segunda-feira, novembro 27, 2006

Breves comentários sobre Segurança da Informação e Desenvolvimento de Softwares
Muitas vezes a atividade de desenvolvimento de softwares não é orientada pelos princípios básicos de Segurança da Informação. Diversas conseqüências podem advir dessa inobservância: problemas relativos à propriedade do programa; a apropriação ou mau uso de dados sensíveis da empresa; a divulgação de dados cadastrais de clientes ou seu uso para fins espúrios; a ocorrência de incidentes pelo não monitoramento dos dados de saída dos softwares; problemas advindos da atividade de terceirização do desenvolvimento, etc.

Em primeiro lugar, no que diz respeito à propriedade intelectual, temos a lei 9.609/98 que dispõe sobre a propriedade intelectual de programa de computador. Seu artigo 4º é claro em dizer:

“Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário...”

Com isso é importante a correta orientação dos desenvolvedores no sentido de impedir que os códigos fontes gerados pela relação de emprego sejam reutilizados pelo profissional em atividades particulares. Também sempre é útil um adendo ao contrato de trabalho ou um termo de ciência de tal disposição para reforçar tal orientação.

Na maioria dos casos os desenvolvedores têm acesso à dados sensíveis da empresa tais como informações financeiras, cadastros de clientes, segredos industriais, dados telefônicos ou bancários, etc. Nesse diapasão, um monitoramento preventivo pela equipe de segurança é útil para evitar o mau uso desses dados. O resultado desse monitoramento (logs) também deve ser corretamente gerado bem como armazenado. Também é útil rotinas de autorização para o uso de dados sensíveis. Ademais, dependendo do caso, cada desenvolvedor deve ter acesso apenas aos dados estritamente necessários para o seu desenvolvimento. Em casos extremos é gerado um banco de dados fictício, apenas para o fim de desenvolvimento para que os desenvolvedores não tenham acesso aos dados reais de propriedade da empresa.

A norma ISO/IEC NBR 17799:2005, que trata das melhores práticas para Segurança da Informação, dispõe especialmente sobre os controles necessários atinentes à atividade de desenvolvimento de sistemas. A validação de dados de entrada e saída é um dos itens comentados. Vemos a importância desse controle, na medida em que sistemas que geram informações bancárias, fiscais, etc, podem causar um prejuízo quando da emissão de dados errôneos. Além do prejuízo financeiro e dos possíveis danos à imagem, há o risco jurídico de emissão errônea de dados bancários, por exemplo, em ações movidas pelos atingidos.

A referida norma também fala sobre o acesso ao código fonte. Deve ser implementado um controle específico para restringir o acesso ao código fonte, para evitar questões de propriedade intelectual e também para evitar a inserção de códigos não autorizados no corpo do programa, os conhecidos rootkits.

A troca de sistema operacional deve ser sempre observada, com o fim de verificar a compatibilidade do programa desenvolvido e evitar o possível impacto negativo no caso de incompatibilidade.

Cuidados específicos no caso de terceirização da atividade também devem ser desenvolvidos. A transferência dessa tarefa não implica necessariamente na transferência de responsabilidades. Nesse sentido a realização de Contratos por uma assessoria jurídica especializada é importantíssima. Em tais contratos se estabelece uma série de cláusulas específicas da atividade indo desde os processos de trabalho bem como os resultados pretendidos até questões como acordos de confidencialidade e acordos de monitoramento entre outros. Esses contratos também regulam questões sobre o nível de responsabilidade de cada parte e questões de suporte quanto à eventuais futuros problemas.

A realização de testes também é importante nesse cenário. Algumas empresas são especializadas apenas em encontrar defeitos em softwares. Além de tais testes terem o condão de evitar perdas futuras pelo mau funcionamento do software, também previne o re-trabalho de desenvolvedores para identificar e corrigir futuros defeitos.

