial. A tipificação que mais se adequa ao caso, conforme a lei de Propriedade Industrial está no art. 195. Vejamos:

Art. 195. Comete crime de concorrência desleal quem:
XI – divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII – divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;

Pena – detenção, de 3 (três) meses a 1 (um) ano, ou multa.

Por fim, o presente caso deve servir como fonte de reflexão não só para os advogados que atuam no Direito da Tecnologia como também nos profissionais de Segurança da Informação. É a prova de que a má-gestão da Segurança da Informação pode trazer conseqüências muito maiores do que o comumente imaginado.

Venda de informações sigilosas por camelôs

Atenção: Este artigo foi escrito no ano de 2008 e é mantido para fins de histórico. Desde então, a lei 11.111/2005 foi revogada pela lei 12.527/2011 e o decreto 4553/2002 foi revogado pelo decreto 7845/2012.

Ao ler um post no blog do Camargo Neves, lembrei que havia feito uma pesquisa há algum tempo acerca da venda de informações sigilosas por camelôs. Na época, em abril de 2007, foi amplamente divulgada a ocorrência da venda dessas informações. No post citado, o autor comenta sobre o fato de alguns camelôs em SP venderem dados relativos às declarações de IR. Em que pese o assunto ser extremamente fértil para a discussão da eventual responsabilidade civil do Estado (nesse caso o Estado responde através da responsabilidade objetiva – art. 37 §6º da CF e art. 43 do Código Civil), quero abordar apenas alguns aspectos penais da questão. Vamos adotar dois focos de responsabilidade nesse caso: uma abordando a responsabilidade do agente público que deixa vazar a informação e a outra do agente que vende a informação, ou seja, o camelô. Importante também ressaltar que partirei da premissa hipotética de que um funcionário público forneceu voluntariamente as informações. Vamos, então, à tipificação legal.

Em geral tais ações são tipificadas como “violação de segredo”. Do ponto de vista do agente público que fornece voluntariamente as informações, entendo que há a tipificação do crime de Violação de Sigilo Funcional, nos termos do art. 325 do Código Penal:

Art. 325 – Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena – detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem:
I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública;
II – se utiliza, indevidamente, do acesso restrito.
§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem:
Pena – reclusão, de 2 (dois) a 6 (seis) anos, e multa.

Podemos notar aqui que o agente que “permite ou facilita… o acesso de pessoas não autorizadas” também comete o mesmo crime. Basta o acesso de pessoas não autorizadas. No entanto devemos notar que este crime pode ser praticado apenas por funcionários públicos especificamente em sistemas da Administração Pública (ao contrário do art. 153 §1A). Caso esta mesma situação ocorresse em outros sistemas ou banco de dados que não fossem da Administração Pública, o agente não poderia ser enquadrado nesse tipo legal. A lei estende, em alguns casos, o entendimento do conceito de “funcionário público” através do art. 327 do Código Penal.

Art. 327 – Considera-se funcionário público, para os efeitos penais, quem, embora transitoriamente ou sem remuneração, exerce cargo, emprego ou função pública.
§ 1º – Equipara-se a funcionário público quem exerce cargo, emprego ou função em entidade paraestatal, e quem trabalha para empresa prestadora de serviço contratada ou conveniada para a execução de atividade típica da Administração Pública.
§ 2º – A pena será aumentada da terça parte quando os autores dos crimes previstos neste Capítulo forem ocupantes de cargos em comissão ou de função de direção ou assessoramento de órgão da administração direta, sociedade de economia mista, empresa pública ou fundação instituída pelo poder público.

Essa equiparação lembra um caso ocorrido em uma universidade federal em que um estagiário foi comparado a funcionário público para a tipificação do crime de Inserção de dados falsos em sistemas de informações, do art. 313-A do Código Penal. Neste caso, o estagiário, que também era aluno, inseriu e alterou os dados da universidade relativos às suas notas nas cadeiras que cursava.

Já para o camelô que vende os dados sigilosos, entendo que há a tipificação do crime de Divulgação de Segredo de acordo com o art. 153 §1o-A do CP:

§ 1º-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:
Pena – detenção, de 1 (um) a 4 (quatro) anos, e multa.
§ 2º-A Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.

Mas como definir o que é uma informação confidencial ou sigilosa? O sigilo sobre esses dados é garantido tanto pela nossa Constituição Federal em seu art. 5º, inc. X (são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação) e também no art. 7º, pár. único da lei 11.111/2005 que diz:

As informações sobre as quais recai o disposto no inciso X do caput do art. 5o da Constituição Federal terão o seu acesso restrito à pessoa diretamente interessada ou, em se tratando de morto ou ausente, ao seu cônjuge, ascendentes ou descendentes, no prazo de que trata o § 3o do art. 23 da Lei no 8.159, de 8 de janeiro de 1991.

Ademais, temos também o decreto 4553/2002 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, que dispõe em seu artigo 37:

Art. 37. O acesso a dados ou informações sigilosos em órgãos e entidades públicos e instituições de caráter público é admitido:
II – ao cidadão, naquilo que diga respeito à sua pessoa, ao seu interesse particular ou do interesse coletivo ou geral, mediante requerimento ao órgão ou entidade competente.

Em sendo assim, essas são as breves considerações acerca da tipificação de crimes envolvendo o fornecimento e venda de informações.

A Política de Segurança como instrumento de prevenção do Risco Legal

A implantação de uma Política de Segurança da Informação (PSI) em um ambiente empresarial não deve ser apenas uma preocupação da equipe de TI. Este documento é uma ferramenta poderosa não só para regrar os controles de Segurança da Informação, mas também para prevenir o risco legal inerente à atividade de tecnologia da informação.

