Palestra

No dia 19 de Outubro ministrarei a palestra intitulada "A última fronteira: Relações entre o Direito e a Tecnologia da Informação" na Mérito Estudos, em Porto Alegre. Como tema geral, tratarei dos principais pontos do Direito da Tecnologia da Informação.

A atividade serve como atividade complementar para o curso de direito.

As inscrições podem ser feitas através do telefone (51) 3372-7296 ou no site www.meritoestudos.com.br.

Questões sobre o conteúdo da palestra podem ser enviadas para guilherme@direitodatecnologia.com

Decisões impossíveis de serem realizadas e o Direito da Tecnologia

Um dos grandes problemas envolvendo o direito da tecnologia é o caso das decisões judiciais que determinam providências impossíveis de serem efetivadas. Essa impossibilidade, na maioria das vezes, reflete-se nas limitações das tecnologias existentes atualmente. Uma decisão judicial não pode determinar algo que seja impossível de ser realizado em função das limitações do próprio código dos programas.

Quem primeirou observou essa questão foi o jurista americano Lawrence Lessig, na obra Code. O código que falamos aqui não são as leis, mas sim o código dos programas do computador. Uma decisão que determine algo não programado no código, não pode acontecer. Assim diz o autor em "Code v2":

In real space,we recognize how laws regulate—through constitutions, statutes, and other legal codes. In cyberspace we must understand how a different “code” regulates— how the software and hardware (i.e., the “code” of cyberspace) that make cyberspace what it is also regulate cyberspace as it is.

Podemos fazer uma analogia com as leis da física. A "lei da gravidade", não pode ser revogada ou anulada pelas leis, estas últimas, assim entendidas como estatutos jurídicos e códigos legais.

Um interessante julgado do Tribunal de Justiça do Rio Grande do Sul, pode ser analisado sob esta ótica. Não divulgaremos o nome do autor e nem número do processo para preservar a integridade moral dos envolvidos, mas o processo dizia respeito ao reconhecimento da impossibilidade do Google de impedir a criação de perfis e comunidades pejorativas sobre uma pessoa no Orkut.

O Desembargador Tasso Caubi Soares Delabary, analisou a questão de forma coerente e sensata. Seu argumento principal é que o Google, como um provedor de serviços que é, não é o autor das manifestações disponibilizadas no Orkut. São os usuários que incluem os conteúdos, sendo estes fruto de sua própria atividade intelectual. O Orkut, sem o conteúdo criado e disponibilizado pelos usuários, não possui nada a disponibilizar. O Orkut não cria os dados, apenas os disponibiliza, os hospeda.

Além disso, embora a decisão não tenha expressamente tratado, devemos mencionar a impossibilidade técnica de impedir que o Orkut venha a impedir futuras publicações consideradas pejorativas sobre uma pessoa. Ressalta-se que não há mecanismo tecnológico (programa) que permita analisar-se uma comunidade do Orkut e verificar que seu conteúdo é "pejorativo". Um computador, até o presente momento, não consegue realizar este juízo de valor de forma suficientemente eficiente. A despeito das incríveis técnicas atuais de inteligência artificial, a subjetividade de considerar um discurso como "pejorativo" ainda não está eficientemente contemplada nas funções dos programas de computador. Até porque, o caráter pejorativo, pode dar-se através de texto, imagem, sons, etc. O autor pode utilizar-se de uma foto, sem fazer referência ao nome da pessoa; pode ainda manifestar-se através de ironias e outras figuras de linguagem.

O Google, por outro lado, poderia efetuar um bloqueio de criação de comunidades e perfis com base em palavras-chaves. No entanto tal bloqueio seria ineficiente, bloqueando todas a comunidades e perfis que tivessem tais palavras e não fossem pejorativos. Além do mais a medida seria ineficiente, uma vez que bastaria o autor utilizar-se de uma foto do ofendido ou ainda, escrever seu nome propositalmente com alguma letra errada.

A proibição constitucional da censura prévia e o respeito à liberdade de expressão, devem ser consideradas na proibição futura de manifestações na Internet. A máxima do neminem laedere, ou seja, do princípio de não lesar outrem, perpassa todas as relações. Por princípio, ninguém pode criar comunidades ofensivas à honra de quem quer que seja, sob pena de sujeitar-se a pagar uma indenização.

O Desembargador cita outra decisão (TJRS, AI, 7001575595, Nona Câmara Cível) , no mesmo sentido, que destaca a questão de que as informações no Orkut são disponibilizadas por terceiros, e não pelo Google. Ademais, destaca também a impossibilidade de bloquear todo o serviço (Orkut) para preservar a imagem de uma pessoa apenas, o que geraria um excessivo ônus à empresa. Lembramos outro exemplo recente, em que o site de vídeos YouTube foi bloqueado em função da disponibilização de um vídeo em que uma apresentadora de televisão praticava sexo com seu namorado em uma praia. A decisão, não logrou o efeito desejado, e após diversas tergiversações jurídicas, o vídeo pode ser facilmente encontrado na Internet.

