Políticas de Uso e Segurança

Trago aqui um artigo de minha autoria publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades, etc. Ela vai cientificar os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a
possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. A importância dessa política além de aumentar a produtividade é diminuir o risco advindo do mau uso da tecnologia uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e portanto sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público há muitos anos já atenta para a elaboração de tais políticas, com a publicação de resoluções e portarias que regulamenta o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa sendo indicado um aconselhamento para a elaboração destes documentos.

---

Complementando o artigo original é interessante ressaltar também a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também o documento não deve ser formal demais e deve permitir o entendimento de todos os envolvidos. Realizar um documento por demais extenso também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A idéia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas bem como fazê-lo sentir participante da atividade de segurança. O bom senso deve sempre ser observado nesse ponto, nunca se esquecendo que a política deve balancear segurança com produtividade.

Da responsabilidade dos autores de blogs por comentários deixados por terceiros

Iniciando este artigo fazendo uma analogia com os provedores de serviço que hospedam os blogs, tais provedores nunca são responsabilizados pelo conteúdo dos blogues. É o princípio da irresponsabilidade dos provedores de serviços pelos conteúdos apostos por terceiros. Essa analogia se faz, uma vez que a Internet é o meio de comunicação mais anárquico que existe. Ao contrário da TV, em que há um único emissor e milhares de receptores, a internet é composta por milhares de receptores que também são emissores. Tanto é assim que o TJ gaúcho assim entendeu:

APELAÇÃO CÍVEL. RESPONSABILIDADE CIVIL. PROVEDOR DE INTERNET. BLOGGER. WEBSITES. A ré agindo como mero provedor de conteúdo, armazenando as informações para acesso dos assinantes não pode ser responsabilizada em indenizar à autora, tendo em vista que tal responsabilidade recai sobre àquele que procedeu ao ilícito. NEGARAM PROVIMENTO AO APELO. (Apelação Cível Nº 70009660432, Sexta Câmara Cível, Tribunal de Justiça do RS, Relator: Artur Arnildo Ludwig, Julgado em 14/09/2005).

O relator, em seu voto, cita o artigo "A liberdade de expressão em blogs tem limites", do prof. MARCEL LEONARDI (http://www1.folha.uol.com.br/folha/informatica/ult124u18409.shtml) que diz:

"Outra questão importante diz respeito aos comentários de terceiros em um blog. De modo geral, o autor do blog não exerce controle editorial prévio sobre os comentários deixados pelos leitores, mas isto não significa que ele não tenha o dever de remover eventuais mensagens ofensivas após ser cientificado de tal fato, sob pena de ser responsabilizado por sua omissão."

Nesse contexto é que é feita a analogia. Então, nessa seara, seguindo este princípio não há como responsabilizar o dono do blog por comentários de terceiros. Ademais os casos de responsabilidade por fato de terceiro, estão estabelecidos no art. 932 do CC e não há como entender que se possa exigir do autor do blog um dever de vigilância sobre os comentários, ainda mais se houver uma maciça publicação de comentários. Com isso, entendemos que deve haver uma notificação do dono do blog para a retirada do conteúdo ofensivo e só depois, na sua inércia, é que pode responsabilizá-lo pela omissão.

No entanto a mera notificação não é o bastante para a retirada do conteúdo. Entendemos que a notificação vazia não tem esse efeito. Assim entende também Hugo Daniel Lança Silva, no artigo intitulado "O direito no mundo dos blogs". Assim diz o autor português:

"A questão merece algum cuidado na sua análise. Uma fórmula demasiado permissiva poderá gerar indesejáveis abusos. Sustentar que uma mera denúncia de um eventual interessado é suficiente para a remoção do conteúdo, sem aquilatar da sua ilicitude, poderá promover perigosas práticas de censura."

Com isso, seguimos dizendo que é o autor do comentário é que deve ser responsabilizado, no conceito de que é o autor do “ilícito” a pessoa responsável pela ação. Não há nexo causal entre a publicação do blog pelo autor e a vinculação do comentário pelo “ofensor”. O nexo causal se dá na ação de quem publica o comentário ofensivo, e nào o dono do blog, em analogia à questão dos provedores. Se o Orkut, como empresa, com todos os recursos disponíveis, não é responsável pelas manifestações feitas em suas páginas, não há como se exigir que o dono do blog o seja, em outra analogia.

Sérgio Cavalieri, ao falar sobre o nexo causal, nos ensina que a teoria adotada pelo nosso CC é o da Causalidade Adequada. Assim diz:

“Entre duas ou mais circunstâncias que concretamente concorreram para a produção do resultado, causa adequada será aquela que tem interferência decisiva”(Cavalieri, Programa de Responsabilidade Civil, 6ª Ed. P. 74).

Com isso deve-se perguntar se a ação ou omissão sozinha era capaz de produzir o dano. Então realizamos a pergunta, com base na teoria da causalidade adequada, ao caso da responsabilidade civil do autor do blog por comentários dos internautas: a simples publicação do blog, por si só, foi o ato que causou o dano ao ofendido? Entendemos que não, pela falta de nexo causal. Não se pode responsabilizar alguém por ato que não tenha dado causa, exceção feita à responsabilidade por fato de terceiro, nos termos do art. 932.

No entanto, argumento contrário poderia ser tecido no caso de que a simples publicação de um blog, criaria no autor um dever de vigilância, baseado no princípio da boa-fé objetiva. Esse dever de vigilância advém da circunstância de que há a previsibilidade da ocorrência do risco de inserção de comentários desabonatórios no blog. É a famosa teoria do risco, do parágrafo único do art. 927:

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

Em função disso, dessa previsibilidade objetiva, nota-se a relevância da omissão do autor em não vigiar os comentários dos internautas. Em função da criação do blog, nasceria o risco de ocorrência desse resultado. Porém esse argumento merece críticas: o artigo é claro: “atividade normalmente desenvolvida pelo autor do dano”. Não há palavra inútil na lei, devendo na interpretação de um texto legal observar todos os conceitos ali existentes. Isso significa que terceiros estranhos à relação não estão abrangidos, uma vez a lei estabelece que a atividade deve ser desenvolvida pelo autor do dano. Ele não se aplica aos provedores de serviço que publicam os blogs, por exemplo. Em analogia com o que ocorre com os provedores de serviços (como o Orkut, por exemplo), entendemos que uma vez que estes não são responsabilizados pelo conteúdo dos seus clientes, o mesmo deve acontecer com o autor do blog. A outra crítica é a questão de que o nascimento do blog, deve vincular seu autor pelas suas próprias ações e nunca pelas ações dos outros, em plena observância do nexo causal baseado na teoria da causalidade adequada.