É inegável que segurança da informação é sinônimo de segurança jurídica. Dizemos isso, pois muitos incidentes de tecnologia têm não só impactos tecnológicos, mas também impactos legais. Em face da característica de prevenir o risco legal, a elaboração não deve ser realizada apenas pelos profissionais de TI. Ao contrário, deve haver uma equipe multidisciplinar que esteja envolvida na análise e elaboração do texto. Essa equipe pode consistir em um fórum composto por representantes de várias áreas da empresa, inclusive a área jurídica.

Sabemos que, em geral, antes de se iniciar a elaboração da política é realizada uma análise de risco tecnológico, onde se busca identificar a quais ameaças a organização está exposta. A partir daí serão definidas quais riscos serão controlados (ou não) e então serão escolhidos quais controles ou quais assuntos serão tratados na política. Em linhas gerais, esse é procedimento normalmente realizado.

No entanto, não podemos perder de vista a necessidade também da análise do risco legal da atividade tecnológica desenvolvida pela organização. O produto dessa análise servirá também (junto com o produto da análise de risco tecnológico) para embasar e instruir a elaboração da PSI. Tanto é assim que a norma internacional ISO 17799 estabelece procedimentos específicos envolvendo a atividade jurídica aplicada à tecnologia.

Em geral, as PSI’s, do ponto de vista legal, tratam de assuntos como gestão de direitos autorais; conformidade com legislação e contratos e SLA’s; tutela de ativos informacionais confidenciais; controle de liberação de ativos e informações protegidos por sigilo legal; monitoramento de funcionários; controle de ações em caso de incidentes, etc.

Há setores de negócios que detém uma complexa rede normativa que prevê diversos comportamentos e deveres específicos. Os bancos, por exemplo, devem respeitar normas referentes ao risco operacional (resolução 3380/06 do BCB) que abrange em seu bojo também o risco legal. Tanto é assim que o §1º do art. 2º da referida resolução é expresso em dizer:

A definição de que trata o caput inclui o RISCO LEGAL associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

As empresas (mesmo as brasileiras) com ações na bolsa dos EUA devem respeitar controles da lei SOX que trata da integridade de informações e balanços, bem como estabelece deveres específicos para os responsáveis pela atividade tecnológica. Essas normas legais devem ser observadas também quando da elaboração da PSI.

Um exemplo mais singelo, ao lado oposto dos bancos e empresas citadas acima, são as Lan’s Houses. No estado de SP há uma lei estadual (12.228/06) regulando sua atividade. Essa lei prevê o dever da guarda de logs de atividade por 60 meses, estabelecendo inclusive multas para a não observância deste preceito. Isso indica que mesmo uma empresa de pequeno porte, como uma Lan House, deve estar em conformidade com requisitos legais específicos acerca das atividades envolvendo TI. Essa conformidade pode ser iniciada com a elaboração de uma PSI que irá estabelecer as diretrizes necessárias para este controle.

Outro controle da PSI que merece atenção jurídica é o gerenciamento de incidentes. A empresa que não tem um plano de ação definido e nada faz na ocorrência de um incidente, dependendo do caso, pode ser considerada negligente e essa negligência pode ter conseqüências legais consideráveis. Caso a empresa venha a ser demandada judicialmente pelo incidente, o aspecto preventivo da PSI aparece para uma possível demonstração de que ela [a empresa] preocupava-se com o assunto “Segurança da Informação”. Isso pode ser determinante para afastar uma postura negligente ou demonstrar ainda que a empresa tomou as providências necessárias para evitar o incidente. Ao mesmo tempo, a implementação da PSI é um dos fatores que podem caracterizar também o cumprimento do dever de diligência do administrador da sociedade, dever este consubstanciado no art. 1011 do CC:

O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Um incidente que afete a disponibilidade de um serviço pode influir também em SLA’s definidos contratualmente. E não é raro tais contratos estabelecerem multas pelo descumprimento de um SLA. Com isso, há a necessidade de estabelecer um alinhamento entre os prazos de SLA, os contratos e as diretrizes referentes à resposta a incidentes, e isso pode ser feito através da PSI.

As empresas que divulgam conteúdo elaborado por seus funcionários através de blogs, também devem atentar para o eventual risco jurídico desta atividade. Já há empresas que adotam a “policy blogging“, um documento que pode ser previsto na PSI e que regra a atividade de publicação de conteúdo através dos blogs. Também não podemos perder de vista algumas decisões judiciais que reconheceram a responsabilidade do autor do blog por comentários de terceiros. Ao mesmo tempo, sabe-se que a empresa é responsável pelos atos dos funcionários quando estes os praticam sob sua estrutura tecnológica e em razão de seu trabalho. Um desregramento desta atividade pode representar a responsabilização da empresa pelas manifestações de pensamento de seus funcionários.

A prevenção do risco legal ocorre também com a previsão na PSI de outras políticas que regrem determinados comportamentos dentro da organização. Exemplos são as Políticas de Uso de E-mail e Internet, Políticas de Acesso, Política de Uso de Hardware etc. A justiça gaúcha recentemente analisou um caso1 envolvendo direitos de acesso a um servidor de arquivos. Uma empresa processou a própria funcionária por ela ter, deliberadamente, deletado várias arquivos da empresa. A turma decidiu no sentido de que se não havia uma política de acesso regrando exatamente como deveria ocorrer o acesso a arquivos, não se poderia exigir determinado comportamento do funcionário. Aliado a esse argumento, decidiu também que se ela tinha a permissão no sistema de arquivos para a deleção, ela não poderia sofrer uma punição em face da permissividade técnica.

Também é muito comum o desregramento acerca da atividade de monitoramento da atividade dos funcionários das organizações. A realização desregrada e descontrolada dessa atividade pode, em casos extremos, tipificar o crime de interceptação telemática não autorizada ou ainda o ilícito civil de violação de privacidade.

Nesse passo, as organizações devem observar a PSI também sob o aspecto legal, caso queiram gerenciar com mais efetividade o risco jurídico inerente à atividade de TI. A tendência é de que com a especialização da legislação brasileira, o número de leis envolvendo obrigações relativas à TI e à Segurança da Informação aumente rapidamente.


1 – TJ/RS AC 70019549971, 9ª Câmara Cível, j. em 4 jul. 2007, rel. Des. Odone Sanguiné.

A ligação do Direito da Tecnologia com a divulgacão de informações da caixa preta do acidente da TAM: Confidencialidade de Dados

A segurança da informação, apesar de tratar, na maioria das vezes, de processos envolvendo questões de segurança digital, não trata apenas destas. Como o próprio nome diz, a segurança recai sobre a informação, vista esta em um sentido amplo. Nesse sentido, procuramos estabelecer a relação que pode haver entre a divulgação da transcrição da caixa preta do acidente da TAM e o Direito da Tecnologia. Recentemente tivemos notícia da ampla discussão havida em um fórum na Internet (fórum dos Certified Information Systems Security Professional) onde especialistas em Segurança da Informação debatiam com muito afinco, justamente, a ligação da divulgação da transcrição da caixa preta com os processos de segurança da informação.

Cabe mencionar, desde já, que a atividade de segurança da informação prevê a atividade de compliance (ou em português, conformidade). Esta atividade de compliance visa garantir que a informação (do ponto de vista da sua produção, divulgação e armazenamento) atenda a requisitos legais, contratuais e de eventuais políticas envolvidas no ambiente tratado. Portanto, como o processo de segurança abrange a informação em sentido amplo, o Direito da Tecnologia irá preocupar-se, em muitos casos, com a análise de risco da divulgação de informações sensíveis, atendendo aos requisitos de compliance.

A análise de risco jurídico (no âmbito do Direito da Tecnologia) dar-se-á, nesses casos, quando estivermos tratando de informações sensíveis e confidenciais e, caso haja uma divulgação indevida, tal divulgação puder trazer potencial probabilidade de incidentes legais advindos desse fato. Um exemplo prático da atividade de compliance, orientada por advogados especialistas no Direito da Tecnologia, se dá em cima da divulgação de dados ou logs de provedores. Em face do sigilo de comunicações, a empresa deve manter controles visando a proteção de tais ativos informacionais. Há sempre uma orientação legal nos processos de trabalho dessas empresas para a divulgação. O mesmo ocorre nas empresas que têm a posse de quaisquer dados digitalizados. Como hoje todas as empresas dependem da informação digitalizada, há sempre a observância de tal cuidado ao se tratar de tais informações.

Com base no exposto, adentremos no caso da divulgação da transcrição da caixa preta do recente acidente ocorrido com o avião da TAM, vôo 3054, realizado pela CPI do Apagão Aéreo. Sem adentrar no juízo de valor acerca da pertinência ou não da divulgação para a colaboração das investigações, podemos analisar o caso com base em práticas utilizadas no Direito da Tecnologia. Do ponto de vista legal, no nosso entender, vemos a ilegalidade da divulgação e a consequente ocorrência do ato ilícito ensejador de responsabilidade civil por parte do poder público.

Em primeiro lugar, é necessário observar a responsabilidade objetiva do Estado quando da realização de atos comissivos. O art. 37 de nossa Constituição Federal prevê a referida responsabilidade, sendo que as CPIs e o poder legislativo também se submetem a tal princípio.

Igualmente, a CPI, ao desempenhar sua função, deve respeitar princípios administrativos basilares, sendo um deles o da moralidade administrativa. Nossa Constituição define o respeito a esse princípio no mesmo artigo acima citado. O princípio da moralidade administrativa nos diz que deve haver um atendimento ao senso ético comum no cumprimento do ato administrativo, na medida justa e necessária esperada. É o descumprimento dos preceitos de boa-fé e também da experiência comum de uma determinada atividade. O princípio da moralidade administrativa exige, igualmente, a transparência na atuação no que diz respeito à identificação concreta do objetivo do ato realizado (o que pode se confundir com o princípio da finalidade). É comum, quando do desrespeito a esse princípio, a configuração do desvio de poder. Aliado a este princípio, temos também o princípio administrativo da finalidade do ato bem como da razoabilidade.

Há, neste compasso, o dever da CPI em preservar fatos, atos e documentos que possam ser atentatórios à justiça, às partes ou terceiros envolvidos ou que sejam tenham sua divulgação controlada em lei. Basta fazer uma analogia a um processo comum. O juiz, apenas por ser juiz, não pode divulgar publicamente dados que possam ofender as partes. Para isso há o segredo de justiça. Se há a divulgação de conteúdo legalmente protegido, ou que possa causar dano, o juiz, em tese, comete abuso ou desvio de poder pela divulgacão indevida. O mesmo ocorre com as CPIs.

A intimidade, nesses casos, é tão sagrada que há até um tipo penal para a violação de sigilo funcional. Ou seja, quando um funcionário público revela um fato que tem ciência em razão de seu cargo, e que deveria manter segredo, comete ele o crime de violação de sigilo funcional, nos termos do art. 325 do CP. Um caso clássico desse crime é de um médico legista que divulgou indevidamente fotos de uma necrópsia, sendo, com isso, condenado com base nesse tipo penal.

