As informações mais sensíveis dos seus clientes serão acessadas indevidamente. Isso seria fato se você estivesse nos EUA. Essa afirmação poderia parecer exagero, mas foi isso o que foi registrado no documento denominado “ABA Formal Opinion 483”, que é um relatório preparado pela American Bar Association (ABA). Aqui, no Brasili, ainda não temos dados suficientes para afirmar, mas acreditamos que a situação não seja muito diferente.
O objetivo deste breve artigo será apresentar, em caráter preliminar, algumas das principais medidas que são recomendadas pelos especialistas em segurança cibernética, mas que não são amplamente implementadas nos escritórios de advocacia nos EUA. Em síntese, os motivos variam desde o desconhecimento, passando pelo tamanho do escritório até o tipo de informação que é armazenada.
O relatório “ABA Formal Opinion 483” destaca logo em sua introdução:
(...) a ameaça à segurança da informação é tão alta que os órgãos de controle regularmente separam as entidades empresariais em duas categorias: aquelas que foram invadidas e aquelas que ainda serão.” (tradução livre)ii.
Assim, nenhuma empresa está totalmente protegida e, conforme veremos a seguir, o mesmo pode se dizer dos escritórios de advocacia nos EUA.
Em síntese, no que se refere à responsabilidade dos escritórios de advocacia em relação aos dados e às informações dos seus clientes, temos os aspectos legais e contratuais. Assim, espera-se que sejam garantidos:
a) a proteção dos dados dos clientes;
b) o consentimento informado dos clientes; e
c) a supervisão de todas as pessoas envolvidas na gestão dos dados dos clientes.
Dessa forma, todo o esforço no desenvolvimento de sistemas de softwares que envolvam o objetivo de segurança de dados pessoais deve considerar três esferas:
a) o comportamento das pessoas envolvidas;
b) as normas jurídicas e técnicas que disciplinam o assunto; e
c) a tecnologia e suas mudanças constantes.
Nesse sentido, para a melhor compreensão do assunto, devemos conhecer três documentos publicados no formato ABA Formal Opinion:
1. Securing Communication of Protected Client Information (477R/2017);
2. Lawyers Obligation after an Eletronic Data Breach or Cyberattack (483/ 2018);
3. Virtual Practice (498/2021).
Além disso, os escritórios devem observar quatro das denominadas ABA Model Rules: para o melhor atendimento possível de seus clientes:
a) 1.1 – Competência:
A lawyer shall provide competent representation to a client. Competent representation requires the legal knowledge, skill, thoroughness and preparation reasonably necessary for the representationiii.
b) 1.4 – Comunicação:
(a) A lawyer shall:
(1) promptly inform the client of any decision or circumstance with respect to which the client's informed consent, as defined in Rule 1.0(e), is required by these Rules;
(…)
(b) A lawyer shall explain a matter to the extent reasonably necessary to permit the client to make informed decisions regarding the representationiv.
c) 1.6 – Confidencialidade da informação:
(a) A lawyer shall not reveal information relating to the representation of a client unless the client gives informed consent, the disclosure is impliedly authorized in order to carry out the representation or the disclosure is permitted by paragraph (b).
(…)
(c) A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relating to the representation of a client.v
d) 5.1 – Responsabilidade do Advogado Supervisor: (b) A lawyer having direct supervisory authority over another lawyer shall make reasonable efforts to ensure that the other lawyer conforms to the Rules of Professional Conduct.vi
e) 5.2 – Responsabilidade do Advogado Supervisionado:
(a) A lawyer is bound by the Rules of Professional Conduct notwithstanding that the lawyer acted at the direction of another person.
(b) A subordinate lawyer does not violate the Rules of Professional Conduct if that lawyer acts in accordance with a supervisory lawyer's reasonable resolution of an arguable question of professional dutyvii.
f) 5.3 – Responsabilidade sobre Não Advogados:
(b) a lawyer having direct supervisory authority over the nonlawyer shall make reasonable efforts to ensure that the person's conduct is compatible with the professional obligations of the lawyer;viii
Apesar de toda estrutura normativa das Aba Model Rules para disciplinar a responsabilidade profissional, em uma pesquisa recente, 25% dos advogados consultados responderam que, em algum momento, os escritórios de advocacia em que trabalham foram atacados. Em resumo, dentre as principais causas, podemos destacar duas:
a) Falta de conhecimento técnico;
b) Falta de adoção das melhores práticas indicadas pelos especialistas.
Dessa forma, selecionamos três das melhores práticas recomendas pelos especialistas em segurança da informação e que podem ser adotadas imediatamente pelos escritórios de advocacia independentemente do seu tamanho (seja um advogado ou mais de mil advogados):
1) A primeira prática é a definição das responsabilidades dentro da estrutura dos escritórios:
a) Coordenador Geral: é importante que o escritório tenha uma pessoa que possa coordenar os trabalhos referentes à segurança cibernética do escritório. Em escritórios de médio porte ou menores, normalmente, é o CEO, mas, em organizações maiores temos um profissional especializado e totalmente dedicado denominado Chief Security Officer (CSO);
b) Todos os demais profissionais devem participar independentemente das suas posições e todas as suas funções devem ser mapeadas de maneira técnica: advogados, consultores (internos e externos), suporte (informática e administrativo) e outros prestadores de serviço.
2) A segunda prática é a adoção de políticas de segurança: nesse ponto, recordamos os dados estatísticos colhidos pela ABA em pesquisa realizada com os escritórios dos EUA:
a. Sobre o nível de conhecimento e de implementação geral:
i. 17% não possuem qualquer tipo de política de segurança;
ii. 8% desconhecem qualquer tipo de política de segurança.
b. Sobre os escritórios que implementaram algum tipo de política de segurança:
i. 53% possuem política para retenção de informações de clientes;
ii. 60% têm política sobre uso de e-mails;
iii. 56% publicaram regras para o uso da internet;
iv. 57% disciplinaram o uso de computadores dentro do escritório;
v. 56% estabeleceram normas para o uso de computadores remotos;
vi. 48% fixaram uma política para o uso das redes sociais;
vii. 32% publicaram normas para o uso pessoal dos computadores;
viii. 44% estabeleceram regras sobre a privacidade dos empregados.
c. Em relação ao plano de emergência em caso de violação (ou incidente response), é sempre sugerida a divulgação de, pelo menos, um plano básico que envolve dois fatores:
i. Checklist com ações que devem ser adotadas pelos departamentos envolvidos;
ii. Contato de um profissional da área de segurança (principalmente no caso de escritórios pequenos que não possuam quadro próprio de profissionais da área de tecnologia).
iii. Também sobre o incidente response, tendo em vista a sua relevância, verificou-se que apenas 36% dos escritórios dos EUA possuem um plano de emergência, sendo que:
1. somente 12% dos escritórios individuais possuem esse plano;
2. 21% dos escritórios com 2 a 9 advogados já o implementaram;
3. Quase 80% no caso dos escritórios com mais de 100 advogados já têm o plano divulgado internamente.
d. Em relação à implementação das políticas de segurança, é importante que seja realizado um treinamento interno de maneira contínua e que tenha como foco:
i. O conhecimento das ameaças;
ii. O domínio das técnicas sobre como realizar a proteção;
iii. A divulgação plena das políticas existentes (retenção, e-mails, internet, computadores internos e remotos, mídias sociais etc.);
iv. A compreensão dos tipos de profissionais e clientes:
1. Conforme os dados e as informações armazenadas;
2. De acordo com o tamanho do escritório.
3) A terceira prática é a identificação dos riscos. A base para a sua implementação é o conhecimento preciso tanto dos dados e das informações envolvidos quanto das tecnologias que são utilizadas tanto internamente quanto aquelas que são disponibilizadas para acesso pelos clientes. Dessa forma, devem ser atendidos três critérios básicos:
a. Custos para manter a sua operação;
b. Dificuldade de implementação das medidas de proteção;
c. Dificuldades de uso principalmente pelos advogados.
