Home > Gestão

As leis da tecnologia

Patrícia Peck, especialista em direito digital, fala sobre as questões-chave para que o CIO proteja sua empresa

Thais Aline Cerioni

04/06/2007 às 12h54

security_int.jpg
Foto:

Se a informação é um dos ativos mais valiosos de uma empresa atualmente, a sua proteçpeck1ão é, certamente, uma das principais preocupações - não apenas do gestor de TI, mas de todos altos-executivos. Em entrevista exclusiva a CIO, a advogada Patricia Peck, autora do recém-lançado livro "Direito Digital" e especialista na área, fala sobre as melhores práticas no que se refere à segurança da informação e ensina o que os líderes de tecnologia precisam saber sobre leis para proteger suas companhias.

CIO - Ainda existe muita falta de informação dos profissionais de TI sobre o quanto a lei pode apoiar o CIO?
Patricia Peck
- Com certeza. Falta a informação básica sobre o que você precisa pedir para quem. O CIO não vai elaborar o contrato, mas ele tem de ter faro para evitar possíveis problemas, estar direcionado, ter uma noção como funciona a lei. Só assim é possível estar preparado e protegido quando o problema acontece.
 
CIO - Por exemplo...
PP - Muitos CIOs não têm conhecimento da lei de software. Não sabem o que é possível ser colocado em um contrato, por exemplo. Hoje, é decisivo colocar em um contrato de terceirização de desenvolvimento, por exemplo, expressão “sob encomenda", porque deixa claro se o software é do CIO ou do fornecedor. Muitas vezes, faz-se tanta customização, que é como se o cliente estivesse desenvolvendo junto com o fornecedor, o que envolve regras de negócio, informações confidenciais etc.. Então, muitas vezes, as empresas têm a sensação de que o software nunca funcionaria sem a colaboração dela e, se encerrar a relação com o fornecedor, terá de começar do zero, não poderá aproveitar nada. Em outras situações, o CIO detém o código-fonte, mas não está claro na cessão de direitos se poderá fazer atualizações. E, assim, sempre vai precisar de uma autorização da empresa e do programador para que possa mexer. Ou seja, fica refém.
 
CIO - Até que ponto essas questões estão nas mãos dos CIOs?
PP - Eu acredito que, cada vez mais, as empresas procuram pessoas com visão de risco e de gestão. Assim, acredito que todo CIO deveria ter esse conhecimento na bagagem. Costumamos ministrar um curso para profissionais de TI que apresenta as boas práticas do direito digital, as principais questões que estão presentes nas ISOs, as regras principais dos contratos ligados a TI, como funciona a questão dos direitos autorais ligados a software, como conduzir uma situação de uso indevido de ferramentas de trabalho tecnológicas, entre outros temas. Hoje, realizamos este curso in company, muitas a pedido da área de TI, porque essas questões fazem muita diferença.
 
CIO - As empresas te procuram mais para se preparar ou na hora de apagar incêndio?
PP - É comum estar acontecendo um incêndio e alguém dizer "olha, eu fui a um curso e ouvi a Patricia Peck falar a respeito deste assunto. Então, vamos chamá-la aqui para saber se ela pode resolver". Ou seja, eu chego para apagar um incêndio, mas a pessoa me chamou porque lembrou de uma coisa que foi passada em um treinamento aberto. Depois que apagamos o incêndio, normalmente fazemos um trabalho consultivo para evitar que o problema aconteça de novo. Cria-se a boa pratica. Mas na maior parte das vezes, mesmo que a pessoa já tenha visto o curso, lido um artigo ou mesmo o livro, só na hora do incêndio é que lembra que havia uma forma de resolver.
 
CIO - Qual é o tipo de caso mais comum atualmente?
PP - O uso indevido de recurso tecnológico é bastante comum, porque vai desde um problema de uso do e-mail corporativo até a criação de uma comunidade no orkut com a marca da empresa. Mas hoje temos tido muita solicitação para questões referentes a contratos também. Como ocorreu muita terceirização nos últimos tempos, vários contratos feitos há cerca de dois anos estão começando a gerar problemas agora. Isto cria uma demanda por esse tipo de serviço, tanto devido aos casos com problema quanto às pessoas que estão sabendo do problema do vizinho e querem prevenir que ocorra o mesmo no seu contrato.