Mas como saber se a informação pode ou não pode ser divulgada? No âmbito empresarial, através dos Acordos de Confidencialidade, podemos estabelecer o parâmetro de divulgação. Quanto a isso não há dúvidas. No entanto, no presente caso, devemos estabelecer a necessidade ou não de divulgação e se essa divulgação pode ou não contribuir para o bom andamento das investigações.

É sabido que, por vezes, um inquérito policial comum mantém em sigilo o produto de investigações por diversos motivos: bom andamento dos trabalhos, proteção de testemunhas, preservação de provas etc. Tanto é assim que o Código de Processo Penal (diga-se de passagem utilizado subsidiariamente pelas CPI’s) prevê expressamente em seu art. 20 tal atuação:

“A autoridade assegurará no inquérito o sigilo necessário à elucidação do fato ou exigido pelo interesse da sociedade.”

Entendemos aqui que não há nenhum interesse da sociedade em obter a transcrição dos últimos momentos de vida dos pilotos.

Analogicamente, podemos buscar informações no decreto 4553/2002 que estabelece a “salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.”. O art. 2º desse decreto nos diz:

São considerados originariamente sigilosos, e serão como tal classificados, dados ou informações cujo conhecimento irrestrito ou divulgação possa acarretar qualquer risco à segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas.

Do ponto de vista da CPI, entendemos haver, com base nesse decreto, o dever de manter o sigilo absoluto acerca de tais dados.

Mas talvez a principal regra que defina a ilicitude esteja em nossa CF. Temos o princípio da intimidade estabelecido na Constituição Federal no art. 5º, inc. X. Como cláusula pétrea, estabelece a inviolabilidade da vida privada. Não há dúvida que a autoridade pública não tem o poder de divulgar fatos que possam comprometer a intimidade de pessoas (falecidas inclusive, passando o direito de exigir a reparação para os parentes do morto). Portanto, o respeito ao princípio da moralidade administrativa e da legalidade estrita exigem da CPI uma conduta de preservação dos valores da personalidade dos envolvidos no acidente. Ressalta-se aqui, mais uma vez, que o fato de terem os envolvidos falecido no acidente, faz com que seus parentes tenham o direito de exigir, em seu nome, a indenização pelos danos morais.

Não se discute aqui a responsabilidade dos órgãos de imprensa que também divulgaram as informações. Tratamos, aqui, da divulgação pelos órgãos públicos. Contudo, não podemos perder de vista que a anterior divulgação pela imprensa dos dados poderia retirar seu aspecto de proteção, uma vez que as informações já teriam sido levadas ao conhecimento público e a mera repetição poderia afastar a ocorrência do ato ilícito. Mesmo assim, entendemos que, a priori, há a prática de um ilícito por parte da CPI e do poder público ao divulgar dados que ofendem a intimidade das vítimas do acidente.

Orkut, MP, Liberdade de Expressão e Devido Processo Legal

Atenção: Artigo escrito antes do Marco Civil da Internet (lei 12.965/2014). Tal lei estabelece requisitos específicos sobre a retirada de conteúdos da Internet.

Recentemente tivemos notícias de alguns acordos dos MP’s estaduais com o Google Brasil no sentido de que aqueles possam retirar conteúdos ofensivos do site Orkut. Em geral, seriam concedidos poderes de administração na rede do Orkut para que conteúdos pré-taxados de ilegais sejam retirados de circulação. No entanto , entendemos haver alguns problemas legais nessa atuação do MP.

É inegável que a questão de crimes digitais no Orkut é assunto que merece discussão. Todos concordam que o site de relacionamentos é utilizado para o tráfico de drogas, divulgação de pornografia infantil, ameaças, além de outros crimes. No entanto, ao mesmo tempo que podemos identificar facilmente casos mais evidentes, entendo que pode haver um abuso de poder por parte do MP em retirar conteúdo legalmente publicado.

A tipificação de um conteúdo como ilegal deve passar necessariamente pelo crivo de uma análise judicial. Não podemos, com o argumento de que precisamos agir rapidamente nos casos de crimes digitais, suprimir a instância judicial. Há a garantia constitucional do devido processo legal que, mesmo nesses casos, não deve ser desrespeitada.

Sabemos que um promotor não é um juiz. A frase é por demais óbvia, mas importa em reconhecer que um promotor não tem os mesmos poderes de um juiz. Devemos ressaltar que não se quer aqui desprestigiar a atuação do MP que, nos casos de crimes digitais, é importantíssima. No entanto, vemos que um promotor não tem o poder de fazer cessar a publicação de conteúdos legalmente publicados na Internet. Se houver a necessidade, há que se buscar uma ordem judicial para tanto, sob pena de atropelarmos o princípio do devido processo legal (due process of law). Portanto , nos preocupamos não com os conteúdos manifestamente ilegais publicados, mas sim, nos que estejam em uma zona fronteiriça.

Com isso, devemos ressaltar não se tratar, somente, de uma questão de direito material: não se quer defender a publicação de conteúdos ilegais na Internet. O que se quer aqui é ordenar o procedimento legal para a retirada de conteúdo. É certo que conteúdos ilegais devem ser retirados do ar de forma mais rápida possível. No entanto, este ato, por mais urgente que seja, deve acompanhar a lei, ou seja, ser precedido de uma ordem judicial. Nossa Constituição é clara em seu art. 5º IX em afirmar:

IX – é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença;

Uma atuação do MP, nesses casos, poderia ferir a garantia constitucional de liberdade de expressão. Mais uma vez, relembramos: um juiz deve interferir em cessar a publicação de qualquer conteúdo. Entendemos, portanto, que esses convênios deveriam se dar com o judiciário e não com o MP. A liberdade de expressão, como garantia, não deve ser ameaçada por ato de quaisquer autoridades em uma democracia. Igualmente, é sabido que o Estado tem o dever de fazer cessar publicações criminosas. Então, através do princípio da proporcionalidade devem coexistir esses dois valores.

Por fim, vemos ainda a possível responsabilização do Google Brasil em atender retiradas de conteúdos que, após um procedimento legal, não fossem considerados ilegais. A mera requisição de uma parte atingida ou até do MP, não pode ter o mesmo poder de um juiz em ordenar a retirada de um conteúdo de publicação.

Responsabilidade civil das empresas de assistência técnica

Um assunto que merece atenção tanto dos usuários quanto das empresas é a responsabilidade das empresas de assistência técnica quando da divulgação indevida de dados contidos nos computadores. Teceremos alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.

Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência técnica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).

Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mal-intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais, esses profissionais têm o dever anterior de preservar o sigilo das informações. Com isso , há dois deveres subsequentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.

Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.

O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda, se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.

Mesmo assim, sabemos que a culpa exclusiva do consumidor ou, ainda, de terceiro pode afastar a responsabilidade da empresa. Nessa seara, por exemplo, a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente, o Tribunal de Justiça do RS se manifestou sobre o dever de segurança, por parte do consumidor/usuário, na apelação civil n. 70011140902:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA

No caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso, há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.

Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados) impedindo, assim, a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação. Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentando para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor, sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para o fato de que a divulgação dos dados constitui crime de Violação de Segredo Profissional.

Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título “Assistência técnica e a segurança das suas informações”. Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.

Contratos Informáticos

É interessante fazer a distinção entre Contratos Informáticos e Contratos Eletrônicos, uma vez que há grande confusão entre os dois conceitos. Os contratos Informáticos são aqueles que envolvem a prestação de um serviço de cunho tecnológico, geralmente ocorrendo entre pessoas jurídicas, podendo ou não ser realizado de maneira virtual ou remota. Nota-se que o traço que o distingue do contrato eletrônico é que seu objeto sempre será relacionado com alguma atividade eminentemente tecnológica. Entre muitas atividades abrangidas nos contratos informáticos temos a prestação de um serviço de análise de risco, controle de segurança, prestação de um serviço de contingência ou continuidade de negócios digitais, a instalação de um Firewall, a contratação de um link, a terceirização de governança em TI, terceirização da atividade de desenvolvimento de software etc.

Ao contrário dos contratos informáticos, os contratos eletrônicos são aqueles em que o meio utilizado para a manifestação de vontade dos contratantes é o computador ou a Internet. A utilização do “meio eletrônico” é a característica que define um contrato como sendo “eletrônico”. Com isso, o consumidor que realiza uma compra via internet está aderindo a um contrato eletrônico. Em sendo assim , nada impede que um contrato seja ao mesmo tempo informático e eletrônico, quando abranger as características já expostas. Em geral, tais contratos [os eletrônicos] ocorrem em relações consumeristas, atraindo para si todos os ditames advindos da utilização do Código de Defesa do Consumidor.

No entanto, o foco deste pequeno artigo é o Contrato Informático. Em que pese não haver uma legislação específica para a formação destes contratos, eles podem se constituir de forma livre. Isso significa que não há forma pré-determinada ou cláusulas obrigatórias estabelecidas pela legislação contratualista. No entanto, a doutrina de Direito da Tecnologia nos recomenda a observância de algumas cláusulas fundamentais que tais contratos devem trazer. Entre muitas cláusulas necessárias nesses contratos, trazemos cinco, quais sejam:

Glossário – Tais contratos, por abrangerem situações muito específicas, podem dar margem a diversas interpretações aos termos técnicos abordados na minuta contratual. Visando, portanto, evitar o aparecimento do risco jurídico e diminuir, desde já, a ocorrência de futuros litígios envolvendo a interpretação de alguns termos é que nasce a necessidade de utilizar um glossário esclarecendo o sentido dos termos técnicos envolvidos.
Cláusula de Confidencialidade – Em face da atividade tecnológica quase sempre lidar com informações sensíveis e algumas vezes confidenciais é imprescindível a utilização desta cláusula. Ela estabelecerá quais as obrigações das partes em relação à proteção das informações que o contrato atingirá. Tais cláusulas estabelecem também o nível de proteção que cada parte deverá ter com a informação, os termos de divulgação da relação contratual e até mesmo regras sobre como as empresas deverão instruir seus colaboradores para a melhor proteção da informação. Importante dizer que a definição de uma determinada informação como confidencial pode dar azo até a uma resolução contratual pelo inadimplemento da obrigação ali estabelecida. Esta cláusula poderá estabelecer o tratamento dos logs envolvidos na operação, sua destruição ou até mesmo “devolução”, caso seja possível, e a possibilidade de auditabilidade da operação. A questão da auditabilidade poderá se dar até mesmo como obrigação pós-contratual, estabelecendo a obrigatoriedade das partes manterem os logs da operação guardados por um período pré-estabelecido no contrato.
Cláusula de caso fortuito – O caso fortuito ou de força maior (act of god na doutrina americana) deve também ser tratado em tais contratos. Defendemos o conceito de “caso fortuito digital” (conceito a ser melhor explanado em outro artigo). As situações chamadas de “caso fortuito digital” podem ser pré-estabelecidas no contrato. Isso para o caso de na sua ocorrência, poder se alterar, atrasar ou até mesmo modificar os termos de prestação e prazos. Exemplos de caso fortuito digital são os ataques mundias e imprevisíveis de vírus, falhas ou bugs imprevistos em softwares, queda de links ou backbones etc. A previsão de tais casos no contrato serve também para evitar a posterior discussão judicial de inadimplemento obrigacional em tais situações. Ademais, o art. 393 do Código Civil, no título de Inadimplemento das obrigações é claro em estabelecer:

Art. 393. O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabilizado.
Parágrafo único. O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não era possível evitar ou impedir.