O artigo "A RESPONSABILIDADE DO PROPRIETÁRIO DE SITE QUE UTILIZA “FÓRUNS DE DISCUSSÃO”" de Demócrito Reinaldo Filho, influente autor no meio do direito da tecnologia, discute o assunto. Este artigo refere-se a uma decisão de uma corte argentina que reconheceu a responsabilidade do proprietário e da empresa de manutenção do site, por mensagens postadas o livro de visitas. O argumento principal da decisão foi que havia um disclaimer informando que as "mensagens poderiam ser retiradas no caso do conteúdo ser inconveniente para outras pessoas que visitem esta seção". Com isso o mantenedor do site trouxe para si o controle editorial do conteúdo trazido por terceiros. Tudo isso, com o conceito de responsabilidade objetiva, ou seja, sem a necessidade de se provar a culpa. A culpa nesse caso seria a prova de que o mantenedor do site sabia do conteúdo ilícito das mensagens. No entanto essa decisão parece-nos em descompasso com a lógica, fato que o próprio autor do artigo reconhece. O autor diz que a "operação informatizada de processamento de dados não pode ser considerada, por si só, como uma atividade potencialmente periculosa, de risco especial...".

Ninguém nega que o controle editorial do que o autor do blog escreve é de sua inteira e inegável responsabilidade. Porém ele continua dizendo também que dependendo da área do site, no caso o blog, há áreas onde seu controle editorial desaparece: exatamente nas áreas em que terceiros ou visitantes escrevem suas opiniões. Não há um controle prévio do conteúdo, mas sim POSTERIOR. Só poderia ser reponsabilizado, na opinião do Dr. Demócrito, se tivesse conhecimento do caráter ilícito da mensagem. Ele ainda acrescenta que o mantenedor do site deve ser responsabilizado pelo conteúdo quando não estabelece meios para identificar o autor da mensagem ofensiva ou danosa. Esses meios seriam caracterizados pela guarda de arquivos de logs que gravem os endereços IP's dos internautas que realizem postagens nos seus sistemas.

Daí, que trazemos à baila os ensinamentos da autora Sofia de Vasconcelos Casimiro, na obra "A responsabilidade Civil pelo conteúdo da Informação transmitida pela Internet". [ed. Almedina. 2000). Ao falar sobre o dever de controle a autora nos ensina: p. 100 "Esse elemento consiste na imposição de um dever jurídico de controlo de conteúdo da informação transmitida e, sobretudo, na verificação de uma possibilidade técnica de efectuar esse controlo...". Ou seja o dever de controle deve ser visto dentro de um contexto relativo, proporcional à conduta mediana , através do princípio da boa-fé objetiva. Assim, a exigência de um controle excessivo, por exemplo, pode inviabilizar a atividade de um provedor ao estabelecer controle exageradamente onerosos ou impossíveis técnica ou fáticamente de serem implantados. É o princípio da razoabilidade: não se pode onerar excessivamente a atividade de publicação nos blogs, sob pena de afetar a sua livre publicação e a livre manifestação de pensamentos.

Se estabelecêssemos a obrigação do autor do blog responsabilizar-se pelos comentários de terceiros, chegaríamos à situação absurda do autor ter que ficar on-line 24 horas por dia num constante monitoramento, para evitar qualquer possível comentário potencialmente ofensivo. É impossível tanto técnica quanto fáticamente realizar este controle.

Um blog não deixa de ser um microcosmo da Internet (o macrocosmo). Na Internet, os autores das páginas, a priori, é que respondem pelo seu conteúdo, não se responsabilizando os provedores de serviços de hospedagem. O cerne da Internet e do próprio serviço de blogs é a livre manifestação, sendo os comentários dos internautas um motivador para o autor escrever mais. Responsabilizar a autor do blog pelo comentários apostos por terceiros é descaracterizar a natureza do blog.

Ademais, enxergamos a impossibilidade de o autor do blog, uma pessoa comum, conseguir controlar com base em requisitos jurídicos, potenciais comentários ilegais. Esse controle “preventivo” só poderia ser realizado seguramente por um advogado ou por uma assessoria especializada. Pensar o contrário seria esperar demais de um homem comum, do homem médio. Lembramos mais uma vez o princípio da boa-fé objetiva que requer um grau de cuidado moderado, atinente ao homem comum. Exigir cuidados extremos por parte do dono do blog, fere o referido princípio.

Este é o ponto nodal da questão: o blog tem seu conteúdo acrescido de duas formas: pelo autor e dono do blog e pelos comentários de qualquer internauta. Entendemos, por fim, que cada um deve ser responsabilizado isoladamente por suas opiniões manifestadas naquele espaço.

Web 2.0 e responsabilidade dos provedores

Quero agradecer a gentileza do Dr. Alexandre Atheniense em publicar meu artigo em seu Blog "O direito e novas tecnologias". Devo recomendar também as sugestões que ele dá sobre os cuidados para a realização de compras pela Internet.

Nos últimos meses, temos visto a explosão de sites disponibilizando serviços caracterizados como da geração Web 2.0. Esse novo conceito de Internet certamente irá revolucionar a maneira como as pessoas e empresas utilizam a rede. A Web 2.0 traz novas funcionalidades até agora pouco exploradas, e transforma a Internet em uma ferramenta muito mais poderosa e dinâmica.
A Web 2.0 se manifesta por sites que disponibilizam novas ferramentas tais como planilhas, editores de texto, agendas, CRM's, rodando no próprio browser do usuário. Em geral é utlizada a tecnologia AJAX (Asynchronous Javascript and XML). A junção dessas duas tecnologias, permite a grosso modo que essas novas aplicações Web possam responder e operar como um software instalado no próprio computador. A grande vantagem é que não há a necessidade de download e instalação de nenhum software no computador do usuário o e ainda o sistema pode ser utilizado em qualquer computador, uma vez que roda no browser e fica instalado em um servidor central. É como se pudéssemos utilizar nosso processador de texto preferido, lendo e editando nossos arquivos, sem precisar instalar nenhum programa e fazendo isso em qualquer computador que tenha acesso à Internet. São chamados também por Web Based Applications .

