O Valor do Click

Certa vez, um CIO me disse que, de tempos em tempos, ele tinha um pesadelo no qual Bill Gates batia à porta e exigia o rim direito dele, alegando que ele tinha clicado em algum termo de uso ou contrato eletrônico, onde concordava com isso.

Claro que eu nunca acreditei nesse pesadelo, mas a brincadeira leva a uma reflexão sobre como somos inundados com esses acordos eletrônicos:

políticas de privacidade, políticas de download, políticas de segurança, acordos de licenciamento de software, contratos de nível de serviço e isenção de responsabilidade, só para citar alguns. E todos eles ficam clamando pelo nosso parecer favorável de forma a aceitar as coisas como elas são. Como advogada, eu escrevo esses contratos para os meus clientes, mas devo confessar que não é uma coisa simples lê-los on-line. Afinal, quem tem tempo?

Infelizmente, a justiça acha que você tem, e a lei assume que todos nós fazemos isso. E que assim, ao clicar, estamos “concordando” com a política de privacidade não lida, com o spyware sendo instalado, com o game que lê nossa agenda, com o aplicativo que pode gravar nossas conversas, ou com pop-ups de sites pornográficos pipocando na tela. Quase todos os sites tem algum termo ou condições de uso. Como resultado, os usuários regulares da Internet são confrontados com dezenas de tais acordos por semana. Alguns aparecem na forma do famigerado botão “Concordo-saia-logo-da-minha-frente”, e outros sob a forma prosaica escondida nas letras miúdas na parte inferior da página do site.

A legislação brasileira não engloba uma tipo específico de contrato chamado “eletrônico”, mas o fato de sê-lo, não significa que não haja amparo legal. É o que comumente chamamos em Direito de contratos atípicos ou inominados, isto é, contratos que fogem dos modelos conhecidos. Porém, desde que não contrariem a lei ou os bons costumes, são válidos.

Esta é uma justificativa consoladora, pois mesmo sem lê-los, ao clicar no botão CONCORDO, não estou correndo tantos riscos assim! Em outras palavras, cláusulas abusivas inseridas em qualquer tipo de contrato são consideradas nulas de pleno direito, e é nisso que reside o nosso consolo.

Vale porém, lembrar o outro lado, a aplicabilidade da lei se dá tanto para o direito quanto para os deveres. Assim, os deveres que também não contrariem a lei ou os bons costumes serão igualmente considerados.

Ambas as situações, entretanto, tem implicações não só para quem aceita, mas também para aquele que redige as cláusulas destes contratos, há que se considerar o amparo legal, inclusive de leis que regem especificamente o objeto que está sendo contratado, quando, por óbvio, tal legislação específica existir.

Em absoluto, esclareça-se, que estas notícias nos eximem da obrigação de ler os contratos aos quais nos sujeitamos. Uma vez que, em demandas judiciais, a justificativa da extensão, bem como do tamanho das letras e/ou a falta de tempo disponível para fazê-lo, não podem fundamentar um pedido ou defesa em qualquer instância. Da mesma forma que, o desconhecimento do advogado que elaborou tais instrumentos jurídicos pode dispensar a empresa de arcar com o ônus do desrespeito legal.

Sim, é verdade! O mundo mudou mais ou menos, algumas situações continuam as mesmas, como por exemplo, a obrigação de ler um documento antes de assiná-lo e a de conhecer a lei quando da elaboração das cláusulas dos mais diferentes contratos. Por fim, dispensa-se aqui esclarecimentos quanto à equivalência do clique com a assinatura, pois aos leitores a que este texto é endereçado sobram argumentos técnicos a este respeito.

                                          Adriana Cardoso de Moraes Cansian

Segurança da Informação no ambiente corporativo – Parte I

O advento da tecnologia como facilitador no ambiente empresarial trouxe, sem sombra de dúvidas, muitos benefícios. Houve época, até, que acreditava-se apenas nesta vertente, a dos benefícios.

