segunda-feira, maio 21, 2007

Responsabilidade civil das empresas de assistência técnica

Responsabilidade civil das empresas de assistência técnica

Um assunto que merece bastante atenção tanto dos usuários, quanto das empresas é a responsabilidade das empresas de assistência técnica, quando da divulgação indevida de dados contidos nos computadores. Tentaremos tecer alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.

Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência ténica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).

Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mau intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais esses profissionais tem o dever anterior de preservar o sigilo das informações. Com isso há dois deveres subseqüentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.

Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.

O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.

Mesmo assim, sabemos que a culpa exclusiva do consumidor ou ainda ou de terceiro, pode afastar a responsabilidade da empresa. Nessa seara, temos que a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente nosso Tribunal se manifestou sobre o dever de segurança por parte do consumidor/usuário, na apelação cível 70011140902. Vejamos a ementa:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA

Neste caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.

Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados pelas) impedindo assim a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação.
Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentendo para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para que a ação de divulgação constitui crime de Violação de Segredo Profissional.

Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título "Assistência técnica e a segurança das suas informações". Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.

quinta-feira, maio 03, 2007

Provas Digitais e Produção de Logs


Um assunto muito interessante e controvertido em relação aos controles de Segurança da Informação é o controle de produção e armazenamento de log’s. Os log’s são registros de atividades ou eventos pré-determinados e servem para estabelecer um histórico de uma atividade tecnológica. Para tornar a explicação mais compreensível podemos trazer alguns exemplos práticos das situações em que são produzidos os logs. Um servidor de e-mail (seja ele corporativo ou comercial) geralmente é configurado para registrar os logs de sua atividade. Em geral são armazenadas informações tais como IP de origem da mensagem, horário de envio e recebimento, servidores pelos quais a mensagem passou, etc. Esses registros são úteis nos casos em que há a necessidade de identificar o autor de uma mensagem anônima. Com isso identifica-se que em determinado horário o ip de número X, enviou um e-mail para aquele servidor. Com isso, chega-se até o servidor que controla aquele IP e com base no horário é possível identificar a pessoa que naquele determinado momento estava usando a referido número. Todas essas ações, é claro, são precedidas de ordens judiciais específicas. Outro exemplo prático é a produção e armazenamento de logs em ambientes corporativos. Nesse caso em geral se armazenam históricos de atividades tais como rotinas de backup, funcionamento de servidores, tráfego de internet, funcionamento de sistemas internos, etc. Dependendo da atividade da empresa, há um sem número de atividades que podem ter seu histórico armazenado.

Dito isso, passemos à análise da utilização desses logs. Vamos imaginar que alguém necessite identificar a autoria de um e-mail difamatório, ofensivo ou ameaçador. Com a consulta dos logs dos servidores chegou-se a um determinado IP identificando-se assim o remetente da mensagem. Pois bem, a questão principal deste artigo é: como ter certeza de que este log foi produzido e armazenado com integridade? Como é possível ter certeza de que este registro não foi alterado? Como podemos afirmar que a estrutura computacional que produz tais logs, não está funcionando de maneira precária produzindo assim dados incorretos?

No Brasil não temos uma normatização que regula a produção desses registros para o setor privado. No setor público temos alguns decretos que regulam controles de segurança aplicáveis ao assunto, porém o mesmo não ocorre no setor privado. Temos visto inúmeros casos em nossos Tribunais de que quando são produzidos esses logs, a parte contrária sequer impugna tais provas. Ao contrário de análises e provas produzidas por peritos judiciais, não há como ter certeza da integridade de registros produzidos, por exemplo, por um provedor comum de internet.

Já vimos provedores respondendo a ofícios judiciais de pedidos de logs, de maneira desinteressada e até negligente. Em uma situação verdadeira, um simples operador de sistemas, acessou o sistema da armazenamento de logs do provedor e através do processo de “copiar e colar” montou um documento no Excel, para instruir a resposta do ofício. Esse “documento” ao chegar nos autos do processo, adquire uma força probante e uma integridade muito maior do que realmente teria se analisado sob o aspecto técnico-computacional. O processo judicial acaba por legitimar e um documento muitas vezes, mal produzido e sem a certeza de integridade.

Cabe ainda mencionar a existência do dever dos provedores (aqui provedores em sentido amplo) em armazenar tais registros, em função da especificidade de sua atividade, conforme nos ensina o mestre Marcel Leonardi na sua obra “Responsabilidade Civil dos Provedores de Serviços de Internet”.

