Direito da Tecnologia da Informação

2011-04-19T20:24:00.000-03:00

Responsabilidade das search engines pelo recurso autocomplete

Uma interessante decisão acerca da responsabilidade das search engines foi proferida na Itália. Trata-se da responsabilidade acerca do recurso de "autocomplete", disponibilizado pelo Google.

Este recurso, amplamente utilizado e conhecido, permite que no mesmo instante em que o usuário digite o termo de busca, sejam apresentadas sugestões de pesquisas relacionadas com o termo digitado. As sugestões baseiam-se nos termos mais pesquisados e visam dar um apoio ao internauta, tornando assim a experiência de procura mais eficiente e rápida.

No processo em questão, quando era pesquisado o nome de um cidadão, o recurso de autocomplete apresentava associações dando a entender que ele seria um fraudador. Como a situação ocorreu na Itália, O Google invocou a proteção da Diretiva 2000/31 da Comunidade Europeia (diretiva de Comércio Eletrônico), que isenta os provedores de serviço de responsabilidade, quando o conteúdo não for gerado por ele. Na Itália, o decreto legislativo 70/2003, regulamenta a utilização da diretiva, reproduzindo basicamente os termos originais desta.

Segundo o Google, o recurso é constituído de um algoritmo que automaticamente faz associações com termos de pesquisa mais populares. Desta forma, não haveria controle dos termos apresentados e eles seriam produzidos por terceiros.

O autor do processo, por sua vez, argumentou que o Google, ao contrário do que dissera, era o real produtor da funcionalidade de "autocomplete". Da mesma forma, as sugestões do "autocomplete" eram em algumas situações filtradas, quando tratava-se de termos que poderiam infringir a lei autoral. Segundo esse argumento, o recurso não seria totalmente "automático" sendo comprovadamente editado pelo Google.

O debate é interessante e involve o seguinte dilema: as sugestões apresentadas pelo "autocomplete" tratam-se de conteúdo gerado pelo Google? Mesmo que haja um algoritmo que realize associações, tais associações são realizadas em função de termos de pesquisa feitos por terceiros (e não pelo Google). Além do mais, o recurso de "autocomplete" é baseado em registros estatísticos. Os resultados são transitórios e variarão de acordo com os termos mais pesquisados. Em última instância, caso ninguém realize pesquisas semelhantes ao termo pesquisado, o recurso não apresentará nenhuma sugestão.

No entanto, a decisão rebate a tese de pretensa neutralidade do "autocomplete" e assim também a irresponsabilidade do provedor, na medida em que se há um algoritmo que realiza a pesquisa e as associações, com base em critérios estipulados pelo criador do software, este não pode ser considerado neutro. O fato de que o "autocomplete" realize a escolha de termos de forma automática, e sem a intervenção humana, não significa que ele seja neutro. Desta forma, mesmo que de forma não intencional, a escolha do algoritmo a ser utilizado pelo software, seria razão suficiente para responsabilizar a empresa pelos resultados obtidos através daquele.

A reflexão é importante pois nesta situação, é discutível se o conteúdo foi ou não gerado pelo provedor. Como se viu a utilização de um software que realiza a seleção de conteúdos de forma automática representou que o resultado obtido é conteúdo gerado pelo detentor (desenvolvedor) do software. A imprevisibilidade neste caso, não pode ser invocada, uma vez que alguns termos foram inclusive suprimidos do serviço.

Quem possuir interesse pode acessar a decisão original (em italiano) clicando aqui.

2010-07-10T17:32:00.003-03:00

Delegacia de Repressão de Crimes Informáticos do Rio Grande do Sul

Apesar de já amplamente divulgado pela mídia, gostaria de também destacar um fato importante, não só para o direito da tecnologia da informação, como também para a comunidade gaúcha. Anuncio isto também, visto que recebo diversos e-mails de leitores do blog relatando situações em que foram vítimas de crimes praticados através de meios digitais.

Sob o comando do Del. Emerson Wendt, nasce a primeira delegacia especializada em crimes informáticos no Rio Grande do Sul: é a Delegacia de Repressão de Crimes Informáticos do Rio Grande do Sul, DRCI-RS.

O Del. Emerson Wendt é bastante conhecido no que diz respeito à sua atuação em crimes informáticos. Ele é membro consultor da OAB/SP na Comissão de Crimes de Alta Tecnologia. Além do mais, é professor na área de crimes virtuais. É mantenedor do site www.emersonwendt.com.br, onde são tratadas questões relevantes sobre a criminalidade informática.

Tenho absoluta certeza que esta delegacia, recém inaugurada, figurará entre as melhores do Brasil no combate ao crimes informáticos.

A DRCI fica localizada na cidade de Porto Alegre, na sede do DEIC, na Rua Prof. Cristiano Fischer, 1440. O fone de contato é 51-3288-9815. A delegacia inova ao contar também com um perfil no Twitter, www.twitter.com/drci_rs.

Agradeço publicamente, a gentileza do Del. Emerson Wendt nas mensagens que trocamos recentemente.

2010-04-22T20:40:00.002-03:00

Google não é responsável por conteúdo publicado no Orkut

Ressalto uma importante decisão do TJ gaúcho, que reverteu decisão de primeiro grau, que responsabilizava o Google pelo conteúdo publicado por terceiros no Orkut.

Venho já, há algum tempo, defendendo a tese de que os provedores de serviços não devem ser responsabilizados pelo conteúdo publicado por terceiros, mormente quando há a impossibilidade técnica de efetuar o bloqueio prévio de um tipo de conteúdo específico. Defendo que a decisão sobre se um conteúdo é ou não ofensivo deve partir de um juízo humano, subjetivo, através de uma ponderação racional e de valores. Até o momento, desconhecemos a capacidade de um programa de computador conseguir realizar com segurança este juízo. Igualmente, é importantíssima a análise do caso concreto, uma vez que estão em jogo o princípio da liberdade de expressão e a proibição da censura prévia, sem deixar de lado a responsabilização pela prática de um ato ilícito do autor do conteúdo ofensivo.

O provedor deve ser responsabilizado, no entanto, por omissão, caso notificado da ilicitude do conteúdo, abster-se de retirá-lo do ar, como bem ponderou a decisão.

~~Estou buscando o inteiro teor da decisão para postar aqui no blog.~~

A notícia pode ser lida no site do TJ gaúcho.

ATUALIZAÇÃO
Consegui o inteiro teor da decisão. O download do PDF pode ser feito aqui.

2010-02-24T16:33:00.004-03:00

A inviabilidade técnica de controle e a condenação do Google na Itália

No ano de 2006, alguns estudantes italianos filmaram a si próprios zombando de um colega portador da síndrome de Down, publicando posteriormente o vídeo no GoogleVideo. Poucas horas depois, após um comunicado da polícia, o Google empreendeu todos os esforços para retirar o vídeo do ar além de ajudar as autoridades a identificar os autores do vídeo. O caso ficou conhecido como caso "Vividown".

No entanto, as autoridades italianas, após processarem os autores do vídeo, processaram também três executivos do Google pela publicação dos vídeos. Ressalte-se que no momento da publicação dos vídeos, estes três executivos não sabiam da existência do vídeo e nem tinham meios técnicos para saberem. Não havia dever e nem mesmo ferramentas técnicas (ressalte-se que ainda não há) para que eles pudessem saber de tais situações. Mesmo assim, em 24 de Fevereiro de 2010, o juiz italiano Oscar Magi, absolveu os três da acusação criminal de difamação, condenando-os, por sua vez, por violação de privacidade. Embora não tenhamos conhecimento dos termos da sentença, os veículos de comunicação internacionais informam que o fundamento da condenação foi o de que o Google não detinha o consentimento de quem aparecia no vídeo para publicá-lo. (ver reportagem da BBC).

Em casos desta natureza, é bom ressaltar, a jurisprudência de diversos países (a brasileira também posiciona-se desta forma) entende que não há a responsabilidade do provedor de serviços. Como o provedor não tem meios técnicos para avaliar todo o conteúdo publicado por seus usuários, aquele só será responsabilizado se APÓS NOTIFICADO da existência de um material ilegal, permanecer inerte não retirando o conteúdo do ar. É após a cientificação do provedor que este tem condições de envidar esforços para retirar o conteúdo ofensivo, uma vez que até então, não possui condições de saber se há algum conteúdo ofensivo publicado em sua estrutura. Como, em situações assim não é o provedor de serviços quem cria ou publica o conteúdo mas sim um terceiro, entende-se que é este que deve ser responsabilizado pela publicação. A analogia clássica feita é com uma banca de jornais: não pode o dono da banca ser responsabilizado pelo conteúdo das publicações por ele vendida. Outra analogia bastante utilizada: não podemos responsabilizar as empresas de correio pelo conteúdo das correspondências, até por que elas não têm conhecimento de seu conteúdo, assim como não podemos fazê-lo com os provedores de serviço na internet.

Além do mais, o fundamento legal de que haveria a necessidade de buscar consentimento de cada um dos participantes de um vídeo ou foto publicados na internet é igualmente impossível de ser sustentado perante os provedores de serviço e também diante da complexidade do ambiente digital. Tal dever, o de obter o consentimento é de quem produz o conteúdo e o publica voluntariamente, e não do provedor de serviços. O provedor de serviços, como um intermediário que é, na presente situação, oferece apenas os meios tecnológicos que permitem que as pessoas publiquem seus conteúdos. O Youtube, por exemplo, não publica nenhum vídeo, hospedando apenas o conteúdo publicado e produzido por terceiros.

Já falamos em outros espaços que, para uma eventual responsabilização de uma empresa pelo controle de conteúdo deve existir um meio técnico que permita que todas as comunicações em questão possam ser analisadas, verificando-se se há alguma potencial violação de algum direito. Como se sabe tal situação é virtualmente impossível a não ser que se acabe com a agilidade, rapidez, baixo custo de acesso e instantaneidade da Internet.

O referido precedente, caso venha a se sustentar na Itália, fará com que cada provedor de serviço tenha que monitorar e avaliar se cada conteúdo publicado em sua estrutura não ofende algum direito. Realizar esta tarefa seria algo tecnicamente inviável além de representar um custo absolutamente impossível de ser arcado até mesmo pelo Google. Estariam ameaçados também todos os sites que funcionam na modalidade de "user-generated content" como o Youtube, Orkut, Flickr, fóruns de discussão e assemelhados.

O custo marginal de atuar preventivamente em situações assim é muito maior do que o benefício obtido por isto: a internet como conhecemos acabaria, tornando-se um meio de comunicação sem os seus principais predicados. que a tornam tão importante. Neste caso tentar evitar estes danos teria um custo maior do que suportá-los. Além do mais, todos os usuários da internet seriam prejudicados e não apenas os envolvidos nos ilícitos que se tentam evitar.

Há também um efeito dissuasório negativo no precedente: se cada provedor de serviços achar que pode ser condenado pelo conteúdo publicado por terceiros, impedirá ou dificultará que novos conteúdos sejam publicados, atingindo inclusive os conteúdos lícitos. Além do mais, aqueles provedores que desejarem classificar antecipadamente todo o conteúdo arcarão com os custos desta classificação, obviamente, passando-os posteriormente para a sociedade. A própria gratuidade da internet estaria ameaçada. Se cada texto publicado por um usuário necessitar de avaliação prévia de um funcionário do provedor de serviços, a internet como conhecemos acabará. A liberdade de expressão e a agilidade de circulação de informações, características ínsitas à internet, estariam igualmente ameaçadas.

O professor Danilo Doneda sustenta no artigo "Executivos da Google condenados na Itália: a punição exemplar de um concorrente incômodo", que por trás desta questão há também a influência de outras mídias, no caso a televisão, que temem que as novas mídias possam "pulverizar a sua influência e audiência". O professor Danilo tem razão. Inclusive sabe-se também que as companhias de televisão fazem lobby na Itália para a adoção de legislações mais rígidas de controle da Internet (ver reportagem do The New York Times )

Os institutos jurídicos tradicionais devem ser avaliados sob a nova lógica do ambiente cibernético. A internet não é uma mídia como um jornal ou um canal de televisão, onde o controle prévio é tecnicamente possível. É necessário que haja uma adaptação dos institutos tradicionais, adequando-os, inclusive, às limitações técnicas do ambiente.

Não podemos perder de vista também que o precendente italiano, trará consequências negativas para toda a comunidade de usuários da Internet afetando a liberdade de expressão e da neutralidade da rede aumentando os custos de utilização da rede.

Evitarem-se tais violações de direitos seria mais custoso para a sociedade do que suportá-las. Decididamente, o caminho de responsabilização dos provedores de serviços não contribuirá para a resolução do problema.

Terminamos com uma frase do juiz americano Guido Calabresi na obra "The cost of accidents", que, com a devida adaptação, pode ser totalmente aplicada na situação aqui tratada:

"Our society is not committed to preserving life at any cost"

2009-09-28T23:03:00.004-03:00

Palestra

No dia 19 de Outubro ministrarei a palestra intitulada "A última fronteira: Relações entre o Direito e a Tecnologia da Informação" na Mérito Estudos, em Porto Alegre. Como tema geral, tratarei dos principais pontos do Direito da Tecnologia da Informação.

A atividade serve como atividade complementar para o curso de direito.

As inscrições podem ser feitas através do telefone (51) 3372-7296 ou no site www.meritoestudos.com.br.

Questões sobre o conteúdo da palestra podem ser enviadas para guilherme@direitodatecnologia.com

2009-08-13T22:02:00.005-03:00

Decisões impossíveis de serem realizadas e o Direito da Tecnologia

Um dos grandes problemas envolvendo o direito da tecnologia é o caso das decisões judiciais que determinam providências impossíveis de serem efetivadas. Essa impossibilidade, na maioria das vezes, reflete-se nas limitações das tecnologias existentes atualmente. Uma decisão judicial não pode determinar algo que seja impossível de ser realizado em função das limitações do próprio código dos programas.

Quem primeirou observou essa questão foi o jurista americano Lawrence Lessig, na obra Code. O código que falamos aqui não são as leis, mas sim o código dos programas do computador. Uma decisão que determine algo não programado no código, não pode acontecer. Assim diz o autor em "Code v2":

In real space,we recognize how laws regulate—through constitutions, statutes, and other legal codes. In cyberspace we must understand how a different “code” regulates— how the software and hardware (i.e., the “code” of cyberspace) that make cyberspace what it is also regulate cyberspace as it is.

Podemos fazer uma analogia com as leis da física. A "lei da gravidade", não pode ser revogada ou anulada pelas leis, estas últimas, assim entendidas como estatutos jurídicos e códigos legais.

Um interessante julgado do Tribunal de Justiça do Rio Grande do Sul, pode ser analisado sob esta ótica. Não divulgaremos o nome do autor e nem número do processo para preservar a integridade moral dos envolvidos, mas o processo dizia respeito ao reconhecimento da impossibilidade do Google de impedir a criação de perfis e comunidades pejorativas sobre uma pessoa no Orkut.

O Desembargador Tasso Caubi Soares Delabary, analisou a questão de forma coerente e sensata. Seu argumento principal é que o Google, como um provedor de serviços que é, não é o autor das manifestações disponibilizadas no Orkut. São os usuários que incluem os conteúdos, sendo estes fruto de sua própria atividade intelectual. O Orkut, sem o conteúdo criado e disponibilizado pelos usuários, não possui nada a disponibilizar. O Orkut não cria os dados, apenas os disponibiliza, os hospeda.

Além disso, embora a decisão não tenha expressamente tratado, devemos mencionar a impossibilidade técnica de impedir que o Orkut venha a impedir futuras publicações consideradas pejorativas sobre uma pessoa. Ressalta-se que não há mecanismo tecnológico (programa) que permita analisar-se uma comunidade do Orkut e verificar que seu conteúdo é "pejorativo". Um computador, até o presente momento, não consegue realizar este juízo de valor de forma suficientemente eficiente. A despeito das incríveis técnicas atuais de inteligência artificial, a subjetividade de considerar um discurso como "pejorativo" ainda não está eficientemente contemplada nas funções dos programas de computador. Até porque, o caráter pejorativo, pode dar-se através de texto, imagem, sons, etc. O autor pode utilizar-se de uma foto, sem fazer referência ao nome da pessoa; pode ainda manifestar-se através de ironias e outras figuras de linguagem.

O Google, por outro lado, poderia efetuar um bloqueio de criação de comunidades e perfis com base em palavras-chaves. No entanto tal bloqueio seria ineficiente, bloqueando todas a comunidades e perfis que tivessem tais palavras e não fossem pejorativos. Além do mais a medida seria ineficiente, uma vez que bastaria o autor utilizar-se de uma foto do ofendido ou ainda, escrever seu nome propositalmente com alguma letra errada.

A proibição constitucional da censura prévia e o respeito à liberdade de expressão, devem ser consideradas na proibição futura de manifestações na Internet. A máxima do neminem laedere, ou seja, do princípio de não lesar outrem, perpassa todas as relações. Por princípio, ninguém pode criar comunidades ofensivas à honra de quem quer que seja, sob pena de sujeitar-se a pagar uma indenização.

O Desembargador cita outra decisão (TJRS, AI, 7001575595, Nona Câmara Cível) , no mesmo sentido, que destaca a questão de que as informações no Orkut são disponibilizadas por terceiros, e não pelo Google. Ademais, destaca também a impossibilidade de bloquear todo o serviço (Orkut) para preservar a imagem de uma pessoa apenas, o que geraria um excessivo ônus à empresa. Lembramos outro exemplo recente, em que o site de vídeos YouTube foi bloqueado em função da disponibilização de um vídeo em que uma apresentadora de televisão praticava sexo com seu namorado em uma praia. A decisão, não logrou o efeito desejado, e após diversas tergiversações jurídicas, o vídeo pode ser facilmente encontrado na Internet.

Devemos lembrar de uma analogia feita por Marcel Leonardi na sua obra "Responsabilidade Civil dos Provedores de Serviço de Internet", que aplica-se perfeitamente ao caso. Ela consiste na seguinte pergunta: pode o dono de uma banca de jornal ser responsabilizado pelo conteúdo dos jornais por ele vendidos? A resposta é negativa. O Google, como provedor de serviços que é, pode ser comparado a uma banca de jornais, não devendo ser responsabilizado pelos "jornais" que disponibiliza. Por outro lado, se devidamente notificado para retirar um conteúdo atual de seus servidores, deve fazê-lo.

No entanto, devemos destacar o aspecto transitório das eventuais impossibilidades de realização de algumas decisões envolvendo o direito da tecnologia. O julgador deve observar o estado atual da tecnologia ao decidir. O que hoje é impossível de ser realizado, amanhã, com a evolução da técnica informática, pode vir a ser possível. Isso é especialmente importante na segurança da informação, onde as técnicas de invasões evoluem na mesma medida em que as técnicas de proteção. Neste campo, nada impede que num futuro, os atuais algoritmos de criptografia (utilizados inclusive em certificação digital e assinaturas eletrônicas) possam ser considerados inseguros e ineficientes para manter a integridade e confidencialidade de mensagens.

Por fim, citamos mais uma vez, Lawrence Lessig, que na mesma obra já referida, diz:

Cyberspace was, by nature, unavoidably free. Governments could threaten, but behavior could not be controlled; laws could be passed, but they would have no real effect. (grifo nosso)

A "invisível mão" do código do computador, define a arquitetura e os limites da Internet. Se uma lei proíbe algo, mas o código permite, dificilmente uma decisão judicial poderá ser realmente eficaz. Caímos daí, no estabelecimento de uma ação tecnologicamente impossível de ser realizada. A viabilidade da prática de uma determinada ação na Internet, está portanto, diretamente relacionada com o código do computador, ou seja, com a permissividade ou não, definida pela própria arquitetura dos computadores e de seus programas.

A íntegra da notícia do Tribunal de Justiça do Rio Grande do Sul que trata da decisão pode ser encontrada aqui.

2009-05-30T15:35:00.007-03:00

A Privacidade como Limitador do Monitoramento Digital

Segue abaixo um pequeno artigo de minha autoria que foi publicado na revista Antebellum de Março/Abril de 2009. A revista Antebellum é editada pela ISSA (Information Security System Association). Ela é uma entidade internacional que agrega profissionais de Segurança da Informação. Ela é composta essencialmente por profissionais atuantes na área da informática e não do direito. Mesmo assim, há uma relação bastante grande entre as duas áreas, visto que grande parte das práticas de segurança devem ser acompanhadas pelo direito.

Meus agredecimentos especiais ao Eduardo Vianna Camargo Neves. Além de diretor da regional sul da ISSA, ele mantém também um dos melhores blogs sobre segurança da informação disponível em http://camargoneves.com/. O Eduardo, gentilmente, convidou-me para participar dessa edição da Revista Antebellum, o que foi motivo de muita satisfação de minha parte.

O PDF da revista pode ser baixado diretamente em http://www.issabrasil.org/antebellum/

A privacidade como limitador do monitoramento digital

O tema da privacidade é bastante extenso e complexo. Não temos aqui a pretensão de esgotar o tema mas sim, fazer breves comentários sobre o assunto. Sabemos que os limites do monitoramento digital dentro do ambiente empresarial esbarram na privacidade e na intimidade dos colaboradores. Mesmo nas empresas, os colaboradores ainda detém estes direitos e em caso de monitoramento, este deve ser feito sob circunstâncias bastante controladas e previamente definidas.

A privacidade e intimidade são direitos protegidos pela nossa Constituição. São alguns dos chamados Direitos da Personalidade. Eles são alguns dos direitos mais básicos da pessoa humana sendo necessários para a preservação da honra e da vida privada. Cabe lembrar que a privacidade é irrenunciável e a sua limitação deve ocorrer por vontade expressa da pessoa, de forma específica e limitada a um determinado fim. As eventuais renúncias (como as necessárias para o monitoramento digital nas empresas) não podem ser gerais, inespecíficas, permanentes, ilimitadas ou abusivas.

Ao mesmo tempo, o empregador tem o direito de monitorar sua estrutura computacional; até porque ele responde pelos atos dos empregados quando estes o praticam sob sua estrutura. O monitoramento da atividade dos empregados tem a função preventiva de identificar potenciais desvios ou riscos para atividade. Vemos, portanto, que os dois direitos (privacidade X direito de monitorar) devem coexistir em harmonia sem que um se sobreponha ao outro. No entanto como fazer com que eles convivam em harmonia?

Em primeiro lugar, o monitoramento deve ser previsto nas Políticas de TI da empresa. A própria ISO 27002 fala em seu item 10.10 sobre a observância de requisitos legais da atividade de monitoramento. Além do mais, o monitoramento deve ser comunicado antecipadamente a sua realização, através de termos de ciência, do contrato de trabalho ou ainda através dos logon banners. Isto tudo para afastar qualquer expectativa de privacidade que o empregado possa ter na utilização dos recursos. No caso de relações entre empresas, se houver necessidade de monitoramento ou interceptação de comunicações (incluo aqui os famosos penetration tests), tal deve ser expressamente previsto em contrato, para evitar a quebra ilegal da privacidade.

Outro ponto importante é a questão do uso pessoal dos recursos da empresa. Se a empresa permite que o funcionário use sua estrutura para atividades pessoais (incluindo acesso a homebanking, comunicações com parentes, advogados ou médicos), tais comunicações não podem ser objeto de monitoramento. A operacionalização desta limitação pode ser um problema para a equipe, sendo a proibição do uso pessoal recomendada.

O monitoramento deve ser feito de maneira mais impessoal possível, automática e sem representar perseguição ou abuso de poder por parte do empregador. Alerta-se que se o empregador comunica que vai monitorar, deve sempre monitorar em bases periódicas, sem discriminação entre cargos ou setores. Caso isso não aconteça há o risco do empregado alegar perseguição, se conseguir provar que o empregador nunca monitorou nenhum funcionário, em nenhuma circunstância, mas em contrapartida monitorou excessivamente um único funcionário. Já publicação de logs e produtos de monitoramento dentro da empresa, como acontece em algumas situações, além de potencialmente causar danos morais ao empregado caso revele informações pessoais, pode até configurar o conhecido assédio moral.

A produção de provas digitais (leia-se aqui também a produção de logs ou monitoramentos) com o desrespeito ao direito à privacidade, torna a prova nula obtida nula, prejudicando os fatos que dependem daquela prova. É a chamada prova ilegal. Além do mais há que se ter bastante cuidado com o monitoramento eis que, quando não autorizado ou feito de maneira desregrada, mesmo no ambiente empresarial, pode tipificar o crime de interceptação telemática ilegal, punido com pena de reclusão de 2 a 4 anos.

2009-03-10T20:31:00.010-03:00

Curso de Direito da Tecnologia da Informação

A partir do dia 21 de Março inicia-se o curso de Direito da Tecnologia da Informação, ministrado por mim, na LCSCursos em Porto Alegre. O curso é de pequena duração visando apresentar os pontos mais importantes da disciplina.

Serão três encontros aos sábados pela manhã. Maiores informações - inclusive a ementa do curso - podem ser obtidas diretamente no site da instituição, clicando aqui

2008-11-14T20:15:00.001-02:00

Transações bancárias não autorizadas e culpa exclusiva do correntista

A jurisprudência brasileira cível ainda é vacilante quando trata da retirada indevida de dinheiro por criminosos através de home-banking. A maior parte dos julgados reconhece a responsabilidade objetiva do banco fazendo a relação de que basta haver o dano e o nexo causal sem a necessidade de existência de culpa por parte do banco. Entende-se que se o sistema permite a manipulação indevida das contas ele seria, por concepção, inseguro.No entanto, a questão não é tão simples assim.

Outros julgados eximem o banco da responsabilidade ao entender que houve culpa exclusiva do correntista. Em geral alega-se que o sistema é totalmente seguro e que a invasão da conta deu-se por negligência do correntista. A Código de Defesa do Consumidor, quando explica a questão da responsabilidade objetiva aplicada aos serviços assim diz no §3°, inc. III do artigo 12:

§3 - O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:
...
III - a culpa exclusiva do consumidor ou de terceiro.

Um dos leading cases sobre a culpa exclusiva do usuário de Internet por negligência é a APC. 70011140902, do TJRS. Assim diz a ementa:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. Internet. conexão a provedor internacional. vírus. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa 'anti-vírus' para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA.

No entanto para a caracterização dessa culpa exclusiva deve haver o cumprimento do dever de informar da instituição bancária. O banco deve sempre informar acerca dos riscos de utilização do serviço. Este dever de segurança é um direito básico do consumidor assim explicitado no art. 6°, inc. III:

Art. 6° - São direitos básicos do consumidor:
...
III - a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade e preço, bem como sobre os riscos que apresentem;

Vemos também a menção no art. art. 9° do CDC:

Art. 9° - O fornecedor de produtos e serviços potencialmente nocivos ou perigosos à saúde ou segurança deverá informar, de maneira ostensiva e adequada, a respeito da sua nocividade ou periculosidade, sem prejuízo da adoção de outras medidas cabíveis em cada caso concreto.

A norma mais esclarecedora talvez seja a do art. 31 do CDC:

Art. 31 - A oferta e apresentação de produtos ou serviços devem assegurar informações corretas, claras, precisas, ostensivas e em língua portuguesa sobre suas características, qualidades, quantidade, composição, preço, garantia, prazos de validade e origem, entre outros dados, bem como sobre os riscos que apresentam à saúde e segurança dos consumidores.

É sabido que na internet é bastante comum a propagação de vírus (ou códigos maliciosos) que realizam as mais variadas funções. Alguns destes tem a função específica de conseguir capturar os caracteres digitados no teclado do computador, passando-os para o criminoso. Os tribunais entendem que caso o banco realize campanhas ostensivas de segurança, ele cumpriria com o dever de informação eximindo-se assim de qualquer responsabilidade em caso de invasão dos computadores dos seus clientes. A pergunta que deve ser feita é a seguinte: Será que um sistema inseguro, pode ter sua insegurança compensada pelo cumprimento do dever de informar? Na nossa opinião, a resposta é negativa.

O dever de informação deve ser satisfeito de maneira que cumpra sua função, nos termos dos artigos acima citados. A informação passada acerca do serviço deve ser eficiente para cientificar completamente o cliente do banco acerca de suas responsabilidades específicas, caso haja. O cliente necessita ter, com a informação prestada, condições de escolha sobre o uso do serviço.

O professor Christoph Fabian (O Dever de Informar no Direito Civil. São Paulo:RT, 2002) ao tratar do dever de informar, assim preceitua:

A instrução deve ser clara, ostensiva, e facilmente compreensível para o consumidor. Tais instruções não devem ficar escondidas entre elogios do produto ou alguma propaganda. p. 147
...
Uma informação é ostensiva quando se exterioriza de forma tão manifesta e translúcida que uma pessoa, de mediana inteligência, não tem como alegar ignorância ou desinformação. p. 150

Nota-se que as campanhas promovidas pelos bancos mais parecem propagandas do que reais advertências sobre o uso do sistema. Com as campanhas atuais, muitas vezes escondidas, não há como garantir a ostensividade da informação exigida pelo CDC. Quem pode, por exemplo, negar a ostensividade das advertências dispostas nas carteiras de cigarro? O autor ainda diz (p. 151) que a expressão "Beba com moderação" disposta nas bebidas, não é bastante ostensiva.

Há um mecanismo bastante interessante chamado pré-logon-banner, muito utilizado em ambientes corporativos e acadêmicos. Tal mecanismo consiste em pequenas janelas com informações, que são mostradas antes de alguém ter acesso ao sistema. Esses pré-logon-banners têm a função de passar informações para quem acessa o sistema. No ambiente corporativo eles têm a função de cientificar os colaboradores de que os sistemas são monitorados, que o uso deve ser apenas para fins profissionais, etc. Destaca-se que a informação é passada antes de se acessar o sistema. Caso a pessoa não concorde com aquelas regras apresentadas, não consegue acessar o sistema. Vemos que um dispositivo semelhante poderia ser adaptado nos sistemas de home-banking. Isso reforçaria o dever de informação do banco pela ostensividade do mecanismo. Não haveria como, antes do correntista acessar o sistema, não ler as recomendações de segurança.

Não percamos de vista também que os controles de Segurança da Informação são bastante complexos. É sabido que em incidentes de segurança, um dos aspectos mais explorados por criminosos é exatamente a parte humana da cadeia. E isso vale não apenas para ataques envolvendo home-banking, mas também para outros sistemas. O processo de explorar as vulnerabilidades humanas para conseguir informações é conhecido como "engenharia social". Aliado a isso deve ser dito que a atividade de tornar um sistema seguro não é tarefa simples. A cada dia descobrem-se novas vulnerabilidades dos sistemas, inconsistências em sistemas operacionais além de novas formas de explorar falhas. Os especialistas em Segurança da Informação dizem inclusive que não existe um sistema 100% seguro; sempre haverá uma forma de quebrá-lo, seja por forma técnica ou mediante a exploração das vulnerabilidades humanas.

A ciência da computação, ao tratar também da segurança da informação, utiliza a seguinte premissa "Nenhuma corrente á mais forte do que seu elo mais fraco". Ao que sabemos essa expressão foi cunhada originalmente por Arthur Conan Doyle (Nenhuma cadeia é mais forte do que seu elo mais fraco). A idéia é que todas as proteções de segurança aplicadas a um sistema tornam-se ineficazes se houver um ou mais controles ineficientes ou fracos. A segurança, então, é um processo que se não observado em todas as suas fases, torna o sistema mais ou totalmente inseguro. Fazendo uma analogia, é como se alguém trancasse todas as portas de sua casa mas deixasse uma janela aberta. Esse "elo mais fraco" é a parte humana e diga-se de passagem, todo o especialista em segurança da informação sabe disso. O banco inclusive sabe muito bem disso. Por saber disso, os sistemas devem ser adaptados e protegidos contra essa vulnerabilidade. A construção dos sistemas deve observar sempre tal vulnerabilidade. A questão é saber se um sistema que permite a exploração desta vulnerabilidade pode ser considerado potencialmente inseguro. Entendemos que tal situação torna sim o sistema inseguro nos termos do CDC. Tal insegurança provém, entre outras coisas, da disparidade de informações que tem o fornecedor e o consumidor. Como se disse, o consumidor não têm condições técnicas de avaliar corretamente os riscos provenientes do uso do home-banking; não há como se exigir do consumidor o conhecimento das técnicas de engenharia social utilizadas pelos criminosos. Isso foge do conhecimento do homem comum, do homem médio. Tais relações baseiam-se na confiança que o consumidor deposita no serviço de home-banking. Como ensina o professor Christoph Fabian, na obra já citada, a informação prestada pelo fornecedor deve atentar para os riscos do uso do produto ou serviço:

Os perigos previsíveis não são apenas aqueles que resultam do uso adequado. Eles abrangem também os perigos de utilizações erradas que podem naturalmente ou facilmente acontecer. p. 148

Por fim, entendemos que a interpretação da questão ainda deve evoluir. A doutrina e a jurisprudência devem ainda reforçar qual a extensão do dever de segurança. É urgente também que se defina se um sistema que permite a invasão através da exploração de vulnerabilidades humanas pode ser entendido como seguro. Ainda, é importante que não se perca de vista a responsabilidade objetiva dos fornecedores de serviços; esquecer-se disto seria esquecer-se de aplicar o CDC às relações consumeiristas.

2008-11-03T23:55:00.002-02:00

Quebra de sigilo telemático para obter prova em ações cíveis

Recentemente tivemos notícia de uma decisão do TJSC (APC 2003.005260-7)t ratando sobre a quebra do sigilo telemático para ações indenizatórias. A questão do sigilo de comunicações é bastante discutida no Direito da Tecnologia em face da prática de ações no pretenso anonimato da rede, além dos computadores armazenarem fortes provas dos atos praticados. Este sigilo é protegido pela Constituição (CF art. 5° inc. XII), só podendo ser aberto em circunstâncias especialíssimas.

Em casos envolvendo danos na Internet é bastante comum que se ajuíze ações cautelares de produção antecipada de prova. Em geral ajuíza-se essa ação cautelar contra o provedor visando obter a identificação do dono do IP no momento da prática do ilícito. Após a "personalização" do endereço IP é possível ajuízar a ação indenizatória principal contra o autor do ato que provocou o dano. Interessante mencionar, à título de curiosidade, que a legislação processual americana permite ajuízar ações contra um réu indefinido. Explica-se: na legislação brasileira não é possível com uma única ação obter a identificação do ofensor e, na mesma ação, obter a indenização. São necessárias duas ações, uma para identificar o autor e a outra para obter a indenização. É preciso saber de antemão quem é o réu para iniciar-se um processo. O inconveniente disso é que são necessárias duas ações diferentes, com custas, honorários advocatícios, possibilidade de mais recursos, etc. No direito americano há as chamadas "John Doe Lawsuit". Quando portanto, não se sabe exatamente quem é o réu, ajuíza-se a ação contra contra um réu fictício (ficticious defendant). Quando descobre-se o réu, este é inserido na ação passando esta a correr contra aquele. Há uma economia de tempo e de esforços para se chegar ao resultado pretendido. É claro que a comparação entre o direto brasileiro (baseado no sistema romano-germânico chamado pelos americanos de Civil Law) e o direito americano (baseado no sistema anglo-saxão chamado pelos americanos de Common Law) é inaquada; são sistemas totalmente diferentes e incomparáveis, sendo tecnicamente impossível e inadequado apontar o melhor ou pior. Ressalta-se aqui essa curiosidade apenas por curiosidade, como se disse.

O caso julgado no TJSC tratava sobre uma medida cautelar de produção antecipada de prova visando a apreensão do computador do réu. O autor (que era um provedor) alegava ter sofrido um ataque. Através de uma ação anterior, pôde obter junto ao provedor Terra a identificação do usuário que supostamente efetuou a invasão. Após obter essa identificação, ajuízou a demanda cautelar para obter a busca e apreensão, o que foi deferido. Em grau de recurso, o réu pede a nulidade da busca e apreensão pela inconstitucionalidade da violação dos dados.

O cerne da discussão recai na possibilidade da quebra do sigilo telemático em ações cíveis. Em demandas criminais, a quebra de sigilo é adequada e freqüente; no entanto não o é em ações cíveis. A decisão cita a lei 9296/96 que autoriza a quebra de digilo apenas em casos de investigações criminais e quando os dados estão em tráfego. O conceito de interceptação traduz-se pela captura de dados enquanto estão sendo transmitidos. Se já houve a transmissão, não se fala mais em interceptação de dados, mas sim em busca e apreensão dos dados já gravados. Embora seja uma diferença bastante tênue ela é necessária e importante pois qualifica ou não a utilização da referida lei. É a conhecida distinção entre proteção aos dados e ao tráfego dos dados, ou à comunicação. Entende-se que a citada norma protege o tráfego e não os dados em si. Isso não quer dizer que os dados não sejam protegidos; apenas não o são pelo citado diploma legal.

A decisão termina por referir que não há como realizar a devassa dos dados guardados em computadores pessoais para a obtenção de prova cível. O direito penal, por tutelar de forma diferenciada os bens jurídicos, tem o poder de realizar a quebra de tais sigilos. Tomamos a liberdade de citar um fragmento da fundamentaçào do acórdão que muito bem explica a questão:

"Com efeito, se se liberar as entranhas do computador para produzir prova civil, a intimidade e a privacidade das pessoas estará liquidada. Como exercício especulativo, imagine-se como isso seria utilizado no delicado campo do Direito de Família."

A íntegra da decisão pode ser encontrada aqui.

2008-08-15T20:59:00.002-03:00

O Orkut utilizado para o cometimento de ações criminosas

Neste semana três situações bastante peculiares chamaram atenção por envolverem o Orkut sendo utilizado como meio de cometimento de ações danosas.

A tecnologia, por si só, não é boa nem má: é axiologicamente neutra. Seu aspecto negativo ou positivo é dado pela intenção do usuário; é assim com todas as ferramentas tecnológicas, não sendo diferente com o Orkut.

É sabido que várias ações danosas são diariamente praticadas através do Orkut, entre outras, a criação de perfis falsos, o envio de mensagens e a criação de comunicades ofensivas algumas delas tipificando inclusive alguns dos crimes contra a honra. Também já se viu a ocorrência de crimes de difusão de pornografia infantil, apologia a crime ou criminoso, incitação ao crime, instigação ao suicídio e até tráfico de drogas através da utilização de redes sociais.

A primeira situação ocorreu em Curitiba, onde um homem foi preso por aplicar golpes pela Internet. Conforme notícia da Folha On Line, ele utilizava-se do Orkut para aproximar-se das vítimas tendo aplicado golpes no valor de mais de R$ 80.000,00 em duas médicas da cidade. O cidadão já responde a processos pelo crime de estelionato.

A segunda situação ocorreu em São Paulo, segundo o site da Info Online, onde uma falsa ameaça de bomba foi propagada através desta rede social. Um prédio foi esvaziado em função da comunicação. Segundo a notícia um inquérito foi iniciado para apurar responsabilidades. Possivelmente há a tipificação do crime de comunicação falsa de crime ou contravenção ou, dependendo das circunstâncias a tipificação do crime de ameaça.

O terceiro e último caso, ocorreu em Santa Catarina, conforme informação do site Consultor Jurídico. Um advogado, criou perfis falsos de duas pessoas. Em tais perfis realizou ele uma montagem com fotos pornográficas envolvendo uma das vítimas e no outro atribuiu preferências homossexuais a outro, namorado da primeira vítima. Após investigação policial o autor dos perfis falsos foi preso em flagrante em uma lan house, acusado do crime de falsidade ideológica.

Este último caso merece uma atenção mais aprofundada sobre da tipificação legal destes crimes. Vejamos como está descrito, em nosso Código Penal, o crime de falsidade ideológica. Assim reza o art. 299:

Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante:
Pena - reclusão, de um a cinco anos, e multa, se o documento é público, e reclusão de um a três anos, e multa, se o documento é particular.