Temos diversos exemplos fascinantes dessa nova tecnologia. O Google, como sempre pioneiro, lançou o Google Agenda e o Google Docs & Spreadsheets (que engloba um editor de texto e planilhas).
O Aprex, um serviço brasileiro engloba uma série de aplicativos de escritório. Com ótimas funcionalidades, ele engloba agenda, contatos, apresentação empresarial personalizada, disco virtual, blog, etc. Para pequenas pequenas organizações é uma ferramenta muito útil, tendo um ótimo custo benefício, além de evitar que a empresa se envolva na administração dessas ferramentas se tivesse que disponibilizá-las por conta própria. O suporte do Aprex é rápido e eficiente.
Outra site brasileiro é o Gobits Reader, que permite a leitura e cadastro de notícias no formato RSS. Este site explora com muita competência os recursos da tecnologia AJAX. Para quem o utiliza pela primeira vez tem a impressão de estar utilizando um software que parece estar instalado no computador. Além de uma bela interface o site conta com um suporte competentíssimo e permite até a publicação de uma lista na Internet com os RSS preferidos do usuário, tudo isso gratuitamente.

No entanto, todas essas observações preliminares dessa nova tecnologia servem para alertar sobre um problema: novas situações envolvendo a responsabilidade desses novos provedores tenderão a ser mais freqüentes.
A idéia central desses novos serviços abrange a funcionalidade de tais provedores armazenarem documentos (algumas vezes confidenciais) tais como agendas (contendo dados pessoais e extremamente sensíveis), dados empresariais (cadastros de clientes, arquivos de uso da empresa guardados em disco virtual), entre outros arquivos. Se antes a própria empresa se responsabilizava pela guarda de informações e arcava com a responsabilidade pela sua perda ou mau uso, esses novos provedores adquirem, com estes novos serviços, a responsabilidade dobrada de trabalhar com estes novos dados. As empresas também devem estar cientes que podem estar entregando dados sensíveis para provedores que em certos casos não estão devidamente preparados para a função.

Em geral o acesso a tais ferramentas se dá com contratos de adesão, "assinados" pela própria Web (os chamados ClickWrap Agreements). Vemos dois objetos principais destes novos contratos: a prestação do serviço em si e a guarda dos arquivos gerados pelo usuário nesse ambiente. Tais contratos, mesmo que disponibilizando o serviço gratuitamente, submetem-se ao Código de Defesa do Consumidor, com todas as possíveis conseqüências legais disso (inversão de ônus da prova, possível caracterização de cláusulas abusivas, propaganda enganosa, dever de informação, etc). Talvez a principal conseqüência legal seja a responsabilidade objetiva desses novos provedores de serviços. Isso faz com que eles respondam, independentemente de culpa, pelos danos causados aos consumidores quando estes utilizarem seus serviços. Os tribunais brasileiros já decidiram, por exemplo, que o Orkut mesmo sendo serviço gratuito, submete-se ao CDC. Por isso dizemos que igualmente os sites da Web 2.0 também devem notar tal determinação.

Vemos, com isso, a ampliação do dever de guarda dos provedores desses novos serviços. Esse dever de guarda é estipulado pelo princípio geral da boa-fé que rege tanto nosso Código Civil quanto o Código de Defesa do Consumidor. A massificação do uso dessas ferramentas, irá gerar novas situações jurídicas. A tendência é que a Web 2.0 em breve seja utilizada por todo o Internauta, o que ocorre hoje com o serviço de e-mail. Tal circunstância ampliará o ataque de crackers em cima dessas estruturas, gerando a possível responsabilização desses provedores pela falta de dever de cuidado. Entendemos também que a necessidade da utilização da norma ISO/IEC NBR 17799 como corolário do art. 39 inc. VIII do CDC, como forma de previamente garantir a descaracterização de uma possível prestação de serviço ser considerada abusiva pela inobservância da referida norma.

Nada impede, apenas à título de argumentação, que uma empresa que adquira um desses serviços e que sofra algum dano pela sua eventual indisponibilidade, processe o provedor de serviços por lucros cessantes. Até porque, a maioria dos contratos não conta com um bom SLA estabelecendo os possíveis níveis de indisponibilidade, rapidez de serviço, etc.

Enxergamos em breve a ocorrência de novos litígios envolvendo a responsabilidade pela guarda e manipulação dos dados de clientes que utilizam aplicativos da chamada Web 2.0. Tanto os provedores desses novos serviços quanto os usuários devem ter noção das novas responsabilidades pela guarda de informações. Em breve, também enxergamos a necessidade de algum tipo de criptografia na utilização desses serviços, como mais uma arma das empresas para, de maneira preventiva, evitar a responsabilização pela violação dos dados gerados pelos usuários.

Conseqüências legais relacionadas ao envio de e-mails

No que diz respeito ao envio de e-mails, atividade realizada diariamente por quase todas as pessoas que têm acesso à Internet, é importante ressaltar alguns aspectos legais do possível mau uso dessa tecnologia.

Diversos crimes podem ser cometidos através do envio de e-mails. Imaginamos o caso de alguém enviar um e-mail tecendo considerações ofensivas para um destinatário. Dependendo do caso, vemos a ocorrência do crime de injúria, difamação ou até calúnia, se houver a imputação de um crime.

Ademais, esse ato pode importar também no crime de ameaça, do art. 147 do CP, que é claro em dizer:

Ameaçar alguém, por palavra, escrito ou gesto, ou qualquer outro meio simbólico, de causar-lhe mal injusto e grave:
Pena - detenção, de um a seis meses, ou multa.

