Quinta-feira, 17 de outubro de 2019

ISSN 1983-392X

Ética nas virtudes e vícios da TI: como o auditor jurídico avalia?

Jayme Vita Roso

Em geral, os arquitetos tem seu órgão institucionalizador e supervisor para o cumprimento de suas obrigações e responsabilidades profissionais, dentro e fora dos cometimentos usuais (Conselho Regional de Engenharia e Arquitetura) com filiação obrigatória para exercício regular da profissão.

quinta-feira, 20 de agosto de 2009


Ética nas virtudes e vícios da TI: como o auditor jurídico avalia?

Jayme Vita Roso*

IV

3.4 – Em geral, os arquitetos tem seu órgão institucionalizador e supervisor para o cumprimento de suas obrigações e responsabilidades profissionais, dentro e fora dos cometimentos usuais (Conselho Regional de Engenharia e Arquitetura) com filiação obrigatória para exercício regular da profissão.

O Conselho Federal de Engenharia, Arquitetura e Agronomia - CONFEA editou a Resolução 1002 de 26 de novembro de 2002 (clique aqui), pontualizando que as profissões mencionadas devem pautar suas condutas, visando "o bem-estar e o desenvolvimento do homem, em seu ambiente e em suas diversas dimensões: como indivíduo, família, comunidade, sociedade, nação e humanidade; nas suas raízes históricas, nas gerações atual e futura" (artigo 6º do Código de Ética).

Desconhece o escriba, confessadamente explícito, se os arquitetos de TI tem um órgão regulador e fiscalizador para os trabalhos que se apodaría de "construção de sistema" e "design do sistema". A inexistência, as dúvidas, litígios e os processos deverão ser lidados pela teoria de responsabilidade regida pelo Código Civil, remanescendo a indagação se aqueles trabalhos seriam de locação de serviços ou de empreitada. Este escriba, como para a função do auditor jurídico, com apoio nas lições de Luiz Fernando do Vale de Almeida Guilherme, engrossa a corrente de que o tipo de contrato é de locação de serviços, seja por profissional (pessoa física), seja por empresa especializada.

3.4.1 – Construir um sistema, por certo, envolve quase sempre uma razão provisória, como se cuidasse de uma aporia (raciocínio lógico, que leva a uma situação contraditória insolúvel, esta é a clássica idéia deste termo). Mas, seguramente, quando o arquiteto (técnico) é contratado para o design e a construção de um sistema, há o requisito essencial que antecede a qualquer outra habilitação técnica e, a posteriori, que o sistema seja executado segundo o design. Isso pressupõe execução adequada e conveniente ao cliente do design por ele aprovado e a construção, seguindo o design, obedeça todas as cautelas, até a complementação e sua aceitação, após testes, pelo cliente.

Se esse roteiro for seguido e compridas todas as providências não significa que o sistema estará imune de ataques de vírus.

Por isso, ocorrendo o ataque, o arquiteto não ficará isento de demonstrar e de provar que tomou todas as atitudes e todos cuidados técnicos, quer quando fez o design (projeto), quer quando executou o trabalho.

Mas, nem sempre, quem elabora o design faz a execução. Nesse caso, se o cliente escolheu o profissional que fez o design e outro para execução do projeto, terá a missão, ocorrendo qualquer tipo de ataque, de avaliar se o problema é decorrente de um sistema não propriamente elaborado ou se aconteceu falta de cuidado na construção .

E o auditor jurídico, no caso, poderá valer-se de experts externos para determinar se a ocorrência é gerada pelo design ou pela construção. Não se desprezarão comparações com outros sistemas semelhantes já instalados e operando sem crises. E lhe caberá sopesar o procedimento ético dos autores do serviço.

3.4.2 – Outra situação que poderá ser mais complexa, para aferição de responsabilidades e de procedimentos éticos dos profissionais, é quando a contratação abranger o design de um sistema, que vai substituir outro, seja porque obsoleto, seja porque inadequado ou defeituoso, seja porque há razões administrativas oriundas da constatação de falta de segurança assim o exija.

