A última fronteira: Relações entre o Direito e a Tecnologia da Informação

Palestra

No dia 19 de Outubro ministrarei a palestra intitulada "A última fronteira: Relações entre o Direito e a Tecnologia da Informação" na Mérito Estudos, em Porto Alegre. Como tema geral, tratarei dos principais pontos do Direito da Tecnologia da Informação.

A atividade serve como atividade complementar para o curso de direito.

As inscrições podem ser feitas através do telefone (51) 3372-7296 ou no site www.meritoestudos.com.br.

Questões sobre o conteúdo da palestra podem ser enviadas para guilherme@direitodatecnologia.com

Decisões impossíveis de serem realizadas e o Direito da Tecnologia

Decisões impossíveis de serem realizadas e o Direito da Tecnologia

Um dos grandes problemas envolvendo o direito da tecnologia é o caso das decisões judiciais que determinam providências impossíveis de serem efetivadas. Essa impossibilidade, na maioria das vezes, reflete-se nas limitações das tecnologias existentes atualmente. Uma decisão judicial não pode determinar algo que seja impossível de ser realizado em função das limitações do próprio código dos programas.

Quem primeirou observou essa questão foi o jurista americano Lawrence Lessig, na obra Code. O código que falamos aqui não são as leis, mas sim o código dos programas do computador. Uma decisão que determine algo não programado no código, não pode acontecer. Assim diz o autor em "Code v2":

In real space,we recognize how laws regulate—through constitutions, statutes, and other legal codes. In cyberspace we must understand how a different “code” regulates— how the software and hardware (i.e., the “code” of cyberspace) that make cyberspace what it is also regulate cyberspace as it is.

Podemos fazer uma analogia com as leis da física. A "lei da gravidade", não pode ser revogada ou anulada pelas leis, estas últimas, assim entendidas como estatutos jurídicos e códigos legais.

Um interessante julgado do Tribunal de Justiça do Rio Grande do Sul, pode ser analisado sob esta ótica. Não divulgaremos o nome do autor e nem número do processo para preservar a integridade moral dos envolvidos, mas o processo dizia respeito ao reconhecimento da impossibilidade do Google de impedir a criação de perfis e comunidades pejorativas sobre uma pessoa no Orkut.

O Desembargador Tasso Caubi Soares Delabary, analisou a questão de forma coerente e sensata. Seu argumento principal é que o Google, como um provedor de serviços que é, não é o autor das manifestações disponibilizadas no Orkut. São os usuários que incluem os conteúdos, sendo estes fruto de sua própria atividade intelectual. O Orkut, sem o conteúdo criado e disponibilizado pelos usuários, não possui nada a disponibilizar. O Orkut não cria os dados, apenas os disponibiliza, os hospeda.

Além disso, embora a decisão não tenha expressamente tratado, devemos mencionar a impossibilidade técnica de impedir que o Orkut venha a impedir futuras publicações consideradas pejorativas sobre uma pessoa. Ressalta-se que não há mecanismo tecnológico (programa) que permita analisar-se uma comunidade do Orkut e verificar que seu conteúdo é "pejorativo". Um computador, até o presente momento, não consegue realizar este juízo de valor de forma suficientemente eficiente. A despeito das incríveis técnicas atuais de inteligência artificial, a subjetividade de considerar um discurso como "pejorativo" ainda não está eficientemente contemplada nas funções dos programas de computador. Até porque, o caráter pejorativo, pode dar-se através de texto, imagem, sons, etc. O autor pode utilizar-se de uma foto, sem fazer referência ao nome da pessoa; pode ainda manifestar-se através de ironias e outras figuras de linguagem.

O Google, por outro lado, poderia efetuar um bloqueio de criação de comunidades e perfis com base em palavras-chaves. No entanto tal bloqueio seria ineficiente, bloqueando todas a comunidades e perfis que tivessem tais palavras e não fossem pejorativos. Além do mais a medida seria ineficiente, uma vez que bastaria o autor utilizar-se de uma foto do ofendido ou ainda, escrever seu nome propositalmente com alguma letra errada.