Cláusula de prova eletrônica – A cláusula de prova eletrônica é importante na medida em que estabelece que tipos de logs ou registros devem ser guardados, e por quanto tempo, a fim de constituir futura prova de algum ato ou fato relacionado com o escopo contratual. Questões como o monitoramento de operações e comunicações pode ser previsto nessa cláusula onde se dará, se for o caso, o consentimento das partes para o possível monitoramento. Já há decisões judiciais em que a empresa foi responsabilizada por não manter logs de sua atividade. Esse dever de guarda e armazenamento (dever este colateral derivado do princípio da boa-fé objetiva) deve sempre ser observado. Nesta cláusula também se estabelecerá, se for o caso, as questões relativas à assinatura digital (através do uso da MP 2.200-2) e de que forma tal tecnologia será utilizada a fim de garantir o conceito de “não repúdio”.
Cláusula de proteção de direitos autorais – A cláusula de direitos autorais estabelecerá os limites e a forma que a questão da propriedade intelectual será tratada na prestação do serviço. Nos casos de contratos informáticos de Outsourcing de Desenvolvimento de Software, por exemplo, deve haver uma atenção especial a esta cláusula. A lei 9609/98, entre várias estipulações, estabelece em seu art. 4º…

“Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário…”.

A primeira parte do artigo, ao mencionar a expressão “salvo estipulação em contrário”, dá margem à liberdade contratual de se estabelecerem disposições diferenciadas neste sentido. Ainda em relação aos direitos autorais, o contrato pode prever que se instituirá uma política de uso ou de segurança, nas organizações partes, para a gestão de direitos autorais, visando afastar o risco jurídico advindo do mau uso da tecnologia por colaboradores ou terceiros envolvidos.

Por fim é importante dizer que tais cláusulas não são exaustivas, constituindo-se o Contrato Informático em um instrumento diferenciado composto por diversas cláusulas pouco vistas em outros contratos negociais. Além das cláusulas mencionadas, há inúmeras outras igualmente importantes para a elaboração de um contrato seguro. Daí a importância do advogado que trabalha com Direito da Tecnologia conhecer profundamente a atividade tecnológica sobre a qual desenvolve sua atividade.

Web 2.0 e responsabilidade dos provedores

Nos últimos meses, temos visto a explosão de sites disponibilizando serviços caracterizados como da geração Web 2.0. Esse novo conceito de Internet certamente irá revolucionar a maneira como as pessoas e empresas utilizam a rede. A Web 2.0 traz novas funcionalidades até agora pouco exploradas e transforma a Internet em uma ferramenta muito mais poderosa e dinâmica.
A Web 2.0 se manifesta, entre outras situações, por sites que disponibilizam novas ferramentas tais como planilhas, editores de texto, agendas, CRM’s, etc, todos rodando no próprio browser do usuário. Em geral, é utlizada a tecnologia AJAX (Asynchronous Javascript and XML). A junção dessas duas tecnologias permite, a grosso modo, que essas novas aplicações Web possam responder e operar como um software instalado no próprio computador. A grande vantagem é que não há a necessidade de download e instalação de nenhum software no computador do usuário e ainda o sistema pode ser utilizado em qualquer computador, uma vez que roda no browser e fica instalado em um servidor central. É como se pudéssemos utilizar nosso processador de texto preferido, lendo e editando nossos arquivos sem precisar instalar nenhum programa e fazendo isso em qualquer computador que tenha acesso à Internet. São chamados também de Web Based Applications.

Temos diversos exemplos dessa nova tecnologia. O Google, pioneiro, lançou o Google Agenda e o Google Docs & Spreadsheets (que engloba um editor de texto e planilhas). O Aprex, um serviço brasileiro, engloba uma série de aplicativos de escritório. Com ótimas funcionalidades, ele engloba agenda, contatos, apresentação empresarial personalizada, disco virtual, blog etc. Para pequenas organizações, é uma ferramenta muito útil, tendo um ótimo custo benefício, além de evitar que a empresa se envolva na administração dessas ferramentas se tivesse que disponibilizá-las por conta própria. Outra site brasileiro é o Gobits Reader, que permite a leitura e cadastro de notícias no formato RSS. Para quem o utiliza pela primeira vez, tem a impressão de estar utilizando um software que parece estar instalado no computador. Além de uma bela interface o site conta com um suporte competentíssimo e permite até a publicação de uma lista na Internet com os RSS preferidos do usuário, tudo isso gratuitamente.