Aí o auditor jurídico terá que ir ao apogeu do seu mister, para avaliar se a mudança foi indispensável ou não; foi apropriadamente concluída para cumprir seu principal objetivo, a substituição do anterior por um outro, presumivelmente mais eficiente ou mais adequado ás necessidades do cliente. Ele deve deixar de lado a surrada doxa (opinião comum) para centrar-se na análise do caso e nas evidências que deverá coligir, a fim de não ser drástico, nem complacente, muito menos omisso com discrição e sem drama.

3.4.3 – Tem havido casos, raros por sinal, de que, em curso a implementação do sistema, constata-se que, provavelmente, ele não funcionará, nem atingirá os objetivos pleiteados pelo cliente.

Que deve fazer o profissional contratado, face a essa situação?

O menos recomendável, para ele e para a empresa contratante, é levar a questão, desde logo, à área jurídica.

É uma situação que, provavelmente, poderia ser omitida ou camuflada ou remendada. Seria ético esse comportamento?

Como o profissional é cumpridor de seus deveres e obrigações contratuais, levando em conta seu deveres axiológicos, então a via escolhida da divulgação, com as precauções e cautelas, apresenta-se como correta.

A abertura de um fato intercorrente ao cliente, seja qual for, dignificará o contratado e, mesmo se tem culpa, sua atitude adéqua-se ao perfil do profissional que se preza.

3.4.3.1 – Se ocorrer algum fato fortuito ou de força maior, na situação antes cuidada, comunicado o fato, à beira do termo do prazo a executá-los, o mesmo procedimento será adequado, quanto indispensável.

E que não se inventem a conclusão com emprego de reprováveis short cuts. Isso seria o cúmulo da irresponsabilidade e poderia resultar a perda da credibilidade e da confiança nesse ramo de atividade restritíssimo.

Afinal, que dará sentido a vida? Não, será a atitude incorreta, porque, isso fazendo, o profissional cairá na angústia diante dele mesmo. E o excelso psiquiatra Viktor E. Frankl, ao cuidar da moléstia do executivo, diz que ele pode levar a Lctus cardíaco, a tensões psíquicas, a alterações do sistema vascular, praticamente, a morte prematura, a não ser que "se evite as tensões exageradas"1.

Quem ousaria assumir um risco dessa natureza?

3.4.4 – Tempos passados, o auditor jurídico teve conhecimento de fatos, para responder uma consulta de um problema que não é raro ocorrer no dia-a-dia de empresas que zelam por seu desenvolvimento tecnológico, para melhor servir os clientes e gerar mais receitas.

Que fazer se, face a publicidade e artigos em revistas especializadas, a administração é motivada a adquirir equipamentos que lhe parecem mais adequados às suas atividades, porque resultado de inovações tecnológicas recentes.

Munem-se seus administradores de todas as informações. Consultam técnicos e recebem luz verde para a substituição de alguns segmentos de sua TI.

Adquirem os equipamentos, com as cautelas correntes e usuais na empresa, na expectativa de que o upgrade lhes será benéfico. Eis que, instalados, destroem o sistema pré-existente. Esses os fatos:

Que aconselhou o auditor jurídico?

O problema foi analisado na sua complexa integridade. A compradora estava legalmente documentada e muito bem assistida por seus advogados, antes e durante a longa negociação. De outra face, a vendedora era uma empresa com larga tradição e experiente e sobretudo sólida .

Procurou o auditor jurídico ser pragmático, com a atitude que consistiu em resolver o problema diretamente pela ação imediata e pela sua adaptação a situação concreta a empresa teria que suspender as atividades se a questão fosse submetida a arbitragem, como pactuado. Logo, agiu, não a partir de idéias pré concebidas ou de análises teóricas, mas do fato constatado: as partes assinaram um acordo, assumindo a vendedora responsabilidade pelo evento, tomando todas as ações dentro da exigüidade possível e exigida, em face das circunstâncias.

Trabalhando em conjunto, as partes resolveram o problema com muito mais tempo.

Imperaram a ética e a sinceridade nas relações das partes.

3.4.5 – Que se falar do uso de "e-mails alternativos"?

A auditoria reprova o seu uso, porque:

1) não haverá segurança de que algumas mensagens não fiquem gravadas ou não se percam dentro do sistema utilizado, seja por aluguel, por comodato ou por arrendamento;

2) não haverá segurança de que o portador da mensagem, sobretudo se confidencial, não a passe a terceiros, por ingenuidade, por despeito, ou por favores (até amorosos) ou por compensação financeira.

O auditor jurídico recomendou, com severidade, ao administrador: "Se o seu e-mail é lento, preguiçoso e ineficiente, mude o equipamento. Se não puder, trabalhe mais, mas, nunca e jamais, utilize o de terceiros, seja a que titulo for".

3.4.6 – Que se dizer de, "por gentileza", entregar seu PASSFLT e seu Password a terceiros, estranhos ou não à companhia?

O administrador, em qualquer razão, que entrega, ou facilita o acesso, ao PASSFLT e o Password estará cometendo falta grave funcional. Além da possibilidade de ter seu contrato rescindido, até poderá ser acionado por perdas e danos, além, e por que não, de um eventual processo crime.

Esta interdição é geral: quem detiver PASSFLT ou Password é empregado de confiança. Logo, a responsabilidade lhe é inerente ao grau de confiança. Assim, pensa o auditor jurídico.

3.4.7 – Que se dizer de testes no sistema?

Qualquer organização, por seus funcionários ou por terceiros (rigorosamente selecionados e contratados), deve proceder, com regularidade a testes, antes e depois da instalação do equipamento de TI. É obrigação fazê-lo. Postergar a providência é um risco desnecessário, cujos efeitos deletérios só poderão ser auferidos, quando o evento letal ocorrer.

Corolário: o responsável comete falta grave e deve pagar pela desídias, se mais grave não for sua indiferença ou negligência.

3.4.8 – Que se dizer a respeito de trabalhos interrompidos (cafezinho, jantar etc.), deixando o equipamento ligado?

É comum. É trivial. Seria normal? Seria prudente?

Embora ocorra, quem estiver operando o sistema poderá por em risco desnecessário dados e fatos e procedimentos que, por qualquer razão ou causa, são de interesse da companhia. Não importa o grau de relevância ou o valor financeiro ou o conteúdo. O equipamento da empresa é adquirido para ser empregado em suas atividades. As mensagens passadas ou recebidas (exceto, o "lixo") também lhe pertencem. O operador é pago para cumprir com sua tarefa. Deve zelar pelos dados recebidos/passados.

O auditor jurídico recomenda: ninguém é de ferro, usando o refrão popular. Mas, reconhecendo as tarefas de cada um, numa organização, a ninguém é concedido o direito de negligenciar, seja qual for o pretexto. Em caso de dúvida, a única saída é buscar o consentimento de quem vigia os interesses/dados da empresa e solicitar-lhe que estabeleça padrões, para que não surjam interpretações conflitantes, as vezes perversas, sobre procedimentos em situações como as sugeridas no início.

3.4.8 – Deveria o auditor jurídico exaurir a lista de situações ou hipóteses em que o sistema de TI pudesse, por uso inadequado, produzir dano à empresa?

Por mais criativo que fosse, e o auditor jurídico, sem falsa modéstia, o é, a exaustão das hipóteses torna-se impossível.

Para não enfadar, mas, melhormente, alertar os interessados – milhares e milhões hoje em dia –, serão enumeradas, apenas, as interdições, ou seja, não fazer/deixar de fazer/fazer pela metade/não cuidar/cuidar sem zelo e não, não e não.

3.4.8.1 – Você opera, você tem dores lombares. Deve tratar-se, se quer o emprego. Logo, não pode, nestas circunstâncias, entregar seu Password. Ele, sempre e sempre deve ser protegido e mantido em sigilo, para quem quer que seja. Se, por mero descuido, o entregou, certifique-se do que ocorreu e mude-o.

3.4.8.2 – Cabe-lhe acompanhar a instalação do novo equipamento ou do antigo reformado. Você não é um mero expectador. Se é novo, cuidadosamente, leia todo o material que o vendedor entregar, de modo particular quanto à instalação. Não pense que é o "rei da goiabada" e já sabe tudo. Sempre haverá qualquer pormenor que merecerá atenção. Se for delegado para dar assistência ao equipamento antigo, proceda da mesma forma.

3.4.8.3 – A namorada do seu chefe, colega de trabalho, tem uma mensagem urgente e os demais equipamentos estão sendo usados? Se recusar – veja lá – vai ter dois desafios: os maus humores do seu chefe e a vingança (provável/possível) da atraente colega.