A proibição constitucional da censura prévia e o respeito à liberdade de expressão, devem ser consideradas na proibição futura de manifestações na Internet. A máxima do neminem laedere, ou seja, do princípio de não lesar outrem, perpassa todas as relações. Por princípio, ninguém pode criar comunidades ofensivas à honra de quem quer que seja, sob pena de sujeitar-se a pagar uma indenização.

O Desembargador cita outra decisão (TJRS, AI, 7001575595, Nona Câmara Cível) , no mesmo sentido, que destaca a questão de que as informações no Orkut são disponibilizadas por terceiros, e não pelo Google. Ademais, destaca também a impossibilidade de bloquear todo o serviço (Orkut) para preservar a imagem de uma pessoa apenas, o que geraria um excessivo ônus à empresa. Lembramos outro exemplo recente, em que o site de vídeos YouTube foi bloqueado em função da disponibilização de um vídeo em que uma apresentadora de televisão praticava sexo com seu namorado em uma praia. A decisão, não logrou o efeito desejado, e após diversas tergiversações jurídicas, o vídeo pode ser facilmente encontrado na Internet.

Devemos lembrar de uma analogia feita por Marcel Leonardi na sua obra "Responsabilidade Civil dos Provedores de Serviço de Internet", que aplica-se perfeitamente ao caso. Ela consiste na seguinte pergunta: pode o dono de uma banca de jornal ser responsabilizado pelo conteúdo dos jornais por ele vendidos? A resposta é negativa. O Google, como provedor de serviços que é, pode ser comparado a uma banca de jornais, não devendo ser responsabilizado pelos "jornais" que disponibiliza. Por outro lado, se devidamente notificado para retirar um conteúdo atual de seus servidores, deve fazê-lo.

No entanto, devemos destacar o aspecto transitório das eventuais impossibilidades de realização de algumas decisões envolvendo o direito da tecnologia. O julgador deve observar o estado atual da tecnologia ao decidir. O que hoje é impossível de ser realizado, amanhã, com a evolução da técnica informática, pode vir a ser possível. Isso é especialmente importante na segurança da informação, onde as técnicas de invasões evoluem na mesma medida em que as técnicas de proteção. Neste campo, nada impede que num futuro, os atuais algoritmos de criptografia (utilizados inclusive em certificação digital e assinaturas eletrônicas) possam ser considerados inseguros e ineficientes para manter a integridade e confidencialidade de mensagens.

Por fim, citamos mais uma vez, Lawrence Lessig, que na mesma obra já referida, diz:

Cyberspace was, by nature, unavoidably free. Governments could threaten, but behavior could not be controlled; laws could be passed, but they would have no real effect. (grifo nosso)

A "invisível mão" do código do computador, define a arquitetura e os limites da Internet. Se uma lei proíbe algo, mas o código permite, dificilmente uma decisão judicial poderá ser realmente eficaz. Caímos daí, no estabelecimento de uma ação tecnologicamente impossível de ser realizada. A viabilidade da prática de uma determinada ação na Internet, está portanto, diretamente relacionada com o código do computador, ou seja, com a permissividade ou não, definida pela própria arquitetura dos computadores e de seus programas.

A íntegra da notícia do Tribunal de Justiça do Rio Grande do Sul que trata da decisão pode ser encontrada aqui.

A Privacidade como Limitadora do Monitoramento Digital

A Privacidade como Limitadora do Monitoramento Digital

Segue abaixo um pequeno artigo de minha autoria que foi publicado na revista Antebellum de Março/Abril de 2009. A revista Antebellum é editada pela ISSA (Information Security System Association). Ela é uma entidade internacional que agrega profissionais de Segurança da Informação. Ela é composta essencialmente por profissionais atuantes na área da informática e não do direito. Mesmo assim, há uma relação bastante grande entre as duas áreas, visto que grande parte das práticas de segurança devem ser acompanhadas pelo direito.

Meus agredecimentos especiais ao Eduardo Vianna Camargo Neves. Além de diretor da regional sul da ISSA, ele mantém também um dos melhores blogs sobre segurança da informação disponível em http://camargoneves.com/. O Eduardo, gentilmente, convidou-me para participar dessa edição da Revista Antebellum, o que foi motivo de muita satisfação de minha parte.