Devemos lembrar de uma analogia feita por Marcel Leonardi na sua obra "Responsabilidade Civil dos Provedores de Serviço de Internet", que aplica-se perfeitamente ao caso. Ela consiste na seguinte pergunta: pode o dono de uma banca de jornal ser responsabilizado pelo conteúdo dos jornais por ele vendidos? A resposta é negativa. O Google, como provedor de serviços que é, pode ser comparado a uma banca de jornais, não devendo ser responsabilizado pelos "jornais" que disponibiliza. Por outro lado, se devidamente notificado para retirar um conteúdo atual de seus servidores, deve fazê-lo.

No entanto, devemos destacar o aspecto transitório das eventuais impossibilidades de realização de algumas decisões envolvendo o direito da tecnologia. O julgador deve observar o estado atual da tecnologia ao decidir. O que hoje é impossível de ser realizado, amanhã, com a evolução da técnica informática, pode vir a ser possível. Isso é especialmente importante na segurança da informação, onde as técnicas de invasões evoluem na mesma medida em que as técnicas de proteção. Neste campo, nada impede que num futuro, os atuais algoritmos de criptografia (utilizados inclusive em certificação digital e assinaturas eletrônicas) possam ser considerados inseguros e ineficientes para manter a integridade e confidencialidade de mensagens.

Por fim, citamos mais uma vez, Lawrence Lessig, que na mesma obra já referida, diz:

Cyberspace was, by nature, unavoidably free. Governments could threaten, but behavior could not be controlled; laws could be passed, but they would have no real effect. (grifo nosso)

A "invisível mão" do código do computador, define a arquitetura e os limites da Internet. Se uma lei proíbe algo, mas o código permite, dificilmente uma decisão judicial poderá ser realmente eficaz. Caímos daí, no estabelecimento de uma ação tecnologicamente impossível de ser realizada. A viabilidade da prática de uma determinada ação na Internet, está portanto, diretamente relacionada com o código do computador, ou seja, com a permissividade ou não, definida pela própria arquitetura dos computadores e de seus programas.

A íntegra da notícia do Tribunal de Justiça do Rio Grande do Sul que trata da decisão pode ser encontrada aqui.

A Privacidade como Limitador do Monitoramento Digital

Segue abaixo um pequeno artigo de minha autoria que foi publicado na revista Antebellum de Março/Abril de 2009. A revista Antebellum é editada pela ISSA (Information Security System Association). Ela é uma entidade internacional que agrega profissionais de Segurança da Informação. Ela é composta essencialmente por profissionais atuantes na área da informática e não do direito. Mesmo assim, há uma relação bastante grande entre as duas áreas, visto que grande parte das práticas de segurança devem ser acompanhadas pelo direito.

Meus agredecimentos especiais ao Eduardo Vianna Camargo Neves. Além de diretor da regional sul da ISSA, ele mantém também um dos melhores blogs sobre segurança da informação disponível em http://camargoneves.com/. O Eduardo, gentilmente, convidou-me para participar dessa edição da Revista Antebellum, o que foi motivo de muita satisfação de minha parte.

O PDF da revista pode ser baixado diretamente em http://www.issabrasil.org/antebellum/

A privacidade como limitador do monitoramento digital

O tema da privacidade é bastante extenso e complexo. Não temos aqui a pretensão de esgotar o tema mas sim, fazer breves comentários sobre o assunto. Sabemos que os limites do monitoramento digital dentro do ambiente empresarial esbarram na privacidade e na intimidade dos colaboradores. Mesmo nas empresas, os colaboradores ainda detém estes direitos e em caso de monitoramento, este deve ser feito sob circunstâncias bastante controladas e previamente definidas.

A privacidade e intimidade são direitos protegidos pela nossa Constituição. São alguns dos chamados Direitos da Personalidade. Eles são alguns dos direitos mais básicos da pessoa humana sendo necessários para a preservação da honra e da vida privada. Cabe lembrar que a privacidade é irrenunciável e a sua limitação deve ocorrer por vontade expressa da pessoa, de forma específica e limitada a um determinado fim. As eventuais renúncias (como as necessárias para o monitoramento digital nas empresas) não podem ser gerais, inespecíficas, permanentes, ilimitadas ou abusivas.

Ao mesmo tempo, o empregador tem o direito de monitorar sua estrutura computacional; até porque ele responde pelos atos dos empregados quando estes o praticam sob sua estrutura. O monitoramento da atividade dos empregados tem a função preventiva de identificar potenciais desvios ou riscos para atividade. Vemos, portanto, que os dois direitos (privacidade X direito de monitorar) devem coexistir em harmonia sem que um se sobreponha ao outro. No entanto como fazer com que eles convivam em harmonia?