Certamente um perfil do Orkut não pode ser considerado como um "documento público ou particular". Embora parecer-nos certa a existência de um grave dano moral às vítimas, devemos notar que não podemos utilizar a analogia para tentar efetuar condenações, como nos ensina o princípio da proibição da analogia "in malan parte". Em sendo assim, a analogia não poderia ser utilizada aqui para abranger como documento particular uma página na internet. O conceito de documento está ligado ao seu suporte fático, não podendo abranger documentos eletrônicos. Ademais para a configuração do crime de falsidade ideológica, deve ter o autor a incumbência de preencher o documento e preenche-o com declaração falsa. Certamente, nesta situação, não tinha o autor a incumbência de criar perfis no orkut para os ofendidos. Ainda a expressão "fato jurídico relevante", deve ser considerada nesta situação. Ao manifestar-se sobre esse crime diz E. Magalhães Noronha, em Direito Penal, v. IV, p. 161: "é mister que a declaração falsa constitua elemento substancial do ato de documento. Uma simples mentira, mera irregularidade, simples preterição de formalidade, etc., não constituirão." Luiz Regis Prado, nos seus comentários ao Código Penal, nos ensina: "A falsidade feita com exclusivo animus jocandi, ou sem qualquer interesse jurídico, não configura o delito. Não é a mera mentira que se pune, mas a ofensa à veracidade naquilo que o ordenamento jurídico entende necessário, o que se depreende da própria exigência legal de que se trate de falsidade relativa a fato juridicamente relevante.
A conduta, mesmo sem a existência de um crime atual que a classifique, provavelmente poderia ser tipificada também como inserção de dados falsos em sistema de informatizado. Nosso código penal passou a definir crime semelhante, quando modificado pela lei 9983/2000. Porém o tipo penal aplica-se apenas a funcionários públicos quando praticarem a conduta em sistemas da administração pública. Assim reza o art. 313-A do CP.

Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano:" (AC)
Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa." (AC)

O substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003, de autoria do senador Eduardo Azeredo, caso transformado em lei, abrangeria essa conduta como criminosa. O projeto infelizmente não traz o tipificação do crime de inserir dados falsos em sistema informatizado. No entanto, poderíamos realizar a tipificação como crime de falsificação de dado eletrônico ou documento particular. O art. 16 do projeto de lei define como dados informáticos, qualquer representação de fatos, informações ou de conceitos sob forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado. É através da equiparação legal do art. 16 do projeto de dado informático como "representação de fatos" que poderia haver a tipificação. Atualmente, como não há a equiparação legal de "dado" à coisa, e também pelo crime atual de falsificação não trazer em seu bojo a falsificação de "dados" é que não poderia ser realizada a tipificação com base nesse crime.

2008-06-24T21:30:00.003-03:00

Legislação Brasileira sobre Crimes Digitais

Como amplamente divulgado pela mídia, o Brasil está prestes a adotar uma legislação sobre Crimes Digitais. O substitutivo dos projetos de lei PLC-89/2003; PLS-137/2000; PLS-76/2000 (que pode ser lido aqui) já foi aprovado pela Comissão de Constituição, Justiça e Cidadania do Senado (a tramitação pode ser acompanhada aqui).

Tal legislação já era esperada há muitos anos (os primeiros projetos datam de 2000) uma vez que diversas condutas ofensivas quando praticadas aqui no Brasil não encontram na legislação a tipificação adequada. Hoje, com a atual legislação, quem invade um site e apaga informações, por exemplo, não comete nenhum crime.

Ao mesmo tempo que o projeto vem para preencher uma grande lacuna na legislação, ele traz alguns problemas que poderiam (e ainda podem) ser evitados.

Um dos primeiros problemas é que o substitutivo nada trata acerca da questão dos Direitos Autorais. O projeto poderia ter avançado para tratar também sobre a delicada questão dos crimes envolvendo Direitos Autorais. Talvez a descriminalização de algumas condutas, bem como da especificação do conceito de "violação de direitos autorais" fossem bem-vindas.

No entanto o grande problema do substitutivo é a questão da obrigação de armazenamento dos logs. Hoje, a Comissão de Tecnologia da Informação do Conselho Federal da OAB, da qual fazem parte duas grandes autoridades brasileiras no Direito da Tecnologia, Marcel Leonardi e Alexandre Atheniense, divulgou uma nota acerca do substitutivo.

O cerne da questão é o caput do art. 22 do substitutivo que estabelece a obrigatoriedade dos provedores de acesso armazenarem seus logs por no mínimo 3 anos. O problema é que da forma como foi redigido, o artigo limita essa obrigação apenas aos provedores de acesso retirando a obrigatoriedade de provedores de conteúdo ou de serviços. Portanto, segundo este artigo, os provedores de serviços como as redes sociais por exemplo, não teriam a obrigação de armazenamento.

A íntegra da nota pode ser lida diretamente no blog do Dr. Alexandre Atheniente, clicando aqui, ou através do endereço http://www.alexandreatheniense.com.br/ no link "Últimas Notícias".

2008-02-22T21:41:00.003-03:00

Perda e furto de dispositivos móveis - Notícia

Complementando o último post acerca da perda de dispositivos móveis, trago mais uma notícia de um fato ocorrido no dia 20 de Fevereiro desse ano.
Foi roubado um notebook, na cidade de Nova York, contendo os registros de aproximadamente 171.000 doadores de sangue. A lista era composta apenas por Irlandeses. Como as informações estavam criptografadas, a reportagem salienta que há uma "remota" chance de que venham a ser acessados.
Como forma de mitigar as conseqüências jurídicas do incidente, o Irish Blood Transfusion Service já colocou um 0800 à disposição dos atingidos. No entanto tal incidente representaria um potencial risco jurídico, uma vez que o mau uso desses dados por terceiros, em tese, pode fazer com que órgão venha a ser responsabilizado pela falha na guarda das informações. Digo representaria, uma vez que o fato dos dados estarem criptografados anula praticamente a chance do acesso por terceiros.
Como foi dito no último artigo, os danos financeiros podem ser imensos. Vejam que nesse caso o órgão já começou a disponibilizar uma estrutura de atendimento aos interessados, o que representa custo.
A íntegra da notícia pode ser lida aqui. A fonte é o jornal The Irish Times.

2008-02-21T00:40:00.007-03:00

Perda e furto de dispositivos móveis

Achei interessante fazer mais algumas considerações sobre este assunto, aproveitando ainda os recentes acontecimentos dessa natureza ocorridos com a Petrobras.

A dependência cada vez mais crescente que as organizações têm da informação digitalizada é inegável. Segredos industriais, planos de negócios, dados financeiros, folhas de pagamento, projetos estratégicos, e-mails corporativos, enfim: praticamente todas as informações necessárias para o funcionamento de uma organização estão armazenados digitalmente. A perda de tais informações pode acarretar perdas econômicas imensas para a empresa.

Não é raro, no entanto, os responsáveis pela TI negligenciarem os cuidados ao armazenamento e transporte de tais dados. E isso ocorre mesmo em face dessa dependência total da informação digitalizada. É muito comum funcionários transitarem portando notebooks recheados de informações estratégicas e confidenciais. As boas práticas de Segurança da Informação aconselham que dispositivos móveis (notebooks, pda's, drives móveis, etc) estejam com seus dados criptografados. Isso faz com que na eventualidade da perda ou roubo dos dispositivos, não haja a possibilidade de haver a leitura dos dados nele armazenados. Caso isso ocorra, a perda se dá apenas no valor do hardware perdido ou furtado. Estes, ao contrário das informações, em geral tem baixo valor para a organização e podem ser facilmente repostos. Uma informação estratégica perdida, como já se disse, pode representar uma perda monetária imensurável.

O que se disse até agora não é novidade para a maioria das empresas. Qualquer análise de risco identifica o potencial risco de carregar informações sensíveis em dispositivos móveis sem contar com procedimentos de criptografia. Com isso pergunta-se: Por que ainda ocorrem incidentes envolvendo perda de informações em dispositivos móveis? Por que as empresas insistem aceitar um risco que pode ser facilmente evitável?

A primeira resposta diz respeito à resistência dos donos da informação de seguirem as regras de proteção estabelecidas nas políticas (quando elas existem). Muitas empresas possuem, em suas políticas as determinações acerca de criptografia de dados mas, no entanto, os envolvidos não compreendem o alcance e importância da norma. Com isso o maior problema é realmente a falha e o erro humano.

Outra resposta, por mais simplória que possa parecer, é que em geral vige nas organizações a idéia de que incidentes ocorrem apenas com os outros. E isso ocorre em todo o mundo, não apenas aqui no Brasil. No dia 14 de Fevereiro, em um hospital da Inglaterra, foi roubado um notebook contendo dados médicos de mais de 5000 pacientes. A perda para o hospital é imensurável! Além do dano à imagem, que pode ser medido pela perda de clientes e de credibilidade, há o risco de processos envolvendo a divulgação indevida dos dados perdidos além é claro do risco de desrespeito à legislação local sobre segurança de dados. Em geral, em tais situações, a empresa afetada contrata consultorias para amenizar as perdas. Quando tal perda ocorre com bancos é comum os bancos contratarem consultorias financeiras especializadas para acompanhar as contas dos clientes tentando previnir eventuais desvios, numa demonstração de boa-fé.

Tal caso lembra uma outra situação ocorrida nos EUA em que um cracker conseguiu interceptar dados médicos de pacientes de um hospital através de uma rede sem fio. O que em um primeiro momento podia indicar um fato sem importância, acabou tornando-se um caso sério de extorsão. O criminoso selecionou os dados de pacientes que eram portadores do vírus da AIDS e, com isso, passou a chantageá-los para não divulgar publicamente tal informação. Importa lembrar que os EUA possuem uma norma federal regulando o controle de informações médicas dos pacientes: é o conhecido HIPPA (Health Insurance Portability and Accountability Act).

Do ponto de vista jurídico é importante citar que a negligência no que diz respeito à guarda de dados é jurídicamete relevante. Caso trate-se de relação negocial comum, irá se apurar a responsabilidade subjetiva dos responsáveis pela informação no caso de seu furto ou perda. Há um dever, mesmo que tácito e não disposto nos contratos, de zelar pelo armazenamento de informações confidenciais Tal dever pode ser entendido com um dever anexo ao dever geral de cuidado, dever este advindo da regra da boa-fé objetiva. Além do mais, a perda de informações pode consubstanciar a violação de algum eventual Acordo de Confidencialidade (também conhecido como NDA - Non-disclosure agreement).

Na seara consumeirista, vige o conceito de responsabilidade objetiva. Isso significa que não se discutirá a existência de culpa sobre a perda ou divulgação indevida dos dados em uma relação de consumo. Basta haver o dano e o nexo causal.

Em face disso nota-se que os responsáveis pelo setor de TI das organizações devem sempre observar as melhores práticas do setor acerca da proteção e segurança das informações armazenadas em dispositivos móveis.

Um dia após o fechamento desse post, precisamente 21 de Fevereiro de 2008, a Computerworld publicou uma notícia intitulada "A lição do roubo na Petrobras". A notícia versa sobre a gestão da segurança da informação e seu conteúdo complementa de certa forma o que foi aqui escrito.
A notícia pode ser vista clicando aqui.

2008-02-15T18:02:00.004-02:00

Informações confidenciais, dispositivos móveis e o caso Petrobras

A mistura de informações confidenciais e dispositivos móveis pode ser realmente explosiva caso não existam controles técnicos adequados. Há muito tempo o noticiário internacional tem trazido notícias sobre incidentes envolvendo furtos e perda de dispositivos móveis. Os profissionais de Segurança da Informação estão bastante habituados em encontrar situações assim. Há casos célebres envolvendo perda de fitas com dados sobre empregados, notebooks contendo dados do seguro social, etc. O FBI, por exemplo, sofreu 160 incidentes assim em quatro anos (http://idgnow.uol.com.br/seguranca/2007/03/12/idgnoticia.2007-03-12.8167257255/).

No Brasil recentemente tivemos um caso envolvendo o furto de um notebook da Polícia Militar do RJ. Segundo a reportagem o comandante Geral da PM teve seu notebook furtado e as informações sigilosas foram parar nas mãos de criminosos da Favela da Rocinha.

Erros humanos quase sempre estão presentes em casos envolvendo perda de informações confidenciais. Uma pesquisa do IT Policy Compliance Group demonstrou uma estatística interessante sobre a perda de dados: 50% dos incidentes dessa natureza são causados por erros humanos enquanto que a violação das políticas é responsável por 25% dos incidentes (http://idgnow.uol.com.br/seguranca/2007/03/12/idgnoticia.2007-03-12.8167257255/).

Em face disso é que a preocupação com a Segurança da Informação não deve ser apenas da equipe de tecnologia. Além do mais o foco de preocupação não deve ser apenas em cima de computadores, mas em cima do processo como um todo. Nesse passo a Segurança da Informação, deve abranger não apenas a informação digitalizada. Como a própria norma ISO IEC NBR 17799 nos ensina, processos de segurança envolvem Segurança Física, Segurança em Recuros Humanos, análise de requisitos legais em contratos, etc.

Um dos principais motivos para que os profissionais do Direito da Tecnologia devam se preocupar com esses assuntos é a grande auxílio preventivo que atividade jurídica presta em situações dessa natureza. A elaboração de contratos de outsourcing prevendo os termos de responsabilização de cada parte incluindo multas, é um ponto muito importante nessa atividade. A previsão, também nos contratos, da observância das normas internacionais de segurança pode ser interessante para nortear a conduta dos envolvidos. Também o auxílio da equipe de Segurança da Informação através da orientação jurídica é outro ponto importante. Ao mesmo tempo uma análise do eventual risco jurídico envolvendo processos TI é uma atividade que se realizada com a devida atenção pode evitar perdas no futuro. Casos como esse podem gerar muitos processos judiciais além do dano à imagem, sem contar é claro com os impactos econômicos.

Por outro lado, os especialistas em Segurança da Informação que trabalham com análise de risco sabem que são tomadas decisões sobre de quais os riscos serão suportados ou não pela organização. Uma empresa dificilmente irá controlar e evitar a concretização de todas as ameaças envolvendo a Segurança da Informação. Isso seria virtualmente impossível. Em algumas situações a empresa pode aceitar suportar um risco advindo de determinada ameaça. Nesses casos é realizada também uma análise em relação ao custo do controle do risco em questão: caso seja mais caro controlar o risco do que aceitá-lo provavelmente a organização pode não realizar ações de controle. Ao mesmo tempo há diversas variáveis envolvendo probabilidade, ativos atingidos, grau de importância do ativo que suportaria o risco, etc. Todas essas atividades podem ser previstas contratualmente. Não é raro prestadores de serviços terem que aderir às políticas de segurança da informação das empresas e isso é determinado nos contratos.

É importante notar que incidentes envolvendo a perda ou furto de dados confidenciais envolvem, entre outras coisas: as disposições contratuais que regem a relação entre as partes envolvidas (e avaliação das práticas de outsourcing); a reavaliação e observação das práticas de Segurança de Informação da organização; o dano à imagem da empresa bem como as repercussões que o ocorrido podem causar no mercado (queda no valor de ações, relação com investidores, etc). Além de tudo isso há também repercussões criminais sobre tais incidentes.

Sabe-se que a manipulação e armazenamento de informações confidenciais em dispositivos móveis na maioria dos casos utiliza recursos de criptografia para a segurança. Criptografar informações em dispositivos móveis é um processo relativamente simples e que pode ser feito com baixo custo para uma organização. Existem atualmente ferramentas gratuitas e disponíveis na plataforma de software livre, oferecendo inclusive recursos bastante avançados.

Para a correta aplicação e gerenciamento dos recursos criptográficos o ideal é que tal seja previsto na Política de Segurança. Porém ambiente corporativo conhece há muito os problemas relativos a sua efetiva aplicação e cumprimento. Lembro-me de um excelente artigo publicado no blog do especialista em Segurança da Informação, Anderson Ramos. O nome do artigo é "Como não implementar medidas de segurança". Lá ele faz um apanhado de algumas situações e dificuldades na aplicação de controles de segurança da informação. A visão do autor elucida bastante as reais dificuldades encontradas na atividade.

Nos famosos casos americanos em que notebooks são perdidos ou furtados é comum as imprensa relatar que apesar da Política da Empresa prever diretrizes acerca da criptografia de dados, os dados envolvidos não estavam criptografados. Essa é outra demonstração das dificuldades envolvendo a aplicação de controles de segurança da informação. Na presente situação, não tivemos conhecimento ainda dos termos da Política de Segurança da Informação da Petrobras. No entanto, é bastante provável que ela preveja o armazenamento criptografado em dispositivos móveis. Em geral as Políticas de Segurança são baseadas na norma ISO IEC NBR 17799 que trata sobre esse assunto. Além do mais a impresa não noticiou mas é possível que tais equipamentos furtados estejam com seus dados criptografados o que faz com que esses dados estejam virtualmente inacessíveis.

Quanto aos aspectos criminais do ocorrido, em primeiro lugar, uma informação básica é que não se trata de roubo de informações. O roubo envolve violência ou grave ameaça à pessoa, o que, em princípio, não houve. Em segundo lugar, se houvesse o roubo, ele seria dos equipamentos e não das informações. Nesse caso, com as informações preliminares, houve (entre outros crimes) um furto qualificado pela destruição de obstáculo. A Polícia Federal, trabalha com várias linhas de investigação. Uma delas é realmente a ocorrência de um furto sem que os envolvidos soubessem que se tratava de equipamentos contendo informações sigilosas. Mesmo assim, a linha principal é que realmente a ação tenha sido direcionada para a apropriação das informações.

É importante destacar também que ações como essa podem ocorrer com muito mais freqüência do que imaginamos. Uma ação bem sucedida de apropriação de informações especificamente realizada no ambiente digital pode ser feita sem deixar praticamente nenhum vestígio. A interceptação de e-mails e de conversas de Instant Messengers, pode ocorrer através da instalação de spywares ou vírus. Redes sem fio também são um vetor para esse tipo de interceptação. Os ataques tem se tornado cada vez mais direcionados. E em geral, ao contrário do que muitas políticas pregam, informações confidenciais transitam por e-mail não criptografados o que, potencialmente, é um risco para a segurança dessas informações.

Até esse momento consegui identificar que provavelmente o crime seja tipificado como crime contra a segurança nacional (Lei 7170/83) (além do crime de formação de quadrilha). Diz-se isso uma vez que segundo a imprensa comenta, estariam em jogo informações atinentes à segurança nacional entregues à grupo estrangeiro. O art. 13 dessa lei dessa lei é claro em definir:

Art. 13 - Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único - Incorre na mesma pena quem:
...
IV - obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.

Caso não se trate de informações envolvendo a segurança nacional entendo que o crime seria caracterizado na Lei de Propriedade Industrial (9279/96). Em geral esta última lei classifica tais crimes como concorrência desleal. Não há, portanto, no Brasil uma lei definindo o crime de Espionagem Industrial. A tipificação que mais se adequa ao caso, conforme a lei de Propriedade Industrial está no art. 195. Vejamos:

Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;
...
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.

Por fim o presente caso deve servir como fonte de reflexão não só para os advogados que atuam no Direito da Tecnologia como também nos profissionais de Segurança da Informação. É a prova de que a má-gestão da Segurança da Informação pode trazer conseqüências muito maiores do que o comumente imaginado.

2008-01-04T14:21:00.000-02:00

Venda de informações sigilosas por camelôs

Ao ler um post no blog do Camargo Neves, lembrei que havia feito uma pesquisa há algum tempo acerca da venda de informações sigilosas por camelôs. Na época, em abril de 2007, foi amplamente divulgado na mídia a ocorrência da venda dessas informações (Informações sigilosas são vendidas em CD's na Santa Efigência - Fonte site G1). No post citado (Por que assumir a responsabilidade e resolver o problema parece ser tão difícil para as autoridades brasileiras?) o autor comenta, entre outras cosias, sobre o fato de alguns camelôs em SP venderem dados relativos às declarações de IR. Em que pese o assunto ser extremamente fértil para a discussão da eventual responsabilidade civil do Estado (nesse caso o Estado responde através da responsabilidade objetiva - art. 37 §6º da CF e art. 43 do Código Civil), quero abordar apenas alguns aspectos penais do questão. Vamos adotar dois focos de responsabilidade nesse caso: uma abordando a responsabilidade do agente público que deixa vazar a informação e a outra do agente que vende a informação, ou seja, o camelô. Importante também ressaltar que partirei da premissa hipotética de que um funcionário público forneceu voluntariamente as informações. Vamos, então, à tipificação legal.

