quinta-feira, novembro 22, 2007

A Política de Segurança como instrumento de prevenção do Risco Legal - Comentários

A Política de Segurança como instrumento de prevenção do Risco Legal - Comentários

Recebi diversas manifestações acerca do artigo "A Política de Segurança como instrumento de prevenção do Risco Legal". Uma delas vem do Security Officer de uma empresa multinacional e também especialista em Segurança da Informação, Eduardo Camargo Neves. Assim diz:

Acho que a área jurídica tem um papel maior do que o apresentado, pois sem a mesma, a política pode não ter validade legal e até mesmo colocar a empresa em uma "encrenca". Imagine se alguém, seguindo normas de outros países, estabelece que o background screening tem que ser feito. Dependendo do mercado onde a empresa atua, isso não pode ser considerado ilegal?

Realmente é necessário observar também a legislação internacional uma vez que os atos praticados no ambiente tecnológico podem refletir em conseqüencias em outros países. Vejam que as legislações variam muito, principalmente no que diz respeito à obrigações de segurança da informação, privacidade de dados, proteção ao consumidor, propriedade intelectual, crimes digitais, etc. Nesse passo, o Background Screening pode sim ser considerado ilegal, principalmente pois pode configurar a violação de privacidade e até ser considerado procedimento discriminatório em função de sua natureza.

Por fim, quero indicar uma grande contribuição do referido especialista. É o chamado Projeto Scriptum, um ambicioso e valioso projeto que visa desenvolver modelos de Políticas de Seguranças, adaptada para a realidade brasileira.

quarta-feira, novembro 14, 2007

A Política de Segurança como instrumento de prevenção do Risco Legal

A Política de Segurança como instrumento de prevenção do Risco Legal

A implantação de uma Política de Segurança da Informação (PSI) em um ambiente empresarial não deve ser apenas uma preocupação da equipe de TI. Este documento é uma ferramenta poderosa não só para regrar os controles de Segurança da Informação mas também para previnir o risco legal inerente à atividade de Tecnologia da Informação.

É inegável que Segurança da Informação é sinônimo de segurança legal. Dizemos isso pois muitos incidentes de tecnologia têm não só impactos tecnológicoas mas também impactos legais. Em face da característica de previnir o risco legal, a elaboração não deve ser realizada apenas pelos profissionais de TI. Ao contrário, deve haver uma equipe multidisciplinar que esteja envolvida na análise e elaboração do texto. Essa equipe pode consistir em um fórum composto por representantes de várias áreas da empresa, inclusive a área jurídica.

Sabemos que em geral, antes de se iniciar a elaboração da política é realizada uma análise de risco tecnológico, onde se busca identificar a quais ameaças a organização está exposta. A partir daí serão definidas quais riscos serão controlados (ou não) e então serão escolhidos quais controles ou quais assuntos serão tratados na política. Em linhas gerais esse é procedimento normalmente realizado.

No entanto, não podemos perder de vista a necessidade também da análise do risco legal da atividade tecnológica desenvolvida pela organização. O produto dessa análise servirá também (junto com o produto da análise de risco tecnológico) para embasar e instruir a elaboração da PSI. Tanto é assim que a norma internacional ISO 17799 estabelece procedimentos específicos envolvendo a atividade jurídica aplicada à tecnologia.

Em geral as PSI's, do ponto de vista legal, tratam de assuntos como gestão de direitos autorais; conformidade com legislação e contratos e SLA's; tutela de ativos informacionais confidenciais; controle de liberação de ativos informações protegidos por sigilo legal; monitoramento de funcionários; controle de ações em caso de incidentes, etc.

Há setores de negócios que detém uma complexa rede normativa que prevê diversos comportamentos e deveres específicos. Os bancos, por exemplo, devem respeitar normas (resolução 3380/06 do BCB) referentes ao risco operacional que abrange em seu bojo também o risco legal. Tanto é assim que o §1º do art. 2º da referida resolução é expresso em dizer:

A definição de que trata o caput inclui o RISCO LEGAL associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

As empresas, (mesmo as brasileiras) com ações na bolsa dos EUA devem respeitar controles da lei SOX que trata da integridade de informações e balanços bem como estabelece deveres específicos para os responsáveis pela atividade tecnológica. Essas normas legais devem ser observadas também quando da elaboração da PSI.

Um exemplo mais singelo, ao lado oposto dos bancos e empresas citadas acima, são as Lan's Houses. No estado de SP há uma lei estadual (12.228/06) regulando sua atividade. Essa lei prevê o dever da guarda de logs de atividade por 60 meses estabelecendo inclusive multas para a não observância deste preceito. Isso indica que mesmo uma empresa de pequeno porte como uma Lan House, deve estar em conformidade com requisitos legais. Essa conformidade pode ser iniciada com a elaboração de uma PSI que irá estabelecer as diretrizes necessárias para este controle.

Outro o controle da PSI que merece atenção jurídica é o gerenciamento de incidentes. A empresa que não tem um plano de ação definido e nada faz na ocorrência de um incidente, dependendo do caso, pode ser considerada negligente e essa negligência pode ter conseqüências legais consideráveis. Caso a empresa venha a ser demandada judicialmente pelo incidente, o aspecto preventivo da PSI aparece para uma possível demonstração de que ela [a empresa] preocupava-se com o assunto "Segurança da Informação". Isso pode ser determinante para afastar uma postura negligente ou demonstrar ainda que a empresa tomou as providências necessárias para evitar o incidente. Ao mesmo tempo a implementação da PSI é um dos fatores que podem caracterizar também o cumprimento do dever de diligência do administrador da sociedade, dever este consubstanciado no art. 1011 do CC:

O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Vemos aqui um grande poder de prevenção do risco jurídico inclusive para os administradores da sociedade.

Um incidente que afete a disponibilidade de um serviço pode influir também em SLA's definidos contratualmente. E não é raro tais contratos estabelecerem multas pelo descumprimento de um SLA. Com isso há a necessidade de estabelecer um alinhamento entre os prazos de SLA, os contratos e as diretrizes referentes à resposta a incidentes, e isso pode ser feito através da PSI.

As empresas que divulgam conteúdo elaborado por seus funcionários através de blogs, também devem atentar para o eventual risco legal desta atividade. Já há empresas que adotam a "policy blogging", um documento que pode ser previsto na PSI e que regra a atividade de publicação de conteúdo através dos blogs. Também não podemos perder de vista algumas decisões judiciais que reconheceram a responsabilidade do autor do blog por comentários de terceiros. Ao mesmo tempo sabe-se que a empresa é responsável pelos atos dos funcionários, quando estes praticam atos sob sua estrutura tecnológica. Um desregramento desta atividade pode representar a responsabilização da empresa pelas manifestações de pensamento de seus funcionários.

A prevenção do risco legal ocorre também com a previsão na PSI de outras políticas que regrem determinados comportamentos dentro da organização. Exemplos são as Políticas de Uso de E-mail e Internet, Políticas de Acesso, Política de Uso de Hardware, etc. A justiça gaúcha recentemente analisou um caso envolvendo direitos de acesso a um servidor de arquivos. Uma empresa processou a própria funcionária por ela ter, deliberadamente, deletado várias arquivos da empresar. O juiz decidiu no sentido de que se não havia uma política de acesso regrando exatamente como deveria ocorrer o acesso à arquivos, não se poderia exigir determinado comportamento do funcionário. Aliado a esse argumento decidiu também que se ela tinha a permissão no sistema de arquivos para a deleção, ela não poderia sofrer uma punição em face da permissividade técnica.

Também é muito comum o desregramento acerca da atividade de monitoramento da atividade dos funcionários das organizações. A realização desregrada e descontrolada dessa atividade pode inclusive, em casos extremos, tipificar o crime de interceptação telemática não autorizada ou ainda o ilícito civil de violação de privacidade.

