1

Decreto que regulamenta o E-commerce está valendo

Está em vigor desde o dia 14 de maio de 2013 o Decreto Federal 7962/2013, que regulamenta a contratação via Comércio Eletrônico, o E-commerce. Em seus artigos 2o. e 3o. o Decreto regulamenta os requisitos que passam a ser obrigatórios para os sites de e-commerce e sites de compras coletivas.

Sites de e-commerce deverão disponibilizar as seguintes informações:

I – nome empresarial e número de inscrição do fornecedor, quando houver, no Cadastro Nacional de Pessoas Físicas ou no Cadastro Nacional de Pessoas Jurídicas do Ministério da Fazenda;

II – endereço físico e eletrônico, e demais informações necessárias para sua localização e contato;

III – características essenciais do produto ou do serviço, incluídos os riscos à saúde e à segurança dos consumidores;

IV – discriminação, no preço, de quaisquer despesas adicionais ou acessórias, tais como as de entrega ou seguros;

V – condições integrais da oferta, incluídas modalidades de pagamento, disponibilidade, forma e prazo da execução do serviço ou da entrega ou disponibilização do produto; e

VI – informações claras e ostensivas a respeito de quaisquer restrições à fruição da oferta.

Já para os sites de compras coletivas, as exigências são, além das anteriores:

I – quantidade mínima de consumidores para a efetivação do contrato;

II – prazo para utilização da oferta pelo consumidor; e

III – identificação do fornecedor responsável pelo sítio eletrônico e do fornecedor do produto ou serviço ofertado

Além disso, o fornecedor deverá:

I – apresentar sumário do contrato antes da contratação, com as informações necessárias ao pleno exercício do direito de escolha do consumidor, enfatizadas as cláusulas que limitem direitos;

II – fornecer ferramentas eficazes ao consumidor para identificação e correção imediata de erros ocorridos nas etapas anteriores à finalização da contratação;

III – confirmar imediatamente o recebimento da aceitação da oferta;

IV – disponibilizar o contrato ao consumidor em meio que permita sua conservação e reprodução, imediatamente após a contratação;

V – manter serviço adequado e eficaz de atendimento em meio eletrônico, que possibilite ao consumidor a resolução de demandas referentes a informação, dúvida, reclamação, suspensão ou cancelamento do contrato;

VI – confirmar imediatamente o recebimento das demandas do consumidor referidas no inciso, pelo mesmo meio empregado pelo consumidor; e

VII – utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor.

Outro ponto interessante que a norma traz, diz respeito ao clássico direito de arrependimento, previsto no artigo 5o. da precitada regulamentação. A partir de agora, o direito de arrependimento pode ser exercido pelo consumidor pela mesma ferramenta utilizada para contratação. Objetiva acabar aquele problema de comprar pela Internet e o arrependimento ter de ser exercido em uma loja física, telefone ou outro local.

Igualmente, o arrependimento implica em rescisão dos contratos acessórios, não podendo o fornecedor repassar ônus algum ao consumidor, o que era muito comum nos casos de gateways de pagamentos, taxas de boletos, etc.

Por outro lado, para resolver muitos litígios que são apresentados no judiciário, a legislação vem a proteger o fornecedor (lojista), em face de operadora de cartões de crédito e similares. Pelo decreto, ao ser notificada do arrependimento, a administradora não poderá lançar a transação e se já lançada, deverá estornar o dinheiro ao titular do e-commerce.

Este ponto era nebuloso e levava muitas empresas de internet ao Judiciário.

Tal regra também vale para gateways (similares) e demais serviços prestados ao e-commerce, que não poderão “reter” valores do lojista diante da comunicação de arrependimento, desde que esta seja devidamente comprovada.

Para saber mais sobre as novas regras acesse http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2013/Decreto/D7962.htm

 

 

 

 

 

 




STJ define que provedor notificado que não remove conteúdo com violação autoral deve ser responsabilizado

A Terceira Turma do STJ, ao julgar pedido da empresa Google Brasil para que fosse reconhecida a ausência de seu dever de indenizar, decidiu que o provedor de conteúdo que não retira material plagiado do ar imediatamente após ter sido notificado também responde pelos danos causados por violação a direitos autorais.

Acesse o Acórdão:

https://ww2.stj.jus.br/processo/jsp/revista/abreDocumento.jsp?componente=ATC&sequencial=28109230&num_registro=201202452491&data=20130430&tipo=51&formato=PDF




Cuidados jurídicos com o colocation

Locar estrutura de serviços pode ser um grande problema quando o objetivo é provar que a prestadora está falhando. Ou mesmo para a prestadora, que mais dia menos dia, se vê envolvida em litígios entre seus clientes e clientes de seus clientes…

É a lição que tomamos de uma ação, que tramitou na 22. Vara Cível de São Paulo, em que a empresa Requerente processava a Requerida, em decorrência de uma sublocação de espaço que mantinham junto a um provedor. A Requerente então levou cinco computadores para o local.  Em virtude de uma desavença contratual, a Ré teria, “em tese” desligado os cinco computadores da Autora, prejudicando domínios de clientes desta.  Mas esta poderia desligar os equipamentos?

