Risco de perda de dados e responsabilidade legal dos operadores de sistemas
Pode acontecer que as empresas percam informações empresariais importantes armazenadas em suas bases de dados devido a circunstâncias imprevistas. Nestes casos, se a operação do sistema for terceirizada para um fornecedor externo, será legalmente possível responsabilizar esse fornecedor externo?
Neste artigo, vamos explicar a quem cabe a responsabilidade legal em caso de perda de informações numa empresa.
O que é a “operação” num sistema de TI
Em termos simples, a “operação” num sistema de TI refere-se ao trabalho de continuar a usar o sistema existente como tem sido até agora. O sistema que os engenheiros de TI e programadores criaram (ou seja, desenvolveram) não é algo que termina uma vez que é feito. Por exemplo, se quiser executar uma operação que não pode ser executada a partir do lado do ecrã, pode ser necessário conectar um computador à base de dados e inserir diretamente a linguagem do computador (como SQL). Isto pode ser necessário para extrair ou alterar dados que não podem ser executados a partir do lado do ecrã.
Estas tarefas operacionais são muitas vezes mais fáceis de padronizar, como a preparação de manuais de procedimentos, em comparação com o trabalho de implementar novos programas, e muitas vezes são mais fáceis de subcontratar a fornecedores externos.
No entanto, mesmo que seja um trabalho fácil de padronizar, se for um trabalho que envolve a operação direta da base de dados gerida pela empresa, deve-se ter em mente que é provável que esteja ao lado de um grande incidente. Os riscos de vazamento ou perda de informações detidas pela empresa podem aumentar significativamente se a subcontratação for promovida sem consideração pela gravidade das responsabilidades do trabalho.
O risco de perda de informação está mais perto do que pensamos
Existem vários tipos de bases de dados utilizadas pelas empresas, mas na realidade, são um tipo de software. E o processamento de dados geridos lá, como extração, alteração, adição e exclusão, é basicamente realizado usando uma linguagem de computador chamada SQL.
A importância do direito
O trabalho dos técnicos envolvidos nos sistemas de TI inclui desenvolvimento, operação, manutenção, entre outros, mas o que é comum a todos é que o manuseio de coisas abstratas como “dados” e “linguagens de computador” é central. Portanto, mesmo que seja apenas um erro de operação de um botão ou um pequeno erro de entrada, o alcance do impacto desse erro pode se espalhar mais amplamente do que se pode prever antecipadamente. Esta premissa básica deve ser reconhecida por todos que trabalham com sistemas, sejam eles especialistas em tecnologia da informação ou não. Devido à natureza do trabalho envolvido com sistemas, se ocorrer um problema, o impacto muitas vezes se espalha instantaneamente além do departamento em questão e além das barreiras internas da empresa. A importância do direito nos sistemas pode ser explicada de forma unificada a partir dessas perspectivas, tanto do lado do cliente quanto do lado do contratado.
Risco de perda de dados corporativos
Vamos considerar um exemplo simples. A consulta (comando) para excluir todos os dados de uma tabela no SQL é apenas uma linha: “TRUNCATE”. Ao pensar sobre o risco de perda de dados de uma empresa, não é tão importante conhecer a sintaxe do SQL ou como operar o software de banco de dados. No entanto, deve-se reconhecer que, quando se trata de excluir todos os dados armazenados por uma empresa, a discussão sobre como fazer isso é tão simples. Talvez essa percepção da realidade seja o ponto de partida para pensar sobre o risco de perda de dados de uma empresa.
É verdade que as operações tendem a ser padronizadas e muitas vezes não há problemas se forem realizadas de acordo com o procedimento. No entanto, ao mesmo tempo, se o procedimento não for seguido e ocorrer uma situação irregular, a importância do direito torna-se evidente.
Quem é legalmente responsável pela perda de informação?
A natureza legal do trabalho dos operadores
Então, em caso de perda de dados devido a um incidente inesperado, e sem qualquer método de recuperação, a quem pertence a responsabilidade legal? Vamos analisar este tipo de incidente do ponto de vista legal.