Em primeiro lugar, o monitoramento deve ser previsto nas Políticas de TI da empresa. A própria ISO 27002 fala em seu item 10.10 sobre a observância de requisitos legais da atividade de monitoramento. Além do mais, o monitoramento deve ser comunicado antecipadamente a sua realização, através de termos de ciência, do contrato de trabalho ou ainda através dos logon banners. Isto tudo para afastar qualquer expectativa de privacidade que o empregado possa ter na utilização dos recursos. No caso de relações entre empresas, se houver necessidade de monitoramento ou interceptação de comunicações (incluo aqui os famosos penetration tests), tal deve ser expressamente previsto em contrato, para evitar a quebra ilegal da privacidade.

Outro ponto importante é a questão do uso pessoal dos recursos da empresa. Se a empresa permite que o funcionário use sua estrutura para atividades pessoais (incluindo acesso a homebanking, comunicações com parentes, advogados ou médicos), tais comunicações não podem ser objeto de monitoramento. A operacionalização desta limitação pode ser um problema para a equipe, sendo a proibição do uso pessoal recomendada.

O monitoramento deve ser feito de maneira mais impessoal possível, automática e sem representar perseguição ou abuso de poder por parte do empregador. Alerta-se que se o empregador comunica que vai monitorar, deve sempre monitorar em bases periódicas, sem discriminação entre cargos ou setores. Caso isso não aconteça há o risco do empregado alegar perseguição, se conseguir provar que o empregador nunca monitorou nenhum funcionário, em nenhuma circunstância, mas em contrapartida monitorou excessivamente um único funcionário. Já publicação de logs e produtos de monitoramento dentro da empresa, como acontece em algumas situações, além de potencialmente causar danos morais ao empregado caso revele informações pessoais, pode até configurar o conhecido assédio moral.

A produção de provas digitais (leia-se aqui também a produção de logs ou monitoramentos) com o desrespeito ao direito à privacidade, torna a prova nula obtida nula, prejudicando os fatos que dependem daquela prova. É a chamada prova ilegal. Além do mais há que se ter bastante cuidado com o monitoramento eis que, quando não autorizado ou feito de maneira desregrada, mesmo no ambiente empresarial, pode tipificar o crime de interceptação telemática ilegal, punido com pena de reclusão de 2 a 4 anos.

Curso de Direito da Tecnologia da Informação



A partir do dia 21 de Março inicia-se o curso de Direito da Tecnologia da Informação, ministrado por mim, na LCSCursos em Porto Alegre. O curso é de pequena duração visando apresentar os pontos mais importantes da disciplina.

Serão três encontros aos sábados pela manhã. Maiores informações - inclusive a ementa do curso - podem ser obtidas diretamente no site da instituição, clicando aqui

Transações bancárias não autorizadas e culpa exclusiva do correntista

A jurisprudência brasileira cível ainda é vacilante quando trata da retirada indevida de dinheiro por criminosos através de home-banking. A maior parte dos julgados reconhece a responsabilidade objetiva do banco fazendo a relação de que basta haver o dano e o nexo causal sem a necessidade de existência de culpa por parte do banco. Entende-se que se o sistema permite a manipulação indevida das contas ele seria, por concepção, inseguro.No entanto, a questão não é tão simples assim.

Outros julgados eximem o banco da responsabilidade ao entender que houve culpa exclusiva do correntista. Em geral alega-se que o sistema é totalmente seguro e que a invasão da conta deu-se por negligência do correntista. A Código de Defesa do Consumidor, quando explica a questão da responsabilidade objetiva aplicada aos serviços assim diz no §3°, inc. III do artigo 12:

§3 - O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:
...
III - a culpa exclusiva do consumidor ou de terceiro.

Um dos leading cases sobre a culpa exclusiva do usuário de Internet por negligência é a APC. 70011140902, do TJRS. Assim diz a ementa:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. Internet. conexão a provedor internacional. vírus. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa 'anti-vírus' para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA.

No entanto para a caracterização dessa culpa exclusiva deve haver o cumprimento do dever de informar da instituição bancária. O banco deve sempre informar acerca dos riscos de utilização do serviço. Este dever de segurança é um direito básico do consumidor assim explicitado no art. 6°, inc. III:

Art. 6° - São direitos básicos do consumidor:
...
III - a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade e preço, bem como sobre os riscos que apresentem;

Vemos também a menção no art. art. 9° do CDC:

Art. 9° - O fornecedor de produtos e serviços potencialmente nocivos ou perigosos à saúde ou segurança deverá informar, de maneira ostensiva e adequada, a respeito da sua nocividade ou periculosidade, sem prejuízo da adoção de outras medidas cabíveis em cada caso concreto.

A norma mais esclarecedora talvez seja a do art. 31 do CDC:

Art. 31 - A oferta e apresentação de produtos ou serviços devem assegurar informações corretas, claras, precisas, ostensivas e em língua portuguesa sobre suas características, qualidades, quantidade, composição, preço, garantia, prazos de validade e origem, entre outros dados, bem como sobre os riscos que apresentam à saúde e segurança dos consumidores.