Hoje, porém está claro que apenas o investimento em tecnologia para qualquer empresa não é garantia de sucesso, agilidade e confiabilidade, pois a quantidade e a complexidade  dos ataques a que o mercado e o governo estão expostos, fez com que alterássemos o nosso paradigma de certezas sobre a atual realidade no que tange à segurança da informação, uma vez que não se trata apenas de questões técnicas inerentes à operação da Internet, mas também do valor da informação e como protegê-la.

Transportando estas teses para a realidade prática, basta tentarmos responder a, pelo menos, uma das questões abaixo:

 

  • Sua empresa tem conhecimento de ter sofrido incidentes de segurança no último ano? Em caso afirmativo, quantifique e descreva suas causas.
  • Sua empresa tem uma estratégia de segurança delineada? Se sim, ela está alinhada à sua estratégia de negócios? E ainda, ela passa frequentemente por ajustes? Se não, você sabe a que riscos está exposto?

 

E, se ainda resta alguma dúvida da importância a ser dada à segurança da informação, considere os riscos aos quais se está exposto:

 

  • Furto de propriedade intelectual.
  • Paralisação de serviços prestados ou negócios.
  • Exploração das informações sobre falhas de segurança em parceiros, filiais e membros das cadeias de abastecimento, seja no Brasil ou no exterior.
  • Furto de dados estratégicos ou evasão de informações sensíveis.
  • Implicações legais resultantes da quebra de determinadas cláusulas contratuais ou não atendimento a acordos de níveis de serviços, junto a seus clientes.

 

Este exercício de reflexão a que nos propusemos, certamente, deve tê-lo alertado para questões possivelmente ainda pouco consideradas nas pautas dos administradores. Apenas, quando passamos à condição de vítimas entendemos que a segurança no ambiente corporativo não é mais uma despesa, mas um investimento! Inclusive porque, em algumas circunstâncias, pouco ou nada pode ser feito para reverter um incidente de segurança, como por exemplo, no caso de sequestro de dados.

Se mesmo assim, estas questões não lhe incomodaram, observe os dados divulgados no último dia 18 de agosto no relatório State of The Internet Security, produzido pela Akamai  relativos ao segundo quadrimestre de 2015, dando conta de que o Brasil é o terceiro país do mundo em origem de ciberataques, também ocupando a segunda posição quando se trata de alvos dos ciberataques. Para maiores detalhes, sugiro a leitura em https://blogs.akamai.com/2015/08/q2-2015-state-of-the-internet-security-report-released.html

Finalmente, cabe salientar que, embora estejamos em um cenário nebuloso quando tratamos de segurança, quase tudo pode ser solucionado com uma política séria, eficaz e preventiva sobre este tema dentro de qualquer empresa. Mas este é o tema da nossa próxima edição. Até lá!!!

                                          Adriana Cardoso de Moraes Cansian

Segurança da Informação no ambiente corporativo – Parte II

Segurança da Informação no ambiente corporativo – Parte II

Compliance Digital

Security concept: Lock on digital screen

Na edição anterior, levantamos algumas questões acerca dos riscos a que todas as empresas estão sujeitas quando o assunto é segurança da informação. Vimos que o Brasil não ocupa uma posição invejável quando o assunto é origem e alvo de ciberataques, segundo os dados da Akamai e que, além das questões técnicas e de mercado, a segurança da informação ou a falta dela tem implicações legais.

Não por acaso, no último dia 17 de setembro durante o 4o IT Conference promovido pela Visual Systems, discutimos todas as questões acima descritas no contexto do Compliance Digital como um enforcement na blindagem jurídica para as instituições.

Para alinhar nossa abordagem, retomaremos o tema, elucidando os principais pontos a serem considerados pelos gestores.

Conceitualmente, Compliance significa estar de acordo com leis e regulamentos internos e externos, o que por si só já demanda um grande esforço da empresa, a princípio para conhecer toda a legislação e normas de mercado que regem seu ramo de negócio, como também a necessidade de a própria empresa ter seus regulamentos, o que inclui todos os setores e colaboradores.

