Arquivo da tag: Direito Digital

O anonimato da transição nas quebras de sigilo informático

Da necessidade ou não da indicação de porta lógica de origem para identificação de usuários de Internet

 

Recentemente, considerando a escassez de IPs na versão 4, inúmeros provedores de acesso começaram a implementar solução tecnológica a seus usuários, fazendo com que diversos clientes acessassem a Internet por meio de um único IP compartilhado, o que vale para telefonia móvel. Continue lendo

Certificado digital inválido ou revogado: O que fazer?

É sabido que um certificado digital pode ser revogado por vários motivos. As autoridades certificadoras disponibilizam em seus sites, periodicamente, as chamadas Listas de Certificados Revogados (LCRs), normalmente arquivos com extensão “.clr”.

Pela Declaração de Práticas de Certificação da Certisign (DPC), item 4.4.10 (http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign/DPC_AC_CertiSign.pdf) a verificação da validade do certificado na respectiva LCR é obrigatória antes do mesmo ser utilizado.

A ideia é mostrar os certificados que não estão ativos, revogados ou cancelados, especificamente para aquela Autoridade certificadora, impedindo que um certificado sem validade seja utilizado. Assim, é fato que um Tribunal ou Fisco checam as LCRS das Autoridades OAB ou outras. O cidadão ou advogado pode no seu próprio sistema operacional comparar um certificado com as listas de revogados. Esta plataforma e tarefa não é amigável.

Assim, em determinado momento este advogado tenta acessar o sistema do Tribunal e recebe a informação de certificado revogado ou inválido. Isto pode-se dar porque seu certificado está erroneamente inserido em um LCR ou porque a checagem da LCR, em tempo real, está apresentando problemas. Na questão fiscal, Notas Fiscais Eletrônicas (NF-e) podem ser rejeitadas, por exemplo, quando a Secretaria da Fazenda não consegue checar a autenticidade de quem assina uma LCR, em uma transação on-line.

Já se o certificado digital do Tribunal é outro ou mudou, normalmente o profissional pode tentar adicionar o novo certificado no seu sistema operacional, “adicionando uma exceção”.

Garantir a autenticidade da LCR é fundamental porém sabe-se que erros ocorrem e que este processo não é feito com total precisão. Advogados e contribuintes não podem ser penalizados por erros que não deram causa.

Sempre que encontrar problemas envolvendo “certificado revogado” estando o mesmo ainda no prazo de validade, entre em contato com sua autoridade certificadora. Igualmente, se for certificado recém comprado, aguarde por 48 (quarenta e oito) horas antes de usar.

Caso continue o problema, tente pesquisar se o seu certificado permanece válido para a Autoridade. Para pesquisar o status de um certificado digital via Certisign (Autoridade relacionada à OAB/SP) acesse https://gestaoar.certisign.com.br/GestaoAR/cliente/busca/inicio e digitando seu CPF poderá verificar informações e detalhes. Consulte a interface de pesquisa da sua autoridade.

Diferente da mensagem “Nenhum certificado encontrado” (ou similares) que pode ocorrer e diz respeito a má instalação do certificado no computador do usuário, mensagens de certificado inválido ou revogado precisam ser checadas junto à autoridade certificadora, rapidamente. Nas questões fiscais, recomenda-se registrar as sessões de tentativa de envio de documentos e a perícia em informática pode ser útil em eventual auto de infração em decorrência dos problemas nos sistemas.

Marco Civil da Internet é aprovado: O que muda para as vítimas de crimes virtuais e para os provedores?

Em 25/03/2014 o Marco Civil da Internet foi, enfim, aprovado na Câmara dos Deputados. O PL 2126/2011 segue agora para o Senado. A aprovação só foi possível pois o PMDB, um dos maiores críticos ao projeto, mudou de ideia e decidiu aprovar o texto (retirando suas restrições).

Para o PMDB o “notice e take down” deveria existir quando se tratasse de remoção de conteúdos ilícitos. Logicamente que a proposta não passaria e a regra continua sendo a ordem judicial. Por outro lado, o texto ainda precisa ser melhorado no Senado Federal.

Na composição atual, o Provedor só é responsabilizado se notificado judicialmente, não remover o conteúdo apontado. Ocorre que no dia-a-dia, o provedor é notificado para remover o conteúdo e informar os dados que possam indicar a autoria do conteúdo. E se não indicar? Pelo projeto, não poderia ser responsabilizado, pois o texto é expresso em consignar que a responsabilização só deverá ocorrer se este não remover o conteúdo. Impunidade. Embora possa ser responsabilizado por um juiz de direito, trata-se de uma disposição que poderia estar expressa no texto e auxiliaria e muito pessoas que são diariamente vítimas de crimes cibernéticos e que se deparam com a informação de que “não temos os dados” por parte de alguns provedores.

Mas é um avanço, pois a partir de agora existe a garantia da proteção dos dados dos usuários de Internet e principalmente, em breve teremos base legal para responsabilizar provedores de conteúdo e serviços diante das variadas modalidades de violação à privacidade de usuários.

