Segurança cibernética em escritórios de advocacia
sexta-feira, 16 de julho de 2021
Atualizado às 09:49
1. Introdução
No dia 3 de abril de 2016, veio à tona um escândalo: "o vazamento de 11,5 milhões de documentos de um escritório revelou como personalidades do mundo criam empresas offshore na tentativa de evadir impostos"1. Trata-se do caso conhecido como "Panama Papers", que envolveu o escritório de advocacia panamenho "Mossack Fonseca", especializado na criação de offshores, que após um ataque hacker em seu servidor de e-mail, culminou na divulgação de dados de transações de diversos clientes do mundo todo.
No mesmo ano, ao longo das negociações sobre fusão de dois importantes escritórios de advocacia da cidade de Nova Iorque (Cravath, Swaine & Moore e Weil Gotshal & Manges), hackers invadiram os sistemas que estavam sendo reestruturados, acessando informações valiosas, como documentos financeiros dos clientes e negociações confidenciais ,que lhes renderam em torno de US$ 4 milhões de dólares2 pelo "sequestro de dados".
Em 2019, o CNJ teve uma invasão em 94 bancos de dados de seu sistema. Neste caso, números de contas bancárias, telefone, CPF e credenciais de acesso aos serviços mantidos pelo CNJ foram os alvos dos hackers3. Em agosto de 2020, a Ordem dos Advogados do Brasil nacional expôs dados pessoais de advogados e advogadas, por meio de uma falha no seu sistema interno de armazenamentos de dados dos profissionais do direito4.
As notícias acima evidenciam o crescente aumento dos ataques cibernéticos no espaço jurídico. As informações, entretanto, não se limitam ao âmbito privado, sendo que no último ano também foram noticiadas invasões em sites do Poder Judiciário. Em novembro de 2020, o alvo foi a rede e sistemas do Superior Tribunal de Justiça5, cujas atividades ficaram suspensas por 07 dias. No mesmo ano, o Tribunal Regional Federal da 1ª Região e o Tribunal de Justiça do Rio Grande do Sul também foram vítimas dos invasores e, recentemente, o Supremo Tribunal Federal teve suas atividades paralisadas6.
Neste contexto, sobretudo em um cenário de pandemia, em que os escritórios e empresas paralisaram suas atividades e os funcionários acessam os sistemas por meio de suas redes particulares, cresce a preocupação sobre o aumento nos ataques de hackers.
Um dos aspectos mais importantes na relação advogado-cliente é a confiança. O dever de sigilo profissional e de eticidade está amparado por disposições previstas no Código de Ética da OAB7. Diante disso, para que os advogados prestem assistência jurídica adequada aos seus clientes devem ter conhecimento básico quanto ao funcionamento de dispositivos eletrônicos e redes sociais.
Os ataques ocorrem pelos mais variados motivos8. São dados pessoais e confidenciais que estão sendo retidos a fim de, muitas vezes, render lucros a quem os detenha, sejam eles financeiros ou pessoais. No caso da invasão ao site do Tribunal do Rio Grande do Sul, por exemplo, os hackers acessaram todas as informações processuais armazenadas no banco de dados (arquivos sigilosos, dados de pessoas e funcionários como declarações de imposto de renda e remunerações) e exigiram pagamento em bitcoins como resgate das informações hackeadas9.
2. Por que os escritórios são as novas vítimas de ataques cibernéticos?
As notícias acendem um alerta vermelho e passamos a questionar as razões dos alvos preferenciais serem as firmas de advocacia em detrimento das próprias empresas.
Primeiro, os hackers são atraídos pela quantidade e pela qualidade de documentos disponíveis em escritórios de advocacia, incluindo dados financeiros confidenciais de clientes, e dos próprios funcionários, estratégias de negociação, transações, fusões. Logo, infiltrar-se em sistemas das firmas de advocacia é um ótimo método de obtenção de dados pessoais e informações pessoais sensíveis, permitindo até mesmo uma forma de manipulação do mercado. Além disso, os escritórios muitas vezes têm um sistema de segurança pior do que os seus clientes10.