Em sendo assim, finalizamos com a indicação de que se faz muito importante para a atividade de desenvolvimento de software o aconselhamento legal e a aplicação de controles de segurança da informação.

terça-feira, novembro 14, 2006

Controle da internet não coibirá crime, mas privacidade

Em face das recentes discussões sobre o projeto de lei que previa a obrigatoriedade de um cadastramento de todos que utilizassem a Internet no Brasil, venho publicar o artigo do Prof. Alexandre Atheniense.
Quero agradecer desde já a gentileza do Prof. Alexandre em permitir a publicação de seu artigo. Ao mesmo tempo, também quero divulgar e indicar o blog "O Direito e as novas Tecnologias", de sua autoria, fonte de inestimáveis contribuições para o Direito da Tecnologia da Informação. Segue o artigo.

Há cerca de sete anos, estamos aguardando a tramitação do Projeto de Lei que cria novos tipos penais para regulamentar os crimes que surgiram a partir da adoção dos sistemas informatizados.
Mais um ano está terminando e novamente a expectativa que havíamos renovado para que esta lei entrasse em vigor no ano de 2006 foi frustrada pela nova redação apresentada pelo relator, senador Eduardo Azeredo, na Comissão de Constituição e Justiça do Senado, que teve sua tramitação mais uma vez paralisada por ter sido retirado de pauta a pedido de alguns senadores.
O motivo desta frustração foi à inclusão na undécima hora de uma série de dispositivos que visam criar um rígido, ineficiente e inconstitucional regime de controle de acesso da internet a ponto de igualar o Brasil a países totalitaristas que tentam exercer um rígido controle de censura e violação de privacidade na internet.
Se o relator mantivesse o texto original, focando apenas na criação dos novos tipos penais como inserção de vírus, acesso não autorizado a sistemas e outros além da obrigatoriedade de armazenamento pelos provedores de registros eletrônicos que auxiliam no processo investigatório, por determinado período, certamente teríamos um desfecho mais célere para que a lei entrasse em vigor.
O texto como está, prevendo a regulamentação do acesso a internet, é cartorial e sufoca a privacidade e o direito do cidadão à informação. Fica claro que há um interesse de criar um grande cartório para identificar o cidadão brasileiro para acessar a internet, com o uso da certificação digital, quem sabe, uma espécie de Internetbras, o que é péssimo para o cidadão.
O aspecto mais inadmissível do projeto, do ponto de vista da liberdade de escolha do cidadão, é o condicionamento do acesso à internet a um credenciamento prévio, obrigatório, sujeitando quem contrariar essa determinação à alguma pena.
Obrigar a pessoa que quiser acessar a internet a realizar o cadastro prévio, além de absurdo e burocrático, é inócuo, pois quem está praticando ilícitos na rede vai continuar praticando; mesmo que esse cadastramento seja obrigatório.
O internauta infrator pode buscar uma conta gratuita em um provedor no exterior e, a partir daí, fazer os mesmos ataques que já realiza hoje. Por isso, não há nenhuma garantia que qualquer cadastro será capaz de erradicar os crimes praticados pelo meio eletrônico.
Pode se dizer que existe uma hipocrisia ao imaginar que a partir do credenciamento, o problema dos ataques ou rimes cibernéticos vão ser erradicados. Nem de longe os crimes vão terminar a partir desse procedimento.
Fica patente que, por detrás do projeto, existem muitos interesses cartoriais. O que se quer é criar um grande cartório, por meio de uma regra para impor o credenciamento prévio, quem sabe sujeitar à certificação digital todos os internautas do país e depois se fazer venda de certificado eletrônico com exclusividade pelos cartórios.
Este projeto contraria o próprio espírito da internet quando foi criada, de forma livre, em estabelecer qualquer controle em grandes proporções. Se a intenção com a adoção da obrigatoriedade do credenciamento é cessar a prática do crime eletrônico no Brasil, o objetivo não será alcançado, pois o agente criminoso vai operar por meio de um provedor no exterior. Por este motivo, estas amarras por meio da legislação só servirão para sufocar a privacidade do cidadão e criar o cartório.
A se persistir o excesso de rigor sobre a identificação dos internautas, vamos ter a eliminação de diversos provedores de pequeno porte do mercado, além de dificultar a inclusão de classes menos favorecidas a internet no nosso país aumentando ainda mais o apartheid digital que já existe.
A ampliação do tipo penal de divulgação de material pedófilo