Nesse passo, as organizações devem observar a PSI também sob o aspecto legal, caso queiram gerenciar com mais mais efetividade o risco jurídico inerente à atividade de TI. A tendência é de que com a especialização da legislação brasileira, o número de leis envolvendo obrigações relativas à TI e à Segurança da Informação aumente rapidamente.

quinta-feira, agosto 23, 2007

Interceptação telemática ilegal no STF

Interceptação telemática ilegal no STF

No dia 23 de agosto de 2007, um jornal de grande circulação no país publicou a transcrição de uma conversa entre dois ministros do STF. Essa conversa ocorreu no que os meios de comunicação chamaram genericamente de Intranet; mas aqui podemos definir como um software interno de Instant Messenger (semelhante aos conhecidos ICQ, Skype e MSN). Tentaremos mostrar, nesse pequeno artigo, que tal ação constitui-se em um grave caso de violação de direitos constitucionalmente protegidos além da tipificação do crime de interceptação telemática ilegal

Devemos esquecer, em um primeiro momento, que se tratavam de ministros de nossa Suprema Corte. Tal fato é desimportante, à medida que, a Constituição aplica-se a todos os cidadãos do país indistintamente. O fato de alguém ser um ministro da mais alta corte não faz (na prática) que seus direitos constitucionais sejam mais importantes do que o do cidadão comum. A Constituição não faz distinção nesse ponto.

Ressaltamos também que a privacidade e a intimidade, como direitos da personalidade que são, merecem proteção especial e respeito irrestrito da sociedade. O dever geral que todos têm de respeitar os direitos alheios não fogem à presente situação. Nesta seara os direitos da personalidade, entendidos como direitos humanos, são os mais sagrados para o homem.

A Constitução é clara em estabelecer os limites da proteção à intimidade e privacidade, consubstanciados pela inviolabilidade do sigilo. Vejamos:
Art. 5º, inc. XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

Já a lei 9296/96 nasceu para regulamentar o inciso acima citado e trata da questão da interceptação de dados e comunicações telefônicas. Essa lei é tão restritiva que permite a interceptação apenas quando se tratar de investigação criminal, em crimes punidos com detenção, quando houver indícios razoáveis de autoria e a prova não puder ser produzida por outros meios. Esta é a reprodução do art. 2º da lei. Tal serve para demonstrar que não é em qualquer caso que a interceptação é permitida: ela é tão severa que além de todos estes requisitos requer ainda a análise judicial (mesmo que em juízo de cognição sumária). Isso demonstra a seriedade do descumprimento de tais normas quando da produção da prova. Caso a interceptação seja realizada, mesmo que pela polícia, mas em desacordo com a lei, a prova obtida torna-se ilícita (tanto por ser ilícita e ilegítima, se for o caso) e o processo todo pode ser anulado. Tal prevê a teoria dos frutos da árvore envenenada, ou fruit of the poisonous tree theory, do Direito Americano. A referida teoria entende que caso uma prova seja obtida de maneira ilegítima ou ilegal (com desobservância do direito material ou processual) todo o restante do processo é contaminado por sua ilicitude. Tudo isso, com a ressalva de que em casos excepcionalíssimos a prova ilícita pode ser aceita no processo quando representar o único meio de absolvição do réu no processo penal (HC 74678 - STF) . No entanto, tal assunto não diz respeito especificamente ao assunto aqui tratado.

A mesma lei define em seu art. 10 o crime de interceptação ilegal:
Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.

A questão da definição do termo interceptação é tormentosa e é fruto de acalorados debates. No entanto, em síntese apartada, a interceptação seria a interferência do tráfego de informações ou conversas telefônicas realizada por um terceiro estranho à comunicação, sem a permissão dos participantes, com o fim de captar o referido fluxo.

Dito isso, mencionamos os recentes casos de criminosos presos por furto qualificado na retirada indevida de dinheiro de contas bancárias. Para que pudesse ser feita a interceptação de conversas em Instant Messenger, houve a necessidade de uma ordem judicial prévia para tanto. Tudo de acordo com a lei 9296/96. Igualmente, estes mesmos criminosos foram processados também por interceptação telemática ilegal, à medida que captavam dados dos clientes bancários no momento em que eram transmitidos, enquandrando-se tal conduta no referido tipo penal.

Mas o cerne de toda essa discussão é: o ato de fotografar uma conversa ocorrida em um Instant Messenger, no momento que ela acontece, constitui o ilícito penal previsto na lei 9296/96? Em nossa opinião a resposta é sim se observado o conceito de interceptação exposto acima. A interferência que capta e reproduz a informação, mesmo que realizada por meio de fotografia deve ser considerada criminosa.

Outro ponto importante, e que contraria a nossa própria tese é: não estariam os ministros, ao realizar a conversa às lentes dos fotógrafos, aceitando a possibilidade de terem suas comunicações interceptadas? É certo que a privacidade é contextual, ou seja, depende do ambiente. Não nos esqueçamos do caso de pessoas que tiveram a conversa em chats públicos interceptadas e alegaram a invasão da privacidade digital, o que foi negado (RHC 18.116/SP - STJ). Nesse caso específico, em face daquele contexto, ou seja, de estarem em um ambiente público, sujeitavam-se elas à interceptação. Isso importa dizer que não há privacidade em um chat público de internet. Portanto, no caso do STF, devemos nos perguntar, há expectativa de privacidade no presente caso? Acreditamos que a resposta é que sim. Há a privacidade, pois as conversas foram realizadas em um Instant Messenger, no computador pessoal dos ministros e na rede privada do STF. Por certo, quando as conversas ocorriam os ministros não tinham a intenção e nem poderiam aceitar, mesmo que tacitamente, que suas comunicações pudessem ser interceptadas, seja através de um software específico para isso (sniffer ou keylogger) ou seja pela fotografia.

A questão da tipicidade da fotografia da tela configurar o crime de interceptação telemática ilegal é que merece a atenção dos juristas. Não podemos esquecer da impossibilidade de utilizarmos a analogia in malam parte, ou seja, para a condenação. A discussão deve ser pautada pelo cuidado de não realizar a analogia para a constituição do tipo penal. Mesmo assim, entendemos que o meio em que a interceptação é realizada é desimportante para a configuração do crime, desde que haja a real captação do fluxo de informações por terceiro estranho, no momento em que ele é produzido. Tal definição é importante, uma vez que a interceptação tem que ocorrer temporalmente no momento em que a informação trafega entre um ponto e outro. Isso é crucial para a tipificação; tanto que se a conversa já foi produzida e está armazenada digitalmente em um HD, por exemplo, e alguém a acessa indevidamente, não há o crime de interceptação telemática ilegal. Isso pois a informação já fora produzida e em razão disso não há a captação ou interferência no momento de tráfego.

Com isso, o debate recai sobre a tipicidade de fotografar o fluxo de informações, se é que ele pode ser compreensível ao humano (não sendo linguagem de máquina, incompreensível à razão humana). Importante destacar a finalidade do ato de quem fotografa: havia a intenção de captar a conversa no momento em que era produzida? Salvo melhor juízo, não vemos a possibilidade da ocorrência desse crime na modalidade culposa. Em sendo assim, entendemos que quem fotografa uma tela de computador, em que há a conversa instantânea entre duas pessoas comete o crime em questão. É evidente que, em face da controvérsia acerca da consciência ou não da conduta criminosa, nada impediria que aplicássemos a teoria do erro de tipo, na qual o agente não tem consciência da ilicitude do ato.

Temos como conclusão, portanto, a configuração do crime de interceptação telemática ilegal quando um terceiro fotografa a tela de um computador, captando assim o fluxo de informações (de duas pessoas) ali produzido.


sexta-feira, agosto 03, 2007

A ligação do Direito da Tecnologia com a divulgacão de informações da caixa preta do acidente da TAM: Confidencialidade de Dados

A ligação do Direito da Tecnologia com a divulgacão de informações da caixa preta do acidente da TAM: Confidencialidade de Dados

A segurança da informação, apesar de tratar na maioria das vezes de processos envolvendo questões de segurança digital, não trata apenas desta. Como o próprio nome diz, a segurança recai sobre a informação, vista esta em um sentido amplo. Nesse sentido, procuramos estabelecer a relação que pode haver, então, entre a divulgação da transcrição da caixa preta do acidente da TAM e o Direito da Tecnologia. Recentemente tivemos notícia da ampla discussão havida em um fórum na Internet (fórum dos Certified Information Systems Security Professional) onde especialistas em Segurança da Informação debatiam com muito afinco justamente a ligação da divulgação da transcrição da caixa preta com os processos de segurança da informação.

