© Cover picture by www.freakingnews.com All rights reserved.
aware
CIBERCRIME E O USO DE TECNOLOGIAS DE
INFORMAÇÃO NO LOCAL DE TRABALHO
Direito do Trabalho
Março 2010 ||Direito do Trabalho | Propriedade Intelectual e Teconologias de Informação
aware
Cibercrime
Tem-se assistido a um incremento de notícias relacionadas com a (in)segurança de sistemas informáticos, já que na mira das tentativas de intrusão
de Hackers deixaram de estar apenas empresas
privadas e passaram a estar também organismos
oficiais do Estado, através de ataques utilizando
diversas ferramentas de Malware como Worms,
Trojans, Rootkits e uma infinidade de vírus.
A eventual existência deste tipo de vulnerabilidades
levou mesmo a que o Presidente da Republica,
no ano passado, colocasse em causa a suficiência
da protecção da informação confidencial contida
nos computadores da Presidência da República.
Sejam públicas ou privadas, as entidades alvo
destes ataques não divulgam estes incidentes, pela publicidade negativa e alarmismo que
causam na opinião pública e porque a divulgação
do ataque a um sistema ou rede informática leva,
normalmente, a um subsequente incremento das
tentativas de intrusão por parte de outros Hackers.
Este tipo de actos nem sempre teve consequências a nível penal. A obsoleta Lei 109/91, de 17 de
Agosto, previa que o acesso ilegítimo a um sistema ou rede informática era apenas punível caso o
Hacker tivesse intenção de alcançar, para si ou para
outrem, um benefício ou vantagem ilegítimos.
Com a entrada em vigor da nova Lei do Cibercrime (Lei 109/2009, de 15 de Setembro), o mero
acesso, ou tentativa de acesso a um sistema informático, passou a ser criminalmente punível,
abrangendo também quem produzir, colocar
à disposição de terceiros ou introduzir meios
destinados a aceder a um sistema informático.
Este tipo de actuação é também passível de configurar outros crimes, como a intercepção ilegítima,
caso o acesso implique a interceptação de transmissões de dados informáticos, ou a sabotagem
informática no caso de se entravar, impedir, interromper ou perturbar gravemente o funcionamento
de um sistema informático. A pena, neste último
caso, pode mesmo atingir 10 anos de prisão.
destes crimes e a reunir as provas necessárias para
os incriminar, permitindo-se, nomeadamente,
que as entidades judiciárias ordenem a pesquisa,
preservação e apreensão de documentos e mensagens de correio electrónico, bem como a intercepção de comunicações, à semelhança do que sucede com as escutas telefónicas. Em alguns casos
excepcionais permite-se mesmo que os órgãos de
polícia criminal actuem sem prévia autorização de
uma autoridade judiciária, exigindo-se que estas
últimas ratifiquem posteriormente tais actuações.
É neste âmbito que surgem e encontram justificação empresas nacionais privadas altamente especializadas no sector da informática forense que,
verificadas certas condições, colaboram com os
advogados, na qualidade de peritos, recolhendo,
examinando e preservando provas relativas a
crimes informáticos e elaborando os respectivos
relatórios periciais, que constituem um meio
essencial para fundamentar a acusação deduzida contra os arguidos neste tipo de processos.
Em conclusão, deve ter-se presente que a adopção de medidas legislativas não é de per si suficiente para reprimir a cibercriminalidade. Na
prática, é ainda necessário que as entidades judiciais sejam dotadas dos meios tecnológicos e recursos humanos com a formação adequada para
esse fim. Por outro lado, no ciberespaço podem
e devem existir polícias, velando pela ordem
pública e pela defesa das liberdades dos cidadãos.
Importa, por último, que tanto as entidades públicas como as privadas adoptem medidas adequadas
de robustecimento dos seus sistemas informação
que permitam detectar e impedir ciberataques.