Em uma semana em que o senado promete endurecer nossa legislação contra os adquirentes de pedofilia na internet, cabem algumas considerações sobre o assunto. Nossa legislação estabelece a punição pela divulgação de material pedófilo no artigo 241 do Estatuto da Criança e do Adolescente:

"Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:
Pena - reclusão de 2 (dois) a 6 (seis) anos, e multa.
"

O grande problema desse artigo é que não se enquadram nesse tipo penal as condutas de “acessar” e “comprar”. A conduta de comprar, estaria de certa forma abrangida pela conduta de acessar. É nessa esteira que o projeto do senador Marcelo Crivela foi aprovado na Comissão de Constituição e Justiça do Senado. Este projeto de lei visa a punição também de quem acessa além de quem transmite o material pedófilo na internet.

Como nossos tribunais ainda não se manifestaram sobre a questão do acesso, recorremos ao Direito Comparado para a análise dessa situação. Nos EUA, no estado da Pennsylvania (Anthony Diodoro vs Commonwealth of Pennsylvania), decidiu-se que o acesso ao material pedófilo sem o ato intencional de gravar as fotos acessadas não constitui crime, pelas leis americanas. Tal decisão analisada sob a égide de nossa lei também não constitui crime. O crime ocorreria (pela lei da Pennsylvania) apenas se alguém salvasse intencionalmente as mensagens e não pelo simples acesso. A referida decisão tratou a questão entendendo que :

State law says that a person must have "knowing possession" of child pornography in order for it to be a crime. A panel of three judges in the Pennsylvania Superior Court concluded that Diodoro (nome do acusado) could not be convicted of knowingly possessing the images because there was no evidence that Diodoro knew that his computer was storing the images in its internet cache file.

Ademais também discutiu-se a questão da ambiguidade da lei, no sentido de que em havendo dúvida, o réu deve ser absolvido. Algo como o princípio do “in dubio pro reo”. Isso uma vez que a lei americana considera crime apenas o “knowingly possesses” do material. A dubiedade do sentido de “knowingly possesses” é que garantiu a absolvição do réu. Cabe trazer o texto específico desse tipo penal:

Any person who knowingly possesses or controls any book, magazine, pamphlet, slide, photograph, film, videotape, computer depiction or other material depicting a child under the age of 18 years engaging in a prohibited sexual act or in the simulation of such acts commits an offense.

Isso significa que deveria haver, no caso da lei do referido estado, uma intenção prévia de salvar as imagens, não bastando que elas ficassem armazenadas nos arquivos temporários do computador para a tipificação do crime de acesso ilegal.
Torna-se importante essa discussão, uma vez que aquele tribunal entendeu que o armazenamento automático nos arquivos temporários do browser não configuraria a “intenção de armazenamento”. Isso, pois não se conseguiu provar que o acusado teria a intenção de salvar as mensagens ou que sabia que tais imagens ficariam guardadas nos arquivos temporários de seu navegador, circunstância que pesou na hora de sua absolvição.

Tais reflexões, mesmo que baseadas em casos fora da jurisdição nacional são importantes para o esclarecimento de nossos legisladores no momento em que se visa a ampliação do tipo penal de divulgação de material pedófilo. A especifidade do tipo penal deve ser muito bem observada sob pena de não abranger condutas reprováveis, como no caso da decisão americana.