Cabe mencionar, desde já, que a atividade de segurança da informação prevê a atividade de compliance (ou em português, conformidade). Esta atividade de compliance, visa garantir que a informação (do ponto de vista da sua produção, divulgação e armazenamento) atenda a requisitos legais, contratuais e de eventuais políticas envolvidas no ambiente tratado. Portanto, como o processo de segurança abrange a informação em sentido amplo, o Direito da Tecnologia irá preocupar-se, em muitos casos, com a análise de risco da divulgação de informações sensíveis, atendendo assim aos requisitos de compliance.

A análise de risco jurídico (no âmbito do Direito da Tecnologia) dar-se-á, nesses casos, quando estivermos tratando de informações sensíveis e confidenciais e, caso haja uma divulgação indevida, tal divulgação possa trazer uma potencial probabilidade de incidentes legais advindos desse fato. Um exemplo prático da atividade de compliance, orientada por advogados especialistas no Direito da Tecnologia, se dá em cima da divulgação de dados ou logs de provedores. Em face do sigilo de comunicações, a empresa deve manter controles visando a proteção de tais ativos informacionais. Há sempre uma orientação legal nos processos de trabalho dessas empresas para a divulgação. O mesmo ocorre nas empresas que têm a posse de quaisquer dados digitalizados. Como hoje todas as empresas dependem da informação digitalizada há sempre a observância de tal cuidado ao tratar-se de tais informações.

Com base no exposto, adentremos no caso da divulgação da transcrição da caixa preta do recente acidente ocorrido com o avião da TAM, vôo 3054. Sem adentrar no juízo de valor acerca da pertinência ou não da divulgação para a colaboração das investigações, podemos analisar o caso, com base em práticas utilizadas no Direito da Tecnologia. Vejamos então, do ponto de vista legal, no nosso entender, a ilegalidade da divulgação e a ocorrência do ato ilícito ensejador de responsabilidade civil por parte do poder público. Pedimos vênia aqui, para adentrarmos no campo do Direito Público, ramo este que não é nossa especialidade mas que, pela prática forense e pela obrigação profissional observamos com afinco e cuidado.

Em primeiro lugar há que se observar a responsabilidade objetiva do Estado, quando de sua atuação. O art. 37 de nossa Constituição Federal prevê a referida responsabilidade e a CPI e o poder legislativo também submetem-se a tal princípio.

Igualmente, a CPI ao desempenhar sua função, deve respeitar princípios administrativos basilares, sendo um deles o da moralidade administrativa. Nossa constituição define o respeito a esse princípio no mesmo artigo acima citado. O princípio da moralidade administrativa nos diz que deve haver um atendimento ao senso ético comum no cumprimento do ato administrativo, na medida justa e necessária esperada. É o descumprimento dos preceitos de boa-fé e também da experiência comum de uma determinada atividade. O princípio da moralidade administrativa exige igualmente a transparência na atuação no que diz respeito à identificação concreta do objetivo do ato realizado (o que pode se confundir com o princípio da finalidade). É comum, quando do desrespeito a esse princípio, a configuração do desvio de poder. Aliado a este princípio, temos também o princípio administrativo da finalidade do ato bem como da razoabilidade.

Há, neste compasso, o dever da CPI em preservar fatos, atos e documentos que possam ser atentatórios à justiça, às partes ou terceiros envolvidos ou que sejam tenham sua divulgação controlada em lei. Basta fazer uma analogia a um processo comum. O juiz, apenas por ser juiz, não pode divulgar publicamente dados que possam ofender as partes. Para isso há o segredo de justiça. Se há a divulgação de conteúdo legalmente protegido, ou que possa causar dano, o juiz, em tese, comete abuso ou desvio de poder pela divulgácão indevida. O mesmo ocorre com a CPI.

A intimidade, nesses casos, é tão sagrada que há até um tipo penal para a violação de sigilo funcional. Ou seja, quando um funcionário público, revela um fato que tem ciência em razão de seu cargo, e que deveria manter segredo, comete ele o crime de violação de sigilo funcional, nos termos do art. 325 do CP. Um caso clássico desse crime é de um médico legista que divulgou indevidamente fotos de uma necrópsia sendo, com isso, condenado com base nesse tipo penal.

Mas como saber se a informação pode ou não pode ser divulgada? No âmbito empresarial, através dos Acordos de Confidencialidade, podemos estabelecer o parâmetro de divulgação. Quanto a isso não há dúvidas. No entanto, no presente caso devemos estabelecer a necessidade ou não de divulgação, e se essa divulgação pode ou não contribuir para o bom andamento das investigações.

É sabido que, por vezes, um inquérito policial comum mantém em sigilo o produto de investigações por diversos motivos: bom andamento dos trabalho; proteção de testemunhas; preservação de provas; etc. Tanto é assim que o Código de Processo Penal (diga-se de passagem utilizado subsidiariamente pelas CPI's) prevê expressamente em seu art. 20 tal atuação:

"A autoridade assegurará no inquérito o sigilo necessário à elucidação do fato ou exigido pelo interesse da sociedade."

Entendemos aqui que não há algum interesse da sociedade em obter a transcrição dos últimos momentos de vida dos pilotos.

Analogicamente podemos buscar informações no decreto 4553/2002 que estabelece a " salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.". O art. 2º desse decreto nos diz:

São considerados originariamente sigilosos, e serão como tal classificados, dados ou informações cujo conhecimento irrestrito ou divulgação possa acarretar qualquer risco à segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas.

Do ponto de vista da CPI, entendemos haver, com base nesse decreto, o dever de manter o sigilo absoluto acerca de tais dados.

Mas talvez a principal regra que defina a ilicitude (ilicitude aqui vista em sentido amplo, como ato ilícito na doutrina da responsabilidade civil) esteja em nossa CF. Temos o princípio da intimidade, estabelecido na Constituição Federal, no art. 5º inc. X. Como cláusula pétrea, estabelece a inviolabilidade da vida privada. Não há dúvida que a autoridade pública não tem o poder de divulgar fatos que possam comprometer a intimidade de pessoas (falecidas inclusive, passando o direito de exigir a reparação para os parentes do morto). Portanto, o respeito ao princípio da moralidade administrativa e da legalidade estrita, exigem da CPI uma conduta de preservação dos valores da personalidade dos envolvidos no acidente. Ressalta-se aqui, mais uma vez, que o fato de terem os envolvidos falecido no acidente, faz com que seus parentes tenham o direito de exigir em seu nome a indenização pelos danos morais.

Não se discute aqui a responsabilidade dos órgãos de imprensa que também divulgaram as informações. Tratamos aqui, a divulgação pelos órgãos públicos. No entanto não podemos perder de mente que a anterior divulgação pela imprensa dos dados, poderia retirar seu aspecto de proteção, uma vez que já teria sido levado ao conhecimento público e a mera repetição poderia afastar a ocorrência do ato ilícito. Mesmo assim, entendemos que, a priori, há a prática de um ilícito, por parte da CPI e do poder público ao divulgar dados que ofendem a intimidade das vítimas do acidente.

quarta-feira, junho 27, 2007

Direito na Sociedade da Informação

Direito na Sociedade da Informação

Vivemos na Sociedade da Informação. Apesar da obviedade da afirmação, devemos ter em mente que temos o privilégio de passar por uma época limítrofe entre a decadência de um modelo de sociedade e o nascimento de um novo modelo. Alguns autores falam até mesmo em revolução informacional ou modelo de sociedade pós-industrial. Alvin Tofler, já há anos falava da "terceira onda" que varreria [e já varre] o mundo.

A questão é de suma importância para o Direito, uma vez que é ciência social e deve tratar do fato social. O Direito, ao se deparar com esse novo modelo de realidade, deve rever alguns de seus princípios e metodologias. Ao mesmo tempo, deve adequar o pensamento jurídico para abarcar as situações que aparecem nessa nova sociedade.

Dito isso, cabe trazer aqui os ensinamentos de um grande autor brasileiro, que trata com maestria do assunto. Quem pretende entender a relação do Direito com a Sociedade da Informação, não pode deixar de ler o texto de Roberto Senise Lisboa. O Prof. Roberto, é Doutor pela USP e é referência no assunto. Todas as obras de qualidade sobre Direito da Tecnologia têm, na sua bibliografia, as lições deste autor. O texto em questão é "Direito na Sociedade da Informação". Pela extensão do artigo, disponibilizo seu download no formato PDF aqui.