João Gonçalves de Assunção, Advogado
De entre as inovações introduzidas pela nova Lei
do Cibercrime destacam-se ainda novos meios
processuais destinados a identificar os agentes
www.abreuadvogados.com
1
aware
Relevância da análise e recuperação de dados classificados como
provas digitais, no trabalho do advogado em processo-crime
A recuperação e análise de provas digitais
(informática e telemóveis) contidas em discos
rígidos, “pen´s”, discos externos, telemóveis,
cartões de telemóvel, etc. e de todo o seu conteúdo, com o objectivo de descobrir evidências
de uma determinada acção ou acto criminoso,
afigura-se de extrema relevância ao advogado
que tem pela frente um processo-crime, no âmbito do qual terá de afirmar a existência dessas
provas - em representação do queixoso -, ou, pelo
contrário, de as rebater, colocando em causa a
sua fidedignidade, em representação do arguido.
A necessidade de obtenção dos referidos meios de
prova pode colocar-se num vastíssimo número e
tipo de ilícitos criminais, nos quais o meio utilizado se reconduza a um destes elementos como,
por exemplo, Difamação (artigo 180.º do Código Penal - “CP”), Injúria (artigo 181.º do CP),
Ameaças (153º do CP), Devassa da vida privada
(artigo 192.º do CP) - gravação mensagens de
correio electrónico; conversa telefónica, etc.);
Devassa por meio de informática (artigo 193.º do
CP); Gravações e Fotografias ilícitas (artigo 199.º
do CP); Burla Informática (artigo 221.º do CP).
A análise e a recuperação de provas digitais no âmbito de processos criminais, por parte de uma empresa especializada nesse trabalho, será relevante e
admissível para o advogado nas seguintes situações:
A partir da pendência de processo-crime:
Subscrição de parecer técnico, a juntar ao processo nos termos do artigo 165.º, n.º 3 do Código de Processo Penal (“CPP”), caso em que
poderá auxiliar o advogado que se vê confrontado
com o resultado de uma perícia que lhe é desfavorável ou com uma imputação feita através de
elementos probatórios de origem não fidedigna.
Intervenção enquanto consultor técnico indicado
pela defesa, para assistir à realização de perícia
ou para solicitar esclarecimentos, já após a realização da mesma, nos moldes previstos no artigo
155.º do CPP – assim participando na perícia.
O artigo 158.º do CPP prevê ainda a possibilidade de a autoridade judiciária determinar, em
qualquer altura do processo, oficiosamente ou
a requerimento, e quando isso se revelar relevante para a descoberta da verdade (i) que os
peritos sejam convocados para prestarem esclarecimentos complementares; ou (ii) a realização de nova perícia ou renovação da anterior, a
cargo de outros peritos, podendo, neste âmbito,
haver nova intervenção do consultor técnico.
Ana Sequeira, Advogada
.
Antes da pendência de processo criminal:
Auxílio ao advogado na preparação de
processo-crime no qual seja necessário
demonstrar ou rebater elementos probatórios referentes a dados constantes de registos
informáticos ou telemóveis (provas digitais),
designadamente na conservação das provas.
www.abreuadvogados.com
2
aware
Os meios de vigilância à distância no local de trabalho, a
confidencialidade e o acesso à informação e a monitorização do
e-mail e da internet pelo empregador
A par das vantagens da introdução das novas tecnologias como ferramentas de trabalho, surgiram
preocupações legítimas com eventuais comportamentos invasivos por parte do empregador na esfera
privada do trabalhador. Em consequência, surgiu,
também, a necessidade de regular a utilização destas tecnologias no âmbito do contrato de trabalho.
São várias as disposições introduzidas no Código
do Trabalho (de ora em diante também referido
por “CT”) relativas à matéria dos direitos de
personalidade e privacidade com o objectivo de
garantir aos trabalhadores a salvaguarda desses
mesmos direitos, o que se manteve na revisão que
foi feita ao dito Código em Fevereiro de 2009.
De referir que até à publicação do CT esta matéria não estava expressamente tratada na anterior
legislação laboral, sem prejuízo de já estar prevista na Constituição da República Portuguesa.
Do ponto de vista laboral referimo-nos à regulação de matérias como o uso de meios de
vigilância à distância no local de trabalho,
da confidencialidade de mensagens e acesso
a informação pelo empregador e da monitorização dos e-mails e da internet por este.
Meios de vigilância à distância no local de
trabalho
No que respeita aos meios de vigilância à distância no local de trabalho, matéria prevista nos
artigos 20.º e 21.º do CT, é estabelecido como
princípio geral que o empregador não pode utilizar tais meios (microfones, mecanismos de escuta, câmaras, etc.) com o propósito de controlar o desempenho profissional do trabalhador.