Para o cidadão, este poderá ser valer de perícia em informática para constatar utilização indevida de dados ou mesmo coleta de dados além do necessário por serviços de internet, comprovando a violação que poderá lhe ensejar direito a reparação por danos morais e eventualmente, materiais, com amparo no Marco Civil.

Igualmente, pela garantia do art. 11, mesmo que o provedor de serviços seja internacional ou com sede em outro país, é a Lei Brasileira que se aplicará ao processamento de dado de brasileiros, se pelo menos uma das operações de processamento (como a coleta), se der no Brasil.

Ainda, deverá ser rápido o cidadão em buscar a perícia e as medidas jurídicas para apuração da autoria, caso seja vítima de crime cibernético pois de acordo com o texto, provedores de serviços deverão manter por 6 (seis) meses os logs de acesso aos serviços (art. 15). Já os provedores de acesso, comumente acionados após o fornecimento dos dados pelos provedores de serviço, deverão guardar os registros de conexão por 1 (um) ano (art. 14).

A norma prevê ainda, em seu art. 21, em casos de crimes envolvendo divulgação de fotos e conteúdos de cunho sexual, íntimo, ou com cenas de nudez, a possibilidade da vitima ou representante legal diretamente notificar o provedor de conteúdo, requerendo a remoção. Este será subsidiariamente responsável pela violação da intimidade, se não indisponibilizar este conteúdo. Ou seja, especificamente para os casos acima narrados, dispensou-se a ordem judicial para remoção do conteúdo, bastando a notificação da vítima ou seu advogado, assumindo o provedor o risco, se decidir manter o conteúdo no ar.

O texto deverá provocar uma revisão dos processos e termos de uso de provedores de acesso, conteúdo e serviços, sobretudo para manterem a conformidade com a futura norma. Igualmente, sistemas que coletem dados massivos ou informação não agregadas precisarão ser revisados, de modo a se verificar se estão ou não dentro da “Constituição da Internet”. Sites e lojas de comércio virtual necessitarão também readequar suas políticas e termos, adequando-se as garantias do Marco Civil, evitando problemas futuros.

Recomenda-se uma revisão completa de termos de uso, política de privacidade e de abusos de portais e serviços disponíveis na web e que manipulem dados pessoais. Ainda, provedores deverão conceber um claro processo para recepção de ordens judiciais e processamento para remoção de conteúdos, bem como um processo que apresente total transparência no trato com dados pessoais.

O texto segue para o Senado, onde poderá alterado.

Acesse o texto final completo do Marco Civil aqui

Lei Anticorrupção, auditoria informática e computação forense

No mundo muitas empresas já adequavam seus sistemas e processos às normas de peso internacional, como Foreign Corrupt Practices Act of 1977 (FCPA), Bribery Act of 2010, dentre outras regulamentações. No Brasil, a recém editada Lei 12.846 de 2013 traz a responsabilização das pessoas jurídicas por prática de atos contra a administração pública. Estas empresas podem ser responsabilizadas mesmo que optantes pelo simples por exemplo, pouco importando o tipo societário ou porte. Continue lendo

Regras para o uso da Internet nas Eleições 2014

Proferirei uma série de palestras informativas sobre regras para uso da Web na Campanha Eleitoral 2014, sendo uma por mês até julho. Vagas são limitadas. Faremos as palestras em São Paulo e em cidades estratégicas do Estado. Para começar, segue o banner dos primeiros encontros. Vejo todos no evento!

Curso-Eleitoral-Internet

Para quem não comprou o livro Guerra Eleitoral na Internet, clique aqui e faça já seu pedido!

Big Data e as análises na predição de crimes e fraudes

Projetos para predição de crimes usando tecnologias Big Data estão em franco desenvolvimento em todo o mundo. Basicamente, coletar grandes quantidades de dados e analisá-los, gerando inteligência e base para decisões. Compreendeu-se, lá fora, que a questão é estratégica e envolve não apenas segurança pública mas defesa nacional. O sucesso no esclarecimento de crimes com base em câmeras de vigilância é apenas uma pequena ponta do que grandes volumes de informações geradas e tratadas podem fazer no que tange à inteligência. O Governo Obama tem despejado muito dinheiro em programas desta natureza.

Leia meu artigo completo aqui

Como investigar e apurar judicialmente a autoria de crimes digitais e na internet

A apuração de crimes digitais importa na coleta de dados em provedores de conteúdo/serviços e provedores de acesso. Diante de um crime digital ou cibernético, como ofensa, difamação, calúnia ou outros crimes, praticados pela internet, a vitima é orientada a buscar apoio de um especialista para apurar a autoria do delito, quase sempre cometido por alguém que não se identifica.

E neste contexto, considerando que provedores de serviços, conteúdos e redes sociais, como Facebook, Google, Microsoft, dentre outros, só apresentam dados mediante ordem judicial, via de regra, faz-se necessário processar tais provedores para que eles apontem os dados de “conexão” relativos a alguém que utilizando seus serviços, praticou algum crime cibernético ou causou dano a outrem.

O grande problema é que na maioria das vezes os provedores de serviços fornecem apenas um número de endereço IP (internet protocol) relativo ao suposto usuário criminoso. E convenhamos: Ninguém vai ao Judiciário para descobrir um número IP! Por outro lado, busca apoio da Justiça para identificar a pessoa por trás da ofensa e que age amparada pela falsa sensação de anonimato. Busca-se a autoria do crime!

E é aí que entra o papel do Provedor de Acesso. Como base no número IP fornecido pelo provedor de serviços demandado judicialmente, pode-se ir ao registro.br e descobrir qual o Provedor de Acesso responsável e então, requerer nos autos a expedição de ofício ao mesmo, para que aponte e forneça os dados cadastrais do usuário/seu cliente conectado na Internet, com o IP apurado, na exata data e hora da ofensa publicada ou do crime praticado.

E neste ponto surge outro problema, alguns Magistrados, sem muita intimidade com informática e tecnologia da informação, em casos dessa natureza, acabam por não consentirem com a determinação de ofício aos Provedores de Acesso identificados, sob a argumentação de que não são “partes no processo”, fazendo com o que o consumidor da justiça, além de não ter obtido sua pretensão, tenha de mover uma nova ação, desta vez em face dos Provedores de Acesso Identificados na ação anterior (Movida em face dos provedores de serviços onde o delito fora praticado).

Este é, apenas um exemplo de uma decisão desacertada:

988502_332095700253876_1613409171_n

Um desperdício em desprestígio da economia processual, e um risco, considerando que os dados (registros e logs) dos provedores de acesso a serem demandados podem vir a ser apagados. Neste sentido, é papel do advogado do Direito Digital também educar, conscientizar e apresentar ao julgador os riscos do encerramento prematuro de um processo de apuração de autoria.

Em um dos cursos que ministro sobre Direito Digital Avançado,  onde tenho oportunidade de interagir com alunos que já atuam na área há mais de 10 (dez) anos e com profunda bagagem técnica e jurídica em Direito da Informática, representando grandes corporações e provedores, foi levantada esta questão, relativa a dificuldade de alguns julgadores em compreenderem que a efetiva tutela jurisdicional, nestes casos, só é alcançada com a apuração da autoria e não com o fornecimento de meros dados de conexão.

Neste cenário, é consenso que devemos desenvolver nossas petições instruídas de documentos, gráficos, desenhos que ilustrem o procedimento de apuração da autoria de crimes e ilícitos virtuais, estabelecendo de forma clara as etapas e o papel dos provedores de serviços e de acesso. Ponderou-se no curso e até nas discussões via Facebook, sobre a necessidade da concepção de um gráfico, para que colegas da área pudessem instruir ou anexar em suas ações, cooperando para conscientização em relação aos procedimentos em casos envolvendo apuração de autoria em crimes e golpes na Internet.

Neste sentido, para auxiliar os colegas e advogados do direito da informática e digital, criei um gráfico ilustrativo e legendado, que denominei “Caminho básico para apuração judicial da autoria de um crime digital – 2013”. O gráfico, que está na versão 1 e fica a disposição dos colegas, está disponível em formato JPG e PDF e pode ser baixado aqui. Pelo gráfico, advogados, promotores, acadêmicos, vitimas e membros do judiciário poderão rapidamente compreender de forma básica como um delito digital é praticado, via de regra, e como é possível apurar a autoria, na grande maioria dos casos.

Esperamos a contribuição dos colegas e especialistas para aprimoramento versões posteriores. O Documento é liberado para uso em requerimentos, petições e quaisquer outros pleitos judiciais envolvendo crimes informáticos. Uma contribuição modesta aos colegas que militam arduamente na área e que por vezes se frustram com decisões que asseguram impunidade em delitos de informática, cada vez mais comuns no Brasil.  Compartilhem!

Acesse os gráficos (Versão PDF ) (Versão JPG )

Referências http://josemilagre.com.br/blog/sala-de-estudos/direito-tecnologico/documentos/grafico-para-apuracao-judicial-de-crimes-digitais/

Decreto que regulamenta o E-commerce está valendo

Está em vigor desde o dia 14 de maio de 2013 o Decreto Federal 7962/2013, que regulamenta a contratação via Comércio Eletrônico, o E-commerce. Em seus artigos 2o. e 3o. o Decreto regulamenta os requisitos que passam a ser obrigatórios para os sites de e-commerce e sites de compras coletivas. Continue lendo

Curso de Processo e Peticionamento Eletrônico: Prática em todas as Instâncias

oab

Temos ministrado periodicamente, no âmbito do Departamento de Cultura e Eventos da OAB/SP, o “Curso de Processo Eletrônico: Prática em todas as instâncias”. Ao longo de mais de 5 (cinco) encontros, realizados desde janeiro de 2013, capacitamos mais de 1.100 (mil e cem) advogados na Capital e Interior (até o momento) Durante todo o semestre, estaremos percorrendo algumas subseções para levar a informação prática e precisa ao Advogado, para que possa se ajustar a este novo momento do Judiciário brasileiro. Continue lendo