Além desses crimes acima relatados, enxergamos também a potencial ocorrência do crime de violação de sigilo funcional. Tivemos conhecimento de um caso, no qual um perito médico-legal divulgou fotos de uma autópsia de um conhecido crime de homicídio, onde a vítima foi esquartejada. As fotos divulgadas foram vistas por milhares de pessoas, havendo uma inquestionável agressão à família da vítima.

Por tratarem-se, na maioria dos casos, de crimes de pequeno potencial ofensivo, seu julgamento é de competência dos juizados especiais. O ofendido, nesse caso, pode dirigir-se até uma delegacia de polícia, com a cópia do e-mail com cabeçalho, se desejar dar início à ação penal. Lavrar-se-á um Termo Circunstanciado, que após será enviado para o Juizado Especial, quando se ouvirão as partes dando seguimento ao procedimento dos juizados especiais. No entanto, nota-se que em muitos casos, as delegacias não estão preparadas para tratarem de tais questões, ressalva feita às cidades que possuem delegacias especializadas em crimes digitais.

Outros casos de possíveis violações da norma penal por e-mail são: violação de direito autoral; incitação e apologia; concorrência desleal; divulgação de pedofilia, estelionato, etc. Todos esses crimes encontram na internet apenas um novo modus operandi, em relação ao seu cometimento.

Em todos os casos de ocorrência de crimes, não podemos ignorar que a sentença penal, de acordo com o art. 935 do CC, faz com que não haja mais discussão sobre autoria do fato ou autoria. Em sendo assim, após a sentença penal, pode-se ajuizar uma ação cível buscando a indenização pecuniária.

Em relação à responsabilidade por ato de terceiro, é claro o artigo 932 do nosso CC ao estabelecer a responsabilidade do empregador pela reparação civil dos atos praticados pelos empregados no desempenho de seu trabalho. Com isso, alguém que se sinta atingido moralmente, por exemplo, por um e-mail proveniente de uma rede corporativa, enviado por um empregado usando o domínio empresarial, pode ensejar uma ação indenizatória contra a própria empresa. Além disso, é potencial o risco à imagem da empresa, que pode ter a sua imagem vinculada à manifestação exarada no e-mail. Nos EUA houve um caso em que um escritório de advocacia processou a IBM, uma vez que um funcionário desta violou os e-mails do daquele.

Há a responsabilidade também dos pais pelos atos dos filhos pelo mau uso da tecnologia. Hoje é comum os adolescentes utilizarem indiscriminadamente a internet, muitas vezes sem a orientação dos pais. É importante frisar os pais são responsáveis pelas as ofensas e injúrias irrogadas por menores de idade através do e-mail.

Por fim, é útil uma política de controle de conteúdo, no ambiente empresarial com o fim de prevenir o potencial cometimento de atos que importem em responsabilidade criminal ou civil. Os pais também devem orientar seus filhos sobre o mau uso da tecnologia e as possíveis conseqüências no mundo físico. Ao contrário do que se pensa, a Internet não é uma “terra sem lei”, e em geral os ilícitos cometidos no ambiente digital são tão ou muito mais danosos do que os cometidos no ambiente físico.

Breves comentários sobre Segurança da Informação e Desenvolvimento de Softwares

Muitas vezes a atividade de desenvolvimento de softwares não é orientada pelos princípios básicos de Segurança da Informação. Diversas conseqüências podem advir dessa inobservância: problemas relativos à propriedade do programa; a apropriação ou mau uso de dados sensíveis da empresa; a divulgação de dados cadastrais de clientes ou seu uso para fins espúrios; a ocorrência de incidentes pelo não monitoramento dos dados de saída dos softwares; problemas advindos da atividade de terceirização do desenvolvimento, etc.

Em primeiro lugar, no que diz respeito à propriedade intelectual, temos a lei 9.609/98 que dispõe sobre a propriedade intelectual de programa de computador. Seu artigo 4º é claro em dizer:

“Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário...”

Com isso é importante a correta orientação dos desenvolvedores no sentido de impedir que os códigos fontes gerados pela relação de emprego sejam reutilizados pelo profissional em atividades particulares. Também sempre é útil um adendo ao contrato de trabalho ou um termo de ciência de tal disposição para reforçar tal orientação.

Na maioria dos casos os desenvolvedores têm acesso à dados sensíveis da empresa tais como informações financeiras, cadastros de clientes, segredos industriais, dados telefônicos ou bancários, etc. Nesse diapasão, um monitoramento preventivo pela equipe de segurança é útil para evitar o mau uso desses dados. O resultado desse monitoramento (logs) também deve ser corretamente gerado bem como armazenado. Também é útil rotinas de autorização para o uso de dados sensíveis. Ademais, dependendo do caso, cada desenvolvedor deve ter acesso apenas aos dados estritamente necessários para o seu desenvolvimento. Em casos extremos é gerado um banco de dados fictício, apenas para o fim de desenvolvimento para que os desenvolvedores não tenham acesso aos dados reais de propriedade da empresa.

A norma ISO/IEC NBR 17799:2005, que trata das melhores práticas para Segurança da Informação, dispõe especialmente sobre os controles necessários atinentes à atividade de desenvolvimento de sistemas. A validação de dados de entrada e saída é um dos itens comentados. Vemos a importância desse controle, na medida em que sistemas que geram informações bancárias, fiscais, etc, podem causar um prejuízo quando da emissão de dados errôneos. Além do prejuízo financeiro e dos possíveis danos à imagem, há o risco jurídico de emissão errônea de dados bancários, por exemplo, em ações movidas pelos atingidos.

A referida norma também fala sobre o acesso ao código fonte. Deve ser implementado um controle específico para restringir o acesso ao código fonte, para evitar questões de propriedade intelectual e também para evitar a inserção de códigos não autorizados no corpo do programa, os conhecidos rootkits.

A troca de sistema operacional deve ser sempre observada, com o fim de verificar a compatibilidade do programa desenvolvido e evitar o possível impacto negativo no caso de incompatibilidade.

Cuidados específicos no caso de terceirização da atividade também devem ser desenvolvidos. A transferência dessa tarefa não implica necessariamente na transferência de responsabilidades. Nesse sentido a realização de Contratos por uma assessoria jurídica especializada é importantíssima. Em tais contratos se estabelece uma série de cláusulas específicas da atividade indo desde os processos de trabalho bem como os resultados pretendidos até questões como acordos de confidencialidade e acordos de monitoramento entre outros. Esses contratos também regulam questões sobre o nível de responsabilidade de cada parte e questões de suporte quanto à eventuais futuros problemas.

A realização de testes também é importante nesse cenário. Algumas empresas são especializadas apenas em encontrar defeitos em softwares. Além de tais testes terem o condão de evitar perdas futuras pelo mau funcionamento do software, também previne o re-trabalho de desenvolvedores para identificar e corrigir futuros defeitos.

Em sendo assim, finalizamos com a indicação de que se faz muito importante para a atividade de desenvolvimento de software o aconselhamento legal e a aplicação de controles de segurança da informação.

Controle da internet não coibirá crime, mas privacidade

Em face das recentes discussões sobre o projeto de lei que previa a obrigatoriedade de um cadastramento de todos que utilizassem a Internet no Brasil, venho publicar o artigo do Prof. Alexandre Atheniense.
Quero agradecer desde já a gentileza do Prof. Alexandre em permitir a publicação de seu artigo. Ao mesmo tempo, também quero divulgar e indicar o blog "O Direito e as novas Tecnologias", de sua autoria, fonte de inestimáveis contribuições para o Direito da Tecnologia da Informação. Segue o artigo.

Há cerca de sete anos, estamos aguardando a tramitação do Projeto de Lei que cria novos tipos penais para regulamentar os crimes que surgiram a partir da adoção dos sistemas informatizados.
Mais um ano está terminando e novamente a expectativa que havíamos renovado para que esta lei entrasse em vigor no ano de 2006 foi frustrada pela nova redação apresentada pelo relator, senador Eduardo Azeredo, na Comissão de Constituição e Justiça do Senado, que teve sua tramitação mais uma vez paralisada por ter sido retirado de pauta a pedido de alguns senadores.
O motivo desta frustração foi à inclusão na undécima hora de uma série de dispositivos que visam criar um rígido, ineficiente e inconstitucional regime de controle de acesso da internet a ponto de igualar o Brasil a países totalitaristas que tentam exercer um rígido controle de censura e violação de privacidade na internet.
Se o relator mantivesse o texto original, focando apenas na criação dos novos tipos penais como inserção de vírus, acesso não autorizado a sistemas e outros além da obrigatoriedade de armazenamento pelos provedores de registros eletrônicos que auxiliam no processo investigatório, por determinado período, certamente teríamos um desfecho mais célere para que a lei entrasse em vigor.
O texto como está, prevendo a regulamentação do acesso a internet, é cartorial e sufoca a privacidade e o direito do cidadão à informação. Fica claro que há um interesse de criar um grande cartório para identificar o cidadão brasileiro para acessar a internet, com o uso da certificação digital, quem sabe, uma espécie de Internetbras, o que é péssimo para o cidadão.
O aspecto mais inadmissível do projeto, do ponto de vista da liberdade de escolha do cidadão, é o condicionamento do acesso à internet a um credenciamento prévio, obrigatório, sujeitando quem contrariar essa determinação à alguma pena.
Obrigar a pessoa que quiser acessar a internet a realizar o cadastro prévio, além de absurdo e burocrático, é inócuo, pois quem está praticando ilícitos na rede vai continuar praticando; mesmo que esse cadastramento seja obrigatório.
O internauta infrator pode buscar uma conta gratuita em um provedor no exterior e, a partir daí, fazer os mesmos ataques que já realiza hoje. Por isso, não há nenhuma garantia que qualquer cadastro será capaz de erradicar os crimes praticados pelo meio eletrônico.
Pode se dizer que existe uma hipocrisia ao imaginar que a partir do credenciamento, o problema dos ataques ou rimes cibernéticos vão ser erradicados. Nem de longe os crimes vão terminar a partir desse procedimento.
Fica patente que, por detrás do projeto, existem muitos interesses cartoriais. O que se quer é criar um grande cartório, por meio de uma regra para impor o credenciamento prévio, quem sabe sujeitar à certificação digital todos os internautas do país e depois se fazer venda de certificado eletrônico com exclusividade pelos cartórios.
Este projeto contraria o próprio espírito da internet quando foi criada, de forma livre, em estabelecer qualquer controle em grandes proporções. Se a intenção com a adoção da obrigatoriedade do credenciamento é cessar a prática do crime eletrônico no Brasil, o objetivo não será alcançado, pois o agente criminoso vai operar por meio de um provedor no exterior. Por este motivo, estas amarras por meio da legislação só servirão para sufocar a privacidade do cidadão e criar o cartório.
A se persistir o excesso de rigor sobre a identificação dos internautas, vamos ter a eliminação de diversos provedores de pequeno porte do mercado, além de dificultar a inclusão de classes menos favorecidas a internet no nosso país aumentando ainda mais o apartheid digital que já existe.

A ampliação do tipo penal de divulgação de material pedófilo

Em uma semana em que o senado promete endurecer nossa legislação contra os adquirentes de pedofilia na internet, cabem algumas considerações sobre o assunto. Nossa legislação estabelece a punição pela divulgação de material pedófilo no artigo 241 do Estatuto da Criança e do Adolescente:

"Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:
Pena - reclusão de 2 (dois) a 6 (seis) anos, e multa."

O grande problema desse artigo é que não se enquadram nesse tipo penal as condutas de “acessar” e “comprar”. A conduta de comprar, estaria de certa forma abrangida pela conduta de acessar. É nessa esteira que o projeto do senador Marcelo Crivela foi aprovado na Comissão de Constituição e Justiça do Senado. Este projeto de lei visa a punição também de quem acessa além de quem transmite o material pedófilo na internet.