Em geral tais ações são tipificadas como "violação de segredo". Do ponto de vista do agente público que fornece voluntariamente as informações, entendo que há a tipificação do crime de Violação de Sigilo Funcional, nos termos do art. 325 do Código Penal:

Art. 325 - Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1o Nas mesmas penas deste artigo incorre quem:
I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública;
II - se utiliza, indevidamente, do acesso restrito.
§ 2o Se da ação ou omissão resulta dano à Administração Pública ou a outrem:
Pena - reclusão, de 2 (dois) a 6 (seis) anos, e multa.

Podemos notar aqui que o agente que "permite ou facilita... o acesso de pessoas não autorizadas" também comete o mesmo crime. Basta o acesso de pessoas não autorizadas. No entanto devemos notar que este crime pode ser praticado apenas por funcionários públicos especificamente em sistemas da Administração Pública (ao contrário do art. 153 §1A). Caso esta mesma situação ocorresse em outros sistemas ou banco de dados que não fossem da Administração Pública, o agente não poderia ser enquadrado nesse tipo legal. A lei extende, em alguns casos também, o entendimento do que seja "funcionário público" através do art. 327 do Código Penal.

Art. 327 - Considera-se funcionário público, para os efeitos penais, quem, embora transitoriamente ou sem remuneração, exerce cargo, emprego ou função pública.
§ 1º - Equipara-se a funcionário público quem exerce cargo, emprego ou função em entidade paraestatal, e quem trabalha para empresa prestadora de serviço contratada ou conveniada para a execução de atividade típica da Administração Pública.
§ 2º - A pena será aumentada da terça parte quando os autores dos crimes previstos neste Capítulo forem ocupantes de cargos em comissão ou de função de direção ou assessoramento de órgão da administração direta, sociedade de economia mista, empresa pública ou fundação instituída pelo poder público.

Essa equiparação nos lembra de um caso ocorrido em uma universidade federal em que um estagiário foi comparado à funcionário público para a tipificação do crime Inserção de dados falsos em sistemas de informações, do art. 313-A do Código Penal. Neste caso o estagiário, que também era aluno, inseriu e alterou os dados da universidade relativos as suas notas nas cadeiras que cursava.

Já para o camelô que vende os dados sigilosos, entendo que há a tipificação do crime de Divulgação de Segredo de acordo com o art. 153 §1^o-A do CP:

§ 1^o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:
Pena - detenção, de 1 (um) a 4 (quatro) anos, e multa.
§ 2^o-A Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.

Mas como definir o que é uma informação confidencial ou sigilosa? O sigilo sobre esses dados é garantido tanto pela nossa Constituição Federal em seu art. 5º, inc. X (são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação) e também no art. 7º, pár. único da lei 11.111/2005 que diz:

As informações sobre as quais recai o disposto no inciso X do caput do art. 5o da Constituição Federal terão o seu acesso restrito à pessoa diretamente interessada ou, em se tratando de morto ou ausente, ao seu cônjuge, ascendentes ou descendentes, no prazo de que trata o § 3o do art. 23 da Lei no 8.159, de 8 de janeiro de 1991.

Ademais, temos também o decreto 4553/2002 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal... onde prega em seu artigo 37:

Art. 37. O acesso a dados ou informações sigilosos em órgãos e entidades públicos e instituições de caráter público é admitido:
II - ao cidadão, naquilo que diga respeito à sua pessoa, ao seu interesse particular ou do interesse coletivo ou geral, mediante requerimento ao órgão ou entidade competente.

Em sendo assim, essas são as breves considerações acerca da tipificação de crimes envolvendo o fornecimento e venda de informações

2007-11-22T21:52:00.000-02:00

A Política de Segurança como instrumento de prevenção do Risco Legal - Comentários

Recebi diversas manifestações acerca do artigo "A Política de Segurança como instrumento de prevenção do Risco Legal". Uma delas vem do Security Officer de uma empresa multinacional e também especialista em Segurança da Informação, Eduardo Camargo Neves. Assim diz:

Acho que a área jurídica tem um papel maior do que o apresentado, pois sem a mesma, a política pode não ter validade legal e até mesmo colocar a empresa em uma "encrenca". Imagine se alguém, seguindo normas de outros países, estabelece que o background screening tem que ser feito. Dependendo do mercado onde a empresa atua, isso não pode ser considerado ilegal?

Realmente é necessário observar também a legislação internacional uma vez que os atos praticados no ambiente tecnológico podem refletir em conseqüencias em outros países. Vejam que as legislações variam muito, principalmente no que diz respeito à obrigações de segurança da informação, privacidade de dados, proteção ao consumidor, propriedade intelectual, crimes digitais, etc. Nesse passo, o Background Screening pode sim ser considerado ilegal, principalmente pois pode configurar a violação de privacidade e até ser considerado procedimento discriminatório em função de sua natureza.

Por fim, quero indicar uma grande contribuição do referido especialista. É o chamado Projeto Scriptum, um ambicioso e valioso projeto que visa desenvolver modelos de Políticas de Seguranças, adaptada para a realidade brasileira.

2007-11-14T21:23:00.000-02:00

A Política de Segurança como instrumento de prevenção do Risco Legal

A implantação de uma Política de Segurança da Informação (PSI) em um ambiente empresarial não deve ser apenas uma preocupação da equipe de TI. Este documento é uma ferramenta poderosa não só para regrar os controles de Segurança da Informação mas também para previnir o risco legal inerente à atividade de Tecnologia da Informação.

É inegável que Segurança da Informação é sinônimo de segurança legal. Dizemos isso pois muitos incidentes de tecnologia têm não só impactos tecnológicoas mas também impactos legais. Em face da característica de previnir o risco legal, a elaboração não deve ser realizada apenas pelos profissionais de TI. Ao contrário, deve haver uma equipe multidisciplinar que esteja envolvida na análise e elaboração do texto. Essa equipe pode consistir em um fórum composto por representantes de várias áreas da empresa, inclusive a área jurídica.

Sabemos que em geral, antes de se iniciar a elaboração da política é realizada uma análise de risco tecnológico, onde se busca identificar a quais ameaças a organização está exposta. A partir daí serão definidas quais riscos serão controlados (ou não) e então serão escolhidos quais controles ou quais assuntos serão tratados na política. Em linhas gerais esse é procedimento normalmente realizado.

No entanto, não podemos perder de vista a necessidade também da análise do risco legal da atividade tecnológica desenvolvida pela organização. O produto dessa análise servirá também (junto com o produto da análise de risco tecnológico) para embasar e instruir a elaboração da PSI. Tanto é assim que a norma internacional ISO 17799 estabelece procedimentos específicos envolvendo a atividade jurídica aplicada à tecnologia.

Em geral as PSI's, do ponto de vista legal, tratam de assuntos como gestão de direitos autorais; conformidade com legislação e contratos e SLA's; tutela de ativos informacionais confidenciais; controle de liberação de ativos informações protegidos por sigilo legal; monitoramento de funcionários; controle de ações em caso de incidentes, etc.

Há setores de negócios que detém uma complexa rede normativa que prevê diversos comportamentos e deveres específicos. Os bancos, por exemplo, devem respeitar normas (resolução 3380/06 do BCB) referentes ao risco operacional que abrange em seu bojo também o risco legal. Tanto é assim que o §1º do art. 2º da referida resolução é expresso em dizer:

A definição de que trata o caput inclui o RISCO LEGAL associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

As empresas, (mesmo as brasileiras) com ações na bolsa dos EUA devem respeitar controles da lei SOX que trata da integridade de informações e balanços bem como estabelece deveres específicos para os responsáveis pela atividade tecnológica. Essas normas legais devem ser observadas também quando da elaboração da PSI.

Um exemplo mais singelo, ao lado oposto dos bancos e empresas citadas acima, são as Lan's Houses. No estado de SP há uma lei estadual (12.228/06) regulando sua atividade. Essa lei prevê o dever da guarda de logs de atividade por 60 meses estabelecendo inclusive multas para a não observância deste preceito. Isso indica que mesmo uma empresa de pequeno porte como uma Lan House, deve estar em conformidade com requisitos legais. Essa conformidade pode ser iniciada com a elaboração de uma PSI que irá estabelecer as diretrizes necessárias para este controle.

Outro o controle da PSI que merece atenção jurídica é o gerenciamento de incidentes. A empresa que não tem um plano de ação definido e nada faz na ocorrência de um incidente, dependendo do caso, pode ser considerada negligente e essa negligência pode ter conseqüências legais consideráveis. Caso a empresa venha a ser demandada judicialmente pelo incidente, o aspecto preventivo da PSI aparece para uma possível demonstração de que ela [a empresa] preocupava-se com o assunto "Segurança da Informação". Isso pode ser determinante para afastar uma postura negligente ou demonstrar ainda que a empresa tomou as providências necessárias para evitar o incidente. Ao mesmo tempo a implementação da PSI é um dos fatores que podem caracterizar também o cumprimento do dever de diligência do administrador da sociedade, dever este consubstanciado no art. 1011 do CC:

O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Vemos aqui um grande poder de prevenção do risco jurídico inclusive para os administradores da sociedade.

Um incidente que afete a disponibilidade de um serviço pode influir também em SLA's definidos contratualmente. E não é raro tais contratos estabelecerem multas pelo descumprimento de um SLA. Com isso há a necessidade de estabelecer um alinhamento entre os prazos de SLA, os contratos e as diretrizes referentes à resposta a incidentes, e isso pode ser feito através da PSI.

As empresas que divulgam conteúdo elaborado por seus funcionários através de blogs, também devem atentar para o eventual risco legal desta atividade. Já há empresas que adotam a "policy blogging", um documento que pode ser previsto na PSI e que regra a atividade de publicação de conteúdo através dos blogs. Também não podemos perder de vista algumas decisões judiciais que reconheceram a responsabilidade do autor do blog por comentários de terceiros. Ao mesmo tempo sabe-se que a empresa é responsável pelos atos dos funcionários, quando estes praticam atos sob sua estrutura tecnológica. Um desregramento desta atividade pode representar a responsabilização da empresa pelas manifestações de pensamento de seus funcionários.

A prevenção do risco legal ocorre também com a previsão na PSI de outras políticas que regrem determinados comportamentos dentro da organização. Exemplos são as Políticas de Uso de E-mail e Internet, Políticas de Acesso, Política de Uso de Hardware, etc. A justiça gaúcha recentemente analisou um caso envolvendo direitos de acesso a um servidor de arquivos. Uma empresa processou a própria funcionária por ela ter, deliberadamente, deletado várias arquivos da empresar. O juiz decidiu no sentido de que se não havia uma política de acesso regrando exatamente como deveria ocorrer o acesso à arquivos, não se poderia exigir determinado comportamento do funcionário. Aliado a esse argumento decidiu também que se ela tinha a permissão no sistema de arquivos para a deleção, ela não poderia sofrer uma punição em face da permissividade técnica.

Também é muito comum o desregramento acerca da atividade de monitoramento da atividade dos funcionários das organizações. A realização desregrada e descontrolada dessa atividade pode inclusive, em casos extremos, tipificar o crime de interceptação telemática não autorizada ou ainda o ilícito civil de violação de privacidade.

Nesse passo, as organizações devem observar a PSI também sob o aspecto legal, caso queiram gerenciar com mais mais efetividade o risco jurídico inerente à atividade de TI. A tendência é de que com a especialização da legislação brasileira, o número de leis envolvendo obrigações relativas à TI e à Segurança da Informação aumente rapidamente.

2007-09-24T15:38:00.001-03:00

Segurança Legal - Podcast

Trago, nesta postagem, a indicação de meu Podcast sobre Direito da Tecnologia e Segurança da Informação. O primeiro episódio tem o nome de "Direito da Tecnologia e Sociedade da Informação". Nele trato alguns conceitos básicos que lastreiam o estudo do Direito da Tecnologia.
Maiores informações podem ser obtidas em www.direitodatecnologia.com/podcast.

powered by ODEO

2007-08-23T20:20:00.000-03:00

Interceptação telemática ilegal no STF

No dia 23 de agosto de 2007, um jornal de grande circulação no país publicou a transcrição de uma conversa havida entre dois ministros do STF. Essa conversa ocorreu no que os meios de comunicação chamaram genericamente de Intranet; mas aqui podemos definir como um software interno de Instant Messenger (semelhante aos conhecidos ICQ, Skype e MSN). Tentaremos mostrar nesse pequeno artigo que tal ação constitui-se em um grave caso de violação de direitos constitucionalmente protegidos além da tipificação do crime de interceptação telemática ilegal

Devemos esquecer, em um primeiro momento, que tratavam-se de ministros de nossa Suprema Corte. Tal fato é desimportante na medida em que aplicamos a Constituição indistintamente a todos os cidadãos. O fato de alguém ser um ministro da mais alta corte não faz (em tese) que seus direitos constitucionais sejam mais importantes do que o do cidadão comum. A Constituição não faz distinção nesse ponto.

Ressaltamos também que a privacidade e a intimidade, como direitos da personalidade que são, merecem proteção especial e respeito irrestrito da sociedade. O dever geral que todos têm de respeitar os direitos alheios não fogem à presente situação. Nesta seara, os direitos da personalidade entendidos como direitos humanos, são os mais sagrados para o homem.

A Constitução é clara em estabelecer os limites da proteção à intimidade e privacidade, consubstanciados pela inviolabilidade do sigilo. Vejamos:
Art. 5º, inc. XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

Já a lei 9296/96 nasceu para regulamentar o inciso acima citado e trata da questão da interceptação de dados e comunicações telefônicas. Esta lei é tão restritiva que permite a interceptação apenas quando tratar-se de investigação criminal, em crimes punidos com detenção, quando houver indícios razoáveis de autoria e a prova não puder ser produzida por outros meios. Esta é a reprodução do art. 2º da lei. Tal serve para demonstrar que não é em qualquer caso que a interceptação é permitida: ela é tão severa que além de todos estes requisitos requer ainda a análise judicial (mesmo que em juízo de cognição sumária). Isso demonstra a seriedade do descumprimento de tais normas quando da produção da prova. Caso a interceptação seja realizada, mesmo que pela polícia, mas em desacordo com a lei, a prova obtida torna-se ilícita (tanto por ser ilícita e ilegítima, se for o caso) e o processo todo pode ser anulado. Tal prevê a teoria dos frutos da árvore envenenada, ou fruit of the poisonous tree theory, do Direito Americano. A referida teoria entende que caso uma prova seja obtida de maneira ilegítima ou ilegal (com desobservância do direito material ou processual) todo o restante do processo é contaminado por sua ilicitude. Tudo isso com a ressalva de que em casos excepcionalíssimos, a prova ilícita pode ser aceita no processo quando representar o único meio de absolvição do réu no processo penal (HC 74678 - STF) . No entanto, tal assunto não diz respeito especificamente ao assunto aqui tratado.

A mesma lei define em seu art. 10 o crime de interceptação ilegal:
Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.

A questão da definição do termo interceptação é tormentosa e é fruto de acalorados debates. No entanto, em síntese apartada, a interceptação seria a interferência do tráfego de informações ou conversas telefônicas realizada por um terceiro estranho à comunicação sem a permissão dos participantes, com o fim de captar o referido fluxo.

Dito isso, mencionamos os recentes casos de criminosos presos por furto qualificado, na retirada indevida de dinheiro de contas bancárias. Para que pudesse ser feita a interceptação de conversas em Instant Messenger, houve a necessidade de uma ordem judicial prévia para tanto. Tudo de acordo com a lei 9296/96. Igualmente, estes mesmos criminosos foram processados também por interceptação telemática ilegal, na medida em que captavam dados dos clientes bancários no momento em que eram transmitidos, enquandrando-se tal conduta no referido tipo penal.

Mas o cerne de toda essa discussão é: o ato de fotografar uma conversa ocorrida em um Instant Messenger, no momento que ela acontece, constitui o ilícito penal previsto na lei 9296/96? Em nossa opinião pessoal a resposta é sim se observado o conceito de interceptação exposto acima. A interferência que capta e reproduz a informação, mesmo que realizada por meio de fotografia deve ser considerada criminosa.

Outro ponto importante, e que contraria a nossa própria tese é: não estariam os ministros, ao realizar a conversa às lentes dos fotógrafos, aceitando a possibilidade de terem suas comunicações interceptadas? É certo que a privacidade é contextual, ou seja, depende do ambiente. Não nos esqueçamos do caso de pessoas que tiveram a conversa em chats públicos interceptadas e alegaram a invasão da privacidade digital, o que foi negado (RHC 18.116/SP - STJ). Nesse caso específico, em face daquele contexto, ou seja, de estarem em um ambiente público, sujeitavam-se elas à interceptação. Isso importa dizer que não há privacidade em um chat público de internet. Portanto, no caso do STF, devemos nos perguntar, há expectativa de privacidade no presente caso? Acreditamos que a resposta é que sim. Há a privacidade, pois as conversas foram realizadas em um Instant Messenger, no computador pessoal dos ministros e na rede privada do STF. Por certo, quando as conversas ocorriam os ministros não tinham a intenção e nem poderiam aceitar, mesmo que tacitamente, que suas comunicações pudessem ser interceptadas, seja através de um software específico para isso (sniffer ou keylooger) ou seja pela fotografia.

A questão da tipicidade da fotografia da tela configurar o crime de interceptação telemática ilegal é que merece a atenção dos juristas. Não podemos esquecer da impossibilidade de utilizarmos a analogia in malam parte, ou seja, para a condenação. A discussão deve ser pautada pelo cuidado de não realizar a analogia para a constituição do tipo penal. Mesmo assim, entendemos que o meio em que a interceptação é realizada é desimportante para a configuração do crime, desde que haja a real captação do fluxo de informações por terceiro estranho, no momento em que ele é produzido. Tal definição é importante, uma vez que a interceptação tem que ocorrer temporalmente no momento em que a informação trafega entre um ponto e outro. Isso é crucial para a tipificação; tanto que se a conversa já foi produzida e está armazenada digitalmente em um HD, por exemplo, e alguém a acessa indevidamente, não há o crime de interceptação telemática ilegal. Isso pois a informação já fora produzida e em razão disso, não há a captação ou interferência no momento de tráfego.

Com isso, o debate recai sobre a tipicidade de fotografar o fluxo de informações, se é que ele pode ser compreensível ao humano (não sendo linguagem de máquina, incompreensível à razão humana). Importante destacar a finalidade do ato de quem fotografa: havia a intenção de captar a conversa no momento em que era produzida? Salvo engano, não vemos a possibilidade da ocorrência desse crime na modalidade culposa. Em sendo assim, entendemos que quem fotografa uma tela de computador, em que há a conversa instantânea entre duas pessoas comete o crime em questão. É evidente que, em face da controvérsia acerca da consciência ou não da conduta criminosa, nada impediria que aplicássemos a teoria do erro de tipo, na qual o agente não tem consciência da ilicitude do ato.

Temos como conclusão, portanto, a configuração do crime de interceptação telemática ilegal quando um terceiro fotografa a tela de um computador, captando assim o fluxo de informações (de duas pessoas) ali produzido.

2007-08-03T17:07:00.000-03:00

A ligação do Direito da Tecnologia com a divulgacão de informações da caixa preta do acidente da TAM: Confidencialidade de Dados

A segurança da informação, apesar de tratar na maioria das vezes de processos envolvendo questões de segurança digital, não trata apenas desta. Como o próprio nome diz, a segurança recai sobre a informação, vista esta em um sentido amplo. Nesse sentido, procuramos estabelecer a relação que pode haver, então, entre a divulgação da transcrição da caixa preta do acidente da TAM e o Direito da Tecnologia. Recentemente tivemos notícia da ampla discussão havida em um fórum na Internet (fórum dos Certified Information Systems Security Professional) onde especialistas em Segurança da Informação debatiam com muito afinco justamente a ligação da divulgação da transcrição da caixa preta com os processos de segurança da informação.

Cabe mencionar, desde já, que a atividade de segurança da informação prevê a atividade de compliance (ou em português, conformidade). Esta atividade de compliance, visa garantir que a informação (do ponto de vista da sua produção, divulgação e armazenamento) atenda a requisitos legais, contratuais e de eventuais políticas envolvidas no ambiente tratado. Portanto, como o processo de segurança abrange a informação em sentido amplo, o Direito da Tecnologia irá preocupar-se, em muitos casos, com a análise de risco da divulgação de informações sensíveis, atendendo assim aos requisitos de compliance.