A Requerente precisou ingressar com uma busca e apreensão para ter acesso a seus equipamentos que estavam na infra-estrutura de terceiros. Não poderia contatar diretamente o provedor pois era a Requerida que mantinha o contrato com este. A Ré ainda, em contestação, alegou que todos os servidores da empresa haviam sido derrubados pelo sócio da autora, razão pela qual desligou os servidores, para “evitar o dano”.

Após a realização o de perícia, a Requerente não conseguiu provar que a Requerida havia maliciosamente desligado seus servidores. Segundo o juiz “Não há prova de que a invasão tenha causado prejuízos à XXXXX, razão pela qual sua pretensão indenizatória não comporta acolhimento”

Neste caso, aparentemente trata-se de um serviço de colocation (onde há a terceirização de estrutura física e da rede de tráfego) que foi por sua vez sublocado a outra empresa, a Requerente.  A decisão reforça a ideia de que não só precisamos de cooperação do provedor de serviços para apurarmos o que aconteceu, mas principalmente, precisamos rever as políticas e contratos para fazer prever direitos quando o próprio prestador de serviços é quem está falhando.

E a situação se agrava quando falamos de cloud e outros desafios.  Se estivéssemos falando de cloud, a busca e apreensão recairia sobre os dados e não sobre os ativos físicos, onde já podemos prever as complicações da execução de uma medida desta natureza.

Importa dizer que a sentença veio alguns dias antes da vigência da Lei 12.737/2012, pois caso contrário, a invasão com objetivos ilícitos poderia ser objeto de queixa criminal.  Neste sentido, cabe também aos prestadores de colocation uma revisão completa de seus contratos, prevendo limites no fornecimento de dados e demais questões onde não poderá ser responsabilizado.

Processo número 0111550-16.2008.8.26.0100 22 Vara Cível da Capital




Reflexões, macetes, truques e um pouco de humor acerca do Processo Judicial Eletrônico na Justiça do Trabalho

Esta semana pude ouvir um Juiz Trabalhista, especializado no tema, sobre Processo Eletrônico. É sempre bom ver a visão de um Magistrado sobre o Processo, bem diferente da nossa, diga-se de passagem. A interação, nos trouxe algumas reflexões e sobretudo pôde  mostrar como o Juízes visualizam o processo Eletrônico na seara do trabalho e o que esperam para o futuro.

Vamos as reflexões….O PJE foi desenvolvido pelo Conselho Nacional de Justiça. Não é necessário download pois se trata de um sistema web. Muitos tribunais que já haviam desenvolvido ferramentas próprias terão que afastar este sistema e usar o PJE, que será universal, único.

Importante salientar que PJE não é E-SAJ, usado na justiça comum paulista, pois muitos advogados ainda confundem os termos e misturam as bolas.

Para os juízes, teremos uma “eliminação dos chamados tempos mortos no processo convencional”, períodos envolvendo diligências humanas.  Ordem judicial eletrônica poderá ser feita para acesso direto ao seguro desemprego. Com o PJE, as partes tem pleno acesso ao processo, a menos que marquem como sigiloso.

É possível também fazer backup de todo o processo em prestigio do chamado pleno acesso ao processo.

Temos hoje uma possibilidade de acesso jamais pensada com o PJE. Para se ter uma idéia, apresentado um recurso na vara, é feito encaminhamento  a distribuição para o Tribunal automaticamente.  (O que ainda está engatinhando na Justiça Comum paulista)

As juntadas são feitas pelo próprio advogado. Estima-se uma  redução de 1/6 do andamento normal do processo.

O PJE trabalha com workflow, que tem finalidade de automatizar processos e aumentar a produtividade. A Justiça do trabalho já tinha um projeto de processo eletrônico e tinha encaminhado para a licitação. O CNJ disse – não gastem com isso! – e orientou fazer pelo SERPRO. O SERPRO não entregou o sistema, o PJE foi então apresentado ao CNJ, que o adotou.

Numa escala de ganho com o processo eletrônico,  segundo o Juiz, primeiro está o advogado, em segundo o servidor e por ultimo o Juiz. Os Juízes parecem mais afetos ao Mozilla Firefox para acesso ao serviço.

Uma exigência da Lei é que todo o Fórum deva ter um sistema capaz de operacionalizar uma manutenção processual através do PJE, o que aqui em São Paulo é chamado de “Salas Digitais” ou “Centrais Facilitadoras. Na prática sabemos que isso não existe e não dá conta de atender todos os Advogados.

