Em junho deste ano, soube-se que a Microsoft sofreu o roubo de dados pessoais de 30 milhões de usuários quando o grupo de hacktivismo Anonymous Sudan afirmou em suas redes sociais ter acessado um banco de dados que continha todas essas informações, e pelo qual solicitaram um “resgate” de US$ 50.000. Esse novo ataque (a Microsoft já havia sofrido outros antes) apenas reavivou a discussão sobre o quão protegidas estão as empresas, especialmente as grandes empresas de tecnologia, contra o crime cibernético.
Considerando que, segundo a empresa especializada Cybersecurity Ventures, há uma taxa de crescimento de 15% anualmente até 2025 e o hackeamento poderá trazer um lucro de 10,5 mil milhões de dólares aos cibercriminosos de todo o mundo (o que inclui na sua vasta fauna não só os indivíduos mas também os cartéis de tráfico de droga, hacktivistas, crime organizado e milícias), é fácil assumir que os ataques cibernéticos continuarão a ocorrer e que o seu combate deverá centrar-se na combinação de uma série de medidas (governamentais, institucionais e individuais) que possam conter estes crimes ou pelo menos reduzir a sua recorrência e danos.
As indústrias mais atacadas são, conforme determinou um estudo da Moody's, todas aquelas que dependem de infraestruturas críticas, como hospitais (o roubo de dados médicos para chantagem aumentou exponencialmente), serviços públicos domésticos, de transporte e bancários, telecomunicações, energia, produtos químicos e tecnologia e, dentro destas, as vítimas mais comuns são as pequenas e médias empresas (que geralmente têm menor capacidade de proteção), embora as grandes não estejam isentas de sofrer ataques, como demonstraram os hackeamentos de Microsoft, Huawei, Google Play Store e ASUS, só para citar alguns.
Considerando que os crimes cibernéticos causam danos profundos, como o roubo e destruição de propriedade intelectual, dados pessoais e financeiros, produtividade e lucros reduzidos, fraude e apropriação indébita, danos à reputação e gastos extensivos em investigação forense e restauração e exclusão de dados hackeados e seus sistemas, vale a pena perguntar como a indústria de dados está mudando a prática jurídica? E também quanto deveria mudar?
Leia também: Brasil avança na regulamentação de apostas esportivas
José Miguel de la Calle, sócio de Direito Público da Garrigues Colômbia, afirma que seria prudente, pelo menos em nível regional, estabelecer uma regulamentação comunitária, semelhante ao Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. “Essa tarefa não seria impossível, especialmente considerando exemplos como a Decisão 608 da Comunidade Andina de Nações, que trata da proteção e promoção da concorrência em nível regional” e que já é um esboço do caminho que a América Latina como bloco poderia seguir.
O especialista assegura que o crescimento dos serviços digitais, que utilizam como principal input a informação pessoal dos utilizadores, incluindo o tratamento de dados sensíveis relacionados com o rosto e as impressões digitais, "tem estado associado a uma frequência preocupante de incidentes de segurança que comprometem a integridade das referidas informações", portanto, para tentar responder às duas primeiras questões, "é necessário que a indústria de dados, do ponto de vista jurídico, deixe de ser considerada simplesmente sob regulamentações nacionais ou territoriais", especialmente se for levado em conta que, "dada a evolução atual e os riscos cada vez maiores para a gestão da informação, as organizações foram forçadas a identificar e mitigar riscos jurídicos a partir de diversas perspectivas jurisdicionais, o que implica uma mudança fundamental nas práticas jurídicas”.
Opinião semelhante tem Camilla do Vale Jimene, sócia do Opice Blum, Bruno Advogados Associados, que acredita que “a indústria de dados está mudando significativamente a prática jurídica ao introduzir novos desafios e oportunidades”, o que obriga os profissionais jurídicos a se manterem atualizados sobre a evolução da tecnologia e questões relacionadas com dados, “para fornecer aconselhamento eficaz aos seus clientes e navegar no complexo cenário jurídico criado pela era digital”, toda vez que “com a crescente quantidade de dados gerados e armazenados por empresas como a Microsoft e a Amazon, a privacidade e a segurança dos dados tenham e tornado questões jurídicas críticas.”