A análise de risco jurídico (no âmbito do Direito da Tecnologia) dar-se-á, nesses casos, quando estivermos tratando de informações sensíveis e confidenciais e, caso haja uma divulgação indevida, tal divulgação possa trazer uma potencial probabilidade de incidentes legais advindos desse fato. Um exemplo prático da atividade de compliance, orientada por advogados especialistas no Direito da Tecnologia, se dá em cima da divulgação de dados ou logs de provedores. Em face do sigilo de comunicações, a empresa deve manter controles visando a proteção de tais ativos informacionais. Há sempre uma orientação legal nos processos de trabalho dessas empresas para a divulgação. O mesmo ocorre nas empresas que têm a posse de quaisquer dados digitalizados. Como hoje todas as empresas dependem da informação digitalizada há sempre a observância de tal cuidado ao tratar-se de tais informações.

Com base no exposto, adentremos no caso da divulgação da transcrição da caixa preta do recente acidente ocorrido com o avião da TAM, vôo 3054. Sem adentrar no juízo de valor acerca da pertinência ou não da divulgação para a colaboração das investigações, podemos analisar o caso, com base em práticas utilizadas no Direito da Tecnologia. Vejamos então, do ponto de vista legal, no nosso entender, a ilegalidade da divulgação e a ocorrência do ato ilícito ensejador de responsabilidade civil por parte do poder público. Pedimos vênia aqui, para adentrarmos no campo do Direito Público, ramo este que não é nossa especialidade mas que, pela prática forense e pela obrigação profissional observamos com afinco e cuidado.

Em primeiro lugar há que se observar a responsabilidade objetiva do Estado, quando de sua atuação. O art. 37 de nossa Constituição Federal prevê a referida responsabilidade e a CPI e o poder legislativo também submetem-se a tal princípio.

Igualmente, a CPI ao desempenhar sua função, deve respeitar princípios administrativos basilares, sendo um deles o da moralidade administrativa. Nossa constituição define o respeito a esse princípio no mesmo artigo acima citado. O princípio da moralidade administrativa nos diz que deve haver um atendimento ao senso ético comum no cumprimento do ato administrativo, na medida justa e necessária esperada. É o descumprimento dos preceitos de boa-fé e também da experiência comum de uma determinada atividade. O princípio da moralidade administrativa exige igualmente a transparência na atuação no que diz respeito à identificação concreta do objetivo do ato realizado (o que pode se confundir com o princípio da finalidade). É comum, quando do desrespeito a esse princípio, a configuração do desvio de poder. Aliado a este princípio, temos também o princípio administrativo da finalidade do ato bem como da razoabilidade.

Há, neste compasso, o dever da CPI em preservar fatos, atos e documentos que possam ser atentatórios à justiça, às partes ou terceiros envolvidos ou que sejam tenham sua divulgação controlada em lei. Basta fazer uma analogia a um processo comum. O juiz, apenas por ser juiz, não pode divulgar publicamente dados que possam ofender as partes. Para isso há o segredo de justiça. Se há a divulgação de conteúdo legalmente protegido, ou que possa causar dano, o juiz, em tese, comete abuso ou desvio de poder pela divulgácão indevida. O mesmo ocorre com a CPI.

A intimidade, nesses casos, é tão sagrada que há até um tipo penal para a violação de sigilo funcional. Ou seja, quando um funcionário público, revela um fato que tem ciência em razão de seu cargo, e que deveria manter segredo, comete ele o crime de violação de sigilo funcional, nos termos do art. 325 do CP. Um caso clássico desse crime é de um médico legista que divulgou indevidamente fotos de uma necrópsia sendo, com isso, condenado com base nesse tipo penal.

Mas como saber se a informação pode ou não pode ser divulgada? No âmbito empresarial, através dos Acordos de Confidencialidade, podemos estabelecer o parâmetro de divulgação. Quanto a isso não há dúvidas. No entanto, no presente caso devemos estabelecer a necessidade ou não de divulgação, e se essa divulgação pode ou não contribuir para o bom andamento das investigações.

É sabido que, por vezes, um inquérito policial comum mantém em sigilo o produto de investigações por diversos motivos: bom andamento dos trabalho; proteção de testemunhas; preservação de provas; etc. Tanto é assim que o Código de Processo Penal (diga-se de passagem utilizado subsidiariamente pelas CPI's) prevê expressamente em seu art. 20 tal atuação:

"A autoridade assegurará no inquérito o sigilo necessário à elucidação do fato ou exigido pelo interesse da sociedade."

Entendemos aqui que não há algum interesse da sociedade em obter a transcrição dos últimos momentos de vida dos pilotos.

Analogicamente podemos buscar informações no decreto 4553/2002 que estabelece a " salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.". O art. 2º desse decreto nos diz:

São considerados originariamente sigilosos, e serão como tal classificados, dados ou informações cujo conhecimento irrestrito ou divulgação possa acarretar qualquer risco à segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas.

Do ponto de vista da CPI, entendemos haver, com base nesse decreto, o dever de manter o sigilo absoluto acerca de tais dados.

Mas talvez a principal regra que defina a ilicitude (ilicitude aqui vista em sentido amplo, como ato ilícito na doutrina da responsabilidade civil) esteja em nossa CF. Temos o princípio da intimidade, estabelecido na Constituição Federal, no art. 5º inc. X. Como cláusula pétrea, estabelece a inviolabilidade da vida privada. Não há dúvida que a autoridade pública não tem o poder de divulgar fatos que possam comprometer a intimidade de pessoas (falecidas inclusive, passando o direito de exigir a reparação para os parentes do morto). Portanto, o respeito ao princípio da moralidade administrativa e da legalidade estrita, exigem da CPI uma conduta de preservação dos valores da personalidade dos envolvidos no acidente. Ressalta-se aqui, mais uma vez, que o fato de terem os envolvidos falecido no acidente, faz com que seus parentes tenham o direito de exigir em seu nome a indenização pelos danos morais.

Não se discute aqui a responsabilidade dos órgãos de imprensa que também divulgaram as informações. Tratamos aqui, a divulgação pelos órgãos públicos. No entanto não podemos perder de mente que a anterior divulgação pela imprensa dos dados, poderia retirar seu aspecto de proteção, uma vez que já teria sido levado ao conhecimento público e a mera repetição poderia afastar a ocorrência do ato ilícito. Mesmo assim, entendemos que, a priori, há a prática de um ilícito, por parte da CPI e do poder público ao divulgar dados que ofendem a intimidade das vítimas do acidente.

2007-06-27T15:59:00.001-03:00

Direito na Sociedade da Informação

Vivemos na Sociedade da Informação. Apesar da obviedade da afirmação, devemos ter em mente que temos o privilégio de passar por uma época limítrofe entre a decadência de um modelo de sociedade e o nascimento de um novo modelo. Alguns autores falam até mesmo em revolução informacional ou modelo de sociedade pós-industrial. Alvin Tofler, já há anos falava da "terceira onda" que varreria [e já varre] o mundo.

A questão é de suma importância para o Direito, uma vez que é ciência social e deve tratar do fato social. O Direito, ao se deparar com esse novo modelo de realidade, deve rever alguns de seus princípios e metodologias. Ao mesmo tempo, deve adequar o pensamento jurídico para abarcar as situações que aparecem nessa nova sociedade.

Dito isso, cabe trazer aqui os ensinamentos de um grande autor brasileiro, que trata com maestria do assunto. Quem pretende entender a relação do Direito com a Sociedade da Informação, não pode deixar de ler o texto de Roberto Senise Lisboa. O Prof. Roberto, é Doutor pela USP e é referência no assunto. Todas as obras de qualidade sobre Direito da Tecnologia têm, na sua bibliografia, as lições deste autor. O texto em questão é "Direito na Sociedade da Informação". Pela extensão do artigo, disponibilizo seu download no formato PDF aqui.

Por fim, agradeço a gentileza do Prof. Roberto em disponibilizar sua obra e permitir sua publicação.

2007-06-22T15:22:00.000-03:00

Orkut, MP, Liberdade de Expressão e Devido Processo Legal

Recentemente tivemos notícias de alguns acordos dos MP's estaduais com o Google Brasil, no sentido de que aqueles passam a poder retirar conteúdos ofensivos do site Orkut. Em geral, seriam concedidos poderes de administração na rede do Orkut para que conteúdos pré-taxados de ilegais sejam retirados de circulação. No entanto entendemos haver alguns problemas legais nessa atuação do MP.

É inegável que a questão de crimes digitais no Orkut é assunto que merece discussão. Todos concordam que o site de relacionamentos é utilizado para o tráfico de drogas, divulgação de pedofilia, ameaças, além de outros crimes. No entanto, ao mesmo tempo que podemos identificar facilmente casos mais evidentes, entendo que pode haver um abuso de poder por parte do MP em retirar conteúdo legalmente publicado.

A tipificação de um conteúdo como ilegal, entendemos que deve passar necessariamente pelo crivo de uma análise judicial. Não podemos, com o argumento de que precisamos agir rapidamente nos casos de crimes digitais, suprimir a instância judicial. Há a garantia constitucional do devido processo legal que, mesmo nesses casos, não deve ser desrespeitada.

Sabemos que um promotor não é um juiz. A frase é por demais óbvia, mas importa em reconhecermos que um promotor não tem os mesmos poderes de um juiz. Devemos ressaltar que não se quer aqui desprestigiar a atuação do MP que, nos casos de crimes digitais, é importantíssima. O MP desempenha um trabalho irretocável, no que diz respeito ao Direito da Tecnologia. No entanto, vemos que um promotor não tem o poder de fazer cessar a publicação de conteúdos legalmente publicados na Internet. Se houver a necessidade, há que se buscar uma ordem judicial para tanto, sob pena de atropelarmos o princípio do devido processo legal (due process of law). Portanto nos preocupamos não com os conteúdos manifestamente ilegais publicados, mas sim nos que estejam em uma zona fronteiriça.

Com isso, devemos ressaltar também, não se tratar de uma questão de direito material: não se quer defender a publicação de conteúdos ilegais na Internet. O que se quer aqui é ordenar o procedimento legal para a retirada de conteúdo. É certo que conteúdos ilegais devem ser retirados do ar de forma mais rápida possível. No entanto, este ato, por mais urgente que seja, deve acompanhar a lei, ou seja, ser precedido de uma ordem judicial. Nossa Constituição é clara em seu art. 5º IX em afirmar:

IX - é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença;

Uma atuação do MP nesses casos, poderia em tese ferir a garantia constitucional de liberdade de expressão. Mais uma vez relembramos: um juiz deve interferir em cessar a publicação de qualquer conteúdo. Entendemos, portanto, que esses convênios deveriam se dar com o judiciário e não com o MP. A liberdade de expressão, como garantia, não deve ser ameaçada por ato de quaisquer autoridades em uma democracia. Igualmente é sabido que o Estado tem o dever de fazer cessar publicações criminosas. Então, através do princípio da proporcionalidade devem coexistir esses dois valores.

Por fim, vemos ainda a possível responsabilização do Google Brasil em atender retiradas de conteúdos que, após um procedimento legal não fosse considerados ilegais. A mera requisição de uma parte atingida ou até do MP, não pode ter o mesmo poder de um juiz em ordenar a retirada de um conteúdo de publicação.

2007-05-21T16:54:00.000-03:00

Responsabilidade civil das empresas de assistência técnica

Um assunto que merece bastante atenção tanto dos usuários, quanto das empresas é a responsabilidade das empresas de assistência técnica, quando da divulgação indevida de dados contidos nos computadores. Tentaremos tecer alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.

Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência ténica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).

Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mau intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais esses profissionais tem o dever anterior de preservar o sigilo das informações. Com isso há dois deveres subseqüentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.

Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.

O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.

Mesmo assim, sabemos que a culpa exclusiva do consumidor ou ainda ou de terceiro, pode afastar a responsabilidade da empresa. Nessa seara, temos que a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente nosso Tribunal se manifestou sobre o dever de segurança por parte do consumidor/usuário, na apelação cível 70011140902. Vejamos a ementa:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA

Neste caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.

Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados pelas) impedindo assim a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação.
Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentendo para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para que a ação de divulgação constitui crime de Violação de Segredo Profissional.

Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título "Assistência técnica e a segurança das suas informações". Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.

2007-05-03T17:55:00.000-03:00

Provas Digitais e Produção de Logs

Um assunto muito interessante e controvertido em relação aos controles de Segurança da Informação é o controle de produção e armazenamento de log’s. Os log’s são registros de atividades ou eventos pré-determinados e servem para estabelecer um histórico de uma atividade tecnológica. Para tornar a explicação mais compreensível podemos trazer alguns exemplos práticos das situações em que são produzidos os logs. Um servidor de e-mail (seja ele corporativo ou comercial) geralmente é configurado para registrar os logs de sua atividade. Em geral são armazenadas informações tais como IP de origem da mensagem, horário de envio e recebimento, servidores pelos quais a mensagem passou, etc. Esses registros são úteis nos casos em que há a necessidade de identificar o autor de uma mensagem anônima. Com isso identifica-se que em determinado horário o ip de número X, enviou um e-mail para aquele servidor. Com isso, chega-se até o servidor que controla aquele IP e com base no horário é possível identificar a pessoa que naquele determinado momento estava usando a referido número. Todas essas ações, é claro, são precedidas de ordens judiciais específicas. Outro exemplo prático é a produção e armazenamento de logs em ambientes corporativos. Nesse caso em geral se armazenam históricos de atividades tais como rotinas de backup, funcionamento de servidores, tráfego de internet, funcionamento de sistemas internos, etc. Dependendo da atividade da empresa, há um sem número de atividades que podem ter seu histórico armazenado.

Dito isso, passemos à análise da utilização desses logs. Vamos imaginar que alguém necessite identificar a autoria de um e-mail difamatório, ofensivo ou ameaçador. Com a consulta dos logs dos servidores chegou-se a um determinado IP identificando-se assim o remetente da mensagem. Pois bem, a questão principal deste artigo é: como ter certeza de que este log foi produzido e armazenado com integridade? Como é possível ter certeza de que este registro não foi alterado? Como podemos afirmar que a estrutura computacional que produz tais logs, não está funcionando de maneira precária produzindo assim dados incorretos?

No Brasil não temos uma normatização que regula a produção desses registros para o setor privado. No setor público temos alguns decretos que regulam controles de segurança aplicáveis ao assunto, porém o mesmo não ocorre no setor privado. Temos visto inúmeros casos em nossos Tribunais de que quando são produzidos esses logs, a parte contrária sequer impugna tais provas. Ao contrário de análises e provas produzidas por peritos judiciais, não há como ter certeza da integridade de registros produzidos, por exemplo, por um provedor comum de internet.

Já vimos provedores respondendo a ofícios judiciais de pedidos de logs, de maneira desinteressada e até negligente. Em uma situação verdadeira, um simples operador de sistemas, acessou o sistema da armazenamento de logs do provedor e através do processo de “copiar e colar” montou um documento no Excel, para instruir a resposta do ofício. Esse “documento” ao chegar nos autos do processo, adquire uma força probante e uma integridade muito maior do que realmente teria se analisado sob o aspecto técnico-computacional. O processo judicial acaba por legitimar e um documento muitas vezes, mal produzido e sem a certeza de integridade.

Cabe ainda mencionar a existência do dever dos provedores (aqui provedores em sentido amplo) em armazenar tais registros, em função da especificidade de sua atividade, conforme nos ensina o mestre Marcel Leonardi na sua obra “Responsabilidade Civil dos Provedores de Serviços de Internet”.

É sabido que a utilização de provas digitais é plenamente permitida em nosso sistema jurídico. Tal fato é indiscutível e aceito pela doutrina. No entanto o artigo 225 do CC prega que: “As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.”

Na grande maioria dos casos a outra parte sequer ousa impugnar a exatidão de tais registros. Cabe lembrar que o provedor ou empresa que produz tais logs (em geral fundado em um ofício judicial) em alguns casos pode até ter interesses no julgamento da causa. Esse interesse pode existir até no fato de que se o provedor não possuir os logs, pode acarretar uma co-responsabilidade pelo ato de terceiro, quando essa falha puder impedir a identificação de autoria. Isso, por si só, poderia invalidar a produção do documento ou ainda poderia servir como motivo para o provedor forjar a criação ou existências de eventos.

Tal situação torna-se ainda mais delicada se a única prova de condenação seja um desses logs. Caso uma parte seja condenada em função apenas de um log e não se tenha a garantia da integridade e autenticidade dos dados, vemos a possibilidade de uma condenação indevida ou até mesmo nula.

Recentemente tivemos notícia de uma situação ocorrida nos EUA que indica bem o quão delicada é essa questão. Na cidade de Greensburg, Pennsylvania, foi feita uma falsa denúncia de bomba por telefone em uma escola. A polícia, pela análise do histórico de ligações nos servidores (logs), chegou ao número de telefone de um estudante. Com base nessa informação o estudante ficou 12 dias preso em um centro de detenção juvenil. Sem alongar-se sobre as especificidades do caso, descobriu-se que o servidor que armazenava os logs de ligações telefônicas estava com o horário atrasado em uma hora. Ou seja, como o estudante ligou uma hora após o verdadeiro denunciante, foi com este confundido. Esse é apenas um dos tantos casos em que o excesso de confiança nos logs pode causar um grande erro judicial. Os policiais, à época da prisão, ainda comentaram o fato de que o autor da ligação negava admitir sua culpa, “amplamente demonstrada”.

Trazendo a questão para o Brasil, temos um julgado do TRT da 4ª Região que, através da analogia, pode muito bem ser aplicado às situações aqui colocadas. Vejamos:

EMENTA: CONTROLE DE PONTO. ART. 74, § 2º, DA CLT. Os controles de ponto eletrônico, em regra, não atendem as exigências do art. 74, parágrafo 2o, da CLT, que exige que o empregador com mais de dez empregados mantenha registros diários da jornada despendida pelo trabalhador, obrigando-se a apresentá-los no processo, caso determinado pelo juiz. De fato, os registros eletrônicos são elaborados por meio de "software", que não é conhecido pelo empregado, que tampouco tem acesso ao código-fonte do mesmo, nem controla as operações informáticas que produzem os relatórios em que, supostamente, consta o horário de trabalho do trabalhador.

Como se vê, a decisão reconheceu o fato de que os registros produzidos por software, desconhecidos da parte interessada ou que não haja a certeza da integridade da produção, não podem ser utilizados em um processo. Ainda, haveria a necessidade de um perito analisar a produção de tais registros para garantir a sua validade no processo, uma vez que podem ser facilmente adulterados sem deixar rastros ou vestígios.

Em que pese a falta de leis específicas para a produção e armazenamento de tais logs, não faltam regras de experiência técnica que regulam tais atividades. A norma ISO/IEC NBR 17799, publicada no Brasil pela ABNT, dispõe sobre alguns controles que podem ser observados para elevar o nível de segurança em relação aos logs. Ainda a regras de experiência técnica da atividade de Segurança da Informação, estabelecem práticas usuais sobre o assunto. Um exemplo de regras de experiência técnica sobre o assunto pode ser lido no artigo “Precisa-se de um FDR” de autoria do professor Msc. Vinícius Serafim. Nesse artigo são abordadas questões técnicas sobre o armazenamento e produção de logs à luz da Ciência da Computação. O artigo faz uma analogia com o sistema de FDR ou Flight Data Recorder, que se constitui nas caixas pretas dos aviões. O autor fala confiabilidade de tais registros (das caixas pretas) e analisa uma possível utilização desta idéia para a produção de logs.

Por fim, defendemos que tais provas devem ser produzidas por um perito judicial e, se for o caso, acompanhado por assistentes técnicos das partes envolvidas. Tal perito deverá analisar a estrutura computacional para verificar a integridade e autenticidade dos registros para assim termos um maior grau de confiabilidade dos registros.

2007-04-24T15:38:00.000-03:00

Quero fazer uma recomendação sobre uma obra muito especial, "Responsabilidade Civil dos Provedores de Serviços de Internet", de autoria de Marcel Leonardi, doutorando em Direito Civil pela Faculdade de Direito da Universidade de São Paulo.