Como nossos tribunais ainda não se manifestaram sobre a questão do acesso, recorremos ao Direito Comparado para a análise dessa situação. Nos EUA, no estado da Pennsylvania (Anthony Diodoro vs Commonwealth of Pennsylvania), decidiu-se que o acesso ao material pedófilo sem o ato intencional de gravar as fotos acessadas não constitui crime, pelas leis americanas. Tal decisão analisada sob a égide de nossa lei também não constitui crime. O crime ocorreria (pela lei da Pennsylvania) apenas se alguém salvasse intencionalmente as mensagens e não pelo simples acesso. A referida decisão tratou a questão entendendo que :

“State law says that a person must have "knowing possession" of child pornography in order for it to be a crime. A panel of three judges in the Pennsylvania Superior Court concluded that Diodoro (nome do acusado) could not be convicted of knowingly possessing the images because there was no evidence that Diodoro knew that his computer was storing the images in its internet cache file.”

Ademais também discutiu-se a questão da ambiguidade da lei, no sentido de que em havendo dúvida, o réu deve ser absolvido. Algo como o princípio do “in dubio pro reo”. Isso uma vez que a lei americana considera crime apenas o “knowingly possesses” do material. A dubiedade do sentido de “knowingly possesses” é que garantiu a absolvição do réu. Cabe trazer o texto específico desse tipo penal:

“Any person who knowingly possesses or controls any book, magazine, pamphlet, slide, photograph, film, videotape, computer depiction or other material depicting a child under the age of 18 years engaging in a prohibited sexual act or in the simulation of such acts commits an offense.”

Isso significa que deveria haver, no caso da lei do referido estado, uma intenção prévia de salvar as imagens, não bastando que elas ficassem armazenadas nos arquivos temporários do computador para a tipificação do crime de acesso ilegal.

Torna-se importante essa discussão, uma vez que aquele tribunal entendeu que o armazenamento automático nos arquivos temporários do browser não configuraria a “intenção de armazenamento”. Isso, pois não se conseguiu provar que o acusado teria a intenção de salvar as mensagens ou que sabia que tais imagens ficariam guardadas nos arquivos temporários de seu navegador, circunstância que pesou na hora de sua absolvição.

Tais reflexões, mesmo que baseadas em casos fora da jurisdição nacional são importantes para o esclarecimento de nossos legisladores no momento em que se visa a ampliação do tipo penal de divulgação de material pedófilo. A especifidade do tipo penal deve ser muito bem observada sob pena de não abranger condutas reprováveis, como no caso da decisão americana.

A decisão integral pode ser lida em http://www.superior.court.state.pa.us/opinions/a23036_06.PDF

A responsabilidade pelo armazenamento de logs

Recentemente, li uma notícia sobre um caso americano (Easton Sports, Inc. v. Warrior LaCrosse, Inc.) onde era discutida a questão de se uma empresa deveria ser responsabilizada pelo apagamento de logs ou evidências que potencialmente poderiam servir de prova em um processo futuro.
O caso era de um funcionário de uma empresa que foi instigado por outra empresa a transferir informações sigilosas através de e-mail e outros meios.
A empresa instigadora desse ato, posteriormente contratou o funcionário da primeira empresa e após, esta processou a segunda por esta violação. Com isso a empresa processada, apagou logs e o funcionário cancelou sua conta no Yahoo, com a intensão de destruir as evidências digitais pertinentes.
Entre outras coisas a decisão afirmava "Under Michigan law, “[a] trial court has the authority, derived from its inherent powers to sanction a party for failing to preserve evidence that it knows or should know is relevant before litigation is commenced. MASB-SEG Prop./Cas. Pool, Inc. v. Metalux, 231 Mich.App. 393, 400 (1998). A sanction may be appropriate “regardless of whether the evidence is lost as the result of a deliberate act or simple negligence, [as] the other party is unfairly prejudiced....” Brenner v. Colk, 226 Mich.App. 149, 161 (1997)."
Em que pese as notáveis diferenças entre o sistema jurídico americano e o nosso, podemos fazer algumas considerações sobre os possíveis efeitos de um hipotético caso semelhante ocorrido no Brasil.
Em princípio podemos trazer à baila a questão de ninguém ser obrigado a produzir prova contra si mesmo. Aliado a isso, não há em nossa legislação nenhuma regra obrigado um provedor ou uma empresa a guardar logs sobre sua atividade. Também temos o inc. II do art. 5º da CF que diz: "ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei".
A priori, não haveria nenhuma obrigação nesse sentido e a empresa não poderia ser responsabilizada por não armazenar os logs.
Por outro lado, o nosso código civil prega o princípio da boa-fé objetiva, que em alguns casos é caracterizado pela existência de deveres laterais ao cumprimento de uma obrigação. Ora, a atividade de TI tem como um dever lateral, o armazenamento de logs para a correta medição de uso de seus recursos, bem como o monitoramento preventivo além de evitar o anonimato da expressão proibido pela CF. É uma conclusão extraída das regras de experiência técnica da atividade.
Nesse tom, sentimos que um apagamento intencional de dados que potencialmente possam servir como prova e, este ato impeça uma investigação sobre um crime que saiba ter-se cometido naquela estrutura, pode fundamentar uma ação indenizatória contra a empresa ou pessoa autora do ato. Claro que deve haver um dano por este apagamento. A ação indenizatória se fundamentaria no desrespeito ao dever geral de boa-fé objetiva que deve orientar toda a atividade de tecnologia traduzido pela obrigação lateral de guarda de logs.
Há também o tempo de guarda de logs que poderia ser discutido em uma possível ação dessa natureza. No caso americano, dados foram destruídos logo depois que se verificou a movimentaçõa para o início da ação judicial.
Não devemos esquecer, por fim, que se já há um processo judicial iniciado e há uma destruição de provas digitais, temos a tipificação do delito de Fraude Processual, art. 347 do CP.

O que a lei protege: Dados ou Comunicação de Dados?