É sabido que na internet é bastante comum a propagação de vírus (ou códigos maliciosos) que realizam as mais variadas funções. Alguns destes tem a função específica de conseguir capturar os caracteres digitados no teclado do computador, passando-os para o criminoso. Os tribunais entendem que caso o banco realize campanhas ostensivas de segurança, ele cumpriria com o dever de informação eximindo-se assim de qualquer responsabilidade em caso de invasão dos computadores dos seus clientes. A pergunta que deve ser feita é a seguinte: Será que um sistema inseguro, pode ter sua insegurança compensada pelo cumprimento do dever de informar? Na nossa opinião, a resposta é negativa.

O dever de informação deve ser satisfeito de maneira que cumpra sua função, nos termos dos artigos acima citados. A informação passada acerca do serviço deve ser eficiente para cientificar completamente o cliente do banco acerca de suas responsabilidades específicas, caso haja. O cliente necessita ter, com a informação prestada, condições de escolha sobre o uso do serviço.

O professor Christoph Fabian (O Dever de Informar no Direito Civil. São Paulo:RT, 2002) ao tratar do dever de informar, assim preceitua:

A instrução deve ser clara, ostensiva, e facilmente compreensível para o consumidor. Tais instruções não devem ficar escondidas entre elogios do produto ou alguma propaganda. p. 147
...
Uma informação é ostensiva quando se exterioriza de forma tão manifesta e translúcida que uma pessoa, de mediana inteligência, não tem como alegar ignorância ou desinformação. p. 150

Nota-se que as campanhas promovidas pelos bancos mais parecem propagandas do que reais advertências sobre o uso do sistema. Com as campanhas atuais, muitas vezes escondidas, não há como garantir a ostensividade da informação exigida pelo CDC. Quem pode, por exemplo, negar a ostensividade das advertências dispostas nas carteiras de cigarro? O autor ainda diz (p. 151) que a expressão "Beba com moderação" disposta nas bebidas, não é bastante ostensiva.

Há um mecanismo bastante interessante chamado pré-logon-banner, muito utilizado em ambientes corporativos e acadêmicos. Tal mecanismo consiste em pequenas janelas com informações, que são mostradas antes de alguém ter acesso ao sistema. Esses pré-logon-banners têm a função de passar informações para quem acessa o sistema. No ambiente corporativo eles têm a função de cientificar os colaboradores de que os sistemas são monitorados, que o uso deve ser apenas para fins profissionais, etc. Destaca-se que a informação é passada antes de se acessar o sistema. Caso a pessoa não concorde com aquelas regras apresentadas, não consegue acessar o sistema. Vemos que um dispositivo semelhante poderia ser adaptado nos sistemas de home-banking. Isso reforçaria o dever de informação do banco pela ostensividade do mecanismo. Não haveria como, antes do correntista acessar o sistema, não ler as recomendações de segurança.

Não percamos de vista também que os controles de Segurança da Informação são bastante complexos. É sabido que em incidentes de segurança, um dos aspectos mais explorados por criminosos é exatamente a parte humana da cadeia. E isso vale não apenas para ataques envolvendo home-banking, mas também para outros sistemas. O processo de explorar as vulnerabilidades humanas para conseguir informações é conhecido como "engenharia social". Aliado a isso deve ser dito que a atividade de tornar um sistema seguro não é tarefa simples. A cada dia descobrem-se novas vulnerabilidades dos sistemas, inconsistências em sistemas operacionais além de novas formas de explorar falhas. Os especialistas em Segurança da Informação dizem inclusive que não existe um sistema 100% seguro; sempre haverá uma forma de quebrá-lo, seja por forma técnica ou mediante a exploração das vulnerabilidades humanas.

A ciência da computação, ao tratar também da segurança da informação, utiliza a seguinte premissa "Nenhuma corrente á mais forte do que seu elo mais fraco". Ao que sabemos essa expressão foi cunhada originalmente por Arthur Conan Doyle (Nenhuma cadeia é mais forte do que seu elo mais fraco). A idéia é que todas as proteções de segurança aplicadas a um sistema tornam-se ineficazes se houver um ou mais controles ineficientes ou fracos. A segurança, então, é um processo que se não observado em todas as suas fases, torna o sistema mais ou totalmente inseguro. Fazendo uma analogia, é como se alguém trancasse todas as portas de sua casa mas deixasse uma janela aberta. Esse "elo mais fraco" é a parte humana e diga-se de passagem, todo o especialista em segurança da informação sabe disso. O banco inclusive sabe muito bem disso. Por saber disso, os sistemas devem ser adaptados e protegidos contra essa vulnerabilidade. A construção dos sistemas deve observar sempre tal vulnerabilidade. A questão é saber se um sistema que permite a exploração desta vulnerabilidade pode ser considerado potencialmente inseguro. Entendemos que tal situação torna sim o sistema inseguro nos termos do CDC. Tal insegurança provém, entre outras coisas, da disparidade de informações que tem o fornecedor e o consumidor. Como se disse, o consumidor não têm condições técnicas de avaliar corretamente os riscos provenientes do uso do home-banking; não há como se exigir do consumidor o conhecimento das técnicas de engenharia social utilizadas pelos criminosos. Isso foge do conhecimento do homem comum, do homem médio. Tais relações baseiam-se na confiança que o consumidor deposita no serviço de home-banking. Como ensina o professor Christoph Fabian, na obra já citada, a informação prestada pelo fornecedor deve atentar para os riscos do uso do produto ou serviço:

Os perigos previsíveis não são apenas aqueles que resultam do uso adequado. Eles abrangem também os perigos de utilizações erradas que podem naturalmente ou facilmente acontecer. p. 148

Por fim, entendemos que a interpretação da questão ainda deve evoluir. A doutrina e a jurisprudência devem ainda reforçar qual a extensão do dever de segurança. É urgente também que se defina se um sistema que permite a invasão através da exploração de vulnerabilidades humanas pode ser entendido como seguro. Ainda, é importante que não se perca de vista a responsabilidade objetiva dos fornecedores de serviços; esquecer-se disto seria esquecer-se de aplicar o CDC às relações consumeiristas.

Quebra de sigilo telemático para obter prova em ações cíveis

Recentemente tivemos notícia de uma decisão do TJSC (APC 2003.005260-7)t ratando sobre a quebra do sigilo telemático para ações indenizatórias. A questão do sigilo de comunicações é bastante discutida no Direito da Tecnologia em face da prática de ações no pretenso anonimato da rede, além dos computadores armazenarem fortes provas dos atos praticados. Este sigilo é protegido pela Constituição (CF art. 5° inc. XII), só podendo ser aberto em circunstâncias especialíssimas.

Em casos envolvendo danos na Internet é bastante comum que se ajuíze ações cautelares de produção antecipada de prova. Em geral ajuíza-se essa ação cautelar contra o provedor visando obter a identificação do dono do IP no momento da prática do ilícito. Após a "personalização" do endereço IP é possível ajuízar a ação indenizatória principal contra o autor do ato que provocou o dano. Interessante mencionar, à título de curiosidade, que a legislação processual americana permite ajuízar ações contra um réu indefinido. Explica-se: na legislação brasileira não é possível com uma única ação obter a identificação do ofensor e, na mesma ação, obter a indenização. São necessárias duas ações, uma para identificar o autor e a outra para obter a indenização. É preciso saber de antemão quem é o réu para iniciar-se um processo. O inconveniente disso é que são necessárias duas ações diferentes, com custas, honorários advocatícios, possibilidade de mais recursos, etc. No direito americano há as chamadas "John Doe Lawsuit". Quando portanto, não se sabe exatamente quem é o réu, ajuíza-se a ação contra contra um réu fictício (ficticious defendant). Quando descobre-se o réu, este é inserido na ação passando esta a correr contra aquele. Há uma economia de tempo e de esforços para se chegar ao resultado pretendido. É claro que a comparação entre o direto brasileiro (baseado no sistema romano-germânico chamado pelos americanos de Civil Law) e o direito americano (baseado no sistema anglo-saxão chamado pelos americanos de Common Law) é inaquada; são sistemas totalmente diferentes e incomparáveis, sendo tecnicamente impossível e inadequado apontar o melhor ou pior. Ressalta-se aqui essa curiosidade apenas por curiosidade, como se disse.

O caso julgado no TJSC tratava sobre uma medida cautelar de produção antecipada de prova visando a apreensão do computador do réu. O autor (que era um provedor) alegava ter sofrido um ataque. Através de uma ação anterior, pôde obter junto ao provedor Terra a identificação do usuário que supostamente efetuou a invasão. Após obter essa identificação, ajuízou a demanda cautelar para obter a busca e apreensão, o que foi deferido. Em grau de recurso, o réu pede a nulidade da busca e apreensão pela inconstitucionalidade da violação dos dados.

O cerne da discussão recai na possibilidade da quebra do sigilo telemático em ações cíveis. Em demandas criminais, a quebra de sigilo é adequada e freqüente; no entanto não o é em ações cíveis. A decisão cita a lei 9296/96 que autoriza a quebra de digilo apenas em casos de investigações criminais e quando os dados estão em tráfego. O conceito de interceptação traduz-se pela captura de dados enquanto estão sendo transmitidos. Se já houve a transmissão, não se fala mais em interceptação de dados, mas sim em busca e apreensão dos dados já gravados. Embora seja uma diferença bastante tênue ela é necessária e importante pois qualifica ou não a utilização da referida lei. É a conhecida distinção entre proteção aos dados e ao tráfego dos dados, ou à comunicação. Entende-se que a citada norma protege o tráfego e não os dados em si. Isso não quer dizer que os dados não sejam protegidos; apenas não o são pelo citado diploma legal.