Sugestão: O papel da Propriedade Intelectual na proteção das patentes essenciais
Diante de realidades como essas, regulamentações como o GDPR e a Lei Geral de Proteção de Dados (LGPD) do Brasil, que introduziram requisitos rigorosos sobre como as organizações coletam, processam e protegem dados pessoais, são o melhor recurso para impulsionar todos os processos de proteção (atribuindo parte da responsabilidade pelo cuidado e prevenção às empresas). Ainda que, para isso, “os profissionais jurídicos tenham a tarefa de ajudar as empresas a cumprir essas regulamentações e navegar pelas implicações legais de violações de dados e incidentes de segurança”, lembra Jimene.
Responsabilidade criminal dos cibercriminosos e sua ambivalência
O endurecimento das penas contra os cibercriminosos é a proposta mais comum para combater o hackeamento quando se trata de envolver outras entidades na proteção de dados. A começar pelo fato de que as empresas não são as únicas responsáveis pela proteção ou roubo dos dados que armazenam, mas que existe toda uma indústria ilegal por trás do roubo de dados e responsabilidades criminais que recaem ou deveriam recair sobre os criminosos.
Existem diferentes convenções e regulamentos destinados a estabelecer políticas criminais contra os cibercriminosos, uma delas, de caráter internacional, é a Convenção sobre o Cibercrime, ou Convenção de Budapeste, promovida pelo Conselho Europeu em 2001, com 48 artigos, abrangendo os regulamentos, metodologia de aplicação e estratégias de cooperação entre os países signatários, entre os quais estão Argentina, Brasil, Chile, Colômbia, Costa Rica, Paraguai, Peru e República Dominicana, como membros, e o México como Estado observador.
Este acordo trabalha constantemente na atualização e adição de protocolos adicionais que lhe permitam acompanhar as novas formas de crime cibernético. Por se tratar de um acordo cooperativo, a participação dos estados signatários facilita a investigação de crimes e infrações e facilita a reforma dos marcos regulatórios de alguns países membros, que costumam ser atualizados (Argentina, Chile, Brasil, México e Colômbia os atualizaram como resultado deste acordo) para endurecer as penas contra o cibercrime.
Veja também: Criptoativos: análise sobre as orientações da Receita Federal
Embora a necessidade de estabelecer responsabilidades criminais seja patente e indiscutível, muitos países poderiam “exagerar” na modificação dos seus quadros jurídicos. É o caso da Jordânia, onde a nova lei sobre o cibercrime (que entrará em vigor este ano) tem sido apontada por diferentes organizações humanitárias como excessivamente restritiva, porque, segundo essas organizações, restringe e penaliza indevidamente as atividades online realizadas por pessoas e organizações e impõe penalidades pela publicação de conteúdos ofensivos às autoridades, o que levaria à censura subjetiva das atividades dos cidadãos e deixaria de lado a luta objetiva contra o crime organizado em torno de dados virtuais.
A Associação para Comunicações Progressistas também denunciou os excessos de controle que alguns governos pretendem impor aos cidadãos, protegidos pela intenção de monitorar o cibercrime.
Esse grupo identificou vários casos de utilização abusiva de leis sobre crimes cibernéticos (foram detectados casos específicos na Arábia Saudita, Cuba, Egito, Jordânia, Líbia, Nicarágua, Rússia, Uganda e Venezuela) para criminalizar mulheres, pessoas sexualmente diversas, opositores políticos e outras minorias, razão pela qual assumiram a tarefa de alertar sobre os perigos inerentes ao avanço de normas internacionais severas (como as discutidas na Convenção Internacional sobre Crime Cibernético), sem considerar os contextos nacionais ou os direitos humanos, especialmente dos historicamente marginalizados. O importante, lembre-se, é proteger-se contra hackers e, ao mesmo tempo, salvaguardar a liberdade de opinião e expressão.
