Migalhas de IA e Proteção de Dados

Segurança da informação nos escritórios de advocacia dos EUA

Segurança da informação nos escritórios de advocacia dos EUA

8/4/2022

As informações mais sensíveis dos seus clientes serão acessadas indevidamente. Isso seria fato se você estivesse nos EUA. Essa afirmação poderia parecer exagero, mas foi isso o que foi registrado no documento denominado “ABA Formal Opinion 483”, que é um relatório preparado pela American Bar Association (ABA). Aqui, no Brasili, ainda não temos dados suficientes para afirmar, mas acreditamos que a situação não seja muito diferente.

O objetivo deste breve artigo será apresentar, em caráter preliminar, algumas das principais medidas que são recomendadas pelos especialistas em segurança cibernética, mas que não são amplamente implementadas nos escritórios de advocacia nos EUA. Em síntese, os motivos variam desde o desconhecimento, passando pelo tamanho do escritório até o tipo de informação que é armazenada.

O relatório “ABA Formal Opinion 483” destaca logo em sua introdução:

(...) a ameaça à segurança da informação é tão alta que os órgãos de controle regularmente separam as entidades empresariais em duas categorias: aquelas que foram invadidas e aquelas que ainda serão.” (tradução livre)ii.

Assim, nenhuma empresa está totalmente protegida e, conforme veremos a seguir, o mesmo pode se dizer dos escritórios de advocacia nos EUA.

Em síntese, no que se refere à responsabilidade dos escritórios de advocacia em relação aos dados e às informações dos seus clientes, temos os aspectos legais e contratuais. Assim, espera-se que sejam garantidos:

a)    a proteção dos dados dos clientes;

b)    o consentimento informado dos clientes; e

c)    a supervisão de todas as pessoas envolvidas na gestão dos dados dos clientes.

Dessa forma, todo o esforço no desenvolvimento de sistemas de softwares que envolvam o objetivo de segurança de dados pessoais deve considerar três esferas:

a)    o comportamento das pessoas envolvidas;

b)    as normas jurídicas e técnicas que disciplinam o assunto; e

c)    a tecnologia e suas mudanças constantes.

Nesse sentido, para a melhor compreensão do assunto, devemos conhecer três documentos publicados no formato ABA Formal Opinion:

1.    Securing Communication of Protected Client Information (477R/2017);

2.    Lawyers Obligation after an Eletronic Data Breach or Cyberattack (483/ 2018);

3.    Virtual Practice (498/2021).

Além disso, os escritórios devem observar quatro das denominadas ABA Model Rules: para o melhor atendimento possível de seus clientes:

a)    1.1 – Competência:

A lawyer shall provide competent representation to a client. Competent representation requires the legal knowledge, skill, thoroughness and preparation reasonably necessary for the representationiii.

b)    1.4 – Comunicação:

(a) A lawyer shall:

(1) promptly inform the client of any decision or circumstance with respect to which the client's informed consent, as defined in Rule 1.0(e), is required by these Rules;

(…)

(b) A lawyer shall explain a matter to the extent reasonably necessary to permit the client to make informed decisions regarding the representationiv.

c) 1.6 – Confidencialidade da informação:

(a) A lawyer shall not reveal information relating to the representation of a client unless the client gives informed consent, the disclosure is impliedly authorized in order to carry out the representation or the disclosure is permitted by paragraph (b).

(…)

(c)  A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relating to the representation of a client.v

d) 5.1 – Responsabilidade do Advogado Supervisor: (b) A lawyer having direct supervisory authority over another lawyer shall make reasonable efforts to ensure that the other lawyer conforms to the Rules of Professional Conduct.vi

e) 5.2 – Responsabilidade do Advogado Supervisionado:

(a) A lawyer is bound by the Rules of Professional Conduct notwithstanding that the lawyer acted at the direction of another person.

(b) A subordinate lawyer does not violate the Rules of Professional Conduct if that lawyer acts in accordance with a supervisory lawyer's reasonable resolution of an arguable question of professional dutyvii.

f) 5.3 – Responsabilidade sobre Não Advogados:

(b) a lawyer having direct supervisory authority over the nonlawyer shall make reasonable efforts to ensure that the person's conduct is compatible with the professional obligations of the lawyer;viii

Apesar de toda estrutura normativa das Aba Model Rules para disciplinar a responsabilidade profissional, em uma pesquisa recente, 25% dos advogados consultados responderam que, em algum momento, os escritórios de advocacia em que trabalham foram atacados. Em resumo, dentre as principais causas, podemos destacar duas:

a)    Falta de conhecimento técnico;

b)    Falta de adoção das melhores práticas indicadas pelos especialistas.

Dessa forma, selecionamos três das melhores práticas recomendas pelos especialistas em segurança da informação e que podem ser adotadas imediatamente pelos escritórios de advocacia independentemente do seu tamanho (seja um advogado ou mais de mil advogados):

1) A primeira prática é a definição das responsabilidades dentro da estrutura dos escritórios:

a)    Coordenador Geral: é importante que o escritório tenha uma pessoa que possa coordenar os trabalhos referentes à segurança cibernética do escritório. Em escritórios de médio porte ou menores, normalmente, é o CEO, mas, em organizações maiores temos um profissional especializado e totalmente dedicado denominado Chief Security Officer (CSO);

b)    Todos os demais profissionais devem participar independentemente das suas posições e todas as suas funções devem ser mapeadas de maneira técnica: advogados, consultores (internos e externos), suporte (informática e administrativo) e outros prestadores de serviço.

2) A segunda prática é a adoção de políticas de segurança: nesse ponto, recordamos os dados estatísticos colhidos pela ABA em pesquisa realizada com os escritórios dos EUA:

a.    Sobre o nível de conhecimento e de implementação geral:

                                                 i.    17% não possuem qualquer tipo de política de segurança;

                                                ii.    8% desconhecem qualquer tipo de política de segurança.

b.    Sobre os escritórios que implementaram algum tipo de política de segurança:

                                                 i.    53% possuem política para retenção de informações de clientes;

                                                ii.    60% têm política sobre uso de e-mails;

                                               iii.    56% publicaram regras para o uso da internet;

                                               iv.    57% disciplinaram o uso de computadores dentro do escritório;

                                                v.    56% estabeleceram normas para o uso de computadores remotos;

                                               vi.    48% fixaram uma política para o uso das redes sociais;

                                              vii.    32% publicaram normas para o uso pessoal dos computadores;

                                            viii.    44% estabeleceram regras sobre a privacidade dos empregados.

c.    Em relação ao plano de emergência em caso de violação (ou incidente response), é sempre sugerida a divulgação de, pelo menos, um plano básico que envolve dois fatores:

                                                 i.    Checklist com ações que devem ser adotadas pelos departamentos envolvidos;

                                                ii.    Contato de um profissional da área de segurança (principalmente no caso de escritórios pequenos que não possuam quadro próprio de profissionais da área de tecnologia).

                                               iii.    Também sobre o incidente response, tendo em vista a sua relevância, verificou-se que apenas 36% dos escritórios dos EUA possuem um plano de emergência, sendo que:

1.    somente 12% dos escritórios individuais possuem esse plano;

2.    21% dos escritórios com 2 a 9 advogados já o implementaram;

3.    Quase 80% no caso dos escritórios com mais de 100 advogados já têm o plano divulgado internamente.

d.    Em relação à implementação das políticas de segurança, é importante que seja realizado um treinamento interno de maneira contínua e que tenha como foco:

                                                 i.    O conhecimento das ameaças;

                                                ii.    O domínio das técnicas sobre como realizar a proteção;

                                               iii.    A divulgação plena das políticas existentes (retenção, e-mails, internet, computadores internos e remotos, mídias sociais etc.);

                                               iv.    A compreensão dos tipos de profissionais e clientes:

1.    Conforme os dados e as informações armazenadas;

2.    De acordo com o tamanho do escritório.

 

3) A terceira prática é a identificação dos riscos. A base para a sua implementação é o conhecimento preciso tanto dos dados e das informações envolvidos quanto das tecnologias que são utilizadas tanto internamente quanto aquelas que são disponibilizadas para acesso pelos clientes. Dessa forma, devem ser atendidos três critérios básicos:

a.    Custos para manter a sua operação;

b.    Dificuldade de implementação das medidas de proteção;

c.    Dificuldades de uso principalmente pelos advogados.