++++
 
CIO - Nesses casos, que tipo de dúvida existe e como vocês auxiliam os executivos de TI?
PP - O objetivo é garantir que o CIO sinta-se fazendo um contrato de terceirização adequado. Porque conhecer a  especificação técnica não significa saber colocá-la no papel. Deixar isso claro e documentado não é tão simples assim. Às vezes, há essa lacuna de entendimento, principalmente por problemas de linguagem. Por mais que o profissional de TI passe todas as informações para o advogado, ele elabora uma minuta com base nas práticas gerais de prestação de serviço e não customiza o contrato de acordo com as características da área de tecnologia. Então, quando acontece algum problema, a minuta não serve para quase nada; e, não somente o contratante, mas também o fornecedor fica descoberto. E, mais que isso, o CIO fica em uma situação em que ele gerou um risco para a empresa. Enquanto isso, o jurídico fica de mãos atadas, porque o contrato está juridicamente correto.
O  objetivo de discutir previamente é evitar surpresas. Este é o princípio básico da gestão de risco: saber qual é o risco e como eu o gerencio. Com base nisto, deve-se definir as regras do jogo para me proteger e para tanto é preciso deixar claras essas regras logo no começo da relação com o fornecedor, às vezes até antes do contrato.  Por exemplo, em alguns casos, recomenda-se deixar alguns pontos muito claros já na fase de seleção, de RFP (request for proposal). Quando existem exigências que o CIO não abre mão, o ideal é colocar já no momento da proposta. Isto evita escolhas equivocadas, que podem resultar em perda de tempo e até mesmo de dinheiro. Já revisamos duas RFPs  para que constassem do documento questões que o fornecedor não poderia tirar do contrato depois. Assim, quem  não tiver interesse de cumprir, nem entra. Por isso o CIO – ou outra pessoa da equipe – já tem de estar capacitado, ter noções das boas práticas, para que no dia a dia, nas reuniões, já saiba se as coisas estão andando por um lado bom ou se vão gerar algum problema. É uma visão geral de gestão de risco eletrônico, porque hoje o negocio todo depende de tecnologia.
 
CIO - Esta dependência das empresas em relação a TI gera necessidades especiais nos contratos?
PP - Hoje, um dos maiores medos é que a empresa de tecnologia passe por uma fusão, algo muito comum no mercado, ou feche. Situações assim podem impactar diretamente as operações do cliente e, por isto, vêm sendo colocadas em forma de cenários nos contratos. Inclusive, há clientes que, dependendo da empresa que compra o seu fornecedor, exige cláusulas específicas que obrigam o prestador de serviços a avisar sobre a transferência de controle com antecedência e, em algumas situações, obriga até mesmo a fazer a migração para um outro fornecedor, sem custo. E tudo isso já é colocado em contrato.
Por outro lado, também não adianta fazer um contrato que vá proteger uma parte e prejudicar a outra, porque aí ninguém assina e contrato sem assinar não vale nada, não fornece blindagem jurídica. É claro que todas as informações que são trocadas durante um projeto - especialmente e-mails - podem ser usadas como provas de boa fé. Inclusive orientamos nossos clientes até na forma de redigir mensagens eletrônicas quando está contratando. Mas contrato assinado é contrato assinado.
 
CIO - Então o e-mail vale como prova em um processo?
PP - Claro. Às vezes, você sai de uma reunião e manda um e-mail dizendo "conforme combinado na reunião, faremos isso ou aquilo". Uma mensagem assim é prova de boa fé das partes. Por isso recomendamos que a caixa postal do CIO seja guardada por um período mínimo de sete anos. Porque o dia-a-dia da relação contratual só se prova assim... Uma coisa que acontece muito é o cliente ampliar o prazo para entrega do serviço e, além de atrasar, o fornecedor cobrar hora-extra. Para estas situações, é preciso criar regras no inicio (no contrato) ou então ter todos esses e-mails provando a benevolência do cliente. 
 
CIO - Como os juizes lidam com o Direito Digital? Eles estão preparados para isso?
PP - O contrato é a peça-chave. Nós inclusive sugerimos que seja colocado um glossário de termos técnicos para deixar tudo bem claro. Porque o juiz conhece a lei, mas a lei é genérica. Quem orienta o juiz são as partes. Quanto melhor está documentado, mas fácil o juiz entender. Outra boa prática é que os advogados despachem junto com o juiz. Não dá para esperar ele pensar a respeito. É uma advocacia mais presencial, porque você consegue orientar melhor quando está lá, pessoalmente. E, claro, colocamos tudo na petição: fluxogramas, telas de software, notas de rodapé para explicar termos em inglês. Você não pode pressupor que o juiz saiba qualquer coisa. Precisa dar todos os subsídios para que ele entenda o caso e consiga aplicar a lei genérica naquela situação especifica.