O PDF da revista pode ser baixado diretamente em http://www.issabrasil.org/antebellum/

A privacidade como limitador do monitoramento digital

O tema da privacidade é bastante extenso e complexo. Não temos aqui a pretensão de esgotar o tema mas sim, fazer breves comentários sobre o assunto. Sabemos que os limites do monitoramento digital dentro do ambiente empresarial esbarram na privacidade e na intimidade dos colaboradores. Mesmo nas empresas, os colaboradores ainda detém estes direitos e em caso de monitoramento, este deve ser feito sob circunstâncias bastante controladas e previamente definidas.

A privacidade e intimidade são direitos protegidos pela nossa Constituição. São alguns dos chamados Direitos da Personalidade. Eles são alguns dos direitos mais básicos da pessoa humana sendo necessários para a preservação da honra e da vida privada. Cabe lembrar que a privacidade é irrenunciável e a sua limitação deve ocorrer por vontade expressa da pessoa, de forma específica e limitada a um determinado fim. As eventuais renúncias (como as necessárias para o monitoramento digital nas empresas) não podem ser gerais, inespecíficas, permanentes, ilimitadas ou abusivas.

Ao mesmo tempo, o empregador tem o direito de monitorar sua estrutura computacional; até porque ele responde pelos atos dos empregados quando estes o praticam sob sua estrutura. O monitoramento da atividade dos empregados tem a função preventiva de identificar potenciais desvios ou riscos para atividade. Vemos, portanto, que os dois direitos (privacidade X direito de monitorar) devem coexistir em harmonia sem que um se sobreponha ao outro. No entanto como fazer com que eles convivam em harmonia?

Em primeiro lugar, o monitoramento deve ser previsto nas Políticas de TI da empresa. A própria ISO 27002 fala em seu item 10.10 sobre a observância de requisitos legais da atividade de monitoramento. Além do mais, o monitoramento deve ser comunicado antecipadamente a sua realização, através de termos de ciência, do contrato de trabalho ou ainda através dos logon banners. Isto tudo para afastar qualquer expectativa de privacidade que o empregado possa ter na utilização dos recursos. No caso de relações entre empresas, se houver necessidade de monitoramento ou interceptação de comunicações (incluo aqui os famosos penetration tests), tal deve ser expressamente previsto em contrato, para evitar a quebra ilegal da privacidade.

Outro ponto importante é a questão do uso pessoal dos recursos da empresa. Se a empresa permite que o funcionário use sua estrutura para atividades pessoais (incluindo acesso a homebanking, comunicações com parentes, advogados ou médicos), tais comunicações não podem ser objeto de monitoramento. A operacionalização desta limitação pode ser um problema para a equipe, sendo a proibição do uso pessoal recomendada.

O monitoramento deve ser feito de maneira mais impessoal possível, automática e sem representar perseguição ou abuso de poder por parte do empregador. Alerta-se que se o empregador comunica que vai monitorar, deve sempre monitorar em bases periódicas, sem discriminação entre cargos ou setores. Caso isso não aconteça há o risco do empregado alegar perseguição, se conseguir provar que o empregador nunca monitorou nenhum funcionário, em nenhuma circunstância, mas em contrapartida monitorou excessivamente um único funcionário. Já publicação de logs e produtos de monitoramento dentro da empresa, como acontece em algumas situações, além de potencialmente causar danos morais ao empregado caso revele informações pessoais, pode até configurar o conhecido assédio moral.

A produção de provas digitais (leia-se aqui também a produção de logs ou monitoramentos) com o desrespeito ao direito à privacidade, torna a prova nula obtida nula, prejudicando os fatos que dependem daquela prova. É a chamada prova ilegal. Além do mais há que se ter bastante cuidado com o monitoramento eis que, quando não autorizado ou feito de maneira desregrada, mesmo no ambiente empresarial, pode tipificar o crime de interceptação telemática ilegal, punido com pena de reclusão de 2 a 4 anos.

Curso de Direito da Tecnologia da Informação

Curso de Direito da Tecnologia da Informação



A partir do dia 21 de Março inicia-se o curso de Direito da Tecnologia da Informação, ministrado por mim, na LCSCursos em Porto Alegre. O curso é de pequena duração visando apresentar os pontos mais importantes da disciplina.

Serão três encontros aos sábados pela manhã. Maiores informações - inclusive a ementa do curso - podem ser obtidas diretamente no site da instituição, clicando aqui