A Human Rights Watch publicou esta semana um artigo apontando a importância do equilíbrio precário entre a proteção dos dados protegidos por organizações, empresas e entidades governamentais e o direito à informação e expressão dos cidadãos.
Não deixe de ler: Que regulamentações o Brasil e outros países da América Latina aplicam em relação aos nômades digitais?
Em seu artigo, as autoras lembram que esta semana a ONU discutirá um novo tratado contra o cibercrime que propõe ampliar os poderes para investigar qualquer crime imaginável, mesmo que não haja tecnologia envolvida, o que "pode acabar facilitando a repressão transfronteiriça e tornando difícil investigar crimes crimes cibernéticos reais” em vez de “promover conhecimentos e cooperação globais em matéria de crimes cibernéticos”, que, acreditam, sacrificarão os direitos humanos “num esforço para construir consenso”.
Enquanto isso, quais são as melhores práticas?
Enquanto isso, organizações multilaterais discutem acordos e as nações se ajustam. Os advogados, como apontaram Jimene e de la Calle, estão na vanguarda das adaptações e aconselham sobre quais são as melhores práticas ou as adaptações mais urgentes que devem ser feitas para aumentar a segurança nos ambientes digitais.
Adolfo Gómez, associado sênior do Departamento de Direito Público da Garrigues Colômbia, explica que, embora não seja necessário sustentar que os marcos regulatórios estão desatualizados, eles requerem uma atualização que os dote de mecanismos eficazes de coordenação com autoridades de proteção de dados de outras regiões ou países, no estilo do GDPR europeu.
“A ausência de mecanismos nas regulamentações de proteção de dados de alguns países da região dificulta a interação entre jurisdições que promovam medidas de resposta eficazes para lidar com incidentes de segurança sob o entendimento de que muitos deles ocorrem em locais internacionais.”
Mas sobre propriedade intelectual: Registro de marcas tridimensionais: que dificuldades devem ser superadas?
Levando isso em consideração, outros pontos que merecem uma atualização do ponto de vista jurídico, e que são exigidos pelo mundo empresarial, são as diretrizes sobre inteligência artificial e Internet das Coisas, “cujo fluxo de informações pessoais é colossal e o regime jurídico não oferece respostas concretas aos problemas jurídicos que essas tecnologias podem causar”, ressalta.
Neste sentido, Jimene especifica que, para proteger os seus dados, a tarefa essencial das empresas é desenvolver e aplicar uma política abrangente de segurança cibernética que descreva protocolos de segurança, responsabilidades dos funcionários, procedimentos de resposta a incidentes e formação.
De uma perspectiva individual, os usuários devem escolher senhas fortes e exclusivas para todas as contas e dispositivos online; recomenda-se usar um gerenciador de senhas para gerar e armazenar senhas complexas, bem como habilitar a autenticação multifatorial e ter cuidado com e-mails, mensagens ou chamadas não solicitadas.
No que diz respeito à prática jurídica, é prudente lembrar que a Indústria de Dados (ou Indústria 4.0) “está remodelando modelos de negócios”. Por exemplo, a ascensão da tecnologia blockchain e dos contratos inteligentes permite contratos automatizados e autoexecutáveis, realidades às quais “o direito contratual deve se adaptar para reconhecer a validade jurídica dos contratos inteligentes e resolver questões como disputas decorrentes de erros de código ou vulnerabilidades”. Até porque o direito contratual “desempenha um papel central na adaptação a essas mudanças, ao proporcionar o marco legal para definir e fazer cumprir os acordos que regem essas relações comerciais em evolução”.
Add new comment