Essas três práticas são apenas o ponto de partida que todo escritório de advocacia nos EUA deveria perseguir. As estatísticas indicam, no entanto, que a sua implementação ainda está distante de se tornar plena e, por isso, os esforços de conscientização pelas entidades como a ABA devem continuar.
A tendência identificada, no entanto, é o aumento das práticas de segurança incorporadas pelos escritórios de advocacia ao longo dos últimos anos, mas esses dados variam conforme o tamanho dos escritórios. Por outro lado, não se identificou que as práticas implementadas são as mesmas sugeridas pelos especialistas em defesa cibernética.
No Brasil, a atuação crescente de organizações dedicadas à proteção das informações como o IAPD (Instituto Avançado de Proteção de Dados)ix, além das normas específicas como a LGPD (Lei Geral de Proteção de Dados) devem intensificar tanto o levantamento de informações quanto o debate sobre esse assunto que impacta a vida de milhões de brasileiros.
Os alertas trazidos pela ABA devem ser considerados não apenas pelos escritórios de advocacia no Brasil, mas também pelos órgãos públicos e entidades privadas. A digitalização já é uma realidade, principalmente com a massificação dos dispositivos móveis. Agora, é o momento do questionamento: estamos, de fato, preparados para nos defender? Se a resposta automática for sim, pense novamente.
Finalmente, verificamos que os desafios enfrentados pelos escritórios de advocacia nos EUA devem servir como alerta para os escritórios brasileiros que, de fato, buscam a excelência na prestação de serviços aos seus clientes. O apoio especializado e a direção atualizada no que se refere às normas e as melhores práticas de segurança cibernética podem ser alcançados com o apoio de instituições dedicadas como o IAPD. Finalmente, se os ataques são uma certeza, a defesa deve ser uma constante no cotidiano de todos os escritórios.
i OLIVEIRA, Cristina Godoy B.; MINTO, Giovanna Ap. Rossini. Segurança Cibernética em escritórios de advocacia. In Migalhas de Proteção de Dados, 16 julho 2021. Disponível << aqui>>. Acesso em 06 abril 2022.
ii AMERICAN BAR ASSOCIATION. Formal Opinion 483: Lawyers’ Obligation after an Electronic Data Breach or Cyberattack, 2018:” (...) the data security threat is so high that law enforcement officials regularly divide business entities into two categories: those that have been hacked and those that will be. Disponível<< aqui.>>. Acessado em: 05 abril 2022.
iii AMERICAN BAR ASSOCIATION. Rule 1.1: Competence. Disponível <aqui>. Acesso em 06 de abril de 2022.
iv AMERICAN BAR ASSOCIATION. Rule 1.4: Communications. Disponível <aqui>. Acesso em 06 de abril de 2022.
v AMERICAN BAR ASSOCIATION. Rule 1.6: Confidentiality of Information. Disponível <<aqui>>. Acesso em 06 de abril de 2022.
vi AMERICAN BAR ASSOCIATION. Rule 5.1: Responsabilities of a Partner or Supervisory Lawyer. Disponível <<aqui>>. Acesso em 06 de abril de 2022.
vii AMERICAN BAR ASSOCIATION. Rule 5.2: Responsabilities of a Subordinate Lawyer .Disponível <aqui>. Acesso em 06 de abril de 2022.
viii AMERICAN BAR ASSOCIATION. Rule 5.3: Responsabilities regarding nonlawyer assistance. Disponível <<aqui>>. Acesso em 06 de abril de 2022
ix IAPD. Artigos: Instituto Avançado de Proteção de Dados. São Paulo, 2022. Disponível << aqui>>. Acesso em 06 de abril de 2022.