No entanto, todas essas observações preliminares dessa nova tecnologia servem para alertar sobre um problema: situações envolvendo a responsabilidade desses novos provedores tenderão a ser mais freqüentes. A ideia central desses novos serviços abrange a funcionalidade de tais provedores armazenarem documentos (algumas vezes confidenciais) tais como agendas (contendo dados pessoais e extremamente sensíveis), dados empresariais (cadastros de clientes, arquivos de uso da empresa guardados em disco virtual), entre outros arquivos. Se antes a própria empresa se responsabilizava pela guarda de informações e arcava com a responsabilidade pela sua perda ou mau uso, esses novos provedores adquirem, com estes novos serviços, a responsabilidade dobrada de trabalhar com estes novos dados. As empresas também devem estar cientes de que podem estar entregando dados sensíveis para provedores que, em certos casos, não estão devidamente preparados para a função.

Em geral, o acesso a tais ferramentas se dá com contratos de adesão “assinados” pela própria Web (os chamados ClickWrap Agreements). Vemos dois objetos principais destes contratos: a prestação do serviço em si e a guarda dos arquivos gerados pelo usuário nesse ambiente. Tais contratos, mesmo que disponibilizando o serviço gratuitamente, submetem-se ao Código de Defesa do Consumidor, com todas as possíveis conseqüências legais disso (inversão de ônus da prova, possível caracterização de cláusulas abusivas, propaganda enganosa, dever de informação etc). Talvez a principal conseqüência legal seja a responsabilidade objetiva desses novos provedores de serviços. Isso faz com que eles respondam, independentemente de culpa, pelos danos causados aos consumidores quando estes utilizarem seus serviços. Os tribunais brasileiros já decidiram, por exemplo, que o Orkut, mesmo sendo serviço gratuito, submete-se ao CDC. Por isso dizemos que, igualmente, os sites da Web 2.0 devem notar tal determinação.

Vemos, com isso, a ampliação do dever de guarda dos provedores desses novos serviços. Esse dever de guarda é estipulado pelo princípio geral da boa-fé que rege tanto nosso Código Civil quanto o Código de Defesa do Consumidor. A massificação do uso dessas ferramentas irá gerar novas situações jurídicas. A tendência é que a Web 2.0 em breve seja utilizada por todo o Internauta, o que ocorre hoje com o serviço de e-mail. Tal circunstância ampliará o ataque de crackers em cima dessas estruturas, gerando a possível responsabilização desses provedores pela falta de dever de cuidado. Entendemos a necessidade da utilização da norma ISO/IEC NBR 17799 como corolário do art. 39 inc. VIII do CDC, como forma de garantir a descaracterização de uma possível prestação de serviço ser considerada abusiva pela inobservância da referida norma.

Nada impede, apenas à título de argumentação, que uma empresa que contrate um desses serviços e que sofra algum dano pela sua eventual indisponibilidade, processe o provedor de serviços objetivando indenização por lucros cessantes. Até porque, a maioria dos contratos não conta com um bom SLA estabelecendo os possíveis níveis de indisponibilidade, rapidez de serviço, etc.

Enxergamos, em breve, a ocorrência de novos litígios envolvendo a responsabilidade pela guarda e manipulação dos dados de clientes que utilizam aplicativos da chamada Web 2.0. Tanto os provedores desses novos serviços quanto os usuários devem ter noção das novas responsabilidades pela guarda de informações. Também enxergamos a necessidade de algum tipo de criptografia na utilização desses serviços, como mais uma arma das empresas para, de maneira preventiva, evitar a responsabilização pela violação dos dados gerados pelos usuários.

Consequências legais relacionadas ao envio de e-mails

No que diz respeito ao envio de e-mails, atividade realizada diariamente por quase todas as pessoas que têm acesso à Internet, é importante ressaltar alguns aspectos legais do possível mau uso dessa tecnologia.

Diversos crimes podem ser cometidos através do envio de e-mails. Imaginamos o caso de alguém enviar um e-mail ofendendo alguém. Dependendo do caso, há a ocorrência do crime de injúria, difamação ou até calúnia, se houver a imputação de um crime.

Ademais, esse ato pode importar também no crime de ameaça, conforme o art. 147 do CP, que é claro em dizer:

Ameaçar alguém, por palavra, escrito ou gesto, ou qualquer outro meio simbólico, de causar-lhe mal injusto e grave:
Pena – detenção, de um a seis meses, ou multa.

Além desses crimes acima relatados, há também a potencial ocorrência do crime de violação de sigilo funcional. Recentemente houve um caso no qual um perito médico-legal divulgou fotos de uma autópsia de um conhecido crime de homicídio em que a vítima foi esquartejada. As fotos divulgadas foram vistas por milhares de pessoas, havendo uma inquestionável agressão à família da vítima.

Por se tratarem, na maioria dos casos, de crimes de pequeno potencial ofensivo, seu julgamento é de competência dos juizados especiais criminais. O ofendido, nesse caso, pode dirigir-se até uma delegacia de polícia, com a cópia do e-mail com cabeçalho, se desejar dar início à ação penal. Lavrar-se-á um Termo Circunstanciado, que após será enviado para o Juizado Especial, quando se ouvirão as partes, dando seguimento ao procedimento dos juizados especiais. No entanto, nota-se que em muitos casos as delegacias não estão preparadas para tratar de tais questões, ressalva feita às cidades que possuem delegacias especializadas em crimes digitais.

Outros casos de possíveis violações da norma penal por e-mail são: violação de direito autoral; incitação e apologia; concorrência desleal; divulgação de pedofilia, estelionato, etc. Todos esses crimes encontram na internet apenas um novo modus operandi, em relação ao seu cometimento.

Em todos os casos de ocorrência de crimes, não se pode ignorar que a sentença penal, de acordo com o art. 935 do CC, faz com que não haja mais discussão sobre autoria do fato ou autoria. Em sendo assim, após a sentença penal, pode-se ajuizar uma ação cível buscando apenas a definição da indenização pecuniária.