Por fim, agradeço a gentileza do Prof. Roberto em disponibilizar sua obra e permitir sua publicação.

sexta-feira, junho 22, 2007

Orkut, MP, Liberdade de Expressão e Devido Processo Legal

Recentemente tivemos notícias de alguns acordos dos MP's estaduais com o Google Brasil, no sentido de que aqueles passam a poder retirar conteúdos ofensivos do site Orkut. Em geral, seriam concedidos poderes de administração na rede do Orkut para que conteúdos pré-taxados de ilegais sejam retirados de circulação. No entanto entendemos haver alguns problemas legais nessa atuação do MP.

É inegável que a questão de crimes digitais no Orkut é assunto que merece discussão. Todos concordam que o site de relacionamentos é utilizado para o tráfico de drogas, divulgação de pedofilia, ameaças, além de outros crimes. No entanto, ao mesmo tempo que podemos identificar facilmente casos mais evidentes, entendo que pode haver um abuso de poder por parte do MP em retirar conteúdo legalmente publicado.

A tipificação de um conteúdo como ilegal, entendemos que deve passar necessariamente pelo crivo de uma análise judicial. Não podemos, com o argumento de que precisamos agir rapidamente nos casos de crimes digitais, suprimir a instância judicial. Há a garantia constitucional do devido processo legal que, mesmo nesses casos, não deve ser desrespeitada.

Sabemos que um promotor não é um juiz. A frase é por demais óbvia, mas importa em reconhecermos que um promotor não tem os mesmos poderes de um juiz. Devemos ressaltar que não se quer aqui desprestigiar a atuação do MP que, nos casos de crimes digitais, é importantíssima. O MP desempenha um trabalho irretocável, no que diz respeito ao Direito da Tecnologia. No entanto, vemos que um promotor não tem o poder de fazer cessar a publicação de conteúdos legalmente publicados na Internet. Se houver a necessidade, há que se buscar uma ordem judicial para tanto, sob pena de atropelarmos o princípio do devido processo legal (due process of law). Portanto nos preocupamos não com os conteúdos manifestamente ilegais publicados, mas sim nos que estejam em uma zona fronteiriça.

Com isso, devemos ressaltar também, não se tratar de uma questão de direito material: não se quer defender a publicação de conteúdos ilegais na Internet. O que se quer aqui é ordenar o procedimento legal para a retirada de conteúdo. É certo que conteúdos ilegais devem ser retirados do ar de forma mais rápida possível. No entanto, este ato, por mais urgente que seja, deve acompanhar a lei, ou seja, ser precedido de uma ordem judicial. Nossa Constituição é clara em seu art. 5º IX em afirmar:

IX - é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença;

Uma atuação do MP nesses casos, poderia em tese ferir a garantia constitucional de liberdade de expressão. Mais uma vez relembramos: um juiz deve interferir em cessar a publicação de qualquer conteúdo. Entendemos, portanto, que esses convênios deveriam se dar com o judiciário e não com o MP. A liberdade de expressão, como garantia, não deve ser ameaçada por ato de quaisquer autoridades em uma democracia. Igualmente é sabido que o Estado tem o dever de fazer cessar publicações criminosas. Então, através do princípio da proporcionalidade devem coexistir esses dois valores.

Por fim, vemos ainda a possível responsabilização do Google Brasil em atender retiradas de conteúdos que, após um procedimento legal não fosse considerados ilegais. A mera requisição de uma parte atingida ou até do MP, não pode ter o mesmo poder de um juiz em ordenar a retirada de um conteúdo de publicação.

segunda-feira, maio 21, 2007

Responsabilidade civil das empresas de assistência técnica

Responsabilidade civil das empresas de assistência técnica

Um assunto que merece bastante atenção tanto dos usuários, quanto das empresas é a responsabilidade das empresas de assistência técnica, quando da divulgação indevida de dados contidos nos computadores. Tentaremos tecer alguns comentários sobre o assunto sob ótica do usuário doméstico no campo da responsabilidade civil.

Sabemos que a relação entre o usuário que entrega um computador para conserto em uma assistência ténica é de consumo. Isso indica que a esta situação se aplicarão todas as regras do CDC incluindo a responsabilidade objetiva da empresa e a inversão do ônus da prova (se for o caso).

Em relação ao usuário, há inicialmente um dever, da sua parte, de bem escolher a empresa que prestará a atividade de assistência técnica.Alguns profissionais têm o dever de sigilo sobre as informações recebidas quando da sua atuação profissional. Temos como exemplo os advogados com os dados sobre seus clientes e ainda os médicos e psicólogos com os dados de seus pacientes. Imaginemos o caso destes profissionais terem os dados de seus clientes ou pacientes divulgados por um técnico mau intencionado. Em um primeiro momento, o profissional deverá responder perante seu cliente ou paciente pela divulgação. Posteriormente, em ação regressiva, poderá o profissional requerer indenização por parte da empresa ou técnico que divulgou indevidamente as informações. A questão é que haverá uma discussão sobre se o profissional (médico ou advogado no exemplo) teve alguma culpa na escolha da empresa que realizou a divulgação indevida. Ademais esses profissionais tem o dever anterior de preservar o sigilo das informações. Com isso há dois deveres subseqüentes: o do profissional liberal com os dados de seus clientes e o da empresa de manutenção com os dados dos consumidores.

Podemos perceber a grande variedade de situações que podem ocorrer pela falta de cuidado na proteção de dados sensíveis. Várias podem ser as conseqüências jurídicas, tanto para quem não toma o cuidado de escolher devidamente a empresa prestadora de serviço como para a empresa que divulga indevidamente os dados.

O problema fica mais complicado ainda em face da responsabilidade objetiva da empresa de assistência técnica. A empresa, com isso, será responsabilizada pela dano independente de culpa. Basta haver o dano e o nexo causal entre este e ação da empresa. Em face disso, mesmo que a empresa divulgue os dados de forma culposa, será responsabilizada civilmente. E ainda se for invertido o ônus da prova, a empresa terá que realizar a difícil (senão impossível) prova de que não foi ela que realizou a divulgação.

Mesmo assim, sabemos que a culpa exclusiva do consumidor ou ainda ou de terceiro, pode afastar a responsabilidade da empresa. Nessa seara, temos que a existência de um vírus no computador do consumidor poderia ser um início de prova a afastar assim a responsabilidade da empresa. Vemos que o assunto é delicado pois há responsabilidades e deveres de ambas as partes. Recentemente nosso Tribunal se manifestou sobre o dever de segurança por parte do consumidor/usuário, na apelação cível 70011140902. Vejamos a ementa:

APELAÇÃO. DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO. TELEFONIA. SERVIÇO NÃO PRESTADO. COBRANÇA. INSCRIÇÃO NO SERASA. INTERNET. CONEXÃO A PROVEDOR INTERNACIONAL. VÍRUS. A ligação telefônica internacional para a Ilha Salomão, que ocasionou o alto valor cobrado na fatura emitida pela ré, decorreu de discagem internacional provocada por vírus instalado na máquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa ‘anti-vírus’ para evitar tais acontecimentos. Negligência do autor. Inexistência de ato ilícito atribuível à Embratel. AÇÃO IMPROCEDENTE. APELAÇÃO IMPROVIDA

Neste caso, o Tribunal entendeu que quem navega na Internet deve ter instalado em seu computador um antivírus. Vemos que as relações na Sociedade da Informação criam novos deveres em face da complexidade dos novos contatos sociais. Com isso há um longo caminho a ser percorrido tanto pela doutrina quanto pela jurisprudência, no sentido de traçar e delinear os limites desses deveres.