Interessante “história”, vem quando se trata da questão da responsabilidade no uso do Processo Eletrônico. Uma mulher (Magistrada) estava despachando, e ao mesmo tempo conversando com um namorado, confundiu-se e colou trechos do da conversa no despacho, que foi publicado no Diário Oficial da União… Imagine “Vistos. A Reclamante ingressou meu amor você não podia fazer isso comigo…”

No PJE trabalhista, o sigilo ocorre quando você quer peticionar e a parte contrária não pode saber.  Porém o Juiz advertiu em relação aos advogados espertinhos “Vai colocando sigilo em tudo, até na procuração, só o juiz tira o sigilo, nem servidores, nem ninguém. Uso desta ferramenta com parcimônia é fundamental”.

O Sentimento do Magistrado em relação ao PJE é que estamos construindo uma aeronave em pleno voo. Segundo o Juiz, o mesmo já experimentou três alterações no sistema em seis meses.

No que diz respeito ao Processo Eletrônico trazer novos princípios, para muitos, estamos diante de um rol de novos princípios processuais e os tradicionais  estão sendo invalidados. Teremos um novo processo. Ex. Principio da territorialidade da jurisdição, não faz mais sentido…

Processo eletrônico puro não é o PJE, nós estamos ainda no caminho do processo eletrônico total. Novo princípio trazido pelo PJE é o Principio da ubiquidade judiciaria, pelo qual a atuação judiciaria está em todo e qualquer lugar.

O PJE utiliza o fenômeno da atropia e acronia. Teremos uma melhoria muito grande na atuação jurisdicional.  Correição, na justiça do trabalho, não existe mais, é ato simbólico, a correição é feita todo o santo dia. Não há nada feito na Vara que o Tribunal não saiba.  Google Street view  vem sendo usado por juízes, por exemplo, para avaliar sede de reclamadas.

Em bom humor…Um novo princípio surge:  O que não está no Google, não está mundo.

 A parte que tem 600 cartões de ponto para juntar, será que precisa juntar? Para o juiz, basta passar um link onde estão os espelhos dos cartões de ponto, e o Magistrado checa!

Para que juntar uma convenção coletiva no processo judicial trabalhista? Basta um link.  É necessário cuidado com sigilo, pois como lidar com um holerite que fica na Internet., disponível para o mundo?

Mais uma vez temos que atentar para uma regra de transição: Principio da separação. O que é físico é físico e o que é digital é digital.  E-doc não funciona no PJE, mas funciona para o físico.  Também não confundir e-doc com PJE!

Imagine se alguém peticiona defendendo-se de uma pretensão e alguém altera concordando com a pretensão. O PJE usa a certificação digital para eliminar as fraudes. No PJE, o sistema imediatamente vai preencher o nome, e vai consultar se o CNPJ ou CPF esta na base da receita e em qual situação. Isso não acontece no e-saj, pelo que sabemos.

Para o PJE as intimações serão feitas no próprio sistema, não haverá diário eletrônico ou intimação convencional.  Ao contrário da Justiça Comum Paulista, no PJE, a “intimação eletrônica“ existe de verdade.  O Advogado é até advertido antes de clicar em um prazo “lupa vermelha”, com um “tem certeza que vai tomar ciência do ato?”

O sistema permite que uma pessoa prepare a petição, guarde, e ai outro advogado vem e dá entrada e protocola. Isso é possível no e-saj? Em tese sim.

Um bordão já usado no PJE trabalhista, diz respeito ao visualizador do processo, que é comum juízes e advogados falarem para clicar no “BOB ESPONJA” que na verdade é o ícone de visualização do processo.

O PJE, ao contrário do E-SAJ, tem editor de textos próprio. No final a petição é feita no próprio editor do sistema, podendo ser feita no Word e colada no editor (Fico pensando a questão de colarem um trojan, java script, código malicioso, etc.)

Em algumas distribuições, o sistema já até pode distribuir as audiências designadas.

Descobrimos que no PJE trabalhista, existe um foro teste e treinamento, porém não disponível para advogados. A defesa no processo trabalhista não será apresentada mais em audiência mas até uma hora antes, no meio eletrônico.

Muitos advogados reclamaram pois tem medo da parte adversa saber o teor da defesa e não querer acordo… Neste sentido ideal é colocar o critério de sigilo da defesa.

Ao advogado esperto, poderá acessar o sistema na ultima hora da audiência e conhecer a defesa a ser apresentada, se não protegida.

Nas audiências, Juiz e secretário dispõem de computador e cada parte dispõe de monitor para poder visualizar o processo,  pois não existem mais autos físicos. O PJE é diferente do e-doc, e permite juntar documentos de 1.5 mb, não existindo limite da somatória dos documentos. Já imagino o risco a disponibilidade do sistema considerando que não existe limite de arquivos! Haja HD!