O livro é indispensável para quem precisa entender as peculiaridades da atividade de provimento de acesso. Freqüentemente o tema é tratado sem o rigor técnico necessário o que não ocorre nessa obra. O autor tem o cuidado de definir os tipos de provedores uma vez que cada tipo tem um tratamento diferenciado. Utiliza uma divisão muito inteligente em provedores de backbone, de acesso, de correio eletrônico, de hospedagem e de conteúdo. Daí parte para a definição das responsabilidades e deveres de cada entidade trazendo alguns julgados.

Outro aspecto importantíssimo da obra é a análise da questão da responsabilidade sob a ótica do direito comparado. Como nossa legislação ainda é resumida sobre o assunto, o direito comparado é ótima fonte para elucidar algumas questões e o autor faz isso com maestria apoiado em extensa bibliografia.

Agradeço de publico também a generosidade do autor em sempre que solicitado tratar de algumas dúvidas sobre o assunto.

2007-04-19T13:29:00.000-03:00

A tecnologia funcionando como meio de prova no judiciário

Trago aqui o artigo de autoria de Camilla do Vale Jimene. A autora é professora de Direito Digital e especialista na área. Agradeço de público à autora a gentileza de enviar seu artigo e permitir a publicação no Blog.
O texto além de ser realmente pertinente realçando uma situação atípica no Direito da Tecnologia é escrito de maneira muito inteligente, o que é peculiar à produção da autora.

A tecnologia, nos dias atuais, pode revelar as mais íntimas informações do nosso cotidiano de forma desconcertante. O envio de um simples e-mail pode trazer à tona um caso extraconjugal do parceiro, a prática de concorrência desleal do sócio, a pornografia acessada pelo filho adolescente e até mesmo a jornada de trabalho em caráter de horas extras.

Foi exatamente o que aconteceu com o empregado de um Hotel em Brasília, que, contratado para exercer suas atividades em jornada diária das 8:00 às 18:00 horas, foi obrigado, diariamente, a extrapolar sua jornada de trabalho. Mesmo que permanecesse até mais tarde nas dependências do Hotel, via-se coagido a anotar o horário de saída no cartão de ponto de forma diversa da realidade.

Ao desligar-se da empregadora, moveu reclamação trabalhista e apresentou como prova de seu labor em jornada extraordinária os e-mails corporativos que trocava com seus superiores, colegas de trabalho e clientes. A simples impressão dos e-mails, em que pese ser matéria discutível, foi considerada prova legítima pela Juíza de primeiro grau que condenou o empregador, dentre outras coisas, ao pagamento das horas extras e seus reflexos.

Inconformado, o empregador recorreu, argumentando que os e-mails foram documentos produzidos unilateralmente, confeccionados pelo próprio trabalhador, podendo ser facilmente adulterados e, ainda, conter horário não condizente com a realidade dos fatos.

Porém, os Juízes do Tribunal Regional do Trabalho da 10ª Região (Distrito Federal e Tocantins), consideraram que a correspondência eletrônica, fruto da modernidade, possui sim validade probatória, constituindo um meio de prova hábil a demonstrar a prática do trabalho em sobrejornada, não pairando sobre a mesma nenhum indício de incorreção dos registros efetuados ou adulteração nos conteúdos.

Os magistrados entenderam ainda que o ônus de provar a elasticidade da jornada de trabalho é do reclamante, que se desincumbiu do mesmo no momento que carreou aos autos as impressões dos e-mails. Todavia, o Hotel não obteve êxito em provar suas argumentações de que o horário não estava correto ou de que as mensagens tivessem sido adulteradas – o que, nesse caso, poderia ter sido provado através de perícia. Ora, como toda a sociedade digital já defende – provas digitais se constituem através da análise de registros digitais!

O caso em comento, pode nos causar dois tipos de reflexões: a primeira é a importância de manter todos os relógios do sistema de processamento de informações, em âmbito corporativo ou privado, sincronizados com a hora oficial do país, afinal, ele pode servir como prova de um direito ou prova de um ato ilícito; a segunda é cautela na utilização dos meios digitais - afinal a tecnologia é a testemunha mais segura, pois, dificilmente mente.

2007-04-18T23:21:00.000-03:00

Contratos Informáticos

É interessante fazer a distinção entre Contratos Informáticos e Contratos Eletrônicos, uma vez que há grande confusão entre os dois conceitos. Os contratos Informáticos são aqueles que envolvem a prestação de um serviço de cunho tecnológico, geralmente ocorrendo entre pessoas jurídicas, podendo ou não ser realizado de maneira virtual ou remota. Nota-se que o traço que o distingue do contrato eletrônico é que seu objeto sempre será realacionado com alguma atividade eminentemente tecnológica. Entre muitas atividades abrangidas nos contratos informáticos temos a prestação de um serviço de Análise de Risco, controle de Segurança, prestação de um serviço de contingência ou continuidade de negócios digitais, a instalação de um Firewall, a contratação de um link, a terceirização de governança em TI, terceirização da atividade de desenvolvimento de software, etc.

Ao contrário dos contratos informáticos, os contratos eletrônicos são aqueles em que o meio utilizado para a manifestação de vontade dos contratantes é o computador ou a Internet. A utilização do "meio eletrônico" é a característica que define um contrato como sendo "eletrônico". Com isso, o consumidor que realiza uma compra via internet está aderindo a um contrato eletrônico. Em sendo assim nada impede que um contrato seja ao mesmo tempo informático e eletrônico, quando abranger as características já expostas. Em geral tais contratos [os eletrônicos] se dão em relações consumeiristas, atraindo para si todos os ditames advindos da utilização do Código de Defesa do Consumidor.

No entanto o foco deste pequeno artigo é o Contrato Informático. Em que pese não haver uma legislação específica para a formação destes contratos, eles podem se constituir de forma livre. Isso significa que não há forma pré-determinada ou cláusulas obrigatórias estabelecidas pela legislação contratualista. No entanto a doutrina de Direito da Informação nos recomenda a observância de algumas cláusulas fundamentais que tais contratos devem trazer. Entre muitas cláusulas necessárias nesses contratos, trazemos cinco, quais sejam:

- Glossário - Tais contratos por abrangerem situações muito específicas, podem dar margem a diversas interpretações aos termos técnicos abordados na minuta contratual. Visando, portanto, evitar o aparecimento do risco jurídico e diminuir, desde já, a ocorrência de futuros litígios envolvendo a interpretação de alguns termos é que nasce a necessidade de utilizar um glossário esclarecendo o sentido dos termos técnicos envolvidos.
- Cláusula de Confidencialidade - Em face da atividade tecnológica quase sempre tratar com informações sensíveis e algumas vezes confidenciais é imprescindível a utilização desta cláusula. Ela estabelecerá quais as obrigações das partes em relação à proteção das informações que o contrato atingirá. Tais cláusulas estabelecem também o nível de proteção que cada parte deverá ter com a informação, os termos de divulgação da relação contratual e até mesmo regras sobre como as empresas deverão instruir seus colaboradores para a melhor proteção da informação. Importante dizer que a definição de uma determinada informação como confidencial pode dar azo até a uma resolução contratual pelo inadimplemento da obrigação ali estabelecida. Esta cláusula poderá estabelecer o tratamento dos log's envolvidos na operação, sua destruição ou até mesmo "devolução" caso seja possível e a possibilidade de auditabilidade da operação. A questão da auditabilidade poderá se dar até mesmo como obrigação pós-contratual estabelecendo a obrigatoriedade das partes manterem os logs da operação guardados por um período pré-estabelecido no contrato.
- Cláusula de caso fortuito - O caso fortuito ou de força maior (act of god na doutrina americana) deve também ser tratado em tais contratos. Defendemos o conceito de "caso fortuito digital" (conceito a ser melhor explanado em outro artigo). As situações chamadas de "caso fortuito digital" podem ser pré-estabelecidas no contrato. Isso para o caso de na sua ocorrência, poder se alterar, atrasar ou até mesmo modificar os termos de prestação e prazos. Exemplos de caso fortuito digital são os ataques mundias e imprevisíveis de vírus, falhas ou bugs imprevistos em softwares, queda de link's ou backbones, etc. A previsão de tais casos no contrato serve também para evitar a posterior discussão judicial de inadimplemento contratual em tais situações. Ademais o art. 393 do Código Civil, no título de Inadimplemento das obrigações é claro em estabelecer:
Art. 393. O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabilizado.
Parágrafo único. O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não era possível evitar ou impedir.
- Cláusula de prova eletrônica - A cláusula de prova eletrônica é importante na medida em que estabelece que tipos de logs ou registros devem ser guardados e por quanto tempo a fim de constituir futura prova de algum ato ou fato relacionado com o escopo contratual. Questões como o monitoramento de operações e comunicações pode ser previsto nessa cláusula onde se dará, se for o caso, o consentimento das partes para o possível monitoramento. Já há decisões judiciais em que a empresa foi responsabilizada por não manter logs de sua atividade. Esse dever de guarda e armazenamento (dever este colateral derivado do princípio da boa-fé objetiva) deve sempre ser observado.
Nesta cláusula também se estabelecerá, se for o caso, as questões relativas à assinatura digital (através do uso da MP 2.200) e de que forma tal tecnologia será utilizada a fim de garantir o conceito de "não repúdio".
- Clásula de proteção de direitos autorais - A cláusula de direitos autorais estabelecerá os limites e a forma que a questão da propriedade intelectual será tratada na prestação do serviço. Nos casos de contratos informáticos de Outsourcing de Desenvolvimento de Software, por exemplo, deve haver uma atenção especial a esta cláusula. A lei 9609/98, entre várias estipulações, estabelece em seu art. 4º...
"Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário...".
A primeira parte do artigo ao mencionar a expressão "salvo estipulação em contrário", dá margem à liberdade contratual de se estabelecer disposições diferenciadas neste sentido.
Ainda em relação aos direitos autorais, o contrato pode prever que se instituirá uma política de uso ou de segurança nas organizações partes, para a gestão de direitos autorais, visando afastar o risco jurídico advindo do mau uso da tecnologia por colaboradores ou terceiros envolvidos.

Por fim é importante dizer que tais cláusulas não são exaustivas, constituindo-se o Contrato Informático em um instrumento diferenciado composto por diversas cláusulas pouco vistas em outros contratos negociais. Além das cláusulas mencionadas há inúmeras outras igualmente importantes para a elaboração de um contrato seguro. Daí a importância do advogado que trabalha com Direito da Informação conhecer profundamente a atividade tecnológica sobre a qual desenvolve sua atividade.

2007-04-12T18:10:00.000-03:00

A tecnologia alinhada ao negócio

Apesar de não se tratar de um texto de Direito da Tecnologia eu quero recomendar a leitura de uma monografia de pós graduação em TI. O título é "A tecnologia da Informação e da Comunicação (TIC) e seu alinhamento com a estrutura estratégica" e a autora, Mairí Strassburger é Coordenadora do Centro de Informática Acadêmica do Centro Universitário Feevale em Novo Hamburgo. O mérito de sua monografia é demonstrar de forma muito clara a importância da TI ser alinhada à estratégia do negócio.

Além de uma pesquisa bibliográfica relevante, a autora realizou uma investigação qualitativa, utilizando como base a instituição de que faz parte. Foi analisado o nível de Lideranças de TI, Coordenações Administrativas e Direções de Institutos Acadêmicos.

Por fim agradeço de público à autora pelo seu tratamento gentil nos contatos que tive junto à universidade. Também agradeço a indicação e recomendação do meu blog junto ao corpo acadêmico da instituição.

2007-03-27T18:07:00.000-03:00

Blog Right: How Not to Bungle Your Blog

Seguindo o assunto de publicar com responsabilidade, visando evitar o aparecimento do risco jurídico na publicação e utilização de Blogs, indico artigo interessantíssimo chamado "Blog Right: How Not to Bungle Your Blog". Além de estabelecer diretrizes de grandes empresas como Sun, IBM e Yahoo sobre a publicação corporativa de blogs, nos traz também alguns princípios básicos da atividade. Vemos aqui o nascimento da "Policy Blogging" que junto com as Políticas de Segurança, de Uso, de Acesso, etc formam o arcabouço regulatório tecnológico fundamental para as empresas da Era da Informação.

2007-02-28T15:37:00.000-03:00

Políticas de Uso e Segurança

Trago aqui um artigo de minha autoria publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades, etc. Ela vai cientificar os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a
possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. A importância dessa política além de aumentar a produtividade é diminuir o risco advindo do mau uso da tecnologia uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e portanto sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público há muitos anos já atenta para a elaboração de tais políticas, com a publicação de resoluções e portarias que regulamenta o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa sendo indicado um aconselhamento para a elaboração destes documentos.

Complementando o artigo original é interessante ressaltar também a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também o documento não deve ser formal demais e deve permitir o entendimento de todos os envolvidos. Realizar um documento por demais extenso também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A idéia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas bem como fazê-lo sentir participante da atividade de segurança. O bom senso deve sempre ser observado nesse ponto, nunca se esquecendo que a política deve balancear segurança com produtividade.

2007-01-05T18:51:00.000-02:00

Da responsabilidade dos autores de blogs por comentários deixados por terceiros

Iniciando este artigo fazendo uma analogia com os provedores de serviço que hospedam os blogs, tais provedores nunca são responsabilizados pelo conteúdo dos blogues. É o princípio da irresponsabilidade dos provedores de serviços pelos conteúdos apostos por terceiros. Essa analogia se faz, uma vez que a Internet é o meio de comunicação mais anárquico que existe. Ao contrário da TV, em que há um único emissor e milhares de receptores, a internet é composta por milhares de receptores que também são emissores. Tanto é assim que o TJ gaúcho assim entendeu:

APELAÇÃO CÍVEL. RESPONSABILIDADE CIVIL. PROVEDOR DE INTERNET. BLOGGER. WEBSITES. A ré agindo como mero provedor de conteúdo, armazenando as informações para acesso dos assinantes não pode ser responsabilizada em indenizar à autora, tendo em vista que tal responsabilidade recai sobre àquele que procedeu ao ilícito. NEGARAM PROVIMENTO AO APELO. (Apelação Cível Nº 70009660432, Sexta Câmara Cível, Tribunal de Justiça do RS, Relator: Artur Arnildo Ludwig, Julgado em 14/09/2005).

O relator, em seu voto, cita o artigo "A liberdade de expressão em blogs tem limites", do prof. MARCEL LEONARDI (http://www1.folha.uol.com.br/folha/informatica/ult124u18409.shtml) que diz:

"Outra questão importante diz respeito aos comentários de terceiros em um blog. De modo geral, o autor do blog não exerce controle editorial prévio sobre os comentários deixados pelos leitores, mas isto não significa que ele não tenha o dever de remover eventuais mensagens ofensivas após ser cientificado de tal fato, sob pena de ser responsabilizado por sua omissão."

Nesse contexto é que é feita a analogia. Então, nessa seara, seguindo este princípio não há como responsabilizar o dono do blog por comentários de terceiros. Ademais os casos de responsabilidade por fato de terceiro, estão estabelecidos no art. 932 do CC e não há como entender que se possa exigir do autor do blog um dever de vigilância sobre os comentários, ainda mais se houver uma maciça publicação de comentários. Com isso, entendemos que deve haver uma notificação do dono do blog para a retirada do conteúdo ofensivo e só depois, na sua inércia, é que pode responsabilizá-lo pela omissão.

No entanto a mera notificação não é o bastante para a retirada do conteúdo. Entendemos que a notificação vazia não tem esse efeito. Assim entende também Hugo Daniel Lança Silva, no artigo intitulado "O direito no mundo dos blogs". Assim diz o autor português:

"A questão merece algum cuidado na sua análise. Uma fórmula demasiado permissiva poderá gerar indesejáveis abusos. Sustentar que uma mera denúncia de um eventual interessado é suficiente para a remoção do conteúdo, sem aquilatar da sua ilicitude, poderá promover perigosas práticas de censura."

Com isso, seguimos dizendo que é o autor do comentário é que deve ser responsabilizado, no conceito de que é o autor do “ilícito” a pessoa responsável pela ação. Não há nexo causal entre a publicação do blog pelo autor e a vinculação do comentário pelo “ofensor”. O nexo causal se dá na ação de quem publica o comentário ofensivo, e nào o dono do blog, em analogia à questão dos provedores. Se o Orkut, como empresa, com todos os recursos disponíveis, não é responsável pelas manifestações feitas em suas páginas, não há como se exigir que o dono do blog o seja, em outra analogia.

Sérgio Cavalieri, ao falar sobre o nexo causal, nos ensina que a teoria adotada pelo nosso CC é o da Causalidade Adequada. Assim diz:

“Entre duas ou mais circunstâncias que concretamente concorreram para a produção do resultado, causa adequada será aquela que tem interferência decisiva”(Cavalieri, Programa de Responsabilidade Civil, 6ª Ed. P. 74).

Com isso deve-se perguntar se a ação ou omissão sozinha era capaz de produzir o dano. Então realizamos a pergunta, com base na teoria da causalidade adequada, ao caso da responsabilidade civil do autor do blog por comentários dos internautas: a simples publicação do blog, por si só, foi o ato que causou o dano ao ofendido? Entendemos que não, pela falta de nexo causal. Não se pode responsabilizar alguém por ato que não tenha dado causa, exceção feita à responsabilidade por fato de terceiro, nos termos do art. 932.

No entanto, argumento contrário poderia ser tecido no caso de que a simples publicação de um blog, criaria no autor um dever de vigilância, baseado no princípio da boa-fé objetiva. Esse dever de vigilância advém da circunstância de que há a previsibilidade da ocorrência do risco de inserção de comentários desabonatórios no blog. É a famosa teoria do risco, do parágrafo único do art. 927:

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

Em função disso, dessa previsibilidade objetiva, nota-se a relevância da omissão do autor em não vigiar os comentários dos internautas. Em função da criação do blog, nasceria o risco de ocorrência desse resultado. Porém esse argumento merece críticas: o artigo é claro: “atividade normalmente desenvolvida pelo autor do dano”. Não há palavra inútil na lei, devendo na interpretação de um texto legal observar todos os conceitos ali existentes. Isso significa que terceiros estranhos à relação não estão abrangidos, uma vez a lei estabelece que a atividade deve ser desenvolvida pelo autor do dano. Ele não se aplica aos provedores de serviço que publicam os blogs, por exemplo. Em analogia com o que ocorre com os provedores de serviços (como o Orkut, por exemplo), entendemos que uma vez que estes não são responsabilizados pelo conteúdo dos seus clientes, o mesmo deve acontecer com o autor do blog. A outra crítica é a questão de que o nascimento do blog, deve vincular seu autor pelas suas próprias ações e nunca pelas ações dos outros, em plena observância do nexo causal baseado na teoria da causalidade adequada.

O artigo "A RESPONSABILIDADE DO PROPRIETÁRIO DE SITE QUE UTILIZA “FÓRUNS DE DISCUSSÃO”" de Demócrito Reinaldo Filho, influente autor no meio do direito da tecnologia, discute o assunto. Este artigo refere-se a uma decisão de uma corte argentina que reconheceu a responsabilidade do proprietário e da empresa de manutenção do site, por mensagens postadas o livro de visitas. O argumento principal da decisão foi que havia um disclaimer informando que as "mensagens poderiam ser retiradas no caso do conteúdo ser inconveniente para outras pessoas que visitem esta seção". Com isso o mantenedor do site trouxe para si o controle editorial do conteúdo trazido por terceiros. Tudo isso, com o conceito de responsabilidade objetiva, ou seja, sem a necessidade de se provar a culpa. A culpa nesse caso seria a prova de que o mantenedor do site sabia do conteúdo ilícito das mensagens. No entanto essa decisão parece-nos em descompasso com a lógica, fato que o próprio autor do artigo reconhece. O autor diz que a "operação informatizada de processamento de dados não pode ser considerada, por si só, como uma atividade potencialmente periculosa, de risco especial...".

Ninguém nega que o controle editorial do que o autor do blog escreve é de sua inteira e inegável responsabilidade. Porém ele continua dizendo também que dependendo da área do site, no caso o blog, há áreas onde seu controle editorial desaparece: exatamente nas áreas em que terceiros ou visitantes escrevem suas opiniões. Não há um controle prévio do conteúdo, mas sim POSTERIOR. Só poderia ser reponsabilizado, na opinião do Dr. Demócrito, se tivesse conhecimento do caráter ilícito da mensagem. Ele ainda acrescenta que o mantenedor do site deve ser responsabilizado pelo conteúdo quando não estabelece meios para identificar o autor da mensagem ofensiva ou danosa. Esses meios seriam caracterizados pela guarda de arquivos de logs que gravem os endereços IP's dos internautas que realizem postagens nos seus sistemas.