Em tempos modernos, em que todos os documentos não são mais redigidos em máquinas de escrever sem qualquer tecnologia para arquivo de dados, mas em computadores com enorme poder de memorizar os dados digitados, como ficam sob a ótica jurídica a questão do sigilo e a invasão da memória de computador?
O STF, em recentíssima decisão relatada pelo Ministro Sepúlveda Pertence, trouxe à tona esse tema de forma muito coerente e elucidativa, definindo conceitos até então nebulosos.
A discussão encontra respaldo na interpretação do art. 5º, inc. XII, da nossa Constituição Federal, que determina a inviolabilidade do sigilo das comunicações de dados, entre outras, salvo por ordem judicial dentro dos moldes previstos em lei.
O acórdão foi prolatado em caso no qual determinou-se a busca e apreensão de equipamentos de informática e disquetes na sede da empresa para apuração de eventuais crimes tributários pela análise dos registros armazenados digitalmente. O réu recorreu buscando a reforma da condenação, pois, supostamente, as provas teriam sido obtidas por meio ilícito, resultando na violação da proteção constitucional ao sigilo de comunicações de dados.
Nesse passo, o Tribunal entendeu que não houve quebra de tal sigilo, isto porque a expressão “dados” não deve ser entendida como o objeto da comunicação, mas sim uma modalidade tecnológica de comunicação resultante do desenvolvimento da informática. Desse modo, se o sigilo acoberta apenas a comunicação de dados, os dados estáticos, armazenados na máquina, não estariam acobertados pela inviolabilidade constitucional.
Na mesma trilha, a decisão esclarece que referida distinção é importantíssima, concluindo que o objeto protegido no direito à inviolabilidade do sigilo não são os dados em si, mas a sua comunicação restringida. A troca de informações privativa é que não pode ser violada por sujeito estranho à comunicação.
Assim, conclui-se que a infração ao direito constitucional ocorreria se alguém entrasse na comunicação alheia, interceptando os dados. Para facilitar o entendimento, trazemos o seguinte exemplo: o leitor envia um e-mail para os autores deste texto; se um terceiro não autorizado entrar nessa comunicação, tento acesso aos dados enviados, configuraria violação do preceito constitucinal.
Desse modo, o STF definiu acertadamente o conceito de interceptação de comunicação de dados, esclarecendo que este não se confunde com o conceito de dados estáticos.
Certamente, depois dessa decisão, novas discussões surgirão, pois se a justiça sugere que não há proteção aos dados estáticos, como ficaria a questão do sigilo quanto a estes? Será que no futuro haverá necessidade de quebra de sigilo judicial?
Continuaremos acompanhando e, quando vislumbrarmos o novo rumo adotado pelos Tribunais para questões tão peculiares como essa, traremos para os leitores essa interessante convergência entre direito e tecnologia.

Autores:Renato Opice Blum e Camilla do Vale Jimene

A reprodução deste texto foi autorizada diretamente pelo Dr. Renato Opice Blum e também segue ditames do Creative Commons. Gostaria de agradecer publicamente a gentileza do Dr. Renato Opice Blum em permitir a publicação do artigo.

O art. 46 da lei 9610/98 e a ISO/IEC NBR 17799

Com as recentes discussões acerca da nossa anacrônica lei de Direitos Autorais cabem algumas considerações sobre o art. 46 da referida lei. O art. 46 elenca os casos das condutas que não constituem ofensa aos direitos autorais. Entre os vários casos, quero destacar um que aplica-se a uma situação de possível ocorrência nos Tribunais.Alguns juristas, entre eles o Dr. Renato Opice Blum, dizem que a norma ISO/IEC NBR 17799, que trata das melhores práticas em Segurança da Informação, tem aplicabilidade obrigatória em face de nosso CDC. Explico: o CDC em seu art. 39 reza:

Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas:
VIII - colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro);

Isso significa que o CDC veda a colocação de um serviço ou produto em dissonância com as normas técnicas da ABNT. Ora, a referida norma, foi publicada no Brasil através da ABNT, sendo uma norma brasileira a balizar a atividade de segurança da informação.
Em sendo assim, a questão sobre os direitos autorais seria a seguinte: em um processo judicial em que se discute a aplicabilidade da norma ISO/IEC NBR 17799 para classificação de um serviço de TI como sendo prática abusiva pela inobservância do art. 39 do CDC, o advogado teria que obrigatoriamente trazer esta norma como prova. Isso porque dificilmente o juiz conheceria o teor da referida norma. Em sendo assim, seria uma violação de Direitos Autorais a utilização de uma cópia da norma para instruir o referido processo? Entedemos que não com base no art. 46 da lei 9610 especificamente em seu inciso VII:

Art. 46. Não constitui ofensa aos direitos autorais:
VII - a utilização de obras literárias, artísticas ou científicas para produzir prova judiciária ou administrativa;

Nesse caso, enxergamos a possibilidade da utilização da norma técnica para a instrução processual, através de uma cópia juntada ao processo sem que isso signifique a violação de direitos autorais.

Direito e Comércio Eletrônico

Artigo publicado no Jornal do Comércio de Porto Alegre
A singeleza do artigo justifica-se pelo pequeno espaço disponibilizado pelo jornal.

Em 2005 o comércio eletrônico (B2C - Business to Consumers) movimentou aproximadamente R$ 2.5 Bilhões no Brasil. No mesmo ano tivemos 4 milhões de consumidores que realizaram compras pela Internet aqui no país. As grandes redes de lojas já aderiram totalmente ao comércio eletrônico e temos casos bem sucedidos de lojas brasileiras que funcionam apenas no meio eletrônico.
Os fornecedores virtuais devem sempre observar uma série de princípios com o fim de atender nosso Código de Defesa do Consumidor (CDC). Temos o Princípio da Informação (que faz com que os estabelecimentos comerciais virtuais devam informar os consumidores sobre as peculiaridades do comércio eletrônico, bem como os riscos gerais atinentes às transações on-line); o Princípio da Boa-Fé Objetiva pregando, entre outras coisas, o dever lateral de transparência no desempenho das funções de fornecedor. Além disso, há a responsabilidade objetiva dos estabelecimentos comerciais eletrônicos, onde em havendo um dano ao consumidor nessa relação, presume-se a culpa daquele.
Vê-se que o comércio eletrônico modifica o conceito de confiança, uma vez que o consumidor precisa confiar em um fornecedor que não vê fisicamente e que está em um ambiente hostil e público, que é a Internet. É a impessoalidade do comércio virtual. Isso motiva as empresas a investirem em Segurança da Informação para trazer mais integridade às transações eletrônicas, atendendo às expectativas de segurança dos clientes. Para amenizar essa impessoalidade, temos o direito de arrependimento nos contratos entre ausentes, estabelecido CDC.
Cabe aos gestores das empresas virtuais sempre observar tais peculiaridades para tentar mitigar o risco jurídico de sua atividade.