Isso porque muita segurança pode ser um problema. Altos padrões de proteção implicam em escolhas de diferentes senhas para acesso em cada arquivo, contas de e-mail, criptografia de arquivos e outras medidas. Do mesmo modo, priva os profissionais de acessarem dados pessoais sensíveis por seus dispositivos móveis e tudo isso pode implicar em perda de eficiência e de produtividade11.
Por fim, nós nos deparamos com uma questão cultural. Os escritórios de advocacia, tradicionalmente, são pensados como uma sociedade em que todos os funcionários são parceiros e co-proprietários da empresa. Em um ambiente em que todos são "chefes", torna-se difícil impor padrões de segurança que podem ser considerados analógicos e ineficientes12.
Ocorre que a falta de investimento em padrões de segurança coloca em risco informações sigilosas de clientes e afeta diretamente os deveres de ética e de sigilo profissional, mandamentos fundamentais na advocacia. Neste cenário, cresce a pressão para que os escritórios invistam em cibersegurança e mantenham a confiança de seus clientes13.
3. Os modelos de conduta norte-americana
A experiência norte-americana, após os ataques que mencionamos no início deste artigo, fez com que a Ordem dos Advogados dos Estados Unidos - American Bar Association (ABA) - editasse uma série de recomendações para que os profissionais lidem de modo adequado com o grande volume de dados que lhes são confidenciados e com as novas tecnologias implementadas em seus escritórios; evitando, portanto, expor dados de seus clientes.
Embora sempre tenha havido uma base legal e ética para proteger as informações confidenciais, essa responsabilidade ficou ainda mais clara com a emissão do Parecer Formal n. 483 da ABA. No documento, há instruções sobre a necessidade de se criar um time de TI no escritório, de fornecer treinamentos constantes à equipe de modo a assegurar o melhor uso das mais recentes tecnologias e de impor o dever de notificação e de transparência aos clientes sobre eventuais invasões cibernéticas14.
Recentemente, em 10 de março de 2021, a ABA emitiu um novo Parecer Formal (Formal Opinion 496) preocupada em estabelecer normas de conduta para o home office. A ABA recomenda, por exemplo, que os escritórios criem protocolos para o trabalho remoto indicando as condutas que devem ser adotadas para garantir a confidencialidade dos dados pessoais e informações de seus clientes, bem como que se evite o uso de sistemas de Wifi não seguros (como em cafeterias e locais públicos, em que é comum vermos profissionais trabalhando) para transmitir e armazenar documentos de clientes, evitando assim que os dados estejam mais vulneráveis.
A "Opinion 496" aborda as principais considerações éticas relacionadas a prática virtual da advocacia, dentre elas:
(i) os advogados devem garantir que os sistemas de hardware e software estejam protegidos contra acessos não autorizados, utilizando criptografia, antivírus, e roteadores seguros, (ii) documentos virtuais e plataformas de troca, como as de e-mail, devem garantir os recursos de segurança adequados, (iii) necessidade de se observar a capacidade de escuta dos dispositivos como alto-falantes inteligentes e garantir que essas funções estejam desabilitadas para evitar o acesso não autorizado, (iv) as reuniões e sessões por vídeo-conferência devem ser acessadas apenas por meio de senhas fortes e não devem ser ouvidas ou vistas por terceiros e as gravações são desaconselhadas na ausência do consentimento do cliente e, finalmente, (v) os advogados devem estar cientes dos limites do trabalho virtual e evitar, por exemplo, receber documentos confidenciais de clientes fora do escritório em situações em que o meio eletrônico não seja uma opção15.
Ainda que o mundo esteja caminhando para a superação da pandemia com indícios de que a vida "normal" será retomada, a prática remota se tornará cada vez mais comum e o trabalho do escritório passará a depender cada vez mais da tecnologia, sendo que as recomendações acima expostas permanecerão relevantes mesmo com o retorno dos advogados aos seus escritórios de forma presencial.
Outro aspecto também relacionado ao vazamento de dados inclui a preocupação da ABA em regulamentar o uso das redes sociais pelos advogados, já que se a ferramenta for utilizada indevidamente, o profissional pode expor dados pessoais de seu cliente em uma postagem. Sobre o tema, a ABA editou mais um Parecer Formal (Formal opinion 480) reiterando que o dever de confidencialidade do advogado se aplica a todos os lugares, inclusive na comunicação online. O documento veda postagens em que são expostos detalhes sobre casos e descrições de cliente, ainda que se ocultem as identidades dos personagens principais, submetendo a publicidade ao consentimento16.