Alertamos também para a responsabilidade pós-contratual das empresas em proteger os resquícios de dados que estiverem sob seu poder (fruto de eventuais backups guardados pelas) impedindo assim a sua divulgação. Essa responsabilidade pós-contratual é um dever advindo do princípio da boa-fé objetiva. Esse mesmo princípio estabelece o dever geral de proteção de dados por parte das empresas que fazem essa atividade. Poderíamos dizer que há também um grande dever de Segurança da Informação que orienta sempre a atividade de Tecnologia da Informação.
Deve haver, portanto, um comprometimento das empresas de assistência técnica no sentido de profissionalizar mais sua atividade, atentendo para o aspecto da sensibilidade de dados que têm acesso. A realização de um termo de confidencialidade entre a empresa e o consumidor sobre os dados gravados no computador, pode dar maior seriedade e confiabilidade à empresa que promover esta prática. Ao mesmo tempo, vemos a necessidade da empresa promover entre seus funcionários campanhas de conscientização sobre o assunto, bem como alertar para que a ação de divulgação constitui crime de Violação de Segredo Profissional.

Por fim, indicamos o artigo do Prof. Vinícius Serafim, com o título "Assistência técnica e a segurança das suas informações". Este artigo elucida as questões tecnológicas, do ponto de vista da Ciência da Computação, existentes na atividade dessas empresas.

quinta-feira, maio 03, 2007

Provas Digitais e Produção de Logs


Um assunto muito interessante e controvertido em relação aos controles de Segurança da Informação é o controle de produção e armazenamento de log’s. Os log’s são registros de atividades ou eventos pré-determinados e servem para estabelecer um histórico de uma atividade tecnológica. Para tornar a explicação mais compreensível podemos trazer alguns exemplos práticos das situações em que são produzidos os logs. Um servidor de e-mail (seja ele corporativo ou comercial) geralmente é configurado para registrar os logs de sua atividade. Em geral são armazenadas informações tais como IP de origem da mensagem, horário de envio e recebimento, servidores pelos quais a mensagem passou, etc. Esses registros são úteis nos casos em que há a necessidade de identificar o autor de uma mensagem anônima. Com isso identifica-se que em determinado horário o ip de número X, enviou um e-mail para aquele servidor. Com isso, chega-se até o servidor que controla aquele IP e com base no horário é possível identificar a pessoa que naquele determinado momento estava usando a referido número. Todas essas ações, é claro, são precedidas de ordens judiciais específicas. Outro exemplo prático é a produção e armazenamento de logs em ambientes corporativos. Nesse caso em geral se armazenam históricos de atividades tais como rotinas de backup, funcionamento de servidores, tráfego de internet, funcionamento de sistemas internos, etc. Dependendo da atividade da empresa, há um sem número de atividades que podem ter seu histórico armazenado.

Dito isso, passemos à análise da utilização desses logs. Vamos imaginar que alguém necessite identificar a autoria de um e-mail difamatório, ofensivo ou ameaçador. Com a consulta dos logs dos servidores chegou-se a um determinado IP identificando-se assim o remetente da mensagem. Pois bem, a questão principal deste artigo é: como ter certeza de que este log foi produzido e armazenado com integridade? Como é possível ter certeza de que este registro não foi alterado? Como podemos afirmar que a estrutura computacional que produz tais logs, não está funcionando de maneira precária produzindo assim dados incorretos?

No Brasil não temos uma normatização que regula a produção desses registros para o setor privado. No setor público temos alguns decretos que regulam controles de segurança aplicáveis ao assunto, porém o mesmo não ocorre no setor privado. Temos visto inúmeros casos em nossos Tribunais de que quando são produzidos esses logs, a parte contrária sequer impugna tais provas. Ao contrário de análises e provas produzidas por peritos judiciais, não há como ter certeza da integridade de registros produzidos, por exemplo, por um provedor comum de internet.

Já vimos provedores respondendo a ofícios judiciais de pedidos de logs, de maneira desinteressada e até negligente. Em uma situação verdadeira, um simples operador de sistemas, acessou o sistema da armazenamento de logs do provedor e através do processo de “copiar e colar” montou um documento no Excel, para instruir a resposta do ofício. Esse “documento” ao chegar nos autos do processo, adquire uma força probante e uma integridade muito maior do que realmente teria se analisado sob o aspecto técnico-computacional. O processo judicial acaba por legitimar e um documento muitas vezes, mal produzido e sem a certeza de integridade.

Cabe ainda mencionar a existência do dever dos provedores (aqui provedores em sentido amplo) em armazenar tais registros, em função da especificidade de sua atividade, conforme nos ensina o mestre Marcel Leonardi na sua obra “Responsabilidade Civil dos Provedores de Serviços de Internet”.

É sabido que a utilização de provas digitais é plenamente permitida em nosso sistema jurídico. Tal fato é indiscutível e aceito pela doutrina. No entanto o artigo 225 do CC prega que: “As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.”

Na grande maioria dos casos a outra parte sequer ousa impugnar a exatidão de tais registros. Cabe lembrar que o provedor ou empresa que produz tais logs (em geral fundado em um ofício judicial) em alguns casos pode até ter interesses no julgamento da causa. Esse interesse pode existir até no fato de que se o provedor não possuir os logs, pode acarretar uma co-responsabilidade pelo ato de terceiro, quando essa falha puder impedir a identificação de autoria. Isso, por si só, poderia invalidar a produção do documento ou ainda poderia servir como motivo para o provedor forjar a criação ou existências de eventos.

Tal situação torna-se ainda mais delicada se a única prova de condenação seja um desses logs. Caso uma parte seja condenada em função apenas de um log e não se tenha a garantia da integridade e autenticidade dos dados, vemos a possibilidade de uma condenação indevida ou até mesmo nula.

Recentemente tivemos notícia de uma situação ocorrida nos EUA que indica bem o quão delicada é essa questão. Na cidade de Greensburg, Pennsylvania, foi feita uma falsa denúncia de bomba por telefone em uma escola. A polícia, pela análise do histórico de ligações nos servidores (logs), chegou ao número de telefone de um estudante. Com base nessa informação o estudante ficou 12 dias preso em um centro de detenção juvenil. Sem alongar-se sobre as especificidades do caso, descobriu-se que o servidor que armazenava os logs de ligações telefônicas estava com o horário atrasado em uma hora. Ou seja, como o estudante ligou uma hora após o verdadeiro denunciante, foi com este confundido. Esse é apenas um dos tantos casos em que o excesso de confiança nos logs pode causar um grande erro judicial. Os policiais, à época da prisão, ainda comentaram o fato de que o autor da ligação negava admitir sua culpa, “amplamente demonstrada”.

Trazendo a questão para o Brasil, temos um julgado do TRT da 4ª Região que, através da analogia, pode muito bem ser aplicado às situações aqui colocadas. Vejamos:

EMENTA: CONTROLE DE PONTO. ART. 74, § 2º, DA CLT. Os controles de ponto eletrônico, em regra, não atendem as exigências do art. 74, parágrafo 2o, da CLT, que exige que o empregador com mais de dez empregados mantenha registros diários da jornada despendida pelo trabalhador, obrigando-se a apresentá-los no processo, caso determinado pelo juiz. De fato, os registros eletrônicos são elaborados por meio de "software", que não é conhecido pelo empregado, que tampouco tem acesso ao código-fonte do mesmo, nem controla as operações informáticas que produzem os relatórios em que, supostamente, consta o horário de trabalho do trabalhador.

Como se vê, a decisão reconheceu o fato de que os registros produzidos por software, desconhecidos da parte interessada ou que não haja a certeza da integridade da produção, não podem ser utilizados em um processo. Ainda, haveria a necessidade de um perito analisar a produção de tais registros para garantir a sua validade no processo, uma vez que podem ser facilmente adulterados sem deixar rastros ou vestígios.

Em que pese a falta de leis específicas para a produção e armazenamento de tais logs, não faltam regras de experiência técnica que regulam tais atividades. A norma ISO/IEC NBR 17799, publicada no Brasil pela ABNT, dispõe sobre alguns controles que podem ser observados para elevar o nível de segurança em relação aos logs. Ainda a regras de experiência técnica da atividade de Segurança da Informação, estabelecem práticas usuais sobre o assunto. Um exemplo de regras de experiência técnica sobre o assunto pode ser lido no artigo “Precisa-se de um FDR” de autoria do professor Msc. Vinícius Serafim. Nesse artigo são abordadas questões técnicas sobre o armazenamento e produção de logs à luz da Ciência da Computação. O artigo faz uma analogia com o sistema de FDR ou Flight Data Recorder, que se constitui nas caixas pretas dos aviões. O autor fala confiabilidade de tais registros (das caixas pretas) e analisa uma possível utilização desta idéia para a produção de logs.