A decisão integral pode ser lida em http://www.superior.court.state.pa.us/opinions/a23036_06.PDF

quinta-feira, novembro 09, 2006

A responsabilidade pelo armazenamento de logs

Recentemente, li uma notícia sobre um caso americano (Easton Sports, Inc. v. Warrior LaCrosse, Inc.) onde era discutida a questão de se uma empresa deveria ser responsabilizada pelo apagamento de logs ou evidências que potencialmente poderiam servir de prova em um processo futuro.
O caso era de um funcionário de uma empresa que foi instigado por outra empresa a transferir informações sigilosas através de e-mail e outros meios.
A empresa instigadora desse ato, posteriormente contratou o funcionário da primeira empresa e após, esta processou a segunda por esta violação. Com isso a empresa processada, apagou logs e o funcionário cancelou sua conta no Yahoo, com a intensão de destruir as evidências digitais pertinentes.
Entre outras coisas a decisão afirmava "Under Michigan law, “[a] trial court has the authority, derived from its inherent powers to sanction a party for failing to preserve evidence that it knows or should know is relevant before litigation is commenced. MASB-SEG Prop./Cas. Pool, Inc. v. Metalux, 231 Mich.App. 393, 400 (1998). A sanction may be appropriate “regardless of whether the evidence is lost as the result of a deliberate act or simple negligence, [as] the other party is unfairly prejudiced....” Brenner v. Colk, 226 Mich.App. 149, 161 (1997)."
Em que pese as notáveis diferenças entre o sistema jurídico americano e o nosso, podemos fazer algumas considerações sobre os possíveis efeitos de um hipotético caso semelhante ocorrido no Brasil.
Em princípio podemos trazer à baila a questão de ninguém ser obrigado a produzir prova contra si mesmo. Aliado a isso, não há em nossa legislação nenhuma regra obrigado um provedor ou uma empresa a guardar logs sobre sua atividade. Também temos o inc. II do art. 5º da CF que diz: "ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei".
A priori, não haveria nenhuma obrigação nesse sentido e a empresa não poderia ser responsabilizada por não armazenar os logs.
Por outro lado, o nosso código civil prega o princípio da boa-fé objetiva, que em alguns casos é caracterizado pela existência de deveres laterais ao cumprimento de uma obrigação. Ora, a atividade de TI tem como um dever lateral, o armazenamento de logs para a correta medição de uso de seus recursos, bem como o monitoramento preventivo além de evitar o anonimato da expressão proibido pela CF. É uma conclusão extraída das regras de experiência técnica da atividade.
Nesse tom, sentimos que um apagamento intencional de dados que potencialmente possam servir como prova e, este ato impeça uma investigação sobre um crime que saiba ter-se cometido naquela estrutura, pode fundamentar uma ação indenizatória contra a empresa ou pessoa autora do ato. Claro que deve haver um dano por este apagamento. A ação indenizatória se fundamentaria no desrespeito ao dever geral de boa-fé objetiva que deve orientar toda a atividade de tecnologia traduzido pela obrigação lateral de guarda de logs.
Há também o tempo de guarda de logs que poderia ser discutido em uma possível ação dessa natureza. No caso americano, dados foram destruídos logo depois que se verificou a movimentaçõa para o início da ação judicial.
Não devemos esquecer, por fim, que se já há um processo judicial iniciado e há uma destruição de provas digitais, temos a tipificação do delito de Fraude Processual, art. 347 do CP.

terça-feira, novembro 07, 2006

O que a lei protege: Dados ou Comunicação de Dados?