Daí, que trazemos à baila os ensinamentos da autora Sofia de Vasconcelos Casimiro, na obra "A responsabilidade Civil pelo conteúdo da Informação transmitida pela Internet". [ed. Almedina. 2000). Ao falar sobre o dever de controle a autora nos ensina: p. 100 "Esse elemento consiste na imposição de um dever jurídico de controlo de conteúdo da informação transmitida e, sobretudo, na verificação de uma possibilidade técnica de efectuar esse controlo...". Ou seja o dever de controle deve ser visto dentro de um contexto relativo, proporcional à conduta mediana , através do princípio da boa-fé objetiva. Assim, a exigência de um controle excessivo, por exemplo, pode inviabilizar a atividade de um provedor ao estabelecer controle exageradamente onerosos ou impossíveis técnica ou fáticamente de serem implantados. É o princípio da razoabilidade: não se pode onerar excessivamente a atividade de publicação nos blogs, sob pena de afetar a sua livre publicação e a livre manifestação de pensamentos.

Se estabelecêssemos a obrigação do autor do blog responsabilizar-se pelos comentários de terceiros, chegaríamos à situação absurda do autor ter que ficar on-line 24 horas por dia num constante monitoramento, para evitar qualquer possível comentário potencialmente ofensivo. É impossível tanto técnica quanto fáticamente realizar este controle.

Um blog não deixa de ser um microcosmo da Internet (o macrocosmo). Na Internet, os autores das páginas, a priori, é que respondem pelo seu conteúdo, não se responsabilizando os provedores de serviços de hospedagem. O cerne da Internet e do próprio serviço de blogs é a livre manifestação, sendo os comentários dos internautas um motivador para o autor escrever mais. Responsabilizar a autor do blog pelo comentários apostos por terceiros é descaracterizar a natureza do blog.

Ademais, enxergamos a impossibilidade de o autor do blog, uma pessoa comum, conseguir controlar com base em requisitos jurídicos, potenciais comentários ilegais. Esse controle “preventivo” só poderia ser realizado seguramente por um advogado ou por uma assessoria especializada. Pensar o contrário seria esperar demais de um homem comum, do homem médio. Lembramos mais uma vez o princípio da boa-fé objetiva que requer um grau de cuidado moderado, atinente ao homem comum. Exigir cuidados extremos por parte do dono do blog, fere o referido princípio.

Este é o ponto nodal da questão: o blog tem seu conteúdo acrescido de duas formas: pelo autor e dono do blog e pelos comentários de qualquer internauta. Entendemos, por fim, que cada um deve ser responsabilizado isoladamente por suas opiniões manifestadas naquele espaço.

2006-12-15T17:19:00.000-02:00

Web 2.0 e responsabilidade dos provedores

Quero agradecer a gentileza do Dr. Alexandre Atheniense em publicar meu artigo em seu Blog "O direito e novas tecnologias". Devo recomendar também as sugestões que ele dá sobre os cuidados para a realização de compras pela Internet.

Nos últimos meses, temos visto a explosão de sites disponibilizando serviços caracterizados como da geração Web 2.0. Esse novo conceito de Internet certamente irá revolucionar a maneira como as pessoas e empresas utilizam a rede. A Web 2.0 traz novas funcionalidades até agora pouco exploradas, e transforma a Internet em uma ferramenta muito mais poderosa e dinâmica.
A Web 2.0 se manifesta por sites que disponibilizam novas ferramentas tais como planilhas, editores de texto, agendas, CRM's, rodando no próprio browser do usuário. Em geral é utlizada a tecnologia AJAX (Asynchronous Javascript and XML). A junção dessas duas tecnologias, permite a grosso modo que essas novas aplicações Web possam responder e operar como um software instalado no próprio computador. A grande vantagem é que não há a necessidade de download e instalação de nenhum software no computador do usuário o e ainda o sistema pode ser utilizado em qualquer computador, uma vez que roda no browser e fica instalado em um servidor central. É como se pudéssemos utilizar nosso processador de texto preferido, lendo e editando nossos arquivos, sem precisar instalar nenhum programa e fazendo isso em qualquer computador que tenha acesso à Internet. São chamados também por Web Based Applications .

Temos diversos exemplos fascinantes dessa nova tecnologia. O Google, como sempre pioneiro, lançou o Google Agenda e o Google Docs & Spreadsheets (que engloba um editor de texto e planilhas).
O Aprex, um serviço brasileiro engloba uma série de aplicativos de escritório. Com ótimas funcionalidades, ele engloba agenda, contatos, apresentação empresarial personalizada, disco virtual, blog, etc. Para pequenas pequenas organizações é uma ferramenta muito útil, tendo um ótimo custo benefício, além de evitar que a empresa se envolva na administração dessas ferramentas se tivesse que disponibilizá-las por conta própria. O suporte do Aprex é rápido e eficiente.
Outra site brasileiro é o Gobits Reader, que permite a leitura e cadastro de notícias no formato RSS. Este site explora com muita competência os recursos da tecnologia AJAX. Para quem o utiliza pela primeira vez tem a impressão de estar utilizando um software que parece estar instalado no computador. Além de uma bela interface o site conta com um suporte competentíssimo e permite até a publicação de uma lista na Internet com os RSS preferidos do usuário, tudo isso gratuitamente.

No entanto, todas essas observações preliminares dessa nova tecnologia servem para alertar sobre um problema: novas situações envolvendo a responsabilidade desses novos provedores tenderão a ser mais freqüentes.
A idéia central desses novos serviços abrange a funcionalidade de tais provedores armazenarem documentos (algumas vezes confidenciais) tais como agendas (contendo dados pessoais e extremamente sensíveis), dados empresariais (cadastros de clientes, arquivos de uso da empresa guardados em disco virtual), entre outros arquivos. Se antes a própria empresa se responsabilizava pela guarda de informações e arcava com a responsabilidade pela sua perda ou mau uso, esses novos provedores adquirem, com estes novos serviços, a responsabilidade dobrada de trabalhar com estes novos dados. As empresas também devem estar cientes que podem estar entregando dados sensíveis para provedores que em certos casos não estão devidamente preparados para a função.

Em geral o acesso a tais ferramentas se dá com contratos de adesão, "assinados" pela própria Web (os chamados ClickWrap Agreements). Vemos dois objetos principais destes novos contratos: a prestação do serviço em si e a guarda dos arquivos gerados pelo usuário nesse ambiente. Tais contratos, mesmo que disponibilizando o serviço gratuitamente, submetem-se ao Código de Defesa do Consumidor, com todas as possíveis conseqüências legais disso (inversão de ônus da prova, possível caracterização de cláusulas abusivas, propaganda enganosa, dever de informação, etc). Talvez a principal conseqüência legal seja a responsabilidade objetiva desses novos provedores de serviços. Isso faz com que eles respondam, independentemente de culpa, pelos danos causados aos consumidores quando estes utilizarem seus serviços. Os tribunais brasileiros já decidiram, por exemplo, que o Orkut mesmo sendo serviço gratuito, submete-se ao CDC. Por isso dizemos que igualmente os sites da Web 2.0 também devem notar tal determinação.

Vemos, com isso, a ampliação do dever de guarda dos provedores desses novos serviços. Esse dever de guarda é estipulado pelo princípio geral da boa-fé que rege tanto nosso Código Civil quanto o Código de Defesa do Consumidor. A massificação do uso dessas ferramentas, irá gerar novas situações jurídicas. A tendência é que a Web 2.0 em breve seja utilizada por todo o Internauta, o que ocorre hoje com o serviço de e-mail. Tal circunstância ampliará o ataque de crackers em cima dessas estruturas, gerando a possível responsabilização desses provedores pela falta de dever de cuidado. Entendemos também que a necessidade da utilização da norma ISO/IEC NBR 17799 como corolário do art. 39 inc. VIII do CDC, como forma de previamente garantir a descaracterização de uma possível prestação de serviço ser considerada abusiva pela inobservância da referida norma.

Nada impede, apenas à título de argumentação, que uma empresa que adquira um desses serviços e que sofra algum dano pela sua eventual indisponibilidade, processe o provedor de serviços por lucros cessantes. Até porque, a maioria dos contratos não conta com um bom SLA estabelecendo os possíveis níveis de indisponibilidade, rapidez de serviço, etc.

Enxergamos em breve a ocorrência de novos litígios envolvendo a responsabilidade pela guarda e manipulação dos dados de clientes que utilizam aplicativos da chamada Web 2.0. Tanto os provedores desses novos serviços quanto os usuários devem ter noção das novas responsabilidades pela guarda de informações. Em breve, também enxergamos a necessidade de algum tipo de criptografia na utilização desses serviços, como mais uma arma das empresas para, de maneira preventiva, evitar a responsabilização pela violação dos dados gerados pelos usuários.

2006-12-04T16:32:00.000-02:00

Conseqüências legais relacionadas ao envio de e-mails

No que diz respeito ao envio de e-mails, atividade realizada diariamente por quase todas as pessoas que têm acesso à Internet, é importante ressaltar alguns aspectos legais do possível mau uso dessa tecnologia.

Diversos crimes podem ser cometidos através do envio de e-mails. Imaginamos o caso de alguém enviar um e-mail tecendo considerações ofensivas para um destinatário. Dependendo do caso, vemos a ocorrência do crime de injúria, difamação ou até calúnia, se houver a imputação de um crime.

Ademais, esse ato pode importar também no crime de ameaça, do art. 147 do CP, que é claro em dizer:

Ameaçar alguém, por palavra, escrito ou gesto, ou qualquer outro meio simbólico, de causar-lhe mal injusto e grave:
Pena - detenção, de um a seis meses, ou multa.

Além desses crimes acima relatados, enxergamos também a potencial ocorrência do crime de violação de sigilo funcional. Tivemos conhecimento de um caso, no qual um perito médico-legal divulgou fotos de uma autópsia de um conhecido crime de homicídio, onde a vítima foi esquartejada. As fotos divulgadas foram vistas por milhares de pessoas, havendo uma inquestionável agressão à família da vítima.

Por tratarem-se, na maioria dos casos, de crimes de pequeno potencial ofensivo, seu julgamento é de competência dos juizados especiais. O ofendido, nesse caso, pode dirigir-se até uma delegacia de polícia, com a cópia do e-mail com cabeçalho, se desejar dar início à ação penal. Lavrar-se-á um Termo Circunstanciado, que após será enviado para o Juizado Especial, quando se ouvirão as partes dando seguimento ao procedimento dos juizados especiais. No entanto, nota-se que em muitos casos, as delegacias não estão preparadas para tratarem de tais questões, ressalva feita às cidades que possuem delegacias especializadas em crimes digitais.

Outros casos de possíveis violações da norma penal por e-mail são: violação de direito autoral; incitação e apologia; concorrência desleal; divulgação de pedofilia, estelionato, etc. Todos esses crimes encontram na internet apenas um novo modus operandi, em relação ao seu cometimento.

Em todos os casos de ocorrência de crimes, não podemos ignorar que a sentença penal, de acordo com o art. 935 do CC, faz com que não haja mais discussão sobre autoria do fato ou autoria. Em sendo assim, após a sentença penal, pode-se ajuizar uma ação cível buscando a indenização pecuniária.

Em relação à responsabilidade por ato de terceiro, é claro o artigo 932 do nosso CC ao estabelecer a responsabilidade do empregador pela reparação civil dos atos praticados pelos empregados no desempenho de seu trabalho. Com isso, alguém que se sinta atingido moralmente, por exemplo, por um e-mail proveniente de uma rede corporativa, enviado por um empregado usando o domínio empresarial, pode ensejar uma ação indenizatória contra a própria empresa. Além disso, é potencial o risco à imagem da empresa, que pode ter a sua imagem vinculada à manifestação exarada no e-mail. Nos EUA houve um caso em que um escritório de advocacia processou a IBM, uma vez que um funcionário desta violou os e-mails do daquele.

Há a responsabilidade também dos pais pelos atos dos filhos pelo mau uso da tecnologia. Hoje é comum os adolescentes utilizarem indiscriminadamente a internet, muitas vezes sem a orientação dos pais. É importante frisar os pais são responsáveis pelas as ofensas e injúrias irrogadas por menores de idade através do e-mail.

Por fim, é útil uma política de controle de conteúdo, no ambiente empresarial com o fim de prevenir o potencial cometimento de atos que importem em responsabilidade criminal ou civil. Os pais também devem orientar seus filhos sobre o mau uso da tecnologia e as possíveis conseqüências no mundo físico. Ao contrário do que se pensa, a Internet não é uma “terra sem lei”, e em geral os ilícitos cometidos no ambiente digital são tão ou muito mais danosos do que os cometidos no ambiente físico.

2006-11-27T22:11:00.000-02:00

Breves comentários sobre Segurança da Informação e Desenvolvimento de Softwares

Muitas vezes a atividade de desenvolvimento de softwares não é orientada pelos princípios básicos de Segurança da Informação. Diversas conseqüências podem advir dessa inobservância: problemas relativos à propriedade do programa; a apropriação ou mau uso de dados sensíveis da empresa; a divulgação de dados cadastrais de clientes ou seu uso para fins espúrios; a ocorrência de incidentes pelo não monitoramento dos dados de saída dos softwares; problemas advindos da atividade de terceirização do desenvolvimento, etc.

Em primeiro lugar, no que diz respeito à propriedade intelectual, temos a lei 9.609/98 que dispõe sobre a propriedade intelectual de programa de computador. Seu artigo 4º é claro em dizer:

“Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário...”

Com isso é importante a correta orientação dos desenvolvedores no sentido de impedir que os códigos fontes gerados pela relação de emprego sejam reutilizados pelo profissional em atividades particulares. Também sempre é útil um adendo ao contrato de trabalho ou um termo de ciência de tal disposição para reforçar tal orientação.

Na maioria dos casos os desenvolvedores têm acesso à dados sensíveis da empresa tais como informações financeiras, cadastros de clientes, segredos industriais, dados telefônicos ou bancários, etc. Nesse diapasão, um monitoramento preventivo pela equipe de segurança é útil para evitar o mau uso desses dados. O resultado desse monitoramento (logs) também deve ser corretamente gerado bem como armazenado. Também é útil rotinas de autorização para o uso de dados sensíveis. Ademais, dependendo do caso, cada desenvolvedor deve ter acesso apenas aos dados estritamente necessários para o seu desenvolvimento. Em casos extremos é gerado um banco de dados fictício, apenas para o fim de desenvolvimento para que os desenvolvedores não tenham acesso aos dados reais de propriedade da empresa.

A norma ISO/IEC NBR 17799:2005, que trata das melhores práticas para Segurança da Informação, dispõe especialmente sobre os controles necessários atinentes à atividade de desenvolvimento de sistemas. A validação de dados de entrada e saída é um dos itens comentados. Vemos a importância desse controle, na medida em que sistemas que geram informações bancárias, fiscais, etc, podem causar um prejuízo quando da emissão de dados errôneos. Além do prejuízo financeiro e dos possíveis danos à imagem, há o risco jurídico de emissão errônea de dados bancários, por exemplo, em ações movidas pelos atingidos.

A referida norma também fala sobre o acesso ao código fonte. Deve ser implementado um controle específico para restringir o acesso ao código fonte, para evitar questões de propriedade intelectual e também para evitar a inserção de códigos não autorizados no corpo do programa, os conhecidos rootkits.

A troca de sistema operacional deve ser sempre observada, com o fim de verificar a compatibilidade do programa desenvolvido e evitar o possível impacto negativo no caso de incompatibilidade.

Cuidados específicos no caso de terceirização da atividade também devem ser desenvolvidos. A transferência dessa tarefa não implica necessariamente na transferência de responsabilidades. Nesse sentido a realização de Contratos por uma assessoria jurídica especializada é importantíssima. Em tais contratos se estabelece uma série de cláusulas específicas da atividade indo desde os processos de trabalho bem como os resultados pretendidos até questões como acordos de confidencialidade e acordos de monitoramento entre outros. Esses contratos também regulam questões sobre o nível de responsabilidade de cada parte e questões de suporte quanto à eventuais futuros problemas.

A realização de testes também é importante nesse cenário. Algumas empresas são especializadas apenas em encontrar defeitos em softwares. Além de tais testes terem o condão de evitar perdas futuras pelo mau funcionamento do software, também previne o re-trabalho de desenvolvedores para identificar e corrigir futuros defeitos.

Em sendo assim, finalizamos com a indicação de que se faz muito importante para a atividade de desenvolvimento de software o aconselhamento legal e a aplicação de controles de segurança da informação.

2006-11-14T20:25:00.000-02:00

Controle da internet não coibirá crime, mas privacidade

Em face das recentes discussões sobre o projeto de lei que previa a obrigatoriedade de um cadastramento de todos que utilizassem a Internet no Brasil, venho publicar o artigo do Prof. Alexandre Atheniense.
Quero agradecer desde já a gentileza do Prof. Alexandre em permitir a publicação de seu artigo. Ao mesmo tempo, também quero divulgar e indicar o blog "O Direito e as novas Tecnologias", de sua autoria, fonte de inestimáveis contribuições para o Direito da Tecnologia da Informação. Segue o artigo.

Há cerca de sete anos, estamos aguardando a tramitação do Projeto de Lei que cria novos tipos penais para regulamentar os crimes que surgiram a partir da adoção dos sistemas informatizados.
Mais um ano está terminando e novamente a expectativa que havíamos renovado para que esta lei entrasse em vigor no ano de 2006 foi frustrada pela nova redação apresentada pelo relator, senador Eduardo Azeredo, na Comissão de Constituição e Justiça do Senado, que teve sua tramitação mais uma vez paralisada por ter sido retirado de pauta a pedido de alguns senadores.
O motivo desta frustração foi à inclusão na undécima hora de uma série de dispositivos que visam criar um rígido, ineficiente e inconstitucional regime de controle de acesso da internet a ponto de igualar o Brasil a países totalitaristas que tentam exercer um rígido controle de censura e violação de privacidade na internet.
Se o relator mantivesse o texto original, focando apenas na criação dos novos tipos penais como inserção de vírus, acesso não autorizado a sistemas e outros além da obrigatoriedade de armazenamento pelos provedores de registros eletrônicos que auxiliam no processo investigatório, por determinado período, certamente teríamos um desfecho mais célere para que a lei entrasse em vigor.
O texto como está, prevendo a regulamentação do acesso a internet, é cartorial e sufoca a privacidade e o direito do cidadão à informação. Fica claro que há um interesse de criar um grande cartório para identificar o cidadão brasileiro para acessar a internet, com o uso da certificação digital, quem sabe, uma espécie de Internetbras, o que é péssimo para o cidadão.
O aspecto mais inadmissível do projeto, do ponto de vista da liberdade de escolha do cidadão, é o condicionamento do acesso à internet a um credenciamento prévio, obrigatório, sujeitando quem contrariar essa determinação à alguma pena.
Obrigar a pessoa que quiser acessar a internet a realizar o cadastro prévio, além de absurdo e burocrático, é inócuo, pois quem está praticando ilícitos na rede vai continuar praticando; mesmo que esse cadastramento seja obrigatório.
O internauta infrator pode buscar uma conta gratuita em um provedor no exterior e, a partir daí, fazer os mesmos ataques que já realiza hoje. Por isso, não há nenhuma garantia que qualquer cadastro será capaz de erradicar os crimes praticados pelo meio eletrônico.
Pode se dizer que existe uma hipocrisia ao imaginar que a partir do credenciamento, o problema dos ataques ou rimes cibernéticos vão ser erradicados. Nem de longe os crimes vão terminar a partir desse procedimento.
Fica patente que, por detrás do projeto, existem muitos interesses cartoriais. O que se quer é criar um grande cartório, por meio de uma regra para impor o credenciamento prévio, quem sabe sujeitar à certificação digital todos os internautas do país e depois se fazer venda de certificado eletrônico com exclusividade pelos cartórios.
Este projeto contraria o próprio espírito da internet quando foi criada, de forma livre, em estabelecer qualquer controle em grandes proporções. Se a intenção com a adoção da obrigatoriedade do credenciamento é cessar a prática do crime eletrônico no Brasil, o objetivo não será alcançado, pois o agente criminoso vai operar por meio de um provedor no exterior. Por este motivo, estas amarras por meio da legislação só servirão para sufocar a privacidade do cidadão e criar o cartório.
A se persistir o excesso de rigor sobre a identificação dos internautas, vamos ter a eliminação de diversos provedores de pequeno porte do mercado, além de dificultar a inclusão de classes menos favorecidas a internet no nosso país aumentando ainda mais o apartheid digital que já existe.