Em relação à responsabilidade por ato ou fato de terceiro, é claro o artigo 932 do nosso CC ao estabelecer a responsabilidade do empregador pela reparação civil dos atos praticados pelos empregados no desempenho de seu trabalho. Com isso, alguém que se sinta atingido moralmente, por exemplo, por um e-mail proveniente de uma rede corporativa enviado por um empregado usando o domínio empresarial, pode intentar uma ação indenizatória contra a própria empresa. Além disso, é potencial o risco à imagem da empresa, que pode ter a sua imagem vinculada à manifestação exarada no e-mail. Nos EUA houve um caso em que um escritório de advocacia processou a IBM, uma vez que um funcionário desta violou os e-mails daquele escritório.

Há, também, a responsabilidade  dos pais pelos atos dos filhos pelo mau uso da tecnologia. Hoje é comum que crianças e adolescentes utilizem indiscriminadamente a internet sem a orientação dos pais. É importante frisar que os pais são responsáveis pelas ofensas e injúrias irrogadas por menores de idade através do e-mail independentemente de sua culpa.

Por fim, no ambiente empresarial, é útil a criação e utilização de uma política de controle de conteúdo com o fim de prevenir o potencial cometimento de atos prejudiciais. Os pais também devem orientar seus filhos sobre o mau uso da tecnologia e as possíveis conseqüências no mundo físico. Ao contrário do que se pensa, a Internet não é uma “terra sem lei” e, em geral, os ilícitos cometidos no ambiente digital são tão ou mais danosos do que os cometidos no ambiente físico.

Breves comentários sobre Segurança da Informação e Desenvolvimento de Softwares

Muitas vezes a atividade de desenvolvimento de softwares não é orientada pelos princípios básicos de Segurança da Informação. Diversas conseqüências podem advir dessa inobservância: problemas relativos à propriedade do programa; a apropriação ou mau uso de dados sensíveis da empresa; a divulgação de dados cadastrais de clientes ou seu uso para fins espúrios; a ocorrência de incidentes pelo não monitoramento dos dados de saída dos softwares; problemas advindos da atividade de terceirização do desenvolvimento, etc.

Em primeiro lugar, no que diz respeito à propriedade intelectual, temos a lei 9.609/98 que dispõe sobre a propriedade intelectual de programa de computador. Seu artigo 4º é claro em dizer:

Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário…

Com isso, é importante a correta orientação dos desenvolvedores no sentido de impedir que os códigos fontes gerados pela relação de emprego sejam reutilizados pelo profissional em atividades particulares. Também, sempre é útil um aditivo no contrato de trabalho ou um termo de ciência de tal disposição para reforçar tal orientação.

Na maioria dos casos, os desenvolvedores têm acesso a dados sensíveis da empresa , tais como informações financeiras, cadastros de clientes, segredos industriais, dados telefônicos ou bancários etc. Nesse diapasão, um monitoramento preventivo pela equipe de segurança é útil para evitar o mau uso desses dados. O resultado desse monitoramento (logs) também deve ser corretamente gerado bem como armazenado. Também é útil a criação de rotinas de autorização para o uso de dados sensíveis. Ademais, dependendo do caso, cada desenvolvedor deve ter acesso apenas aos dados estritamente necessários para a sua atividade. Em casos extremos, é gerado um banco de dados fictício apenas para o fim de desenvolvimento, para que os desenvolvedores não tenham acesso aos dados reais de propriedade da empresa.

A norma ISO/IEC NBR 17799:2005, que trata das melhores práticas para Segurança da Informação, dispõe especialmente sobre os controles necessários atinentes à atividade de desenvolvimento de sistemas. A validação de dados de entrada e saída é um dos itens comentados. Vemos a importância desse controle na medida em que sistemas que geram informações bancárias, fiscais, etc, podem causar um prejuízo quando da emissão de dados errôneos. Além do prejuízo financeiro e dos possíveis danos à imagem, há o risco jurídico de emissão errônea de dados bancários, por exemplo, em ações movidas pelos atingidos.

A referida norma também fala sobre o acesso ao código fonte. Deve ser implementado um controle específico para restringir o acesso ao código fonte, para evitar questões de propriedade intelectual e também para evitar a inserção de códigos não autorizados no corpo do programa, os conhecidos rootkits.

A troca de sistema operacional deve ser sempre observada, com o fim de verificar a compatibilidade do programa desenvolvido e evitar o possível impacto negativo no caso de incompatibilidade.

Cuidados específicos no caso de terceirização da atividade também devem ser desenvolvidos. A transferência dessa tarefa não implica necessariamente a transferência de responsabilidades. Nesse sentido, a realização dos contratos por uma assessoria jurídica especializada é importantíssima. Em tais contratos, estabelece-se uma série de cláusulas específicas da atividade indo desde os processos de trabalho, bem como os resultados pretendidos, até questões como acordos de confidencialidade e acordos de monitoramento entre outros. Esses contratos também regulam questões sobre o nível de responsabilidade de cada parte e questões de suporte quanto a eventuais futuros problemas.

A realização de testes também é importante nesse cenário. Algumas empresas são especializadas apenas em encontrar defeitos em softwares. Além de tais testes terem o condão de evitar perdas futuras pelo mau funcionamento do software, também previne-se o retrabalho de desenvolvedores para identificar e corrigir futuros defeitos.

Em sendo assim, finalizamos com a indicação do aconselhamento legal e aplicação de controles de segurança da informação para a atividade de desenvolvimento de software.

Página 1 de 2

Desenvolvido em WordPress & Tema por Anders Norén