Monitoração do e-mail corporativo

A questão da possibilidade do e-mail utilizado no ambiente empresarial poder ser monitorado tem merecido muita atenção de advogados e profissionais de TI. No entanto, até mesmo nossos tribunais, têm tratado o assunto de maneira simplista, ignorando algumas regras que merecem ser observadas.
O e-mail com o domínio da empresa é de sua propriedade e esta tem o dever de monitorá-lo. Esse dever advém, dentre outras coisas, do fato da responsabilidade que e empresa tem sobre os atos de seus funcionários quando utilizam seus recursos. A empresa responde perante terceiros quando o funcionário usa o e-mail para envio de material ilegal, quando quebra de sigilo, viola de direitos autorais e até mesmo comete crimes entre outros atos decorrentes do mau uso da tecnologia. Quanto a isso não há dúvidas.
Mesmo assim deve se ressaltar que a privacidade é um bem do qual as pessoas não podem abrir mão integralmente. É um bem que tem proteção constitucional e é fundamentado nos valores da dignidade da pessoa humana, além de ser inalienável. Há, assim, expectativa de privacidade mesmo quando se usa o e-mail da empresa. Por isso é importante a criação, pela equipe de tecnologia e corpo jurídico, de uma política de uso dos recursos tecnológicos. Esta política deve ser amplamente divulgada entre todos os colaboradores. Nela estabelecem-se os limites de uso e as penalidades para seu descumprimento. Ao mesmo tempo, deve-se fazer um termo aditivo no contrato de trabalho, de todos os funcionários em que este dá o consentimento específico para a monitoração das mensagens. A inobservância dessas orientações podem fazer com que a empresa, ao monitorar as mensagens, violem indevidamente a privacidade dos colaboradores inviabilizando o produto da monitoração. Em casos específicos isso pode até gerar uma ação indenizatória pela invasão de privacidade. Por fim, quando a empresa não age assim, pode passar a idéia de que permite tacitamente que seus funcionários utilizem a estrutura de e-mails para fins particulares, comprometendo uma futura monitoração.

Outsourcing e Direito Digital

Artigo originalmente publicado no Jornal do Comércio de Porto Alegre

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

No mundo negocial atual é muito freqüente as empresas terceirizarem setores ou atividades com o escopo de diminuir riscos, custos e aumentar a produtividade. Essa terceirização é conhecida por Outsourcing e encontra campo fértil nas atividades que envolvam a Tecnologia da Informação.
É possível realizar um contrato de Outsourcing em praticamente todas as áreas de Tecnologia da Informação, desde o suporte técnico mais básico até à Gerência de TI. No entanto, um fator determinante para utilizar o Outsourcing de forma segura é a questão contratual. Um contrato de Outsourcing mal redigido pode prejudicar não só a empresa prestadora de serviço como o contratante. Por ser um contrato específico alguns requisitos devem sempre ser observados: a exata definição pormenorizada do serviço a ser prestado; o que será feito e principalmente o que não será feito pela empresa prestadora; deve haver uma cláusula de confidencialidade que, entre outras coisas, proíba a divulgação de detalhes do contrato para evitar investidas dos concorrentes; responsabilidade de cada profissional; hipótese de descontinuidade do serviço e de não atendimento, etc.
Outro requisito fundamental é a caracterização do serviço de Outsourcing como obrigação de meio ou de resultado. Se a empresa prestadora do serviço prometer atingir um objetivo específico, trata-se de obrigação de resultado. Se a empresa comprometer-se a utilizar os meios tecnológicos existente para tentar chegar a um resultado sem no entanto prometer um objetivo, teremos obrigação de meio. Isso é importante para determinar o grau de responsabilidade da empresa em caso de não prestação de um serviço ou prestação inadequada ou incompleta.
Por fim é sempre importante utilizar um glossário ao final do contrato. Esse glossário visa normatizar as interpretações sobre termos que possam ser dúbios ou interpretados de várias maneiras. Com isso garante-se a segurança da prestação e evita-se a ocorrência do risco jurídico nessas atividades.

Direito Digital

Artigo publicado originalmente no Jornal do Comércio de Porto Alegre.

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

Apesar de não ser um ramo autônomo do Direito, as disposições de Direito Digital ou Direito da Informação têm sido cada vez mais pesquisadas e estudadas. A abrangência da matéria é ampla e envolve questões de: Direito Penal (crimes contra o sistema bancário, divulgação de material sexual infantil, crimes contra a honra, quebra de sigilo bancário e telemático, violação de sistemas da Administração Pública), Direito Civil (questões contratuais típicas ao ambiente da informação, acordos de confidencialidade, responsabilidade civil de empresas por atos de seus funcionários no âmbito da Internet, o prazo para o armazenamento de informações), Direito Trabalhista (com a análise de e-mails e conteúdo acessado para a possível classificação de uma despedida por justa causa), Direito Processual (com a análise de provas digitais, perícia – Computer Forensics), Direito do Consumidor (com contratos realizados por meio digital, Responsabilidade Civil dos provedores e empresas que trabalham com e-commerce), etc.

Talvez a área que mais exija atenção do Direito Digital seja a área de Segurança da Informação (S.I). Isso porque nesses casos é exercido um controle preventivo, conjuntamente com o setor de S.I visando garantir a segurança como um todo além de garantir a continuidade dos negócios e evitar perdas. Por isso digo que a Segurança da Informação é sinônimo de Segurança Jurídica. Um depende do outro e a inobservância de um pode inutilizar o trabalho do outro. A informação é um ativo das empresas, devendo ser vista não só como informação digital, mas sim em um sentido amplo. Com isso a segurança deve ser observada tanto em seu aspecto físico, digital, humano e jurídico.

Empresas que trabalham com o sigilo de informações e com o controle de Direitos Autorais devem estar munidas de contratos com disposições especiais além de Acordos de Confidencialidade seja com seus colaboradores, parceiros e fornecedores.

O empresariado gaúcho precisa atentar para as importantes disposições do Direito Digital para amenizar ou até mesmo evitar perdas futuras.