Essas três práticas são apenas o ponto de partida que todo escritório de advocacia nos EUA deveria perseguir. As estatísticas indicam, no entanto, que a sua implementação ainda está distante de se tornar plena e, por isso, os esforços de conscientização pelas entidades como a ABA devem continuar.

A tendência identificada, no entanto, é o aumento das práticas de segurança incorporadas pelos escritórios de advocacia ao longo dos últimos anos, mas esses dados variam conforme o tamanho dos escritórios. Por outro lado, não se identificou que as práticas implementadas são as mesmas sugeridas pelos especialistas em defesa cibernética.

No Brasil, a atuação crescente de organizações dedicadas à proteção das informações como o IAPD (Instituto Avançado de Proteção de Dados)ix, além das normas específicas como a LGPD (Lei Geral de Proteção de Dados) devem intensificar tanto o levantamento de informações quanto o debate sobre esse assunto que impacta a vida de milhões de brasileiros.

Os alertas trazidos pela ABA devem ser considerados não apenas pelos escritórios de advocacia no Brasil, mas também pelos órgãos públicos e entidades privadas. A digitalização já é uma realidade, principalmente com a massificação dos dispositivos móveis. Agora, é o momento do questionamento: estamos, de fato, preparados para nos defender? Se a resposta automática for sim, pense novamente.

Finalmente, verificamos que os desafios enfrentados pelos escritórios de advocacia nos EUA devem servir como alerta para os escritórios brasileiros que, de fato, buscam a excelência na prestação de serviços aos seus clientes. O apoio especializado e a direção atualizada no que se refere às normas e as melhores práticas de segurança cibernética podem ser alcançados com o apoio de instituições dedicadas como o IAPD. Finalmente, se os ataques são uma certeza, a defesa deve ser uma constante no cotidiano de todos os escritórios.

______________

i OLIVEIRA, Cristina Godoy B.; MINTO, Giovanna Ap. Rossini. Segurança Cibernética em escritórios de advocacia. In Migalhas de Proteção de Dados, 16 julho 2021. Disponível << aqui>>. Acesso em 06 abril 2022.

ii AMERICAN BAR ASSOCIATION. Formal Opinion 483: Lawyers’ Obligation after an Electronic Data Breach or Cyberattack, 2018:” (...) the data security threat is so high that law enforcement officials regularly divide business entities into two categories: those that have been hacked and those that will be. Disponível<< aqui.>>. Acessado em: 05 abril 2022.

iii AMERICAN BAR ASSOCIATION. Rule 1.1: Competence. Disponível <aqui>. Acesso em 06 de abril de 2022.

iv AMERICAN BAR ASSOCIATION. Rule 1.4: Communications. Disponível <aqui>. Acesso em 06 de abril de 2022.

 

v AMERICAN BAR ASSOCIATION. Rule 1.6: Confidentiality of Information. Disponível <<aqui>>. Acesso em 06 de abril de 2022.

vi AMERICAN BAR ASSOCIATION. Rule 5.1: Responsabilities of a Partner or Supervisory Lawyer. Disponível <<aqui>>. Acesso em 06 de abril de 2022.

vii AMERICAN BAR ASSOCIATION. Rule 5.2: Responsabilities of a Subordinate Lawyer .Disponível <aqui>. Acesso em 06 de abril de 2022.

viii AMERICAN BAR ASSOCIATION. Rule 5.3: Responsabilities regarding nonlawyer assistance. Disponível <<aqui>>. Acesso em 06 de abril de 2022

ix IAPD. Artigos: Instituto Avançado de Proteção de Dados. São Paulo, 2022. Disponível << aqui>>. Acesso em 06 de abril de 2022.

 

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.