MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Migalhas de peso >
  4. A responsabilidade civil dos profissionais da informação

A responsabilidade civil dos profissionais da informação

Roberto Leibholz Costa

Um panorama geral da responsabilidade civil dos CSO (Chief Security Officers) diretores, gerentes e demais profissionais da área de segurança e TI

segunda-feira, 25 de outubro de 2004

Atualizado em 16 de agosto de 2004 10:29

A responsabilidade civil dos profissionais da informação


Roberto Leibholz Costa*

Um panorama geral da responsabilidade civil dos CSO (Chief Security Officers) diretores, gerentes e demais profissionais da área de segurança e TI.

Os novos tempos, projetam a informação como principal e mais valioso bem das empresas. Em todas as áreas, podemos afirmar sem sombra de duvida, que quem detém a informação detém o poder.

Junto esta valorização da informação vem a valorização do profissional que cuida dela. Seja quem a estrutura (profissionais de TI) seja quem a protege (profissionais de segurança) ganharam mais importância dentro das organizações. Não é a toa, que os diretores de TI hoje, figuram em grau de importância ao lado dos diretores financeiros e por vezes acima deles.

Como não poderia deixar de ser, o profissional da informação, na medida que conquistou importância também incorporou responsabilidades.

Além da responsabilidade de manter o bom funcionamento e integração dos sistemas eletrônicos, estes profissionais são responsáveis também pelos danos decorrentes de sua atividade.

Breve visão sobre danos

A internet figura como instrumento de interconexão entre organizações, é o principal meio de transporte da informação. Através da internet infinitas e inéditas possibilidades de relacionamento podem existir. É sem duvida a maior revolução do século. Por outro lado, o que pode ser utilizado para o bem, também pode ser utilizado para o mau.

Em épocas onde as empresas mantinham seus sistemas isolados, os riscos de danos eram restritos a ações internas da empresa, desta forma, bem menores que os atuais.

Através da internet é possível realizar negócios, buscar e trocar informações, mas também é possível invadir sistemas, furtar informações sigilosas, causar danos irreparáveis.

Como exemplo, temos o recente apagão de 14 de agosto que afetou parte dos Estados Unidos e Canada. Segundo Gary Seifert, pesquisador do Departamento de Energia dos EUA, o vírus MSBlast teria provocado um congestionamento nos links de comunicação usados pelos técnicos daquelas empresas, o que impediu que eles tomassem providências imediatas para evitar o incidente.

Se é verdade ou não, isso nunca saberemos, contudo a possibilidade não é descartável.

A exposição ao risco é tamanha, que me assusto ao imaginar um Hacker no comando das comportas da Usina Hidrelétrica de Itaipu.

A Responsabilidade Civil

Além da responsabilidade ética e profissional daqueles que cuidam da informação e meios de comunicação, temos ainda a responsabilidade legal.

Alargada pelo novo Código Civil, atualmente os profissionais desta área respondem legalmente pelos danos causados através dos meios eletrônicos.

Vejamos o que diz o novo Código Civil:

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem"

Se neste momento você deu um salto de espanto e indignação, peço calma. Esta responsabilização e o conseqüente dever de indenizar obedecem critérios.

Em primeiro lugar devemos observar seu cargo e atribuições, formação societária da empresa entre outros critérios.

Em segunda análise, seus atos e a relação (nexo causal) que eles tem com o dano.

Vejamos o que diz os artigos 186 e 187 do mesmo código:

"Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito".

"Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes".

Principalmente o artigo 186 é importante para nosso estudo, o texto tem o seguinte significado: ação ou omissão = por ter praticado ou deixado como estava; negligencia ou imprudência = não ter tomado os devidos cuidados.

Desta forma para que exista o dever de indenizar, você deve, no exercício de suas funções, ter sido displicente ou pouco cauteloso e essa conduta ter gerado dano a outrem.

Para ser mais prático, existiria hipoteticamente responsabilidade e dever de indenizar, se por exemplo, um hacker destruísse o banco de dados de uma empresa e o gerente de segurança sabia que o firewall estava com o software desatualizado por 3 versões e nada fez para corrigir.

Fatos imprevisíveis como terremoto, atentado terrorista e furacão, são chamados no direito de caso fortuito ou força maior, esses para o seu sossego, não geram responsabilidade. Contudo a invasão, entre outros eventos danosos, não podem no mundo moderno que vivemos ser considerados como imprevisíveis.

Uma boa conduta

É certo que você como bom profissional que é, já deve estar tomando todos os cuidados para o bom funcionamento e segurança das informações de sua organização. Infelizmente existem milhares de pessoas mal intencionadas querendo atrapalhar o seu trabalho e lhe trazer surpresas desagradáveis.

Existem algumas formas de você se abster da responsabilidade e seguir com seu trabalho tranqüilamente.

Veja algumas dicas:

1- Tenha um descritivo atualizado de suas funções, atribuições e responsabilidades.

2- Descreva a situação atual da organização com relação a sua área, enfatizando todos os riscos que possam existir. Divulgue este documento para a alta gerência e faça constar que estão cientes.

3- Proponha soluções e melhorias, elabore um projeto ideal. Se ele não for aceito em razão de custo (muito comum) ou outra razão, faça constar que você o propôs.

4- Observe as normas de segurança. Atualmente temos diversas normas nacionais e internacionais, uma norma de segurança importante de ser observada é a ABNT NBR ISO/IEC 17799 que dispõe sobre práticas para a gestão da segurança da informação.

5- Mantenha-se informado, esteja atualizado em relação a novas vulnerabilidades e correções de segurança. Participe de listas de discussão por e-mail e visite regularmente os sites dos fornecedores. Não se deixe levar por boatos, procure fontes seguras. Alguns sites e listas são de visita obrigatória.

https://www.securityfocus.com

https://www.securitymagazine.com.br

https://www.cert.org/contact_cert/certmaillist.html

https://www.cert.org/advisories

https://www.cert.org/current/current_activity.html

https://www.incidents.org


Conclusões

A vida dos profissionais da informação, que já é das mais atarefadas deve reservar um espaço para o estudo jurídico dos impactos das novas tecnologias no direito. Não se trata apenas de questões curiosas e sim de questões que repercutem profundamente no dia a dia do profissional. Observar a lei é mais que precaução é um dever.
___________

*Advogado do escritório Opice Blum Advogados





___________

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP