Dados corporativos roubados: o que fazer?

Análise dos meios digitais pode servir de base para medidas legais em caso de vazamento de dados corporativos

E-mails, smartphones, pen drives e laptops. A lista de equipamentos à disposição das empresas para impulsionar a produtividade dentro ou fora dos ambientes corporativos só cresce. Proporcionalmente, crescem também os riscos de vazamento de dados já que são diversos os meios em que os usuários acessam as informações corporativas.

Segundo um levantamento recente da empresa de segurança McAfee, mais de 60% das 1.408 companhias mundiais pesquisadas já passaram por um incidente de vazamentos de dados. E entre aquelas que sofreram a perda das informações, 61% acreditam que o responsável estava dentro da própria empresa.

Em meio ao crescimento das ocorrências de vazamento de dados, as empresas têm buscado formas de identificar e punir os responsáveis pelos crimes eletrônicos. Uma delas é a análise forense, que representa a investigação dos meios digitais para identificar qual foi a principal porta de saída desses dados. Segundo a empresa de investigação Kroll, a procura pela análise forense tem crescido. “Ao mesmo tempo em que as empresas investem em segurança da informação, as vulnerabilidades se diversificam”, diz Paulo Renato Silva, diretor da área de computação forense e serviços de tecnologia da informação da empresa.

As etapas básicas desse tipo de análise envolvem o isolamento do equipamento suspeito – como um computador, por exemplo -, a preservação das evidências para usar juridicamente, entre elas arquivos ou registros de acesso, e, posteriormente, a criação da imagem forense, que é uma réplica do meio digital onde foi gerada a fraude e de onde partirão as investigações. Um tabelião também é designado para acompanhar o caso. Com as informações em mãos, a empresa poderá tomar as medidas legais em relação ao acusado.

Embora seja um meio confiável, nem sempre a análise forense é o mecanismo de investigação mais adotado pelas empresas. Depois de ser vítima do roubo de informações, muitas decidem investigar por conta própria e acabam deslizando na forma de obter essas provas. “Depois que o dano já foi causado, a empresa precisa observar se os métodos para obter essas provas não esbarram em aspectos legais”, diz Rony Vaizonf, sócio do escritório Opice Blum Advogados Associados.

Muitos tipos de controle já são reconhecidos pela justiça como provas. Entre eles está o monitoramento do e-mail do funcionário, conforme concluiu a 7ª Turma do Tribunal Superior do Trabalho, que reconheceu que o correio eletrônico corporativo é propriedade da empresa e, assim, o monitoramento do conteúdo é permitido, desde que o funcionário conheça esse procedimento.

Benefícios da prevenção

Embora os riscos dos crimes digitais muitas vezes venham a ser considerados e lamentados pelas empresas após os episódios ocorridos, a velha tese do “é melhor prevenir do que remediar” é melhor a ser aplicada nesses casos, indicam os especialistas.

A implantação de tecnologias para controle de e-mail, gravação de dados em CDs ou mesmo pen drives, como a feita pela Honda no Brasil (leia aqui a experiência da empresa) são fundamentais para proteger os dados corporativos, mas não devem ser adotadas sem bases jurídicas que as viabilizem. Um exemplo é a criação de uma política de segurança que informe os usuários sobre esses controles, sobre o que é permitido ou não e o tipo de punição caso a regra seja infringida serve para a empresa se resguardar em eventuais casos do gênero no futuro.

Não existe um roteiro para a criação dessa política, mas algumas medidas específicas podem auxiliar na elaboração. “O melhor dos casos seria a empresa citar tudo o que é propriedade da empresa, mencionar a possibilidade do monitoramento do e-mail e, inclusive, anexar trechos de decisões judiciais que envolveram casos corporativos para servir como exemplo. Tudo isso legitima uma prova futura”, complementa Vaizonf.

Lei favorável

Estima-se que, atualmente, a legislação brasileira possa ser aplicada em 95% dos casos digitais, sendo que os outros 5% são compostos de crimes que precisam ser avaliados de forma específica pela Justiça.

Essas exceções, embora pareçam poucas, podem causar muitas dores de cabeça às empresas, especialmente porque dependem da interpretação de diversas partes durante o processo, o que pode arrastar o caso durante anos. “Pela interpretação atual, o acesso indevido a um banco de dados corporativo não é configurado crime, embora devesse ser, já que esse ato é semelhante a uma invasão de domicílio. Essa falta de padrão é muito prejudicial”, diz Vaizonf.

Mas os crimes digitais que atormentam as corporações tendem a receber, em breve, um padrão. Espera-se para os próximos meses a aprovação do projeto de lei substitutivo 76/2000 relatado pelo senador Eduardo Azeredo (PSDB-MG) e que estabelece os delitos de informática. Entre os crimes tipificados pelo projeto – que passou oito anos tramitando na Câmara e Senado – estão divulgação de banco de dados, disseminação de vírus para computador, roubo de senhas via internet, falsificação de cartões de crédito, entre outros delitos.

“Tem havido uma falta de limite entre o que é privado ou não, no âmbito pessoal ou corporativo. Falta uma consciência global sobre a importância dessas informações”, diz o advogado especialista em crimes digitais Renato Opice Blum, do mesmo escritório. A lei vem para delimitar esse território e pode ser o primeiro passo para uma legislação padronizada para os crimes eletrônicos.