Em tempos modernos, em que todos os documentos não são mais redigidos em máquinas de escrever sem qualquer tecnologia para arquivo de dados, mas em computadores com enorme poder de memorizar os dados digitados, como ficam sob a ótica jurídica a questão do sigilo e a invasão da memória de computador?
O STF, em recentíssima decisão relatada pelo Ministro Sepúlveda Pertence, trouxe à tona esse tema de forma muito coerente e elucidativa, definindo conceitos até então nebulosos.
A discussão encontra respaldo na interpretação do art. 5º, inc. XII, da nossa Constituição Federal, que determina a inviolabilidade do sigilo das comunicações de dados, entre outras, salvo por ordem judicial dentro dos moldes previstos em lei.
O acórdão foi prolatado em caso no qual determinou-se a busca e apreensão de equipamentos de informática e disquetes na sede da empresa para apuração de eventuais crimes tributários pela análise dos registros armazenados digitalmente. O réu recorreu buscando a reforma da condenação, pois, supostamente, as provas teriam sido obtidas por meio ilícito, resultando na violação da proteção constitucional ao sigilo de comunicações de dados.
Nesse passo, o Tribunal entendeu que não houve quebra de tal sigilo, isto porque a expressão “dados” não deve ser entendida como o objeto da comunicação, mas sim uma modalidade tecnológica de comunicação resultante do desenvolvimento da informática. Desse modo, se o sigilo acoberta apenas a comunicação de dados, os dados estáticos, armazenados na máquina, não estariam acobertados pela inviolabilidade constitucional.
Na mesma trilha, a decisão esclarece que referida distinção é importantíssima, concluindo que o objeto protegido no direito à inviolabilidade do sigilo não são os dados em si, mas a sua comunicação restringida. A troca de informações privativa é que não pode ser violada por sujeito estranho à comunicação.
Assim, conclui-se que a infração ao direito constitucional ocorreria se alguém entrasse na comunicação alheia, interceptando os dados. Para facilitar o entendimento, trazemos o seguinte exemplo: o leitor envia um e-mail para os autores deste texto; se um terceiro não autorizado entrar nessa comunicação, tento acesso aos dados enviados, configuraria violação do preceito constitucinal.
Desse modo, o STF definiu acertadamente o conceito de interceptação de comunicação de dados, esclarecendo que este não se confunde com o conceito de dados estáticos.
Certamente, depois dessa decisão, novas discussões surgirão, pois se a justiça sugere que não há proteção aos dados estáticos, como ficaria a questão do sigilo quanto a estes? Será que no futuro haverá necessidade de quebra de sigilo judicial?
Continuaremos acompanhando e, quando vislumbrarmos o novo rumo adotado pelos Tribunais para questões tão peculiares como essa, traremos para os leitores essa interessante convergência entre direito e tecnologia.
Autores:Renato Opice Blum e Camilla do Vale Jimene

A reprodução deste texto foi autorizada diretamente pelo Dr. Renato Opice Blum e também segue ditames do Creative Commons. Gostaria de agradecer publicamente a gentileza do Dr. Renato Opice Blum em permitir a publicação do artigo.

O art. 46 da lei 9610/98 e a ISO/IEC NBR 17799

Com as recentes discussões acerca da nossa anacrônica lei de Direitos Autorais cabem algumas considerações sobre o art. 46 da referida lei. O art. 46 elenca os casos das condutas que não constituem ofensa aos direitos autorais. Entre os vários casos, quero destacar um que aplica-se a uma situação de possível ocorrência nos Tribunais.Alguns juristas, entre eles o Dr. Renato Opice Blum, dizem que a norma ISO/IEC NBR 17799, que trata das melhores práticas em Segurança da Informação, tem aplicabilidade obrigatória em face de nosso CDC. Explico: o CDC em seu art. 39 reza:

Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas:
VIII - colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro);


Isso significa que o CDC veda a colocação de um serviço ou produto em dissonância com as normas técnicas da ABNT. Ora, a referida norma, foi publicada no Brasil através da ABNT, sendo uma norma brasileira a balizar a atividade de segurança da informação.
Em sendo assim, a questão sobre os direitos autorais seria a seguinte: em um processo judicial em que se discute a aplicabilidade da norma ISO/IEC NBR 17799 para classificação de um serviço de TI como sendo prática abusiva pela inobservância do art. 39 do CDC, o advogado teria que obrigatoriamente trazer esta norma como prova. Isso porque dificilmente o juiz conheceria o teor da referida norma. Em sendo assim, seria uma violação de Direitos Autorais a utilização de uma cópia da norma para instruir o referido processo? Entedemos que não com base no art. 46 da lei 9610 especificamente em seu inciso VII:

Art. 46. Não constitui ofensa aos direitos autorais:
VII - a utilização de obras literárias, artísticas ou científicas para produzir prova judiciária ou administrativa;

Nesse caso, enxergamos a possibilidade da utilização da norma técnica para a instrução processual, através de uma cópia juntada ao processo sem que isso signifique a violação de direitos autorais.

segunda-feira, novembro 06, 2006

Direito e Comércio Eletrônico

Artigo publicado no Jornal do Comércio de Porto Alegre
A singeleza do artigo justifica-se pelo pequeno espaço disponibilizado pelo jornal.


