Segurança: o mundo virtual gera ameaças reais

“Muitas vezes, as empresas têm políticas para armazenar e-mails, mas se elas não fizerem isso da forma correta não adiantará nada, pois todo o material recolhido pela área de TI não servirá como prova digital para a justiça”, explica Patricia, que acrescenta: “E, em alguns casos, a organização recebe um prazo de apenas cinco dias para levantar todas as informações, caso contrário, precisa pagar uma multa”.

Em outras palavras, a advogada ressalta que além da forma de armazenar cada um dos documentos obtidos em meio eletrônico e digital, os CIOs precisam estar preocupados em garantir que suas equipes terão como acessá-los de maneira rápida, quando necessário.

Também dentro das políticas de armazenamento de conteúdo digital, a preocupação das equipes de TI deve contemplar os serviços fornecidos por terceiros, como os aplicativos hospedados no formato de SaaS (software como serviço) ou as mensagens curtas de texto – trocadas por celular ou pager. “No caso das operadoras, hoje não existe lei no País que obrigue esse tipo de prestador a armazenar os dados trocados em suas redes por um determinado período de tempo”, pontua Omar Kaminski, advogado especializado em direito de informática.

Uma das alternativas, cita Kaminski, está em, quando a empresa contrata um plano de telefonia móvel, estabelecer em contrato um prazo para que a operadora guarde essas mensagens trocadas por meio dos celulares ou dos smartphones corporativos. “Além disso, a corporação pode solicitar um espelhamento desses dados – que ficam armazenados no ambiente da operadora – para um servidor interno da companhia”, complementa Patricia.

Produção das provas

Desde o fim da década de 90, discussões do tipo “se” e “como” a prova eletrônica deve ser produzida estão travando tanto os processos judiciais quanto os departamentos de TI. Ao longo do caminho, as partes envolvidas protestam contra o que consideram uma carga excessiva e com custo de muitos milhões de reais, em alguns casos. E, por outro lado, os próprios juízes se dão conta de que precisam designar magistrados especiais para presidir as guerras de descobertas virtuais.

O modo como foi encaminhado um processo de discriminação de funcionário contra o banco de investimentos norte-americano WestLB, por exemplo, fez que com as partes passassem quase três anos se digladiando em torno da produção de mensagens de texto e e-mails de apenas quatro meses. A ação judicial, impetrada em 2004, foi encerrada em meados do ano passado — mas não antes de o CIO do banco ter sido deposto por advogados hostis.

No processo, o funcionário queixoso conseguiu obter grande parcela das mensagens arquivadas que solicitou. Também recebeu um veredicto favorável e US$ 1,9 milhão. 
As normas ditam que as partes interessadas em um processo se reúnam no início dos trâmites judiciais para revelar os tipos de registros eletrônicos disponíveis, se eles são “aceitavelmente acessíveis” e em quanto tempo. As partes têm de criar um plano de descoberta para todas informações armazenadas eletronicamente, incluindo bancos de dados, e-mail, planilhas e dados publicados na web, bem como mensagens curtas de texto e instantâneas.

Quando uma ação judicial, no entanto, bate à porta, algumas organizações relutam em responder a essas perguntas. Mas precisam entender que se a preparação para uma descoberta consome muito tempo e dinheiro, ingressar em um tribunal despreparado custa bem mais caro.

Gestão da segurança 2.0

Até agora, não houve um grande processo judicial contra uma empresa envolvendo provas colhidas em redes sociais, como Facebook, Linkedin e Twitter. Entretanto, como no caso contra o prefeito de Detroit, as provas podem vir dos lugares mais inesperados e o CIO precisa estar preparado para reconhecer os riscos.
Imagine, por exemplo, as implicações legais do seguinte post no Twitter, enviado por um funcionário orgulhoso de uma empresa de veículos: “Para os ‘do contra’, nossos freios a disco são bons. Sou um dos engenheiros que trabalhou nesses produtos.