Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

Segurança da informação corporativa:

aspectos e implicações jurídicas

Exibindo página 2 de 4
Agenda 01/04/2003 às 00:00

Função Social da Privacidade

            Com o enorme potencial de exposição de informação privada que a sociedade da informação oferece, é claro que o direito à privacidade vem assumindo papel relevante como escudo do cidadão contra o poder onipresente do Big Brother de ORWELL (1949).

            Há razões, contudo, de inegável interesse público, que parecem justificar a necessidade de um mínimo de controle legal sobre o tráfego de informação, muito embora esteja claro que o direito à privacidade não deve ser confundido com o direito ao sigilo profissional, bancário, postal dentre outros já extensivamente disciplinados em textos legais vigentes. (15)

            Da mesma forma que ocorreu ao longo dos séculos com o direito à propriedade, que, em seus primórdios, não conhecia limites (16), a privacidade absoluta pode desvirtuar-se, fazendo com que o indivíduo venha a tirar proveito de uma situação de anonimato – que também encontra vedação constitucional – passando a ser utilizada de forma nociva à sociedade que busca proteger.

            Indicando que a esta é uma tendência bastante razoável, a Comissão de Educação do Senado aprovou, recentemente, projeto de lei que dispõe sobre as informações relativas ao acesso à Internet. Pela proposta, os provedores da Internet estarão obrigados a manter registros, por período não inferior a um ano, de todas as conexões realizadas por seus usuários. Os registros das conexões entre provedores terão que indicar a data, o horário de conexão e desconexão, além do endereço eletrônico atribuído ao cliente. (17)

            Por fim, vale a pena transcrever trecho no qual a Professora Lílian Minardi Paesani parece sintetizar de forma especialmente clara, o que e como devem ser consideradas as limitações ao indiscutível direito constitucional à privacidade, limitações essas que devem encontrar justificativas na prevalência do interesse coletivo, a partir da compreensão da função social da privacidade:

            ... podem ser impostos limites à normal esfera de privacidade até contra a vontade do indivíduo, mas em correspondência à sua posição na sociedade, se for de relevância pública. Nesses casos, será possível individualizar, se há interesse público em divulgar aspectos da vida privada do indivíduo. O interesse será relevante somente com relação à notícia cujo conhecimento demonstre utilidade para obter elementos de avaliação sobre a pessoa como personalidade pública, limitando, desta forma – e não eliminando – a esfera privada do próprio sujeito. (18) (grifos da autora)


Ameaças Potenciais à Segurança da Informação

            A compreensão das técnicas e dos métodos utilizados para burlar a segurança de sistemas de informação é de fundamental importância para a adoção das contra-medidas necessárias, bem como para possibilitar ao direito a definição de leis e normas genéricas e abstratas, objetivamente aplicáveis a esta natureza de relação jurídica.

            Ataques

            A Amazon Books garante que até hoje, nenhum dos seus mais de 2 milhões de consumidores em todo o mundo registrou uma única reclamação de uso indevido de cartão de crédito. (19) Infelizmente, esta não é a realidade de grande parte das empresas de informática existentes.

            A invasão, tentada ou consumada, de bases de dados, a alteração ou paralisação de websites, de serviços e de sistemas de informação vem sendo uma constante no mundo da computação corporativa. Aproveitando-se das falhas de segurança das empresas, de suas estruturas de rede ou de seus aplicativos, os ataques podem resultar em destruição, perda ou roubo de informação, infecção por código maligno (vírus, cavalos de Tróia, worms, etc.) ou simplesmente em acesso indevido, na visualização não autorizada, de determinada informação.

            Eventualmente, se a responsabilidade pelo dano patrimonial efetivamente causado durante o ataque puder ser atribuída a alguém, o pedido de ressarcimento ainda seria cabível. Para a invasão, strictu sensu, sem perda, furto ou destruição comprovada de informação – o que muitas vezes acontece sem que a empresa sequer tome conhecimento – é impossível, pela legislação brasileira em vigor, qualquer tentativa de configuração de prejuízo reparável.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

DoS (Denial of Service)

            Muitas vezes ocorre de haver paralisação no funcionamento de um servidor, não em virtude de invasão direta, sem autorização, sem quebra de senha ou introdução de código maligno, mas através da ativação de muito mais tarefas do que a capacidade de processamento de qualquer máquina poderia suportar. São as chamadas técnicas de DoS - Denial of Service (negação de serviço). Quando um servidor "se nega" a continuar a operar normalmente, há excesso de solicitações de serviços, causando a paralisação. (20)

            Muitas vezes, o acesso não autorizado já ocorreu, quando diversas outras máquinas foram infectadas com código especificamente preparado para o ataque. À chegada de uma condição, que pode ser um dia, um comando, uma mensagem, o ataque é disparado.

            

           Diversas variações podem ser verificadas nesta modalidade de ataque, como a Mail Bomb, usada especificamente para inundar servidores de e-mail, ou Smurfing, procedimento que consiste em abarrotar um servidor de comandos ping (21), causando o mesmo efeito.

            Mais uma vez, o eventual prejuízo advindo só poderá ser demandado em juízo caso comprovado o dano efetivo, diretamente decorrente da agressão perpetrada.


Armazenamento, Restauração e Integridade

            A integridade dos dados é um outro aspecto de extrema relevância para quem é responsável pela segurança de informações. A perda da informação pode, por vezes, significar prejuízo incalculável, maior até mesmo do que o acarretado pelo uso desautorizado.

            Isto porque, a utilização indevida da informação causa, pelo menos à primeira análise, meramente um abalo moral, que, neste momento, não é mensurável, exceto através das devidas estimativas que possam se seguir. As tarefas não são interrompidas, os serviços não sofrem descontinuidade.

            A perda, seja ela total ou parcial dos dados, por seu turno, origina dano patrimonial direto. Embora o valor pecuniário das bases de dados, em princípio, também não seja determinado, há custos intrínsecos à administração dos dados que terão de ser despendidos uma vez mais, a exemplo da redigitação da informação, quando esta é possível, da nova coleta de dados, do reprocessamento, da reinstalação e da reconfiguração de sistemas, tarefas que oneram diretamente o orçamento daquele que é prejudicado por esta circunstância - para mencionar apenas as situações recuperáveis.

            Além do mais, da mesma forma que as pessoas devem ter a sua privacidade respeitada, podendo exercer o direito de impedir o acesso indevido às suas informações de caráter pessoal, devem, também, dispor de acesso aos seus próprios dados, onde quer que estejam, assistindo-lhes o direito de consultá-los e de alterá-los, quando não corresponderem à verdade.

            O IDC estima que o investimento das empresas em tecnologias que as auxiliem a contornar os problemas de armazenamento e restauração, bem como as ameaças de perda de dados chegue, em 2004, a 10,4 bilhões de dólares, investimento esse que já foi da ordem de 5 bilhões de dólares, há dois anos. (22)

            Arquivos, discos, e mídias eletrônicas em geral são corrompidas pelas mais diversas razões: quedas ou elevações súbitas na tensão elétrica, falha de hardware, falha ou despreparo do humanware, dentre outras.

            Normalmente, devem responder pela perda total ou parcial dos arquivos os profissionais responsáveis pela manutenção de sua integridade, ressalvados, obviamente, os casos onde a responsabilidade civil não lhes puder ser atribuída, conforme se verá mais adiante.

            Por fim, é preciso que se ressalte que sobre o backup, espelho fiel dos dados, incidem todos os direitos à privacidade já discutidos e expostos, sendo terminantemente vedada, à luz dos ordenamentos jurídicos em vigor em grande parte das nações, o seu uso sem prévia e expressa autorização.


Acidentes

            Por fim, não se pode deixar de considerar as possibilidades de prejuízos e de danos advindos de acidentes naturais e de situações oriundas de desequilíbrio ambiental.

            Incêndios, alagamentos, explosões, desabamentos, terremotos, umidade radiação, poeira, ruído, superaquecimento, magnetismo, falhas de energia elétrica ou de sistemas de comunicação, dentre diversas outras situações que, muitas vezes, estão fora do escopo de alcance das previsões razoáveis, podem ser responsáveis pela perda total, parcial, ou pela inconsistência das informações, causando dano, à primeira vista, indenizável.


Aspectos da Responsabilidade Civil pela Guarda da Informação

            Não é pelo fato de estarem relacionadas ao ambiente dito virtual, que a segurança, a guarda, o uso e a manutenção da informação são obrigações de menor poder coercitivo, na forma da lei Ao contrário, estão sujeitas, inclusive, às sanções cabíveis, caso haja descumprimento. Muito embora o tema reclame e justifique exaustivo trabalho específico, não se pode deixar de traçar algumas considerações fundamentais.

            Como já dito, alguns países já decidiram definir tipos penais a partir dos quais pretendem punir as práticas infracionais consideradas mais danosas. O Brasil ainda não dispõe de tal texto legal. O crime aqui praticado só poderá encontrar óbice e sanção jurídica se já estiver definido como tipo penal, sendo a tecnologia apenas o meio mediato – e ainda assim se o tipo não previr, expressamente, um outro meio – utilizado para a consecução do resultado.

            Ainda assim, a responsabilidade civil pelo fato ou pelo dano causado à informação é imputável ao causador do resultado maligno, em virtude da possibilidade da aplicação analógica da lei cível, desde que obedeça aos pressupostos caracterizadores já familiares ao instituto: uma ação, ou uma omissão, que, mediante um liame ou nexo de causalidade, importe em um resultado danoso, mediante culpa do agente. (23)

            Todas as relações jurídicas, e, por conseqüência, todos os agentes envolvidos e relacionados à guarda e à manipulação da informação estão sujeitos a responder civilmente por suas ações ou omissões. O incipiente estado de definições técnico-jurídicas, no entanto, restringe sensivelmente a chegada da tal matéria às cortes do país, à exceção de alguns poucos leading cases, que começam a escrever a história jurisprudencial da matéria.

            Os ataques e invasões a sistemas de informação, segundo observação anterior, são passíveis de responsabilização no plano cível, à medida em que causem dano efetivo, assegurada a reparação do dano moral, e desde que o invasor ou agressor possa ser individualizado. Ora, não é necessário muita reflexão para entender que, com a garantia do direito à privacidade, aliada às limitações técnicas existentes, o rastreamento efetivo do responsável por um ataque é tarefa extremamente árdua, embora não impossível. Técnicas de tracking estão sendo desenvolvidas e grupos especiais do órgão competente, neste caso, a polícia, estão sendo treinados para lidar com a nova realidade que se lhes apresenta. Divisões de Alta Tecnologia já são uma realidade em muitas forças policiais no país e no exterior.

            Em relação a serviços prestados pelas empresas, a responsabilização civil é tarefa menos abstrata. Isto porque os sujeitos da relação estão claramente definidos, dependendo o surgimento da obrigação de composição do dano apenas da prova do resultado daninho, do nexo de causa e da culpa.

            Provedores de acesso, são agentes diretamente expostos a estas questões. Na maior parte das situações, suas ações estão relacionadas à aplicação da teoria da culpa, sendo essencial que se demonstre, efetivamente, a existência de imprudência, negligência ou imperícia para a responsabilização civil. (24)

            Quanto à divulgação de conteúdo, cabe deliberar a respeito da responsabilidade civil do provedor de acesso. A ser obedecido o direito estrito à privacidade, nenhuma atitude pode tomar o provedor com relação à informação que trafega pelo seu domínio, quando for apenas o intermediário, o meio técnico. Assim sendo, existe vedação inclusive constitucional à sua intervenção na esfera privada do sujeito. (25)

            Outro norte toma a discussão quando o provedor edita o dito conteúdo. Neste caso, há responsabilidade direta pela informação veiculada ou produzida. Analogamente, pode-se dizer que, ao tomar conhecimento de transmissão ou divulgação de informação manifestamente indevida ou imprópria, o provedor torna-se solidariamente responsável, devendo adotar as providências técnicas cabíveis para fazer cessar a irregularidade. (26)

            Havendo a presença do consumidor em um dos pólos da relação jurídica, desaparece, por comando legal do Código Brasileiro de Defesa do Consumidor, a necessidade de caracterização da culpa, surgindo a chamada responsabilidade objetiva ou sem culpa.

            A segurança da continuidade de acesso, por exemplo, assemelha-se ao serviço prestado pela concessionária de serviços públicos, sendo o provedor responsável pela estrutura externa e o consumidor pela interna. Aplicável a teoria do risco, através da qual o provedor, razoavelmente observado o estágio de desenvolvimento da tecnologia disponível, assume o risco de sua atividade econômica, obrigando-se a ressarcir o eventual prejuízo direto daí advindo, bem como a reparar o dano decorrente. (27)

            As demais empresas que operam na Internet também estão sujeitas a estabelecer relações de consumo, no que devem obedecer às mesmas regras. Os procedimentos utilizados no comércio pela Internet são exatamente os mesmos verificados no comércio tradicional, verificando-se tão somente alteração na forma e nos mecanismos de contratação, através do desenvolvimento de novas tecnologias. (28)

            Uma última observação cabe a respeito da diferenciação entre os danos oriundos das falhas de segurança em sistemas de informação desenvolvidos sob medida e em aplicativos denominados de prateleira, de consumo de massa. Há que se observar que, enquanto estes estão diretamente relacionados ao consumidor final, aqueles podem ser caracterizados como insumos de produção, vez que sua destinação final, não raro, é a utilização comercial, empresarial do software. Daí decorre que o tratamento e as soluções legais devem ser diferenciadas, valendo, em regra, as normas de defesa do consumidor para o software de massa e as eventuais cláusulas contratuais para produtos on demand. (29)

Sobre o autor
Cláudio de Lucena Neto

administrador de sistemas de informação, acadêmico de Direito da Universidade Estadual da Paraíba, membro do conselho executivo da revista Dataveni@

Como citar este texto (NBR 6023:2018 ABNT)

LUCENA NETO, Cláudio. Segurança da informação corporativa:: aspectos e implicações jurídicas. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 8, n. 64, 1 abr. 2003. Disponível em: https://jus.com.br/artigos/3994. Acesso em: 24 nov. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!