Em 2005 o comércio eletrônico (B2C - Business to Consumers) movimentou aproximadamente R$ 2.5 Bilhões no Brasil. No mesmo ano tivemos 4 milhões de consumidores que realizaram compras pela Internet aqui no país. As grandes redes de lojas já aderiram totalmente ao comércio eletrônico e temos casos bem sucedidos de lojas brasileiras que funcionam apenas no meio eletrônico.
Os fornecedores virtuais devem sempre observar uma série de princípios com o fim de atender nosso Código de Defesa do Consumidor (CDC). Temos o Princípio da Informação (que faz com que os estabelecimentos comerciais virtuais devam informar os consumidores sobre as peculiaridades do comércio eletrônico, bem como os riscos gerais atinentes às transações on-line); o Princípio da Boa-Fé Objetiva pregando, entre outras coisas, o dever lateral de transparência no desempenho das funções de fornecedor. Além disso, há a responsabilidade objetiva dos estabelecimentos comerciais eletrônicos, onde em havendo um dano ao consumidor nessa relação, presume-se a culpa daquele.
Vê-se que o comércio eletrônico modifica o conceito de confiança, uma vez que o consumidor precisa confiar em um fornecedor que não vê fisicamente e que está em um ambiente hostil e público, que é a Internet. É a impessoalidade do comércio virtual. Isso motiva as empresas a investirem em Segurança da Informação para trazer mais integridade às transações eletrônicas, atendendo às expectativas de segurança dos clientes. Para amenizar essa impessoalidade, temos o direito de arrependimento nos contratos entre ausentes, estabelecido CDC.
Cabe aos gestores das empresas virtuais sempre observar tais peculiaridades para tentar mitigar o risco jurídico de sua atividade.

Monitoração do e-mail corporativo


A questão da possibilidade do e-mail utilizado no ambiente empresarial poder ser monitorado tem merecido muita atenção de advogados e profissionais de TI. No entanto, até mesmo nossos tribunais, têm tratado o assunto de maneira simplista, ignorando algumas regras que merecem ser observadas.
O e-mail com o domínio da empresa é de sua propriedade e esta tem o dever de monitorá-lo. Esse dever advém, dentre outras coisas, do fato da responsabilidade que e empresa tem sobre os atos de seus funcionários quando utilizam seus recursos. A empresa responde perante terceiros quando o funcionário usa o e-mail para envio de material ilegal, quando quebra de sigilo, viola de direitos autorais e até mesmo comete crimes entre outros atos decorrentes do mau uso da tecnologia. Quanto a isso não há dúvidas.
Mesmo assim deve se ressaltar que a privacidade é um bem do qual as pessoas não podem abrir mão integralmente. É um bem que tem proteção constitucional e é fundamentado nos valores da dignidade da pessoa humana, além de ser inalienável. Há, assim, expectativa de privacidade mesmo quando se usa o e-mail da empresa. Por isso é importante a criação, pela equipe de tecnologia e corpo jurídico, de uma política de uso dos recursos tecnológicos. Esta política deve ser amplamente divulgada entre todos os colaboradores. Nela estabelecem-se os limites de uso e as penalidades para seu descumprimento. Ao mesmo tempo, deve-se fazer um termo aditivo no contrato de trabalho, de todos os funcionários em que este dá o consentimento específico para a monitoração das mensagens. A inobservância dessas orientações podem fazer com que a empresa, ao monitorar as mensagens, violem indevidamente a privacidade dos colaboradores inviabilizando o produto da monitoração. Em casos específicos isso pode até gerar uma ação indenizatória pela invasão de privacidade. Por fim, quando a empresa não age assim, pode passar a idéia de que permite tacitamente que seus funcionários utilizem a estrutura de e-mails para fins particulares, comprometendo uma futura monitoração.

Outsourcing e Direito Digital

Artigo originalmente publicado no Jornal do Comércio de Porto Alegre
A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

No mundo negocial atual é muito freqüente as empresas terceirizarem setores ou atividades com o escopo de diminuir riscos, custos e aumentar a produtividade. Essa terceirização é conhecida por Outsourcing e encontra campo fértil nas atividades que envolvam a Tecnologia da Informação.
É possível realizar um contrato de Outsourcing em praticamente todas as áreas de Tecnologia da Informação, desde o suporte técnico mais básico até à Gerência de TI. No entanto, um fator determinante para utilizar o Outsourcing de forma segura é a questão contratual. Um contrato de Outsourcing mal redigido pode prejudicar não só a empresa prestadora de serviço como o contratante. Por ser um contrato específico alguns requisitos devem sempre ser observados: a exata definição pormenorizada do serviço a ser prestado; o que será feito e principalmente o que não será feito pela empresa prestadora; deve haver uma cláusula de confidencialidade que, entre outras coisas, proíba a divulgação de detalhes do contrato para evitar investidas dos concorrentes; responsabilidade de cada profissional; hipótese de descontinuidade do serviço e de não atendimento, etc.
Outro requisito fundamental é a caracterização do serviço de Outsourcing como obrigação de meio ou de resultado. Se a empresa prestadora do serviço prometer atingir um objetivo específico, trata-se de obrigação de resultado. Se a empresa comprometer-se a utilizar os meios tecnológicos existente para tentar chegar a um resultado sem no entanto prometer um objetivo, teremos obrigação de meio. Isso é importante para determinar o grau de responsabilidade da empresa em caso de não prestação de um serviço ou prestação inadequada ou incompleta.
Por fim é sempre importante utilizar um glossário ao final do contrato. Esse glossário visa normatizar as interpretações sobre termos que possam ser dúbios ou interpretados de várias maneiras. Com isso garante-se a segurança da prestação e evita-se a ocorrência do risco jurídico nessas atividades.

Direito Digital

Artigo publicado originalmente no Jornal do Comércio de Porto Alegre.
A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

Apesar de não ser um ramo autônomo do Direito, as disposições de Direito Digital ou Direito da Informação têm sido cada vez mais pesquisadas e estudadas. A abrangência da matéria é ampla e envolve questões de: Direito Penal (crimes contra o sistema bancário, divulgação de material sexual infantil, crimes contra a honra, quebra de sigilo bancário e telemático, violação de sistemas da Administração Pública), Direito Civil (questões contratuais típicas ao ambiente da informação, acordos de confidencialidade, responsabilidade civil de empresas por atos de seus funcionários no âmbito da Internet, o prazo para o armazenamento de informações), Direito Trabalhista (com a análise de e-mails e conteúdo acessado para a possível classificação de uma despedida por justa causa), Direito Processual (com a análise de provas digitais, perícia – Computer Forensics), Direito do Consumidor (com contratos realizados por meio digital, Responsabilidade Civil dos provedores e empresas que trabalham com e-commerce), etc.

Talvez a área que mais exija atenção do Direito Digital seja a área de Segurança da Informação (S.I). Isso porque nesses casos é exercido um controle preventivo, conjuntamente com o setor de S.I visando garantir a segurança como um todo além de garantir a continuidade dos negócios e evitar perdas. Por isso digo que a Segurança da Informação é sinônimo de Segurança Jurídica. Um depende do outro e a inobservância de um pode inutilizar o trabalho do outro. A informação é um ativo das empresas, devendo ser vista não só como informação digital, mas sim em um sentido amplo. Com isso a segurança deve ser observada tanto em seu aspecto físico, digital, humano e jurídico.

Empresas que trabalham com o sigilo de informações e com o controle de Direitos Autorais devem estar munidas de contratos com disposições especiais além de Acordos de Confidencialidade seja com seus colaboradores, parceiros e fornecedores.

O empresariado gaúcho precisa atentar para as importantes disposições do Direito Digital para amenizar ou até mesmo evitar perdas futuras.
Related Posts Plugin for WordPress, Blogger...