A decisão termina por referir que não há como realizar a devassa dos dados guardados em computadores pessoais para a obtenção de prova cível. O direito penal, por tutelar de forma diferenciada os bens jurídicos, tem o poder de realizar a quebra de tais sigilos. Tomamos a liberdade de citar um fragmento da fundamentaçào do acórdão que muito bem explica a questão:

"Com efeito, se se liberar as entranhas do computador para produzir prova civil, a intimidade e a privacidade das pessoas estará liquidada. Como exercício especulativo, imagine-se como isso seria utilizado no delicado campo do Direito de Família."

A íntegra da decisão pode ser encontrada aqui.

O Orkut utilizado para o cometimento de ações criminosas

Neste semana três situações bastante peculiares chamaram atenção por envolverem o Orkut sendo utilizado como meio de cometimento de ações danosas.

A tecnologia, por si só, não é boa nem má: é axiologicamente neutra. Seu aspecto negativo ou positivo é dado pela intenção do usuário; é assim com todas as ferramentas tecnológicas, não sendo diferente com o Orkut.

É sabido que várias ações danosas são diariamente praticadas através do Orkut, entre outras, a criação de perfis falsos, o envio de mensagens e a criação de comunicades ofensivas algumas delas tipificando inclusive alguns dos crimes contra a honra. Também já se viu a ocorrência de crimes de difusão de pornografia infantil, apologia a crime ou criminoso, incitação ao crime, instigação ao suicídio e até tráfico de drogas através da utilização de redes sociais.

A primeira situação ocorreu em Curitiba, onde um homem foi preso por aplicar golpes pela Internet. Conforme notícia da Folha On Line, ele utilizava-se do Orkut para aproximar-se das vítimas tendo aplicado golpes no valor de mais de R$ 80.000,00 em duas médicas da cidade. O cidadão já responde a processos pelo crime de estelionato.

A segunda situação ocorreu em São Paulo, segundo o site da Info Online, onde uma falsa ameaça de bomba foi propagada através desta rede social. Um prédio foi esvaziado em função da comunicação. Segundo a notícia um inquérito foi iniciado para apurar responsabilidades. Possivelmente há a tipificação do crime de comunicação falsa de crime ou contravenção ou, dependendo das circunstâncias a tipificação do crime de ameaça.

O terceiro e último caso, ocorreu em Santa Catarina, conforme informação do site Consultor Jurídico. Um advogado, criou perfis falsos de duas pessoas. Em tais perfis realizou ele uma montagem com fotos pornográficas envolvendo uma das vítimas e no outro atribuiu preferências homossexuais a outro, namorado da primeira vítima. Após investigação policial o autor dos perfis falsos foi preso em flagrante em uma lan house, acusado do crime de falsidade ideológica.

Este último caso merece uma atenção mais aprofundada sobre da tipificação legal destes crimes. Vejamos como está descrito, em nosso Código Penal, o crime de falsidade ideológica. Assim reza o art. 299:

Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante:
Pena - reclusão, de um a cinco anos, e multa, se o documento é público, e reclusão de um a três anos, e multa, se o documento é particular.

Certamente um perfil do Orkut não pode ser considerado como um "documento público ou particular". Embora parecer-nos certa a existência de um grave dano moral às vítimas, devemos notar que não podemos utilizar a analogia para tentar efetuar condenações, como nos ensina o princípio da proibição da analogia "in malan parte". Em sendo assim, a analogia não poderia ser utilizada aqui para abranger como documento particular uma página na internet. O conceito de documento está ligado ao seu suporte fático, não podendo abranger documentos eletrônicos. Ademais para a configuração do crime de falsidade ideológica, deve ter o autor a incumbência de preencher o documento e preenche-o com declaração falsa. Certamente, nesta situação, não tinha o autor a incumbência de criar perfis no orkut para os ofendidos. Ainda a expressão "fato jurídico relevante", deve ser considerada nesta situação. Ao manifestar-se sobre esse crime diz E. Magalhães Noronha, em Direito Penal, v. IV, p. 161: "é mister que a declaração falsa constitua elemento substancial do ato de documento. Uma simples mentira, mera irregularidade, simples preterição de formalidade, etc., não constituirão." Luiz Regis Prado, nos seus comentários ao Código Penal, nos ensina: "A falsidade feita com exclusivo animus jocandi, ou sem qualquer interesse jurídico, não configura o delito. Não é a mera mentira que se pune, mas a ofensa à veracidade naquilo que o ordenamento jurídico entende necessário, o que se depreende da própria exigência legal de que se trate de falsidade relativa a fato juridicamente relevante.
A conduta, mesmo sem a existência de um crime atual que a classifique, provavelmente poderia ser tipificada também como inserção de dados falsos em sistema de informatizado. Nosso código penal passou a definir crime semelhante, quando modificado pela lei 9983/2000. Porém o tipo penal aplica-se apenas a funcionários públicos quando praticarem a conduta em sistemas da administração pública. Assim reza o art. 313-A do CP.

Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano:" (AC)
Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa." (AC)

O substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003, de autoria do senador Eduardo Azeredo, caso transformado em lei, abrangeria essa conduta como criminosa. O projeto infelizmente não traz o tipificação do crime de inserir dados falsos em sistema informatizado. No entanto, poderíamos realizar a tipificação como crime de falsificação de dado eletrônico ou documento particular. O art. 16 do projeto de lei define como dados informáticos, qualquer representação de fatos, informações ou de conceitos sob forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado. É através da equiparação legal do art. 16 do projeto de dado informático como "representação de fatos" que poderia haver a tipificação. Atualmente, como não há a equiparação legal de "dado" à coisa, e também pelo crime atual de falsificação não trazer em seu bojo a falsificação de "dados" é que não poderia ser realizada a tipificação com base nesse crime.

Legislação Brasileira sobre Crimes Digitais

Como amplamente divulgado pela mídia, o Brasil está prestes a adotar uma legislação sobre Crimes Digitais. O substitutivo dos projetos de lei PLC-89/2003; PLS-137/2000; PLS-76/2000 (que pode ser lido aqui) já foi aprovado pela Comissão de Constituição, Justiça e Cidadania do Senado (a tramitação pode ser acompanhada aqui).

Tal legislação já era esperada há muitos anos (os primeiros projetos datam de 2000) uma vez que diversas condutas ofensivas quando praticadas aqui no Brasil não encontram na legislação a tipificação adequada. Hoje, com a atual legislação, quem invade um site e apaga informações, por exemplo, não comete nenhum crime.

Ao mesmo tempo que o projeto vem para preencher uma grande lacuna na legislação, ele traz alguns problemas que poderiam (e ainda podem) ser evitados.

Um dos primeiros problemas é que o substitutivo nada trata acerca da questão dos Direitos Autorais. O projeto poderia ter avançado para tratar também sobre a delicada questão dos crimes envolvendo Direitos Autorais. Talvez a descriminalização de algumas condutas, bem como da especificação do conceito de "violação de direitos autorais" fossem bem-vindas.

No entanto o grande problema do substitutivo é a questão da obrigação de armazenamento dos logs. Hoje, a Comissão de Tecnologia da Informação do Conselho Federal da OAB, da qual fazem parte duas grandes autoridades brasileiras no Direito da Tecnologia, Marcel Leonardi e Alexandre Atheniense, divulgou uma nota acerca do substitutivo.

O cerne da questão é o caput do art. 22 do substitutivo que estabelece a obrigatoriedade dos provedores de acesso armazenarem seus logs por no mínimo 3 anos. O problema é que da forma como foi redigido, o artigo limita essa obrigação apenas aos provedores de acesso retirando a obrigatoriedade de provedores de conteúdo ou de serviços. Portanto, segundo este artigo, os provedores de serviços como as redes sociais por exemplo, não teriam a obrigação de armazenamento.

A íntegra da nota pode ser lida diretamente no blog do Dr. Alexandre Atheniente, clicando aqui, ou através do endereço http://www.alexandreatheniense.com.br/ no link "Últimas Notícias".

Perda e furto de dispositivos móveis - Notícia

Complementando o último post acerca da perda de dispositivos móveis, trago mais uma notícia de um fato ocorrido no dia 20 de Fevereiro desse ano.
Foi roubado um notebook, na cidade de Nova York, contendo os registros de aproximadamente 171.000 doadores de sangue. A lista era composta apenas por Irlandeses. Como as informações estavam criptografadas, a reportagem salienta que há uma "remota" chance de que venham a ser acessados.
Como forma de mitigar as conseqüências jurídicas do incidente, o Irish Blood Transfusion Service já colocou um 0800 à disposição dos atingidos. No entanto tal incidente representaria um potencial risco jurídico, uma vez que o mau uso desses dados por terceiros, em tese, pode fazer com que órgão venha a ser responsabilizado pela falha na guarda das informações. Digo representaria, uma vez que o fato dos dados estarem criptografados anula praticamente a chance do acesso por terceiros.
Como foi dito no último artigo, os danos financeiros podem ser imensos. Vejam que nesse caso o órgão já começou a disponibilizar uma estrutura de atendimento aos interessados, o que representa custo.
A íntegra da notícia pode ser lida aqui. A fonte é o jornal The Irish Times.

Perda e furto de dispositivos móveis

Achei interessante fazer mais algumas considerações sobre este assunto, aproveitando ainda os recentes acontecimentos dessa natureza ocorridos com a Petrobras.