2006-11-14T20:04:00.000-02:00

A ampliação do tipo penal de divulgação de material pedófilo

Em uma semana em que o senado promete endurecer nossa legislação contra os adquirentes de pedofilia na internet, cabem algumas considerações sobre o assunto. Nossa legislação estabelece a punição pela divulgação de material pedófilo no artigo 241 do Estatuto da Criança e do Adolescente:

"Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:
Pena - reclusão de 2 (dois) a 6 (seis) anos, e multa."

O grande problema desse artigo é que não se enquadram nesse tipo penal as condutas de “acessar” e “comprar”. A conduta de comprar, estaria de certa forma abrangida pela conduta de acessar. É nessa esteira que o projeto do senador Marcelo Crivela foi aprovado na Comissão de Constituição e Justiça do Senado. Este projeto de lei visa a punição também de quem acessa além de quem transmite o material pedófilo na internet.

Como nossos tribunais ainda não se manifestaram sobre a questão do acesso, recorremos ao Direito Comparado para a análise dessa situação. Nos EUA, no estado da Pennsylvania (Anthony Diodoro vs Commonwealth of Pennsylvania), decidiu-se que o acesso ao material pedófilo sem o ato intencional de gravar as fotos acessadas não constitui crime, pelas leis americanas. Tal decisão analisada sob a égide de nossa lei também não constitui crime. O crime ocorreria (pela lei da Pennsylvania) apenas se alguém salvasse intencionalmente as mensagens e não pelo simples acesso. A referida decisão tratou a questão entendendo que :

“State law says that a person must have "knowing possession" of child pornography in order for it to be a crime. A panel of three judges in the Pennsylvania Superior Court concluded that Diodoro (nome do acusado) could not be convicted of knowingly possessing the images because there was no evidence that Diodoro knew that his computer was storing the images in its internet cache file.”

Ademais também discutiu-se a questão da ambiguidade da lei, no sentido de que em havendo dúvida, o réu deve ser absolvido. Algo como o princípio do “in dubio pro reo”. Isso uma vez que a lei americana considera crime apenas o “knowingly possesses” do material. A dubiedade do sentido de “knowingly possesses” é que garantiu a absolvição do réu. Cabe trazer o texto específico desse tipo penal:

“Any person who knowingly possesses or controls any book, magazine, pamphlet, slide, photograph, film, videotape, computer depiction or other material depicting a child under the age of 18 years engaging in a prohibited sexual act or in the simulation of such acts commits an offense.”

Isso significa que deveria haver, no caso da lei do referido estado, uma intenção prévia de salvar as imagens, não bastando que elas ficassem armazenadas nos arquivos temporários do computador para a tipificação do crime de acesso ilegal.

Torna-se importante essa discussão, uma vez que aquele tribunal entendeu que o armazenamento automático nos arquivos temporários do browser não configuraria a “intenção de armazenamento”. Isso, pois não se conseguiu provar que o acusado teria a intenção de salvar as mensagens ou que sabia que tais imagens ficariam guardadas nos arquivos temporários de seu navegador, circunstância que pesou na hora de sua absolvição.

Tais reflexões, mesmo que baseadas em casos fora da jurisdição nacional são importantes para o esclarecimento de nossos legisladores no momento em que se visa a ampliação do tipo penal de divulgação de material pedófilo. A especifidade do tipo penal deve ser muito bem observada sob pena de não abranger condutas reprováveis, como no caso da decisão americana.

A decisão integral pode ser lida em http://www.superior.court.state.pa.us/opinions/a23036_06.PDF

A responsabilidade pelo armazenamento de logs

2006-11-09T14:34:00.000-02:00

Recentemente, li uma notícia sobre um caso americano (Easton Sports, Inc. v. Warrior LaCrosse, Inc.) onde era discutida a questão de se uma empresa deveria ser responsabilizada pelo apagamento de logs ou evidências que potencialmente poderiam servir de prova em um processo futuro.
O caso era de um funcionário de uma empresa que foi instigado por outra empresa a transferir informações sigilosas através de e-mail e outros meios.
A empresa instigadora desse ato, posteriormente contratou o funcionário da primeira empresa e após, esta processou a segunda por esta violação. Com isso a empresa processada, apagou logs e o funcionário cancelou sua conta no Yahoo, com a intensão de destruir as evidências digitais pertinentes.
Entre outras coisas a decisão afirmava "Under Michigan law, “[a] trial court has the authority, derived from its inherent powers to sanction a party for failing to preserve evidence that it knows or should know is relevant before litigation is commenced. MASB-SEG Prop./Cas. Pool, Inc. v. Metalux, 231 Mich.App. 393, 400 (1998). A sanction may be appropriate “regardless of whether the evidence is lost as the result of a deliberate act or simple negligence, [as] the other party is unfairly prejudiced....” Brenner v. Colk, 226 Mich.App. 149, 161 (1997)."
Em que pese as notáveis diferenças entre o sistema jurídico americano e o nosso, podemos fazer algumas considerações sobre os possíveis efeitos de um hipotético caso semelhante ocorrido no Brasil.
Em princípio podemos trazer à baila a questão de ninguém ser obrigado a produzir prova contra si mesmo. Aliado a isso, não há em nossa legislação nenhuma regra obrigado um provedor ou uma empresa a guardar logs sobre sua atividade. Também temos o inc. II do art. 5º da CF que diz: "ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei".
A priori, não haveria nenhuma obrigação nesse sentido e a empresa não poderia ser responsabilizada por não armazenar os logs.
Por outro lado, o nosso código civil prega o princípio da boa-fé objetiva, que em alguns casos é caracterizado pela existência de deveres laterais ao cumprimento de uma obrigação. Ora, a atividade de TI tem como um dever lateral, o armazenamento de logs para a correta medição de uso de seus recursos, bem como o monitoramento preventivo além de evitar o anonimato da expressão proibido pela CF. É uma conclusão extraída das regras de experiência técnica da atividade.
Nesse tom, sentimos que um apagamento intencional de dados que potencialmente possam servir como prova e, este ato impeça uma investigação sobre um crime que saiba ter-se cometido naquela estrutura, pode fundamentar uma ação indenizatória contra a empresa ou pessoa autora do ato. Claro que deve haver um dano por este apagamento. A ação indenizatória se fundamentaria no desrespeito ao dever geral de boa-fé objetiva que deve orientar toda a atividade de tecnologia traduzido pela obrigação lateral de guarda de logs.
Há também o tempo de guarda de logs que poderia ser discutido em uma possível ação dessa natureza. No caso americano, dados foram destruídos logo depois que se verificou a movimentaçõa para o início da ação judicial.
Não devemos esquecer, por fim, que se já há um processo judicial iniciado e há uma destruição de provas digitais, temos a tipificação do delito de Fraude Processual, art. 347 do CP.

O que a lei protege: Dados ou Comunicação de Dados?

2006-11-07T20:38:00.000-02:00

Em tempos modernos, em que todos os documentos não são mais redigidos em máquinas de escrever sem qualquer tecnologia para arquivo de dados, mas em computadores com enorme poder de memorizar os dados digitados, como ficam sob a ótica jurídica a questão do sigilo e a invasão da memória de computador?
O STF, em recentíssima decisão relatada pelo Ministro Sepúlveda Pertence, trouxe à tona esse tema de forma muito coerente e elucidativa, definindo conceitos até então nebulosos.
A discussão encontra respaldo na interpretação do art. 5º, inc. XII, da nossa Constituição Federal, que determina a inviolabilidade do sigilo das comunicações de dados, entre outras, salvo por ordem judicial dentro dos moldes previstos em lei.
O acórdão foi prolatado em caso no qual determinou-se a busca e apreensão de equipamentos de informática e disquetes na sede da empresa para apuração de eventuais crimes tributários pela análise dos registros armazenados digitalmente. O réu recorreu buscando a reforma da condenação, pois, supostamente, as provas teriam sido obtidas por meio ilícito, resultando na violação da proteção constitucional ao sigilo de comunicações de dados.
Nesse passo, o Tribunal entendeu que não houve quebra de tal sigilo, isto porque a expressão “dados” não deve ser entendida como o objeto da comunicação, mas sim uma modalidade tecnológica de comunicação resultante do desenvolvimento da informática. Desse modo, se o sigilo acoberta apenas a comunicação de dados, os dados estáticos, armazenados na máquina, não estariam acobertados pela inviolabilidade constitucional.
Na mesma trilha, a decisão esclarece que referida distinção é importantíssima, concluindo que o objeto protegido no direito à inviolabilidade do sigilo não são os dados em si, mas a sua comunicação restringida. A troca de informações privativa é que não pode ser violada por sujeito estranho à comunicação.
Assim, conclui-se que a infração ao direito constitucional ocorreria se alguém entrasse na comunicação alheia, interceptando os dados. Para facilitar o entendimento, trazemos o seguinte exemplo: o leitor envia um e-mail para os autores deste texto; se um terceiro não autorizado entrar nessa comunicação, tento acesso aos dados enviados, configuraria violação do preceito constitucinal.
Desse modo, o STF definiu acertadamente o conceito de interceptação de comunicação de dados, esclarecendo que este não se confunde com o conceito de dados estáticos.
Certamente, depois dessa decisão, novas discussões surgirão, pois se a justiça sugere que não há proteção aos dados estáticos, como ficaria a questão do sigilo quanto a estes? Será que no futuro haverá necessidade de quebra de sigilo judicial?
Continuaremos acompanhando e, quando vislumbrarmos o novo rumo adotado pelos Tribunais para questões tão peculiares como essa, traremos para os leitores essa interessante convergência entre direito e tecnologia.

Autores:Renato Opice Blum e Camilla do Vale Jimene

A reprodução deste texto foi autorizada diretamente pelo Dr. Renato Opice Blum e também segue ditames do Creative Commons. Gostaria de agradecer publicamente a gentileza do Dr. Renato Opice Blum em permitir a publicação do artigo.

O art. 46 da lei 9610/98 e a ISO/IEC NBR 17799

2006-11-07T15:35:00.000-02:00

Com as recentes discussões acerca da nossa anacrônica lei de Direitos Autorais cabem algumas considerações sobre o art. 46 da referida lei. O art. 46 elenca os casos das condutas que não constituem ofensa aos direitos autorais. Entre os vários casos, quero destacar um que aplica-se a uma situação de possível ocorrência nos Tribunais.Alguns juristas, entre eles o Dr. Renato Opice Blum, dizem que a norma ISO/IEC NBR 17799, que trata das melhores práticas em Segurança da Informação, tem aplicabilidade obrigatória em face de nosso CDC. Explico: o CDC em seu art. 39 reza:

Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas:
VIII - colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro);

Isso significa que o CDC veda a colocação de um serviço ou produto em dissonância com as normas técnicas da ABNT. Ora, a referida norma, foi publicada no Brasil através da ABNT, sendo uma norma brasileira a balizar a atividade de segurança da informação.
Em sendo assim, a questão sobre os direitos autorais seria a seguinte: em um processo judicial em que se discute a aplicabilidade da norma ISO/IEC NBR 17799 para classificação de um serviço de TI como sendo prática abusiva pela inobservância do art. 39 do CDC, o advogado teria que obrigatoriamente trazer esta norma como prova. Isso porque dificilmente o juiz conheceria o teor da referida norma. Em sendo assim, seria uma violação de Direitos Autorais a utilização de uma cópia da norma para instruir o referido processo? Entedemos que não com base no art. 46 da lei 9610 especificamente em seu inciso VII:

Art. 46. Não constitui ofensa aos direitos autorais:
VII - a utilização de obras literárias, artísticas ou científicas para produzir prova judiciária ou administrativa;

Nesse caso, enxergamos a possibilidade da utilização da norma técnica para a instrução processual, através de uma cópia juntada ao processo sem que isso signifique a violação de direitos autorais.

Direito e Comércio Eletrônico

2006-11-06T11:26:00.000-02:00

Artigo publicado no Jornal do Comércio de Porto Alegre
A singeleza do artigo justifica-se pelo pequeno espaço disponibilizado pelo jornal.

Em 2005 o comércio eletrônico (B2C - Business to Consumers) movimentou aproximadamente R$ 2.5 Bilhões no Brasil. No mesmo ano tivemos 4 milhões de consumidores que realizaram compras pela Internet aqui no país. As grandes redes de lojas já aderiram totalmente ao comércio eletrônico e temos casos bem sucedidos de lojas brasileiras que funcionam apenas no meio eletrônico.
Os fornecedores virtuais devem sempre observar uma série de princípios com o fim de atender nosso Código de Defesa do Consumidor (CDC). Temos o Princípio da Informação (que faz com que os estabelecimentos comerciais virtuais devam informar os consumidores sobre as peculiaridades do comércio eletrônico, bem como os riscos gerais atinentes às transações on-line); o Princípio da Boa-Fé Objetiva pregando, entre outras coisas, o dever lateral de transparência no desempenho das funções de fornecedor. Além disso, há a responsabilidade objetiva dos estabelecimentos comerciais eletrônicos, onde em havendo um dano ao consumidor nessa relação, presume-se a culpa daquele.
Vê-se que o comércio eletrônico modifica o conceito de confiança, uma vez que o consumidor precisa confiar em um fornecedor que não vê fisicamente e que está em um ambiente hostil e público, que é a Internet. É a impessoalidade do comércio virtual. Isso motiva as empresas a investirem em Segurança da Informação para trazer mais integridade às transações eletrônicas, atendendo às expectativas de segurança dos clientes. Para amenizar essa impessoalidade, temos o direito de arrependimento nos contratos entre ausentes, estabelecido CDC.
Cabe aos gestores das empresas virtuais sempre observar tais peculiaridades para tentar mitigar o risco jurídico de sua atividade.

Monitoração do e-mail corporativo

2006-11-06T11:11:00.000-02:00

A questão da possibilidade do e-mail utilizado no ambiente empresarial poder ser monitorado tem merecido muita atenção de advogados e profissionais de TI. No entanto, até mesmo nossos tribunais, têm tratado o assunto de maneira simplista, ignorando algumas regras que merecem ser observadas.
O e-mail com o domínio da empresa é de sua propriedade e esta tem o dever de monitorá-lo. Esse dever advém, dentre outras coisas, do fato da responsabilidade que e empresa tem sobre os atos de seus funcionários quando utilizam seus recursos. A empresa responde perante terceiros quando o funcionário usa o e-mail para envio de material ilegal, quando quebra de sigilo, viola de direitos autorais e até mesmo comete crimes entre outros atos decorrentes do mau uso da tecnologia. Quanto a isso não há dúvidas.
Mesmo assim deve se ressaltar que a privacidade é um bem do qual as pessoas não podem abrir mão integralmente. É um bem que tem proteção constitucional e é fundamentado nos valores da dignidade da pessoa humana, além de ser inalienável. Há, assim, expectativa de privacidade mesmo quando se usa o e-mail da empresa. Por isso é importante a criação, pela equipe de tecnologia e corpo jurídico, de uma política de uso dos recursos tecnológicos. Esta política deve ser amplamente divulgada entre todos os colaboradores. Nela estabelecem-se os limites de uso e as penalidades para seu descumprimento. Ao mesmo tempo, deve-se fazer um termo aditivo no contrato de trabalho, de todos os funcionários em que este dá o consentimento específico para a monitoração das mensagens. A inobservância dessas orientações podem fazer com que a empresa, ao monitorar as mensagens, violem indevidamente a privacidade dos colaboradores inviabilizando o produto da monitoração. Em casos específicos isso pode até gerar uma ação indenizatória pela invasão de privacidade. Por fim, quando a empresa não age assim, pode passar a idéia de que permite tacitamente que seus funcionários utilizem a estrutura de e-mails para fins particulares, comprometendo uma futura monitoração.

Outsourcing e Direito Digital

2006-11-06T10:33:00.000-02:00

Artigo originalmente publicado no Jornal do Comércio de Porto Alegre

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

No mundo negocial atual é muito freqüente as empresas terceirizarem setores ou atividades com o escopo de diminuir riscos, custos e aumentar a produtividade. Essa terceirização é conhecida por Outsourcing e encontra campo fértil nas atividades que envolvam a Tecnologia da Informação.
É possível realizar um contrato de Outsourcing em praticamente todas as áreas de Tecnologia da Informação, desde o suporte técnico mais básico até à Gerência de TI. No entanto, um fator determinante para utilizar o Outsourcing de forma segura é a questão contratual. Um contrato de Outsourcing mal redigido pode prejudicar não só a empresa prestadora de serviço como o contratante. Por ser um contrato específico alguns requisitos devem sempre ser observados: a exata definição pormenorizada do serviço a ser prestado; o que será feito e principalmente o que não será feito pela empresa prestadora; deve haver uma cláusula de confidencialidade que, entre outras coisas, proíba a divulgação de detalhes do contrato para evitar investidas dos concorrentes; responsabilidade de cada profissional; hipótese de descontinuidade do serviço e de não atendimento, etc.
Outro requisito fundamental é a caracterização do serviço de Outsourcing como obrigação de meio ou de resultado. Se a empresa prestadora do serviço prometer atingir um objetivo específico, trata-se de obrigação de resultado. Se a empresa comprometer-se a utilizar os meios tecnológicos existente para tentar chegar a um resultado sem no entanto prometer um objetivo, teremos obrigação de meio. Isso é importante para determinar o grau de responsabilidade da empresa em caso de não prestação de um serviço ou prestação inadequada ou incompleta.
Por fim é sempre importante utilizar um glossário ao final do contrato. Esse glossário visa normatizar as interpretações sobre termos que possam ser dúbios ou interpretados de várias maneiras. Com isso garante-se a segurança da prestação e evita-se a ocorrência do risco jurídico nessas atividades.

Direito Digital

2006-11-06T10:20:00.000-02:00

Artigo publicado originalmente no Jornal do Comércio de Porto Alegre.

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

Apesar de não ser um ramo autônomo do Direito, as disposições de Direito Digital ou Direito da Informação têm sido cada vez mais pesquisadas e estudadas. A abrangência da matéria é ampla e envolve questões de: Direito Penal (crimes contra o sistema bancário, divulgação de material sexual infantil, crimes contra a honra, quebra de sigilo bancário e telemático, violação de sistemas da Administração Pública), Direito Civil (questões contratuais típicas ao ambiente da informação, acordos de confidencialidade, responsabilidade civil de empresas por atos de seus funcionários no âmbito da Internet, o prazo para o armazenamento de informações), Direito Trabalhista (com a análise de e-mails e conteúdo acessado para a possível classificação de uma despedida por justa causa), Direito Processual (com a análise de provas digitais, perícia – Computer Forensics), Direito do Consumidor (com contratos realizados por meio digital, Responsabilidade Civil dos provedores e empresas que trabalham com e-commerce), etc.

Talvez a área que mais exija atenção do Direito Digital seja a área de Segurança da Informação (S.I). Isso porque nesses casos é exercido um controle preventivo, conjuntamente com o setor de S.I visando garantir a segurança como um todo além de garantir a continuidade dos negócios e evitar perdas. Por isso digo que a Segurança da Informação é sinônimo de Segurança Jurídica. Um depende do outro e a inobservância de um pode inutilizar o trabalho do outro. A informação é um ativo das empresas, devendo ser vista não só como informação digital, mas sim em um sentido amplo. Com isso a segurança deve ser observada tanto em seu aspecto físico, digital, humano e jurídico.

Empresas que trabalham com o sigilo de informações e com o controle de Direitos Autorais devem estar munidas de contratos com disposições especiais além de Acordos de Confidencialidade seja com seus colaboradores, parceiros e fornecedores.

O empresariado gaúcho precisa atentar para as importantes disposições do Direito Digital para amenizar ou até mesmo evitar perdas futuras.