outubro, 2020.

Em um trabalho recente (“Three tales of attribution in cyberspace: criminal law, international law and policy debates”), a Sra. discute a questão da atribuição de atividades maliciosas no ciberespaço a partir da perspectiva do direito penal e menciona alguns dilemas que os Estados precisam abordar para avançar a discussão sobre a responsabilização. Como a Sra. vê o papel das empresas neste cenário?

A atribuição de atividades cibernéticas maliciosas pode assumir diferentes formas: atribuição técnica, atribuição legal ou atribuição política. Cada forma de atribuição tem como objetivo identificar o ator (estatal ou não) que é supostamente responsável pela atividade. Um tipo de atribuição não exclui o outro. A atribuição técnica pode ser descrita como o processo de descoberta e interpretação de indicações de tal forma que apontem para um responsável específico. Muitas vezes precede a atribuição legal ou política, mas quando novas informações são descobertas, a atribuição pode assumir uma forma diferente. As atividades cibernéticas maliciosas são muitas vezes tão sofisticadas que este é um processo complexo e em camadas que também poderia tocar nas relações diplomáticas entre os Estados.

As empresas podem desempenhar um papel importante na prevenção de ataques cibernéticos, divulgando suas próprias descobertas de especialistas de atribuição técnica. Obviamente, estamos falando de empresas especializadas em segurança cibernética. Por exemplo, no hack da Belgacom, a Symantec publicou um relatório e, no caso do hack da DNC, Crowdstrike estava envolvido na atribuição técnica. Com sua experiência, as empresas podem apoiar o processo de prevenção e ajudar a identificar o suposto invasor.

E qual é a sua opinião sobre as empresas que auxiliam as autoridades estatais na coleta de provas de infrações criminais que cruzam fronteiras de países no ambiente digital?

A coleta de provas nesse caso é, em primeiro lugar, um mecanismo entre as autoridades estatais envolvidas na investigação e na persecução de infrações penais. Na assistência judiciária mútua tradicional em matéria penal, participavam, também, os canais diplomáticos de comunicação com o objetivo de enviar e receber pedidos estrangeiros de assistência judiciária mútua [mutual legal assistance]. Isso era importante, uma vez que incumbia aos canais oficiais verificar se um pedido de um determinado país deveria ou não ser cumprido. Um país com um histórico questionável em matéria de direitos humanos, por exemplo, provavelmente veria o seu pedido de assistência ser negado.

Nos instrumentos jurídicos mais recentes, especialmente na União Europeia, é permitido o envio de pedidos diretamente entre autoridades policiais e do Ministério Público de diferentes países — e não através dos canais diplomáticos tradicionais. No entanto, a verificação do pedido do Estado requerente e se é ou não adequado a sua execução continua, nessa situação, a ser feita por uma autoridade judicial.

Todavia, no caso de provas digitais, as iniciativas legislativas inclinam-se para colocar as empresas na posição de efetuar esta primeira verificação. Isto significa que um membro do Ministério Público do Estado “A” pode enviar um pedido de dados digitais diretamente a um prestador de serviço de telecomunicações no Estado “B”. Seria então tarefa do prestador de serviços verificar se é adequado dar assistência ao Estado “A”. Só se o prestador determinar que o pedido de dados — por exemplo — viola direitos humanos, seria desencadeado um mecanismo judicial para decidir sobre esta questão.

Este sistema coloca as empresas num papel de decisão e acredito que esta não seja uma boa solução por várias razões. Em primeiro lugar, as empresas não estão equipadas para tomar tais decisões porque têm interesses diferentes dos interesses do Estado em que estão sediadas. Em segundo lugar, as empresas não têm necessariamente recursos para tomar tais decisões. Uma grande empresa pode ter um departamento jurídico considerável que pode assumir estas questões, mas as pequenas e médias empresas teriam de fazer investimentos significativos. Em terceiro lugar, este sistema pode levar a questões de responsabilidade. Imagine que um prestador cumpriria um pedido e transferiria dados sem assinalar o pedido como violando a proporcionalidade. Quando, posteriormente, os dados fossem utilizados em um julgamento criminal, isso poderia levar a uma reclamação contra o provedor por violar as regras de privacidade e proteção de dados.

Convém sublinhar que o sistema descrito era apenas uma proposta da Comissão Europeia para tratar da coleta de dados digitais entre países. Após críticas e muitas alterações, a proposta continua a ser debatida e ainda não está pronta uma solução adequada para a coleta de provas digitais entre países. Será interessante ver o que as negociações a nível da UE trarão sobre este tema.