É difícil responsabilizar com base no dever de custódia do contrato de depósito
Uma das teorias possíveis ao questionar a responsabilidade do operador que realiza o trabalho de gestão de dados é a de perseguir o dever de cuidado de custódia com base num contrato de depósito remunerado. Simplificando, é a questão de se é possível perseguir a responsabilidade pela perda de “dados”, da mesma forma que se persegue a responsabilidade por danos em caso de perda de um item num cacifo pago, por exemplo. No entanto, assim como no caso do dever de custódia de “bens”, considerar que o “dever de custódia de dados” surge naturalmente não é realista sob a lei atual.
Depende do conteúdo específico do contrato
Em última análise, a questão de “quem tem o dever de guardar os dados” é difícil de resolver com base nas disposições do Código Civil. Portanto, a resposta deve ser “depende do que está estipulado no contrato específico”.
E a questão de “qual era o conteúdo do contrato” não é necessariamente determinada apenas pelo contrato, mas também pelas atas das reuniões. A importância das atas é explicada em detalhe no artigo abaixo.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
É difícil perseguir a responsabilidade por atos ilícitos de terceiros que não são contratantes
Além disso, está claramente estabelecido na jurisprudência que é impossível perseguir a responsabilidade por atos ilícitos de terceiros que não têm relação contratual. No caso, a questão era se um usuário poderia reivindicar indenização por danos com base em atos ilícitos em caso de perda de dados num serviço de servidor de aluguer.
Um exemplo típico de ato ilícito é um acidente de trânsito. Por exemplo, se uma pessoa é ferida num acidente de carro devido à negligência do motorista, o motorista é responsável (não apenas criminalmente, mas também civilmente). Mesmo entre estranhos, não se faz um contrato que diga “não vou atropelar pessoas com o meu carro”, mas ainda assim é possível que surja uma responsabilidade por danos. Com base neste quadro de responsabilidade por atos ilícitos, foi discutido se era possível perseguir a responsabilidade pela perda de dados, mesmo que não houvesse uma relação contratual direta.
No entanto, o tribunal apontou as características da informação digital e indicou que é difícil assumir a existência de tal obrigação.
Os servidores não são perfeitos e podem falhar, resultando na perda de programas e outros dados armazenados, mas esses programas e outros dados são informações digitais que podem ser facilmente duplicadas, e se o usuário tiver gravado e armazenado esses dados, poderá reiniciar o programa, o que é amplamente conhecido (a essência de todo o argumento), então os demandantes poderiam facilmente ter tomado medidas para prevenir a perda do programa e dos dados em questão. Dadas as circunstâncias dos demandantes e do réu, não há razão nem necessidade de impor ao réu, que instalou e gerencia o servidor em questão, o dever de prevenir a perda dos registros dos demandantes para protegê-los. (Omissões) Os demandantes argumentam que o contrato de aluguer do servidor tem a natureza de um contrato de depósito em relação aos programas e dados de terceiros, e com base nisso, o réu, como operador do servidor de aluguer, tem o dever de cuidado de custódia para com todos aqueles que armazenam registros no servidor em questão, especificamente o dever de não permitir a perda dos registros no servidor, e com base nessa premissa, argumentam que o réu violou o dever de prevenir a perda ao permitir a perda dos registros dos demandantes armazenados no servidor em questão.
Decisão do Tribunal Distrital de Tóquio, 20 de maio de 2009 (Ano 21 da era Heisei)
No entanto, o réu apenas celebrou um contrato de serviço de hospedagem de servidor compartilhado com o usuário A, e não tem uma relação contratual com os demandantes, e não se pode dizer que há uma natureza de contrato de depósito em relação à custódia do programa em questão e dos dados armazenados no servidor em questão, por isso é difícil encontrar uma base para o réu ter um dever de cuidado de custódia sob a lei de atos ilícitos em relação aos demandantes, com quem não tem uma relação contratual, em relação aos registros armazenados no servidor em questão. Portanto, simplesmente porque o réu é um operador de servidor de aluguer, não se pode dizer que ele tem um dever de cuidado de custódia ou um dever de prevenir a perda dos registros armazenados no servidor em questão em relação a terceiros com quem não tem uma relação contratual.
Esta decisão aponta que não é apropriado assumir a existência de um “dever de não apagar dados” em relação a terceiros (demandantes) que não têm uma relação contratual direta. Esta decisão atraiu alguma atenção como um caso líder potencial para casos semelhantes no futuro.