Porém, a utilização dos referidos meios de
vigilância é lícita se tiver por finalidade a protecção e segurança de pessoas e bens ou quando
particulares exigências inerentes à natureza da
actividade o justifiquem (como poderá acontecer no caso de trabalhadores de dependências bancárias, aeroportos, transportes de valores ou estabelecimentos de venda ao público).
Neste âmbito, caso pretenda utilizar meios de
vigilância à distância, o empregador tem de
cumprir o dever de informação e comunicação
aos trabalhadores relativamente à existência e
finalidade dos meios de vigilância utilizados.
A par da legitimidade do propósito e do cumprimento destes deveres, a licitude da utilização destes
meios depende ainda da autorização da Comissão
Nacional da Protecção de Dados (CNPD).
(continuação na página seguinte)
www.abreuadvogados.com
3
aware
Os meios de vigilância à distância no local de trabalho, a
confidencialidade e o acesso à informação e a monitorização do
e-mail e da internet pelo empregador (continuação)
Limites do direito de reserva e
confidencialidade do trabalhador
Monitorização do e-mail e da internet pelo
empregador
Em relação à matéria da confidencialidade
e acesso à informação, o CT estabelece que o
trabalhador goza do direito de reserva e confidencialidade relativamente ao conteúdo das
mensagens de natureza pessoal e ao acesso a
informação de carácter não profissional que envie, receba ou consulte, nomeadamente, através
do correio electrónico ou da internet. Assim, o
empregador ou quem o represente, não pode,
sem mais, aceder a mensagens de natureza pessoal existentes na caixa de correio electrónico
do trabalhador. A visualização de tais mensagens
apenas se justifica em casos específicos, tem
que ser feita na presença do trabalhador e deve
limitar-se à visualização do endereço do destinatário ou remetente, ao assunto e à data e hora de
envio. Porém, e não obstante a reserva da vida
privada do trabalhador, o empregador pode estabelecer regras de utilização dos meios de comunicação e das tecnologias utilizadas na empresa,
nomeadamente, através de Regulamento Interno. De referir, no entanto, que tal não legitima
a violação do direito à confidencialidade. Em
suma, o acesso ao e-mail do trabalhador deverá
ser o ultimo recurso a utilizar pelo empregador.
Quanto à matéria da monitorização do e-mail
e da internet pelo empregador esta deverá ser
feita de forma aleatória e não persecutória e
ter como finalidade primordial a promoção
do sistema informático e da sua performance.
As comunicações electrónicas efectuadas
a partir de instalações do empregador podem ser abrangidas pelas noções de “vida
privada” e “correspondência”, bem como os
acessos feitos a sítios na internet. Assim, o
facto de os meios informáticos serem propriedade do empregador, não exclui a confidencialidade das comunicações e da correspondência.
Por último, o empregador deverá indicar claramente aos trabalhadores as condições em que o
uso privado da internet é permitido, bem como
especificar o material que não pode ser visualizado ou copiado e assegurar que aqueles conhecem as formas de controlo utilizadas pelo empregador - ou seja, é de toda a conveniência a
existência e divulgação adequada da política de
monitorização do correio electrónico e internet.
Magda Sousa Gomes, Advogada
www.abreuadvogados.com
4
aware
A assinatura electrónica e em particular a assinatura electrónica
qualificada
A assinatura electrónica foi introduzida no ordenamento jurídico Português pelo DecretoLei n.º 290-D/99, de 2 de Agosto, contudo apenas agora começa a ganhar especial relevo.
Daí que, a primeira questão que se deverá colocar
é a de saber o que é uma assinatura electrónica,
que nos termos do diploma acima referido, é
definida como um “resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo
e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja
aposta, de modo que: (i) Identifique de forma
unívoca o titular como autor do documento; (ii)
a sua aposição ao documento dependa apenas
da vontade do titular; e, (iii) sua conexão com
o documento permita detectar toda e qualquer
alteração superveniente do conteúdo deste.”.
Face à definição legal, podemos afirmar que uma
assinatura electrónica é algo que é aposto voluntariamente num determinado documento electrónico, tendo em vista identificar o autor do mesmo, bem como quaisquer alterações que aquele
venha a sofrer. Contudo, esta definição de assinatura electrónica apenas cobre o tipo mais básico
de assinatura, a Assinatura Electrónica Avançada.
www.abreuadvogados.com
Na verdade, o aludido Decreto-Lei distingue
três tipos de assinaturas consoante a segurança que as mesmas conferem, a saber:
- Assinatura Electrónica Avançada;
- Assinatura Digital; e,
- Assinatura Electrónica Qualificada.
Dos três tipos acima citados, a mais relevante
é, naturalmente, a Assinatura Electrónica
Qualificada. Este tipo de assinatura é, juridicamente, uma Assinatura Electrónica Avançada mas
baseada num sistema criptográfico assimétrico,
consubstanciado em duas chaves: uma particular
e outra privada. A primeira permite ao titular da
assinatura declarar a sua autoria e autenticidade
do documento, ao passo que a segunda permite
ao destinatário do documento verificar a mesma
autenticidade e a autoria. Adicionalmente, existe
um requisito adicional de segurança, uma vez que
assinatura se baseia num certificado, emitido por
uma entidade terceira – o certificado qualificado.
(continuação na página seguinte)
5
2
aware
A assinatura electrónica e em particular a assinatura electrónica
qualificada (continuação)
É neste certificado que se torna visível o grau
de segurança da Assinatura Electrónica Qualificada, já que o mesmo tem que ser emitido
por uma entidade certificadora, que por sua
vez terá que estar credenciada e cumprir com
diversos requisitos para exercer tal função.
Na verdade, as entidades certificadoras, que
poderão ser pessoas singulares ou colectivas, desde que devidamente credenciadas, apenas fornecem um conjunto de meios para
a criação e verificação de assinaturas electrónicas, bem como para a emissão de certificados e asseguram a sua publicidade.
No que concerne à entidade credenciadora, nos
termos do artigo 8.º do Decreto-Lei n.º 116A/2006, de 16 de Junho, trata-se de um cargo
assumido pela Autoridade Nacional de Segurança, na pessoa do Director Geral do Gabinete
Nacional de Segurança, em directa dependência da Presidência do Conselho de Ministros.
Existindo todo um conjunto de meios dotados para garantir maior segurança à Assinatura Electrónica Qualificada, tais meios verificam-se ser justificados quando
contrapostos com os fins da referida assinatura.
É que, a Assinatura Electrónica Qualificada
equivale, para todos os efeitos legais à assinatura
autografa e confere uma maior força probatória
aos documentos nos quais ela é aposta, garantindo, nos termos do artigo 7.º do Decreto-Lei n.º
290-D/99 de 2 de Agosto, força probatória plena.
Assim, um documento electrónico no qual a Assinatura Electrónica Qualificada é aposta equipara-se a
um documento particular assinado e reconhecido;
ou seja, um documento que contenha uma Assinatura Electrónica Qualificada, quando apresentado
a outra parte, presumir-se-á verdadeiro até que
esta o impugne e prove que o mesmo é falso – ao
passo que a regra geral é a de que quem apresenta o documento tem de provar a sua veracidade.
Para além das questões probatórias, a Assinatura Electrónica Qualificada está a assumir especial relevo, uma vez que desde 31 de Outubro
de 2009 (depois de uma prorrogação do prazo
original de 30 de Julho de 2009) se tornou obrigatória a utilização de plataformas electrónicas nos procedimentos de contratação pública.
De acordo com o regime da contratação pública
todos os documentos submetidos às plataformas
electrónicas terão de estar assinados com Assinatura Electrónica Qualificada, cifrados e sujeitos a um processo de validação cronológica,
sob pena de, caso os documentos não cumpram
com estas formalidades, exclusão da proposta.
As assinaturas electrónicas são uma realidade
cuja importância apenas agora se começa a notar, contudo, com a evolução natural das tecnologias é expectável que se tornem cada vez
mais presentes no dia-a-dia do cidadão comum.
Sérgio Gonçalves Dinis, Advogado
Esta Aware contém informação e opiniões expressas de carácter geral, não substituindo o recurso a aconselhamento jurídico para a
resolução de casos concretos. Para mais informações, por favor contacte-nos através do email [email protected] ou
[email protected]
© ABREU ADVOGADOS 2010
2
www.abreuadvogados.com