Na sua opinião, quais são as questões mais importantes que as empresas devem abordar ao lidar com a segurança cibernética e a proteção de dados em seus programas de conformidade?

Acho que já foi dito e escrito muito sobre compliance, segurança cibernética e proteção de dados. No entanto, gostaria de chamar a atenção para dois pontos que muitas vezes são ignorados neste contexto e ambos estão ligados entre si.

Em primeiro lugar, compliance não é igual à segurança. Estar em conformidade não significa que você esteja seguro. Compliance significa seguir a lei e atender a todos os requisitos que a lei aplicável exige que você atenda. Isso não significa que uma empresa que atenda a todos esses requisitos possa ter certeza de que tem segurança perfeita. Uma das razões reside no fato de as disposições legais representarem frequentemente um nível mínimo de segurança. Dependendo do tipo de empresa que você é, dependendo do tipo de serviços ou bens que você entrega e dependendo dos fornecedores com quem você trabalha, você pode precisar ir mais longe do que o que a lei lhe diz para fazer. A este respeito, a abordagem baseada nos riscos em que se baseia o Regulamento Geral sobre a Proteção de Dados da UE é uma excelente forma de análise.

Outra razão é que a tecnologia se desenvolve muito mais rapidamente do que novas leis podem ser adotadas. Os atores mal-intencionados procuram constantemente novas vulnerabilidades nas infraestruturas de TI e não se importam se você está totalmente em conformidade com a lei aplicável. O que pode parecer uma segurança cibernética à prova de ataque para sua empresa hoje, pode ser o alvo de um novo tipo de ataque empregado por um ator malicioso amanhã.

Por último, o compliance não necessariamente leva em conta o fator humano, o que me leva ao segundo ponto para o qual gostaria de chamar a atenção. Construir uma segurança real em sua organização significa investir na verdadeira conscientização de sua equipe. Significa construir uma cultura de segurança entre seus funcionários treinando-os continuamente. Simplesmente estar em conformidade com a lei aplicável, por exemplo, não fará com que você esteja ciente de uma ameaça interna, um funcionário que esteja descontente e pronto para causar danos à sua empresa ou que seja subornado ou forçado a violar os seus sistemas. Compliance também não significa que os acidentes não possam acontecer. Muitas vezes, violações de dados não são causadas por atividades maliciosas, mas por simples erros humanos. Construir uma cultura de segurança entre seus funcionários também pode mitigar esse risco.

No que diz respeito à proteção de dados, a Sra. espera mudanças importantes em relação às iniciativas de cooperação entre UE e os EUA em matéria penal após Schrems II?

Sim. Então, pela segunda vez, o CJUE (Corte de Justiça da União Europeia) considerou inválida a base jurídica para a transferência de dados entre a UE e os EUA e contrária às normas da UE em matéria de proteção de dados. A ferramenta de cláusulas contratuais padrão [SCC – standard contractual clauses] ainda é válida, mas sua base jurídica não é. Este aspecto tem de ser observado pelas instituições da EU. Porém, enquanto isso, as empresas têm de continuar a sua atividade. E, para muitos, isso inclui transferências de dados entre a UE e os EUA.

Essa situação cria uma série de problemas para as empresas. Algumas autoridades de proteção de dados na UE têm aconselhado as empresas a armazenarem os seus dados exclusivamente em servidores baseados na UE. Outros, não. Isso cria uma “colcha de retalhos” de abordagens que coloca as empresas em uma posição difícil.

O que considero mais problemático relativamente ao julgado Schrems II é que a Corte de Justiça declara que as empresas que são controladores de dados e que transferem dados pessoais com base em SCC devem verificar se a lei do Estado terceiro requerente garante uma proteção adequada ao abrigo do direito da UE. Isto significa que as empresas são, novamente, colocadas na posição de avaliar o quadro jurídico de proteção de dados de um país, incluindo a sua aplicação dos direitos humanos.

Não me parece que se trata de uma boa evolução pelas mesmas razões que não concordo com as propostas originais da UE em matéria de provas digitais, que já expliquei anteriormente. Mais uma vez, as empresas estão sendo colocadas numa posição que deveria ser assumida por uma autoridade pública. Para além das preocupações que manifestei relativamente às empresas que não estão equipadas para tal tarefa, isto criará também uma “colcha de retalhos” de diferentes abordagens.

Diferentes controladores de dados podem fazer diferentes avaliações do quadro jurídico do mesmo país. Se a Comissão Europeia fizesse essa avaliação, o resultado seria uma abordagem harmonizada, o que aumentaria a segurança jurídica tanto para os controladores dos dados como para os cidadãos.