Em tempos, porém, de investigações criminais que envolvem políticos, obras públicas e a participação de executivos de diferentes áreas em acordos de propina, a discussão acerca dos programas de Compliance tornou-se ainda mais presente no ambiente corporativo.  Isto porque, neste ano tivemos a regulamentação da Lei da Ficha Limpa (Lei 12.846/2013) que dispõe sobre a responsabilidade objetiva administrativa e civil das pessoas jurídicas por meio do Decreto 8420/2015 que prevê o abatimento na multa de 20% de desconto no  aplicada às empresas que desrespeitarem a lei, mas que comprovarem possuírem e aplicarem os programas de integridade em suas instituições.

Até a Ordem dos Advogados do Brasil de São Paulo, dentro da campanha “Corrupção, não!”, apresentou recentemente um conjunto de propostas para a inclusão dos programas de Compliance em empresas públicas.

Como podemos notar o apelo pela implementação de tais programas é muito grande! Mas, por onde começar?

Sem dúvida, pela análise de risco, ou seja, na verificação dos pontos críticos que não estejam em conformidade com os programas ou legislações a que a empresa deve atender. Aqui, especificamente, fazemos uma ressalva para a legislação específica de Internet que vem regendo a conduta não só de usuários, como também de muitas empresas de TI, quais sejam: Marco Civil da Internet (Lei 12.965/2014), Lei Carolina Dieckman (Lei 12.737/2012), Código de Defesa do Consumidor para a Internet (Decreto 7962/2013).

Além das questões específicas de atendimento à legislação nacional e estrangeira que rege os negócios na Internet, ainda temos outro pilar fundamental nos programas de Compliance, a segurança da informação sobre a qual falamos mais detalhadamente no mês passado. Cabe ainda sobre este aspecto, uma observação sobre o ponto mais fraco na implementação  de toda e qualquer norma ou protocolo técnico que é o colaborador, pois os regulamentos direcionam, mas o treinamento ostensivo, repele!

Por fim,  entendemos como uma necessidade primordial a implementação de programas de Compliance que possam favorecer o melhor funcionamento da empresa interna e externamente, já que estes programas qualificam a instituição no mercado como mais sérias e confiáveis.  De forma que, mesmo a um custo, via de regra alto, esta implementação reflete num investimento para a sustentabilidade comercial de qualquer negócio, em especial aqueles que almejam sua ampliação, tanto no mercado nacional, quanto internacional.

Por derradeiro, cumpre salientar que em transações como as de fusões, incorporações e aquisições, a existência e cumprimento destes programas agregam valor ao negócio, como mostram os inúmeros parâmetros de avaliação das práticas de Due Diligence muito comuns neste tipo de processo.

 

Autoria: Dra. Adriana Cardoso de Moraes Cansian, especialista em Direito Digital

 

 

VII Seminário de Proteção à Privacidade e aos Dados Pessoais

12472512_1135607103167646_391646299571280244_n

O Comitê Gestor da Internet no Brasil (CGI.br) realiza o Seminário sobre Privacidade e Proteção de Dados Pessoais desde 2010. 
Com parceiros como o Ministério Público Federal de São Paulo (MPF/SP), a Fundação Getúlio Vargas e o Ministério da Justiça, o evento está baseado no primeiro princípio do Decálogo da Internet:

“O uso da Internet deve guiar-se pelos princípios de liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática”.

Todos os eventos contaram com expoentes na doutrina e prática nacional e internacional, dentre eles: Danilo Doneda, Omar Kaminski, Jorge Stolfi, Amaro Moraes e Silva Neto, Marcel Leonardi, Carlos Affonso Pereira, Ronaldo Lemos, Leonardo Palhares; e, Yves Poullet, Marie Georges, Dave Russell, George Chatillon, Marcia Hoffman, Erick Iriarte, entre outros.

http://seminarioprivacidade.cgi.br/