4. A regulamentação do uso de tecnologias no Brasil
No Brasil, o Provimento 94/00 dispõe sobre a publicidade, propaganda e informação na advocacia. Em razão dos avanços tecnológicos desde a edição do documento, os Conselheiros do Conselho Federal da Ordem dos Advogados do Brasil estão se reunindo para aprovar modificações em alguns artigos, notadamente, no que diz respeito à publicidade e ao marketing na advocacia, pois é o meio pelo qual os profissionais estão se apresentando para o mercado a fim de angariar a atenção e o respeito da sociedade em geral, estabelecendo cada vez mais vínculos profissionais
Atualmente, foram aprovados os quatro primeiros artigos do novo provimento que visa a disciplinar as regras de publicidade na advocacia17. Dessa maneira, o marketing digital foi autorizado pelo Conselho Federal da OAB para a divulgação dos serviços advocatícios; contudo, os anúncios impulsionados devem possuir caráter informativo e serem sóbrios, não devendo estimular a ocorrência de litígios. Ainda é necessária a aprovação de outros oito artigos para que a proposta de alteração do Provimento 94/00 seja efetivada na integralidade. Assim, cumpre à comunidade jurídica acompanhar as discussões sobre este importante assunto que mudará a maneira como os escritórios e advogados realizarão a sua comunicação no ambiente virtual.
5. Reflexões finais
Não se ignora os louváveis esforços para atualizar as regras de conduta dos profissionais frente às evoluções sociais. Contudo, ainda carece de regulamentação o uso das tecnologias nos escritórios visando a coibir o vazamento de dados pela invasão em seus sistemas.
Importando a experiência estrangeira, a OAB poderia ofertar treinamento para que os advogados possuam conhecimento básico quanto ao uso de tecnologias e aos riscos de seu emprego. Os escritórios, por outro lado, deveriam estabelecer um modelo de governança de dados, registrar as atividades que envolvam o tratamento de dados pessoais (mapeando os dados tratados), determinar controle de acesso a informações conforme as funções desempenhadas por cada colaborador e, por fim, revisar os contratos firmados com os clientes, colaboradores e fornecedores, incluindo cláusulas específicas de proteção de dados de acordo com as especificidades da relação contratual firmada.
A internet, sem dúvidas, propiciou maior facilidade de comunicação e transmissão de informações entre clientes e advogados e ao mesmo tempo traz também mais obrigações quanto ao sigilo de dados. Este artigo longe de propor soluções, visou a demonstrar a prioridade máxima que deve ser concedida à segurança cibernética nos escritórios de advocacia, eliminando ao máximo a possibilidade de invasões e garantindo que seus clientes estejam a salvo de vazamento de dados e de informações.
___________
1 Clique aqui.
3 Clique aqui.
4 Clique aqui.
5 Clique aqui.
6 Os recentes ataques cibernéticos ao Poder Judiciário e a LGPD.
7 Art. 25: O sigilo profissional é inerente à profissão, impondo-se o seu respeito, salvo grave ameaça ao direito à vida, à honra, ou quando o advogado se veja afrontado pelo próprio cliente e, em defesa própria, tenha que revelar segredo, porém sempre restrito ao interesse da causa".
8 Clique aqui.
9 Clique aqui.
10 EZEKIEL, Alan W., Hackers, spies and stole secrets: protecting law firms from data theft in Harvard Journal of law and technology, v. 26, n. 2, 2013. Disponível em clique aqui.
11 COURSEY, David., Study: hacking password easy as 123456 em clique aqui.
12 EZEKIEL, Alan W., op. cit., p. 656.
13 MCNERNEY, Michael; PAPADOULOS, Emilian. Hacker's Delight: Law Firm Risk and Liability in the Cyber Age. American University Law Review 62, n. 5, 2013, pp. 1243-1272. Disponível em clique aqui.
14 Clique aqui.
15 Clique aqui.
16 Clique aqui.
17 OAB libera impulsionamento pago de conteúdo jurídico sem captação de clientela.