Os juízes também combatem o chamado  “Agigantamento de petições”, sobretudo no processo eletrônico. Pelo que soube com esta interação com o Magistrado, o sistema tem uma espécie de Business Intelligence,  dando elementos ao juiz para entender a matéria, e segundo o Juiz, petições agigantadas com fatos históricos, dentre outros, prejudicam o sistema neste aspecto.

Por fim, no que tange a indisponibilidade do sistema, o PJE registra o tempo de indisponibilidade. Sobre a prorrogação do prazo diante da indisponibilidade momentânea, embora controverso, vale a regra do art. 10 da Resolução CSJT 94/2013, que dispõe que os prazos serão prorrogados desde que a indisponibilidade for maior que 60 minutos ou ocorra entra 23h00 e 24h00

No que tange a inclusão dos advogados e partes, tem-se que processo eletrônico não pode ser meio de exclusão social. Para os juízes trabalhistas, se pode desumanizar o processo.  Atendimento pessoal ainda é fundamental e os juízes estão dispostos a continuar despachando diretamente, quando necessário.




Lei Dieckmann (12.737/2012) e a invasão com objetivo de “instalar vulnerabilidades”

Vulnerabilidade pode ser conceituada como a incapacidade de suportar os efeitos de um ambiente hostil. Dentre os tipos de vulnerabilidade, podemos citar a social, relacionada a incapacidade de indivíduos e organizações de resistirem a impactos adversos de fontes estressoras e de choque.

ISO 27005, IETF RFC 2828, NIST, ENISA, The Open Group, FAIR e ISACA são algumas normas e instituições que definem a vulnerabilidade.  Todas as definições no mundo remetem a idéia da fraqueza de um ativo que pode ser explorada por uma ou mais ameaças.

Um estado vulnerável é um estado autorizado, a partir do qual um estado não autorizado pode ser alcançado usando transições de estados autorizados. Logicamente, por definição, um ataque ou uma invasão começa necessariamente em um estado vulnerável. Quem invade, via de regra invade algo vulnerável ou graças a uma vulnerabilidade relacionada ao objeto, e não é comum que invada algo vulnerável para “instalar uma vulnerabilidade”.

Pois bem, aí vem a Lei Brasileira 12.737/2012, que tipifica os crimes informáticos (Lei Carolina Dieckmann) e assim define o tipo de invasão de dispositivo informático:

Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:  

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.  

Ora, se alguém invade um dispositivo informático mediante violação indevida de mecanismo de segurança, de fato está explorando alguma vulnerabilidade relativa ao dispositivo, que tinha uma fraqueza direta ou em relação aos responsáveis pelo ativo. Deste modo, explorando a vulnerabilidade, obtém acesso indevido ao sistema. Estando no sistema, o agente pode obter, adulterar ou destruir dados e informações ou mesmo instalar códigos para prejudicar ou lesar a vitima. Não faz sentido e não é usual que um atacante invada, explorando necessariamente uma vulnerabilidade, com o objetivo de instalar uma vulnerabilidade!

A vulnerabilidade é ativada por uma ameaça, a vulnerabilidade é explorada e pode atentar contra a integridade, confidencialidade e disponibilidade da informação.

Como é possível constatar, a vulnerabilidade é uma fraqueza em um sistema. Não se espera de um atacante, que acaba de invadir um sistema, que “instale uma vulnerabilidade”. No máximo a vitima, pode instalar um sistema vulnerável, que poderá ser explorado pelo atacante. Falar em instalar vulnerabilidade, como objetivo da invasão, para um cracker, seria o mesmo que dizer ao atacante para criar uma nova porta em uma casa na qual ele já entrou, ou o mesmo que punir um ladrão de veículos que ao arrombar a porta do carro, o faz sem o objetivo de levar o bem, mas simplesmente  de abrir todas as demais portas do veículo, indo embora.

A situação da redação é grave pois estamos lidando com a liberdade de indivíduos, com o direito penal e seu principio da legalidade. Neste cenário, o agente que invade um sistema informático, sem objetivo de obter, adulterar nem destruir informações, mas simplesmente de instalar aplicação ou código malicioso para capturar dados bancários da vitima, como se verifica, não invadiu com escopo de “instalar vulnerabilidade”, mas “explorou vulnerabilidade” instalando código malicioso, logo, não poderá ser punido pela novíssima lei 12.737/2012!

Este é resultado de legislar por casuísmos. Uma Lei que já nasce com certa carga de ineficácia.

José Antônio Milagre é Perito e Advogado especializado em Tecnologia da Informação Twitter: http://www.twitter.com/periciadigital E-mail jose.milagre@legaltech.com.br  Site: www.legaltech.com.br  Face: http://www.facebook.com/josemilagre      

  

Artigo em PDF