++++
 
CIO - Falando do uso indevido de recursos e do vazamento de informação, várias pesquisas dizem que situações assim, na maior parte dos casos, vêm de dentro da própria empresa e que é ainda mais comum parir de dentro da área de TI. Como lidar com isso?
PP - Uma das coisas que vem sendo feitas é elaborar um código de ética de TI, porque quando fica claro o que é ético, o que é legal, isto já funciona como uma prevenção. Quando o profissional lê o código de ética, ele começa a compreender coisas que até então poderia achar que estava certo. Informações às quais ele tem acesso ou o programa em que está trabalhando são sigilosos e têm de ser vistas assim. E o profissional tem de saber que não pode contar para alguém, colocar em um blog ou em um fórum de discussão técnico, por exemplo. Isto acontece muito. O programador entra em um fórum e conta tudo o que está fazendo para alguém ajudá-lo. Já encontramos uma série de vazamentos de informação em fóruns de discussão e, na maior parte das vezes, o profissional não enxerga uma atitude assim como algo errado. Por isso, o contrato de trabalho de uma pessoa que vai trabalhar em funções técnicas na área de tecnologia ou de segurança da informação tem de ter cláusulas específicas. Se esse colaborador já estava na empresa e não terá um novo contrato de trabalho, deve assinar um termo de responsabilidade especifico para aquela nova função. Enquanto isso, o código de ética é um documento mais institucional, que independe do tipo de trabalho e ajuda a nivelar o padrão de informação dentro da empresa.
Hoje, é função do CIO gerar essa educação em sua equipe, porque quando você tem conhecimento além do nível de usuário, sente que tem em mãos o poder da tecnologia. Se a pessoa quiser usar para o mal, consegue apagar a trilha, usar senha de outras pessoas que são de boa fé, criar laranjas. Já trabalhamos em alguns casos em que o profissional não imaginou a conseqüência e em outros em que a pessoa fez de caso pensado. Porém, em ambos os casos as empresas não tinham contrato com cláusulas especificas, não tinham um termo de responsabilidade e nem um código de ética. Quando não há informação clara em defesa da empresa, na maioria das vezes é o trabalhador quem ganha. A não ser que ele tenha realmente cometido um crime.
 
CIO - No caso de TI, o que poderia ser considerado crime?
PP - Furto de dados, por exemplo, é crime. Copiar a informação, apagar do servidor da empresa e levar. A empresa perdeu e isto realmente consiste em furto de dados.
O que é interessante hoje é que, desde a criação do novo código civil, aumentou a responsabilidade do indivíduo. Então, hoje, responsabiliza-se uma pessoa na função de gerente para cima, qualquer gestor - e aí entra o CIO também -, por culpa no desempenho de suas funções, sendo que ele responde até mesmo com o próprio patrimônio. Por culpa entende-se negligência, imperícia e imprudência. Ou seja, a informação protege. Quando você não informa, está sendo omisso e omissão é negligência. É a mesma situação em relação à equipe, você tem o dever de monitorar. Porque se alguém da sua equipe comete algo errado, você será responsabilizado. Se disser que não sabia, está sendo negligente na sua função de supervisionar. Por isto também as empresas precisam ter uma política de segurança que deixe claro que é feito monitoramento e inspeção. E isso tem de ser muito claro. Se ao fazer manutenção na máquina de um funcionário, algo suspeito for encontrado, não poderá ser utilizado a não ser que haja política clara de vistoria de equipamentos. Ou então a empresa terá de usar essa informação como indício para entrar com pedido de ordem judicial e, só então, poder fazer uma análise profunda sem o conhecimento do funcionário. 
 
CIO - Normalmente entrar com uma ação na justiça é um processo lento e as pessoas preferem resolver sozinhas. No direito digital, as empresas costumam ir à justiça para resolver casos assim?
PP - Se, em um caso como esse em que algo é encontrado no momento da manutenção, você partir do principio da boa fé e quiser fazer a vistoria acompanhado do funcionário, pode fazê-lo. Porém, em muitos casos, a empresa não quer se expor tanto, quer olhar sem que o colaborador saiba. Para isso, tem de ter feito seu dever de casa e ter a documentação que deixa claro a todos que o ambiente é monitorado e sujeito à inspeção. Ou terá de partir para a justiça. Agora, se a empresa não se sente à vontade para entrar com uma ação judicial, porque pode ser demorada ou até inverter a situação, pode optar por demitir a pessoa por outro motivo, pagar os direitos e esquecer o assunto. Isto funciona no curtíssimo prazo, mas em longo prazo é um problema. Porque demitir sem explicação pode gerar um impacto negativo no resto da equipe, que acaba se revoltando contra a demissão “injusta”. Então, é muito importante deixar claro em políticas e em contrato o que pode e o que não pode, ou a empresa fica refém da própria informação, não pode colocar a mão no próprio equipamento com medo de tomar uma ação trabalhista ou uma ação por danos morais.

CIO - Existe funcionário que entra com ação contra a empresa porque mexeu na máquina dele?
PP - Sim. Já acompanhamos alguns casos e, na maioria, a empresa não havia feito os deveres de casa. Em um deles, a pessoa estava sendo monitorada sem saber, foi demitida sem entender o motivo e, logo depois que a pessoa saiu, o chefe dela mandou um e-mail para o restante da equipe dizendo que ela era uma ladra e que tinha feito coisas indevidas dentro da rede da empresa. Isto, obviamente, vira dano moral. Se você não faz com transparência, abre a brecha. Uma opção muito utilizada também é o uso de advertência por parte da companhia, para deixar claro que a pessoa foi avisada e que você não está dando uma punição maior do que o que ela fez. Mas é fundamental ter em mente que se deve ter controles documentados e fazer tudo com transparência.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail