Migalhas de Peso

A responsabilidade civil dos profissionais da informação

Um panorama geral da responsabilidade civil dos CSO (Chief Security Officers) diretores, gerentes e demais profissionais da área de segurança e TI

25/10/2004

A responsabilidade civil dos profissionais da informação


Roberto Leibholz Costa*

Um panorama geral da responsabilidade civil dos CSO (Chief Security Officers) diretores, gerentes e demais profissionais da área de segurança e TI.

Os novos tempos, projetam a informação como principal e mais valioso bem das empresas. Em todas as áreas, podemos afirmar sem sombra de duvida, que quem detém a informação detém o poder.

Junto esta valorização da informação vem a valorização do profissional que cuida dela. Seja quem a estrutura (profissionais de TI) seja quem a protege (profissionais de segurança) ganharam mais importância dentro das organizações. Não é a toa, que os diretores de TI hoje, figuram em grau de importância ao lado dos diretores financeiros e por vezes acima deles.

Como não poderia deixar de ser, o profissional da informação, na medida que conquistou importância também incorporou responsabilidades.

Além da responsabilidade de manter o bom funcionamento e integração dos sistemas eletrônicos, estes profissionais são responsáveis também pelos danos decorrentes de sua atividade.

Breve visão sobre danos

A internet figura como instrumento de interconexão entre organizações, é o principal meio de transporte da informação. Através da internet infinitas e inéditas possibilidades de relacionamento podem existir. É sem duvida a maior revolução do século. Por outro lado, o que pode ser utilizado para o bem, também pode ser utilizado para o mau.

Em épocas onde as empresas mantinham seus sistemas isolados, os riscos de danos eram restritos a ações internas da empresa, desta forma, bem menores que os atuais.

Através da internet é possível realizar negócios, buscar e trocar informações, mas também é possível invadir sistemas, furtar informações sigilosas, causar danos irreparáveis.

Como exemplo, temos o recente apagão de 14 de agosto que afetou parte dos Estados Unidos e Canada. Segundo Gary Seifert, pesquisador do Departamento de Energia dos EUA, o vírus MSBlast teria provocado um congestionamento nos links de comunicação usados pelos técnicos daquelas empresas, o que impediu que eles tomassem providências imediatas para evitar o incidente.

Se é verdade ou não, isso nunca saberemos, contudo a possibilidade não é descartável.

A exposição ao risco é tamanha, que me assusto ao imaginar um Hacker no comando das comportas da Usina Hidrelétrica de Itaipu.

A Responsabilidade Civil

Além da responsabilidade ética e profissional daqueles que cuidam da informação e meios de comunicação, temos ainda a responsabilidade legal.

Alargada pelo novo Código Civil, atualmente os profissionais desta área respondem legalmente pelos danos causados através dos meios eletrônicos.

Vejamos o que diz o novo Código Civil:

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem"

Se neste momento você deu um salto de espanto e indignação, peço calma. Esta responsabilização e o conseqüente dever de indenizar obedecem critérios.

Em primeiro lugar devemos observar seu cargo e atribuições, formação societária da empresa entre outros critérios.

Em segunda análise, seus atos e a relação (nexo causal) que eles tem com o dano.

Vejamos o que diz os artigos 186 e 187 do mesmo código:

"Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito".

"Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes".

Principalmente o artigo 186 é importante para nosso estudo, o texto tem o seguinte significado: ação ou omissão = por ter praticado ou deixado como estava; negligencia ou imprudência = não ter tomado os devidos cuidados.

Desta forma para que exista o dever de indenizar, você deve, no exercício de suas funções, ter sido displicente ou pouco cauteloso e essa conduta ter gerado dano a outrem.

Para ser mais prático, existiria hipoteticamente responsabilidade e dever de indenizar, se por exemplo, um hacker destruísse o banco de dados de uma empresa e o gerente de segurança sabia que o firewall estava com o software desatualizado por 3 versões e nada fez para corrigir.

Fatos imprevisíveis como terremoto, atentado terrorista e furacão, são chamados no direito de caso fortuito ou força maior, esses para o seu sossego, não geram responsabilidade. Contudo a invasão, entre outros eventos danosos, não podem no mundo moderno que vivemos ser considerados como imprevisíveis.

Uma boa conduta

É certo que você como bom profissional que é, já deve estar tomando todos os cuidados para o bom funcionamento e segurança das informações de sua organização. Infelizmente existem milhares de pessoas mal intencionadas querendo atrapalhar o seu trabalho e lhe trazer surpresas desagradáveis.

Existem algumas formas de você se abster da responsabilidade e seguir com seu trabalho tranqüilamente.

Veja algumas dicas:

1- Tenha um descritivo atualizado de suas funções, atribuições e responsabilidades.

2- Descreva a situação atual da organização com relação a sua área, enfatizando todos os riscos que possam existir. Divulgue este documento para a alta gerência e faça constar que estão cientes.

3- Proponha soluções e melhorias, elabore um projeto ideal. Se ele não for aceito em razão de custo (muito comum) ou outra razão, faça constar que você o propôs.

4- Observe as normas de segurança. Atualmente temos diversas normas nacionais e internacionais, uma norma de segurança importante de ser observada é a ABNT NBR ISO/IEC 17799 que dispõe sobre práticas para a gestão da segurança da informação.

5- Mantenha-se informado, esteja atualizado em relação a novas vulnerabilidades e correções de segurança. Participe de listas de discussão por e-mail e visite regularmente os sites dos fornecedores. Não se deixe levar por boatos, procure fontes seguras. Alguns sites e listas são de visita obrigatória.

https://www.securityfocus.com

https://www.securitymagazine.com.br

https://www.cert.org/contact_cert/certmaillist.html

https://www.cert.org/advisories

https://www.cert.org/current/current_activity.html

https://www.incidents.org


Conclusões

A vida dos profissionais da informação, que já é das mais atarefadas deve reservar um espaço para o estudo jurídico dos impactos das novas tecnologias no direito. Não se trata apenas de questões curiosas e sim de questões que repercutem profundamente no dia a dia do profissional. Observar a lei é mais que precaução é um dever.
___________

*Advogado do escritório Opice Blum Advogados





___________

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024