Que fazer? Polidamente, recusar e, se necessário, ir além do chefe "in love". Aliás, namorar na empresa com funcionário não é bom, além de, costumeiramente, ser proibido pelas normas internas.

3.4.8.4 – De regra, no uso dos equipamentos de TI, cabe o preceito bíblico: "Ninguém deve servir a dois Senhores". Mas, o inevitável acontece, mais ainda. Seu companheiro está mandando mensagens pessoais ou, simplesmente, surfando, nas horas de trabalho e, ás vezes, em "horas extras".

Que fazer?

Responde o auditor jurídico: pense com cuidado; avalie se a atitude dá prejuízo direto ou indireto à empresa; se a surfagem é conhecida por outros que preferem silenciar, no momento, para possível vingança no futuro. Decida: sua ética pessoal, com certeza, vai partir da atitude, de cordial advertência, ao colega de bancada até, em situação de possível ou eminente risco/prejuízo, à denúncia a quem couber a responsabilidade da portabilidade das mensagens recebidas/expedidas.

3.4.8.5 – Que fazer ou como proceder para deletar os arquivos antigos do log?

Um dia, chega este dia, como o Juízo Final, conclui-se que o arquivo do servidor não comporta mais mensagens. E daí ?

Recomenda o auditor jurídico que, como de hábito, o bom senso deve prevalecer no que deve ser mantido ou no que deletar, com autorização expressa e com acompanhamento pessoal de quem é responsável. Não adianta uma autorização verbal. É preciso que esse tipo de decisão seja tomada em comitê e todos os procedimentos sejam escritos. Aí então, o trabalho se iniciará, com obediência, ao que está autorizado: não ir além, nem deixar nada sem fazer.

Como sempre, com bom espírito mineiro, o operador conversou com o auditor jurídico e ele ainda agregou: você sugeriu que se fizesse backups? Pode ser que alguns eventos se percam e, no futuro, não se poderá recuperá-los. Logo, faça backups.

3.4.8.6 – Suspeita de um funcionário que esteja no horário de trabalho e com o equipamento da empresa, prestando serviços ao negócio de sua mulher, que vende cosméticos no sistema porta-a-porta.

Mera suspeita não é prova.

Comprovada, também não. É a ética que assim norteia.

O dilema é quase o do herói de Corneille, – escritor francês – onde ele, funcionário, colocado diante da situação, deve decidir: perder seu amor ou perder sua honra (com o emprego a reboque).

Então, o auditor jurídico usa o herói de Guimarães Rosa e oferece uma alternativa, que tem o sentido próximo a um dilema: a nuance é, entretanto, que as duas possibilidades, da alternativa, se são incompatíveis, que não sejam desagradáveis ou enfadonhas.

Qual é, então, o caminho, sem postergar o diálogo?

Comprovar a ocorrência, pela auditoria técnica no equipamento utilizado pelo funcionário. Comprovado o funcionário deve, admiti-lo, com todas as tintas. O resto vai depender do que ele fará: vai encerrar a participação em negócios de cosméticos ou preferia dirigi-los fora da empresa?

O auditor jurídico, neste momento, põe a nu a questão da ética e da legalidade da espia de empregados. O assunto é seríssimo, porque os interesses em pauta abrem uma faixa larga de considerações, que ultrapassam os interesses privados e vão até os direitos de privacidade.

A espionagem afronta o direito da intimidade?

Há permissão legal de espionagem? Como enfrentar as leis de exceção, criadas no período após 11/9/01?

3.4.8.5 É tema que vai merecer um destaque especial, em artigo único, tendo em conta o trabalho do advogado argentino Ernesto Halabi, que, sozinho, com destemor, conseguiu histórica vitória na Corte Suprema da Justiça de seu país.

Vamos comemorar atitudes firmes de advogados com destemidez. É muito raro, hoje, que existam advogados que assumam riscos em prol da comunidade.

(continua)

______________

1 Viktor E. Frankl, Come ridare senso a lla vita – La risposta della logoterapia, 2ª edição, p. 147/151, Paoline Editoriale Libri, Milão, 2007.


______________




*Advogado e fundador do site Auditoria Jurídica



___________________