É sabido que a utilização de provas digitais é plenamente permitida em nosso sistema jurídico. Tal fato é indiscutível e aceito pela doutrina. No entanto o artigo 225 do CC prega que: “As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.”

Na grande maioria dos casos a outra parte sequer ousa impugnar a exatidão de tais registros. Cabe lembrar que o provedor ou empresa que produz tais logs (em geral fundado em um ofício judicial) em alguns casos pode até ter interesses no julgamento da causa. Esse interesse pode existir até no fato de que se o provedor não possuir os logs, pode acarretar uma co-responsabilidade pelo ato de terceiro, quando essa falha puder impedir a identificação de autoria. Isso, por si só, poderia invalidar a produção do documento ou ainda poderia servir como motivo para o provedor forjar a criação ou existências de eventos.

Tal situação torna-se ainda mais delicada se a única prova de condenação seja um desses logs. Caso uma parte seja condenada em função apenas de um log e não se tenha a garantia da integridade e autenticidade dos dados, vemos a possibilidade de uma condenação indevida ou até mesmo nula.

Recentemente tivemos notícia de uma situação ocorrida nos EUA que indica bem o quão delicada é essa questão. Na cidade de Greensburg, Pennsylvania, foi feita uma falsa denúncia de bomba por telefone em uma escola. A polícia, pela análise do histórico de ligações nos servidores (logs), chegou ao número de telefone de um estudante. Com base nessa informação o estudante ficou 12 dias preso em um centro de detenção juvenil. Sem alongar-se sobre as especificidades do caso, descobriu-se que o servidor que armazenava os logs de ligações telefônicas estava com o horário atrasado em uma hora. Ou seja, como o estudante ligou uma hora após o verdadeiro denunciante, foi com este confundido. Esse é apenas um dos tantos casos em que o excesso de confiança nos logs pode causar um grande erro judicial. Os policiais, à época da prisão, ainda comentaram o fato de que o autor da ligação negava admitir sua culpa, “amplamente demonstrada”.

Trazendo a questão para o Brasil, temos um julgado do TRT da 4ª Região que, através da analogia, pode muito bem ser aplicado às situações aqui colocadas. Vejamos:

EMENTA: CONTROLE DE PONTO. ART. 74, § 2º, DA CLT. Os controles de ponto eletrônico, em regra, não atendem as exigências do art. 74, parágrafo 2o, da CLT, que exige que o empregador com mais de dez empregados mantenha registros diários da jornada despendida pelo trabalhador, obrigando-se a apresentá-los no processo, caso determinado pelo juiz. De fato, os registros eletrônicos são elaborados por meio de "software", que não é conhecido pelo empregado, que tampouco tem acesso ao código-fonte do mesmo, nem controla as operações informáticas que produzem os relatórios em que, supostamente, consta o horário de trabalho do trabalhador.

Como se vê, a decisão reconheceu o fato de que os registros produzidos por software, desconhecidos da parte interessada ou que não haja a certeza da integridade da produção, não podem ser utilizados em um processo. Ainda, haveria a necessidade de um perito analisar a produção de tais registros para garantir a sua validade no processo, uma vez que podem ser facilmente adulterados sem deixar rastros ou vestígios.

Em que pese a falta de leis específicas para a produção e armazenamento de tais logs, não faltam regras de experiência técnica que regulam tais atividades. A norma ISO/IEC NBR 17799, publicada no Brasil pela ABNT, dispõe sobre alguns controles que podem ser observados para elevar o nível de segurança em relação aos logs. Ainda a regras de experiência técnica da atividade de Segurança da Informação, estabelecem práticas usuais sobre o assunto. Um exemplo de regras de experiência técnica sobre o assunto pode ser lido no artigo “Precisa-se de um FDR” de autoria do professor Msc. Vinícius Serafim. Nesse artigo são abordadas questões técnicas sobre o armazenamento e produção de logs à luz da Ciência da Computação. O artigo faz uma analogia com o sistema de FDR ou Flight Data Recorder, que se constitui nas caixas pretas dos aviões. O autor fala confiabilidade de tais registros (das caixas pretas) e analisa uma possível utilização desta idéia para a produção de logs.

Por fim, defendemos que tais provas devem ser produzidas por um perito judicial e, se for o caso, acompanhado por assistentes técnicos das partes envolvidas. Tal perito deverá analisar a estrutura computacional para verificar a integridade e autenticidade dos registros para assim termos um maior grau de confiabilidade dos registros.

Related Posts Plugin for WordPress, Blogger...