A dependência cada vez mais crescente que as organizações têm da informação digitalizada é inegável. Segredos industriais, planos de negócios, dados financeiros, folhas de pagamento, projetos estratégicos, e-mails corporativos, enfim: praticamente todas as informações necessárias para o funcionamento de uma organização estão armazenados digitalmente. A perda de tais informações pode acarretar perdas econômicas imensas para a empresa.

Não é raro, no entanto, os responsáveis pela TI negligenciarem os cuidados ao armazenamento e transporte de tais dados. E isso ocorre mesmo em face dessa dependência total da informação digitalizada. É muito comum funcionários transitarem portando notebooks recheados de informações estratégicas e confidenciais. As boas práticas de Segurança da Informação aconselham que dispositivos móveis (notebooks, pda's, drives móveis, etc) estejam com seus dados criptografados. Isso faz com que na eventualidade da perda ou roubo dos dispositivos, não haja a possibilidade de haver a leitura dos dados nele armazenados. Caso isso ocorra, a perda se dá apenas no valor do hardware perdido ou furtado. Estes, ao contrário das informações, em geral tem baixo valor para a organização e podem ser facilmente repostos. Uma informação estratégica perdida, como já se disse, pode representar uma perda monetária imensurável.

O que se disse até agora não é novidade para a maioria das empresas. Qualquer análise de risco identifica o potencial risco de carregar informações sensíveis em dispositivos móveis sem contar com procedimentos de criptografia. Com isso pergunta-se: Por que ainda ocorrem incidentes envolvendo perda de informações em dispositivos móveis? Por que as empresas insistem aceitar um risco que pode ser facilmente evitável?

A primeira resposta diz respeito à resistência dos donos da informação de seguirem as regras de proteção estabelecidas nas políticas (quando elas existem). Muitas empresas possuem, em suas políticas as determinações acerca de criptografia de dados mas, no entanto, os envolvidos não compreendem o alcance e importância da norma. Com isso o maior problema é realmente a falha e o erro humano.

Outra resposta, por mais simplória que possa parecer, é que em geral vige nas organizações a idéia de que incidentes ocorrem apenas com os outros. E isso ocorre em todo o mundo, não apenas aqui no Brasil. No dia 14 de Fevereiro, em um hospital da Inglaterra, foi roubado um notebook contendo dados médicos de mais de 5000 pacientes. A perda para o hospital é imensurável! Além do dano à imagem, que pode ser medido pela perda de clientes e de credibilidade, há o risco de processos envolvendo a divulgação indevida dos dados perdidos além é claro do risco de desrespeito à legislação local sobre segurança de dados. Em geral, em tais situações, a empresa afetada contrata consultorias para amenizar as perdas. Quando tal perda ocorre com bancos é comum os bancos contratarem consultorias financeiras especializadas para acompanhar as contas dos clientes tentando previnir eventuais desvios, numa demonstração de boa-fé.

Tal caso lembra uma outra situação ocorrida nos EUA em que um cracker conseguiu interceptar dados médicos de pacientes de um hospital através de uma rede sem fio. O que em um primeiro momento podia indicar um fato sem importância, acabou tornando-se um caso sério de extorsão. O criminoso selecionou os dados de pacientes que eram portadores do vírus da AIDS e, com isso, passou a chantageá-los para não divulgar publicamente tal informação. Importa lembrar que os EUA possuem uma norma federal regulando o controle de informações médicas dos pacientes: é o conhecido HIPPA (Health Insurance Portability and Accountability Act).

Do ponto de vista jurídico é importante citar que a negligência no que diz respeito à guarda de dados é jurídicamete relevante. Caso trate-se de relação negocial comum, irá se apurar a responsabilidade subjetiva dos responsáveis pela informação no caso de seu furto ou perda. Há um dever, mesmo que tácito e não disposto nos contratos, de zelar pelo armazenamento de informações confidenciais Tal dever pode ser entendido com um dever anexo ao dever geral de cuidado, dever este advindo da regra da boa-fé objetiva. Além do mais, a perda de informações pode consubstanciar a violação de algum eventual Acordo de Confidencialidade (também conhecido como NDA - Non-disclosure agreement).

Na seara consumeirista, vige o conceito de responsabilidade objetiva. Isso significa que não se discutirá a existência de culpa sobre a perda ou divulgação indevida dos dados em uma relação de consumo. Basta haver o dano e o nexo causal.

Em face disso nota-se que os responsáveis pelo setor de TI das organizações devem sempre observar as melhores práticas do setor acerca da proteção e segurança das informações armazenadas em dispositivos móveis.

---

Um dia após o fechamento desse post, precisamente 21 de Fevereiro de 2008, a Computerworld publicou uma notícia intitulada "A lição do roubo na Petrobras". A notícia versa sobre a gestão da segurança da informação e seu conteúdo complementa de certa forma o que foi aqui escrito.
A notícia pode ser vista clicando aqui.