Por fim, defendemos que tais provas devem ser produzidas por um perito judicial e, se for o caso, acompanhado por assistentes técnicos das partes envolvidas. Tal perito deverá analisar a estrutura computacional para verificar a integridade e autenticidade dos registros para assim termos um maior grau de confiabilidade dos registros.

terça-feira, abril 24, 2007



Quero fazer uma recomendação sobre uma obra muito especial, "Responsabilidade Civil dos Provedores de Serviços de Internet", de autoria de Marcel Leonardi, doutorando em Direito Civil pela Faculdade de Direito da Universidade de São Paulo.

O livro é indispensável para quem precisa entender as peculiaridades da atividade de provimento de acesso. Freqüentemente o tema é tratado sem o rigor técnico necessário o que não ocorre nessa obra. O autor tem o cuidado de definir os tipos de provedores uma vez que cada tipo tem um tratamento diferenciado. Utiliza uma divisão muito inteligente em provedores de backbone, de acesso, de correio eletrônico, de hospedagem e de conteúdo. Daí parte para a definição das responsabilidades e deveres de cada entidade trazendo alguns julgados.

Outro aspecto importantíssimo da obra é a análise da questão da responsabilidade sob a ótica do direito comparado. Como nossa legislação ainda é resumida sobre o assunto, o direito comparado é ótima fonte para elucidar algumas questões e o autor faz isso com maestria apoiado em extensa bibliografia.

Agradeço de publico também a generosidade do autor em sempre que solicitado tratar de algumas dúvidas sobre o assunto.

quinta-feira, abril 19, 2007

A tecnologia funcionando como meio de prova no judiciário

Trago aqui o artigo de autoria de Camilla do Vale Jimene. A autora é professora de Direito Digital e especialista na área. Agradeço de público à autora a gentileza de enviar seu artigo e permitir a publicação no Blog.
O texto além de ser realmente pertinente realçando uma situação atípica no Direito da Tecnologia é escrito de maneira muito inteligente, o que é peculiar à produção da autora.



A tecnologia, nos dias atuais, pode revelar as mais íntimas informações do nosso cotidiano de forma desconcertante. O envio de um simples e-mail pode trazer à tona um caso extraconjugal do parceiro, a prática de concorrência desleal do sócio, a pornografia acessada pelo filho adolescente e até mesmo a jornada de trabalho em caráter de horas extras.

Foi exatamente o que aconteceu com o empregado de um Hotel em Brasília, que, contratado para exercer suas atividades em jornada diária das 8:00 às 18:00 horas, foi obrigado, diariamente, a extrapolar sua jornada de trabalho. Mesmo que permanecesse até mais tarde nas dependências do Hotel, via-se coagido a anotar o horário de saída no cartão de ponto de forma diversa da realidade.

Ao desligar-se da empregadora, moveu reclamação trabalhista e apresentou como prova de seu labor em jornada extraordinária os e-mails corporativos que trocava com seus superiores, colegas de trabalho e clientes. A simples impressão dos e-mails, em que pese ser matéria discutível, foi considerada prova legítima pela Juíza de primeiro grau que condenou o empregador, dentre outras coisas, ao pagamento das horas extras e seus reflexos.

Inconformado, o empregador recorreu, argumentando que os e-mails foram documentos produzidos unilateralmente, confeccionados pelo próprio trabalhador, podendo ser facilmente adulterados e, ainda, conter horário não condizente com a realidade dos fatos.

Porém, os Juízes do Tribunal Regional do Trabalho da 10ª Região (Distrito Federal e Tocantins), consideraram que a correspondência eletrônica, fruto da modernidade, possui sim validade probatória, constituindo um meio de prova hábil a demonstrar a prática do trabalho em sobrejornada, não pairando sobre a mesma nenhum indício de incorreção dos registros efetuados ou adulteração nos conteúdos.

Os magistrados entenderam ainda que o ônus de provar a elasticidade da jornada de trabalho é do reclamante, que se desincumbiu do mesmo no momento que carreou aos autos as impressões dos e-mails. Todavia, o Hotel não obteve êxito em provar suas argumentações de que o horário não estava correto ou de que as mensagens tivessem sido adulteradas – o que, nesse caso, poderia ter sido provado através de perícia. Ora, como toda a sociedade digital já defende – provas digitais se constituem através da análise de registros digitais!

O caso em comento, pode nos causar dois tipos de reflexões: a primeira é a importância de manter todos os relógios do sistema de processamento de informações, em âmbito corporativo ou privado, sincronizados com a hora oficial do país, afinal, ele pode servir como prova de um direito ou prova de um ato ilícito; a segunda é cautela na utilização dos meios digitais - afinal a tecnologia é a testemunha mais segura, pois, dificilmente mente.



quarta-feira, abril 18, 2007

Contratos Informáticos

É interessante fazer a distinção entre Contratos Informáticos e Contratos Eletrônicos, uma vez que há grande confusão entre os dois conceitos. Os contratos Informáticos são aqueles que envolvem a prestação de um serviço de cunho tecnológico, geralmente ocorrendo entre pessoas jurídicas, podendo ou não ser realizado de maneira virtual ou remota. Nota-se que o traço que o distingue do contrato eletrônico é que seu objeto sempre será realacionado com alguma atividade eminentemente tecnológica. Entre muitas atividades abrangidas nos contratos informáticos temos a prestação de um serviço de Análise de Risco, controle de Segurança, prestação de um serviço de contingência ou continuidade de negócios digitais, a instalação de um Firewall, a contratação de um link, a terceirização de governança em TI, terceirização da atividade de desenvolvimento de software, etc.

Ao contrário dos contratos informáticos, os contratos eletrônicos são aqueles em que o meio utilizado para a manifestação de vontade dos contratantes é o computador ou a Internet. A utilização do "meio eletrônico" é a característica que define um contrato como sendo "eletrônico". Com isso, o consumidor que realiza uma compra via internet está aderindo a um contrato eletrônico. Em sendo assim nada impede que um contrato seja ao mesmo tempo informático e eletrônico, quando abranger as características já expostas. Em geral tais contratos [os eletrônicos] se dão em relações consumeiristas, atraindo para si todos os ditames advindos da utilização do Código de Defesa do Consumidor.

No entanto o foco deste pequeno artigo é o Contrato Informático. Em que pese não haver uma legislação específica para a formação destes contratos, eles podem se constituir de forma livre. Isso significa que não há forma pré-determinada ou cláusulas obrigatórias estabelecidas pela legislação contratualista. No entanto a doutrina de Direito da Informação nos recomenda a observância de algumas cláusulas fundamentais que tais contratos devem trazer. Entre muitas cláusulas necessárias nesses contratos, trazemos cinco, quais sejam:

- Glossário - Tais contratos por abrangerem situações muito específicas, podem dar margem a diversas interpretações aos termos técnicos abordados na minuta contratual. Visando, portanto, evitar o aparecimento do risco jurídico e diminuir, desde já, a ocorrência de futuros litígios envolvendo a interpretação de alguns termos é que nasce a necessidade de utilizar um glossário esclarecendo o sentido dos termos técnicos envolvidos.
- Cláusula de Confidencialidade - Em face da atividade tecnológica quase sempre tratar com informações sensíveis e algumas vezes confidenciais é imprescindível a utilização desta cláusula. Ela estabelecerá quais as obrigações das partes em relação à proteção das informações que o contrato atingirá. Tais cláusulas estabelecem também o nível de proteção que cada parte deverá ter com a informação, os termos de divulgação da relação contratual e até mesmo regras sobre como as empresas deverão instruir seus colaboradores para a melhor proteção da informação. Importante dizer que a definição de uma determinada informação como confidencial pode dar azo até a uma resolução contratual pelo inadimplemento da obrigação ali estabelecida. Esta cláusula poderá estabelecer o tratamento dos log's envolvidos na operação, sua destruição ou até mesmo "devolução" caso seja possível e a possibilidade de auditabilidade da operação. A questão da auditabilidade poderá se dar até mesmo como obrigação pós-contratual estabelecendo a obrigatoriedade das partes manterem os logs da operação guardados por um período pré-estabelecido no contrato.
- Cláusula de caso fortuito - O caso fortuito ou de força maior (act of god na doutrina americana) deve também ser tratado em tais contratos. Defendemos o conceito de "caso fortuito digital" (conceito a ser melhor explanado em outro artigo). As situações chamadas de "caso fortuito digital" podem ser pré-estabelecidas no contrato. Isso para o caso de na sua ocorrência, poder se alterar, atrasar ou até mesmo modificar os termos de prestação e prazos. Exemplos de caso fortuito digital são os ataques mundias e imprevisíveis de vírus, falhas ou bugs imprevistos em softwares, queda de link's ou backbones, etc. A previsão de tais casos no contrato serve também para evitar a posterior discussão judicial de inadimplemento contratual em tais situações. Ademais o art. 393 do Código Civil, no título de Inadimplemento das obrigações é claro em estabelecer:
Art. 393. O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabilizado.
Parágrafo único. O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não era possível evitar ou impedir.
- Cláusula de prova eletrônica - A cláusula de prova eletrônica é importante na medida em que estabelece que tipos de logs ou registros devem ser guardados e por quanto tempo a fim de constituir futura prova de algum ato ou fato relacionado com o escopo contratual. Questões como o monitoramento de operações e comunicações pode ser previsto nessa cláusula onde se dará, se for o caso, o consentimento das partes para o possível monitoramento. Já há decisões judiciais em que a empresa foi responsabilizada por não manter logs de sua atividade. Esse dever de guarda e armazenamento (dever este colateral derivado do princípio da boa-fé objetiva) deve sempre ser observado.
Nesta cláusula também se estabelecerá, se for o caso, as questões relativas à assinatura digital (através do uso da MP 2.200) e de que forma tal tecnologia será utilizada a fim de garantir o conceito de "não repúdio".
- Clásula de proteção de direitos autorais - A cláusula de direitos autorais estabelecerá os limites e a forma que a questão da propriedade intelectual será tratada na prestação do serviço. Nos casos de contratos informáticos de Outsourcing de Desenvolvimento de Software, por exemplo, deve haver uma atenção especial a esta cláusula. A lei 9609/98, entre várias estipulações, estabelece em seu art. 4º...
"Salvo estipulação em contrário, pertencerão exclusivamente ao empregador, contratante de serviços ou órgão público, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigência de contrato ou de vínculo estatutário...".
A primeira parte do artigo ao mencionar a expressão "salvo estipulação em contrário", dá margem à liberdade contratual de se estabelecer disposições diferenciadas neste sentido.
Ainda em relação aos direitos autorais, o contrato pode prever que se instituirá uma política de uso ou de segurança nas organizações partes, para a gestão de direitos autorais, visando afastar o risco jurídico advindo do mau uso da tecnologia por colaboradores ou terceiros envolvidos.

Por fim é importante dizer que tais cláusulas não são exaustivas, constituindo-se o Contrato Informático em um instrumento diferenciado composto por diversas cláusulas pouco vistas em outros contratos negociais. Além das cláusulas mencionadas há inúmeras outras igualmente importantes para a elaboração de um contrato seguro. Daí a importância do advogado que trabalha com Direito da Informação conhecer profundamente a atividade tecnológica sobre a qual desenvolve sua atividade.

quinta-feira, abril 12, 2007

A tecnologia alinhada ao negócio

Apesar de não se tratar de um texto de Direito da Tecnologia eu quero recomendar a leitura de uma monografia de pós graduação em TI. O título é "A tecnologia da Informação e da Comunicação (TIC) e seu alinhamento com a estrutura estratégica" e a autora, Mairí Strassburger é Coordenadora do Centro de Informática Acadêmica do Centro Universitário Feevale em Novo Hamburgo. O mérito de sua monografia é demonstrar de forma muito clara a importância da TI ser alinhada à estratégia do negócio.

Além de uma pesquisa bibliográfica relevante, a autora realizou uma investigação qualitativa, utilizando como base a instituição de que faz parte. Foi analisado o nível de Lideranças de TI, Coordenações Administrativas e Direções de Institutos Acadêmicos.

Por fim agradeço de público à autora pelo seu tratamento gentil nos contatos que tive junto à universidade. Também agradeço a indicação e recomendação do meu blog junto ao corpo acadêmico da instituição.

terça-feira, março 27, 2007

Blog Right: How Not to Bungle Your Blog

Seguindo o assunto de publicar com responsabilidade, visando evitar o aparecimento do risco jurídico na publicação e utilização de Blogs, indico artigo interessantíssimo chamado "Blog Right: How Not to Bungle Your Blog". Além de estabelecer diretrizes de grandes empresas como Sun, IBM e Yahoo sobre a publicação corporativa de blogs, nos traz também alguns princípios básicos da atividade. Vemos aqui o nascimento da "Policy Blogging" que junto com as Políticas de Segurança, de Uso, de Acesso, etc formam o arcabouço regulatório tecnológico fundamental para as empresas da Era da Informação.

quarta-feira, fevereiro 28, 2007

Políticas de Uso e Segurança

Trago aqui um artigo de minha autoria publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades, etc. Ela vai cientificar os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a
possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. A importância dessa política além de aumentar a produtividade é diminuir o risco advindo do mau uso da tecnologia uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e portanto sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público há muitos anos já atenta para a elaboração de tais políticas, com a publicação de resoluções e portarias que regulamenta o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa sendo indicado um aconselhamento para a elaboração destes documentos.



Complementando o artigo original é interessante ressaltar também a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também o documento não deve ser formal demais e deve permitir o entendimento de todos os envolvidos. Realizar um documento por demais extenso também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A idéia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas bem como fazê-lo sentir participante da atividade de segurança. O bom senso deve sempre ser observado nesse ponto, nunca se esquecendo que a política deve balancear segurança com produtividade.

sexta-feira, janeiro 05, 2007

Da responsabilidade dos autores de blogs por comentários deixados por terceiros

Iniciando este artigo fazendo uma analogia com os provedores de serviço que hospedam os blogs, tais provedores nunca são responsabilizados pelo conteúdo dos blogues. É o princípio da irresponsabilidade dos provedores de serviços pelos conteúdos apostos por terceiros. Essa analogia se faz, uma vez que a Internet é o meio de comunicação mais anárquico que existe. Ao contrário da TV, em que há um único emissor e milhares de receptores, a internet é composta por milhares de receptores que também são emissores. Tanto é assim que o TJ gaúcho assim entendeu:

APELAÇÃO CÍVEL. RESPONSABILIDADE CIVIL. PROVEDOR DE INTERNET. BLOGGER. WEBSITES. A ré agindo como mero provedor de conteúdo, armazenando as informações para acesso dos assinantes não pode ser responsabilizada em indenizar à autora, tendo em vista que tal responsabilidade recai sobre àquele que procedeu ao ilícito. NEGARAM PROVIMENTO AO APELO. (Apelação Cível Nº 70009660432, Sexta Câmara Cível, Tribunal de Justiça do RS, Relator: Artur Arnildo Ludwig, Julgado em 14/09/2005).

O relator, em seu voto, cita o artigo "A liberdade de expressão em blogs tem limites", do prof. MARCEL LEONARDI (http://www1.folha.uol.com.br/folha/informatica/ult124u18409.shtml) que diz:

"Outra questão importante diz respeito aos comentários de terceiros em um blog. De modo geral, o autor do blog não exerce controle editorial prévio sobre os comentários deixados pelos leitores, mas isto não significa que ele não tenha o dever de remover eventuais mensagens ofensivas após ser cientificado de tal fato, sob pena de ser responsabilizado por sua omissão."

Nesse contexto é que é feita a analogia. Então, nessa seara, seguindo este princípio não há como responsabilizar o dono do blog por comentários de terceiros. Ademais os casos de responsabilidade por fato de terceiro, estão estabelecidos no art. 932 do CC e não há como entender que se possa exigir do autor do blog um dever de vigilância sobre os comentários, ainda mais se houver uma maciça publicação de comentários. Com isso, entendemos que deve haver uma notificação do dono do blog para a retirada do conteúdo ofensivo e só depois, na sua inércia, é que pode responsabilizá-lo pela omissão.

No entanto a mera notificação não é o bastante para a retirada do conteúdo. Entendemos que a notificação vazia não tem esse efeito. Assim entende também Hugo Daniel Lança Silva, no artigo intitulado "O direito no mundo dos blogs". Assim diz o autor português:

"A questão merece algum cuidado na sua análise. Uma fórmula demasiado permissiva poderá gerar indesejáveis abusos. Sustentar que uma mera denúncia de um eventual interessado é suficiente para a remoção do conteúdo, sem aquilatar da sua ilicitude, poderá promover perigosas práticas de censura."

Com isso, seguimos dizendo que é o autor do comentário é que deve ser responsabilizado, no conceito de que é o autor do “ilícito” a pessoa responsável pela ação. Não há nexo causal entre a publicação do blog pelo autor e a vinculação do comentário pelo “ofensor”. O nexo causal se dá na ação de quem publica o comentário ofensivo, e nào o dono do blog, em analogia à questão dos provedores. Se o Orkut, como empresa, com todos os recursos disponíveis, não é responsável pelas manifestações feitas em suas páginas, não há como se exigir que o dono do blog o seja, em outra analogia.

Sérgio Cavalieri, ao falar sobre o nexo causal, nos ensina que a teoria adotada pelo nosso CC é o da Causalidade Adequada. Assim diz:

Entre duas ou mais circunstâncias que concretamente concorreram para a produção do resultado, causa adequada será aquela que tem interferência decisiva”(Cavalieri, Programa de Responsabilidade Civil, 6ª Ed. P. 74).

Com isso deve-se perguntar se a ação ou omissão sozinha era capaz de produzir o dano. Então realizamos a pergunta, com base na teoria da causalidade adequada, ao caso da responsabilidade civil do autor do blog por comentários dos internautas: a simples publicação do blog, por si só, foi o ato que causou o dano ao ofendido? Entendemos que não, pela falta de nexo causal. Não se pode responsabilizar alguém por ato que não tenha dado causa, exceção feita à responsabilidade por fato de terceiro, nos termos do art. 932.

No entanto, argumento contrário poderia ser tecido no caso de que a simples publicação de um blog, criaria no autor um dever de vigilância, baseado no princípio da boa-fé objetiva. Esse dever de vigilância advém da circunstância de que há a previsibilidade da ocorrência do risco de inserção de comentários desabonatórios no blog. É a famosa teoria do risco, do parágrafo único do art. 927:

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.


Em função disso, dessa previsibilidade objetiva, nota-se a relevância da omissão do autor em não vigiar os comentários dos internautas. Em função da criação do blog, nasceria o risco de ocorrência desse resultado. Porém esse argumento merece críticas: o artigo é claro: atividade normalmente desenvolvida pelo autor do dano”. Não há palavra inútil na lei, devendo na interpretação de um texto legal observar todos os conceitos ali existentes. Isso significa que terceiros estranhos à relação não estão abrangidos, uma vez a lei estabelece que a atividade deve ser desenvolvida pelo autor do dano. Ele não se aplica aos provedores de serviço que publicam os blogs, por exemplo. Em analogia com o que ocorre com os provedores de serviços (como o Orkut, por exemplo), entendemos que uma vez que estes não são responsabilizados pelo conteúdo dos seus clientes, o mesmo deve acontecer com o autor do blog. A outra crítica é a questão de que o nascimento do blog, deve vincular seu autor pelas suas próprias ações e nunca pelas ações dos outros, em plena observância do nexo causal baseado na teoria da causalidade adequada.

O artigo "A RESPONSABILIDADE DO PROPRIETÁRIO DE SITE QUE UTILIZA “FÓRUNS DE DISCUSSÃO”" de Demócrito Reinaldo Filho, influente autor no meio do direito da tecnologia, discute o assunto. Este artigo refere-se a uma decisão de uma corte argentina que reconheceu a responsabilidade do proprietário e da empresa de manutenção do site, por mensagens postadas o livro de visitas. O argumento principal da decisão foi que havia um disclaimer informando que as "mensagens poderiam ser retiradas no caso do conteúdo ser inconveniente para outras pessoas que visitem esta seção". Com isso o mantenedor do site trouxe para si o controle editorial do conteúdo trazido por terceiros. Tudo isso, com o conceito de responsabilidade objetiva, ou seja, sem a necessidade de se provar a culpa. A culpa nesse caso seria a prova de que o mantenedor do site sabia do conteúdo ilícito das mensagens. No entanto essa decisão parece-nos em descompasso com a lógica, fato que o próprio autor do artigo reconhece. O autor diz que a "operação informatizada de processamento de dados não pode ser considerada, por si só, como uma atividade potencialmente periculosa, de risco especial...".

Ninguém nega que o controle editorial do que o autor do blog escreve é de sua inteira e inegável responsabilidade. Porém ele continua dizendo também que dependendo da área do site, no caso o blog, há áreas onde seu controle editorial desaparece: exatamente nas áreas em que terceiros ou visitantes escrevem suas opiniões. Não há um controle prévio do conteúdo, mas sim POSTERIOR. Só poderia ser reponsabilizado, na opinião do Dr. Demócrito, se tivesse conhecimento do caráter ilícito da mensagem. Ele ainda acrescenta que o mantenedor do site deve ser responsabilizado pelo conteúdo quando não estabelece meios para identificar o autor da mensagem ofensiva ou danosa. Esses meios seriam caracterizados pela guarda de arquivos de logs que gravem os endereços IP's dos internautas que realizem postagens nos seus sistemas.

Daí, que trazemos à baila os ensinamentos da autora Sofia de Vasconcelos Casimiro, na obra "A responsabilidade Civil pelo conteúdo da Informação transmitida pela Internet". [ed. Almedina. 2000). Ao falar sobre o dever de controle a autora nos ensina: p. 100 "Esse elemento consiste na imposição de um dever jurídico de controlo de conteúdo da informação transmitida e, sobretudo, na verificação de uma possibilidade técnica de efectuar esse controlo...". Ou seja o dever de controle deve ser visto dentro de um contexto relativo, proporcional à conduta mediana , através do princípio da boa-fé objetiva. Assim, a exigência de um controle excessivo, por exemplo, pode inviabilizar a atividade de um provedor ao estabelecer controle exageradamente onerosos ou impossíveis técnica ou fáticamente de serem implantados. É o princípio da razoabilidade: não se pode onerar excessivamente a atividade de publicação nos blogs, sob pena de afetar a sua livre publicação e a livre manifestação de pensamentos.

Se estabelecêssemos a obrigação do autor do blog responsabilizar-se pelos comentários de terceiros, chegaríamos à situação absurda do autor ter que ficar on-line 24 horas por dia num constante monitoramento, para evitar qualquer possível comentário potencialmente ofensivo. É impossível tanto técnica quanto fáticamente realizar este controle.

Um blog não deixa de ser um microcosmo da Internet (o macrocosmo). Na Internet, os autores das páginas, a priori, é que respondem pelo seu conteúdo, não se responsabilizando os provedores de serviços de hospedagem. O cerne da Internet e do próprio serviço de blogs é a livre manifestação, sendo os comentários dos internautas um motivador para o autor escrever mais. Responsabilizar a autor do blog pelo comentários apostos por terceiros é descaracterizar a natureza do blog.

Ademais, enxergamos a impossibilidade de o autor do blog, uma pessoa comum, conseguir controlar com base em requisitos jurídicos, potenciais comentários ilegais. Esse controle “preventivo” só poderia ser realizado seguramente por um advogado ou por uma assessoria especializada. Pensar o contrário seria esperar demais de um homem comum, do homem médio. Lembramos mais uma vez o princípio da boa-fé objetiva que requer um grau de cuidado moderado, atinente ao homem comum. Exigir cuidados extremos por parte do dono do blog, fere o referido princípio.

Este é o ponto nodal da questão: o blog tem seu conteúdo acrescido de duas formas: pelo autor e dono do blog e pelos comentários de qualquer internauta. Entendemos, por fim, que cada um deve ser responsabilizado isoladamente por suas opiniões manifestadas naquele espaço.

Related Posts Plugin for WordPress, Blogger...