Em conclusão, é provável que seja “difícil” perseguir a responsabilidade
Além disso, em termos de contratos comumente usados na prática, não há muitos casos em que o contrato estipula que o operador é responsável pela guarda e backup de dados, e na verdade, a maioria dos contratos estipula que essa é a responsabilidade do usuário (ou seja, a empresa cliente).
Portanto, a menos que haja algum acordo especial, seria extremamente difícil, do ponto de vista legal, considerar que o operador do sistema tem o dever de tomar medidas para prevenir a perda de dados.
Medidas a tomar para prevenir o risco de perda de informação
No final das contas, o risco de perda de informação que uma empresa enfrenta está relacionado com a informação que a própria empresa armazena. Portanto, é provável que a forma como essa empresa considera esse risco e o tipo de sistema de armazenamento que estabelece seja algo que a própria empresa deve decidir.
Além disso, mesmo que a responsabilidade do operador seja reconhecida, pode-se considerar que a compensação por danos não será totalmente concedida devido à compensação por negligência. Existem precedentes judiciais em que, num caso em que o réu, que estava a guardar os dados do autor num servidor, apagou os dados, foi reconhecido que o facto de o autor não ter feito backup era “negligência”, e a compensação por negligência foi concedida.
O autor poderia facilmente ter tomado medidas como fazer um backup do conteúdo do arquivo em questão, e poderia ter prevenido a ocorrência de danos ou mantido os danos extremamente mínimos, no entanto, é reconhecido que na altura do incidente de eliminação, o autor não tinha deixado nenhum conteúdo de dados do arquivo em questão.
Portanto, neste caso, ao determinar o montante da responsabilidade de indemnização do réu, deve-se considerar este ponto e aplicar a provisão de compensação por negligência, o que é apropriado para o conceito de equidade na lei de indemnização por danos.
Em resposta a isto, o autor argumenta que era impossível para o autor prever que o arquivo em questão seria eliminado do servidor pelo réu, que é um provedor de serviços, e que não se pode dizer que o autor deveria ter previsto isso, por isso não se pode reconhecer a obrigação de fazer backup como uma obrigação legal, e a sua inação não pode ser considerada negligência no sentido legal, e a aplicação de compensação por negligência deve ser negada.
No entanto, para aplicar a compensação por negligência, é suficiente reconhecer a possibilidade de previsão do autor da ocorrência do resultado da eliminação do arquivo em questão, e não é necessário prever a possibilidade da ocorrência do resultado da eliminação do arquivo em questão devido à violação do dever de cuidado do réu.
Neste caso, é claro que o autor estava ciente do risco de hackers, etc., invadirem a página inicial, e o autor reconhece que há um risco de alteração e destruição de informações na comunicação pela Internet, e esse risco era previsível, por isso o autor era capaz de prever o risco de o arquivo em questão ser eliminado devido a causas inerentes à comunicação pela Internet, e a possibilidade de previsão da ocorrência do resultado da eliminação do arquivo em questão é plenamente afirmada, e não há obstáculo para afirmar a aplicação de compensação por negligência.
Julgamento do Tribunal Distrital de Tóquio, 28 de setembro de 2001 (Ano 13 da era Heisei)
Neste caso, “Como não foi feito backup, era previsível que o arquivo pudesse ser eliminado por algum motivo, como a invasão de hackers, etc., e portanto, há uma aplicação de compensação por negligência”, e o montante da indemnização por danos foi reduzido para metade.
Resumo
Não se limitando apenas ao risco de perda de dados, quando se delega a gestão de sistemas a terceiros, os utilizadores tendem a preocupar-se apenas com a experiência de utilização na interface, muitas vezes negligenciando a governança organizacional na área de armazenamento de dados que está por trás.
No entanto, os precedentes judiciais sugerem que não podemos simplesmente considerar estas questões como “problemas de outros”. Por outras palavras, devemos estar cientes de que a implementação de medidas de gestão, como a realização de backups, tendo em conta o risco de perda de informações, é fundamentalmente uma questão que deve ser tratada pelos utilizadores (dentro da própria empresa).
Os precedentes judiciais sugerem que a falta de preparação para tais riscos pode levar a situações irreversíveis, servindo como um aviso da necessidade de prevenção. Não deveríamos entender isso dessa maneira?
Category: IT
Tag: ITSystem Development
