Quando reviso o quadro de risco de uma organização, há uma pergunta a que quase ninguém sabe responder de imediato: sabes quais das condutas que hoje geres como “má prática interna” são, além disso, crimes tipificados? A Lei 26.388 da Argentina traçou essa linha há mais de quinze anos. E, no entanto, continua a viver, na maioria dos quadros de governança, como um assunto que se delega à área jurídica e não como o que também é: um input direto para o desenho de controlos.
Trabalho em governança, risco e conformidade (GRC), não em direito penal. Por isso não me interessa percorrer a lei artigo a artigo, mas olhá-la a partir do ponto em que se torna relevante para quem gere uma organização: o momento em que uma conduta deixa de ser uma infração da política interna e passa a ser um facto que o Código Penal contempla. Do quadro para a operação, então: o que a Lei 26.388 reformou, que controlos do teu programa ficam sob pressão quando essas condutas ocorrem, e o que a tua governança do risco tem de ter previsto para não improvisar no dia em que acontece.
O que regula a Lei 26.388 e porque importa ao teu quadro de governança?
A Lei 26.388, promulgada em 2008, não é uma lei isolada: reformou o Código Penal argentino para incorporar os chamados crimes informáticos. Em vez de criar um estatuto separado, equiparou condutas do mundo digital a figuras penais existentes e acrescentou outras novas. Entre as principais: o acesso ilegítimo a um sistema ou dado informático (artigo 153 bis), a violação de comunicações eletrónicas como o correio (artigos 153 e 155), a fraude informática mediante manipulação de sistemas (artigo 173, número 16), o dano informático, que abrange alterar ou destruir dados e distribuir programas nocivos (artigos 183 e 184), e a distribuição de material de abuso sexual de menores por meios eletrónicos (artigo 128).
Para um responsável de segurança ou de conformidade, o dado relevante não é a pena. É que a lei deu um nome penal a um conjunto de condutas que o teu programa já conhece com outro vocabulário. Aquilo a que chamas “partilhar credenciais”, “acesso indevido”, “manipulação de um sistema” ou “introdução de malware” tem, desde 2008, uma segunda leitura. Essa dupla natureza, infração interna e crime, é exatamente o que obriga a sentar a Lei 26.388 à mesa da governança do risco e não apenas na secretária do advogado.
Convém um esclarecimento de critério antes de avançar: o enquadramento penal de um facto concreto é trabalho de especialistas em direito. O meu terreno, e o de qualquer responsável de GRC, é outro. É assegurar que a organização tem os controlos, as políticas e os registos necessários para que essa conduta seja menos provável, fique documentada quando ocorre e possa gerir-se sem deixar a empresa exposta por ter improvisado.
Da política de uso aceitável ao risco penalizado: que controlos ficam sob pressão?
A utilidade prática da Lei 26.388 para a governança do risco aparece quando a lemos ao contrário. Em vez de perguntar “o que castiga a lei”, convém perguntar “qual dos meus controlos atende a cada uma destas condutas”. Aí a norma deixa de ser um texto legal e torna-se um mapa de exposição.
O cruzamento é direto. Cada conduta que a lei contempla tem, do lado da organização, um controlo que a previne ou a deteta e uma componente de sensibilização que a sustenta. Quando esse controlo falha ou não existe, não se abre apenas uma lacuna operacional: abre-se uma lacuna que pode ter consequências penais para pessoas concretas e reputacionais para a organização.
| Conduta contemplada pela Lei 26.388 | Risco organizacional típico | Controlo e sensibilização que o atende |
|---|---|---|
| Acesso ilegítimo a sistemas ou dados (art. 153 bis) | Credenciais partilhadas, acessos não revogados após a saída, escalonamento de privilégios | Gestão de acessos, revisão periódica de permissões, política de uso aceitável e sensibilização sobre não partilhar credenciais |
| Fraude informática (art. 173, n.º 16) | Manipulação de sistemas para defraudar, fraude do CEO, alteração de registos | Segregação de funções, dupla validação de operações sensíveis, sensibilização sobre engenharia social e pedidos urgentes |
| Dano informático e programas nocivos (arts. 183 e 184) | Introdução de malware, eliminação ou alteração de dados, sabotagem | Gestão de alterações, cópias de segurança, controlo de software, sensibilização sobre anexos e executáveis |
| Violação de comunicações eletrónicas (arts. 153 e 155) | Interceção ou divulgação indevida de emails e mensagens | Classificação da informação, política de confidencialidade, controlo de reencaminhamentos, sensibilização sobre o tratamento de dados de terceiros |
A tabela não esgota a lei, mas organiza a conversa. O que mostra é que a Lei 26.388 quase nunca exige um controlo novo: exige que os que já tens funcionem e, sobretudo, que consigas demonstrar que existiam e foram comunicados. A Lei 25.326 sobre proteção de dados impõe essa lógica de evidência de forma explícita; a Lei 26.388 impõe-na de forma indireta, através do risco de que uma conduta da tua organização acabe analisada ao abrigo do Código Penal.
O que tem a tua organização de ter documentado?
Se uma conduta pode ser lida em chave penal, a pergunta de governança é sempre a mesma: o que tinha a organização para a prevenir e o que pode mostrar disso? Três blocos de documentação resolvem a maior parte dos casos.
O primeiro é a política de uso aceitável, vigente, comunicada e aceite de forma verificável. Não basta que exista numa pasta. Tem de dizer com clareza o que é permitido e o que não é quanto ao acesso a sistemas, ao uso de credenciais, ao tratamento de informação de terceiros e à instalação de software. E tem de poder provar que cada colaborador a conheceu e aceitou, contra que versão e em que data.
O segundo é a evidência de sensibilização. O facto de as pessoas saberem que certas ações não são apenas uma infração da política interna, mas condutas que a lei considera crime, muda o cálculo de quem as poderia cometer e protege quem nelas poderia incorrer por desconhecimento. Para que esse conhecimento seja um controlo a sério, tem de estar registado: quem se formou, sobre que conteúdo, quando e com que resultado. O risco humano continua a ser o fator que mais incidentes origina, e a sensibilização é o controlo que atua antes de a conduta ocorrer.
O terceiro é o registo técnico dos controlos de acesso e de alterações: logs de acesso, gestão de privilégios, rastreabilidade de modificações. Este bloco costuma ser o mais sólido nas organizações maduras e o mais frágil nas que cresceram depressa sem formalizar a sua governança.
Plataformas como a SMARTFENSE resolvem o segundo bloco por desenho: cada aceitação de política, cada conclusão de um módulo e cada aprovação de uma avaliação fica registada com data, autenticação do utilizador e versão do conteúdo. Para um responsável de conformidade, isso transforma a sensibilização de uma boa intenção num controlo que se pode auditar. A secção de recursos de conformidade reúne material adicional sobre como articular o quadro legal com o programa de sensibilização.
Quando denunciar é uma decisão de governança, e não apenas legal?
Aqui convém ser precisa quanto ao limite do meu papel. A decisão jurídica de iniciar uma ação penal, como formulá-la e com que enquadramento, cabe à área jurídica e aos especialistas que a organização designe. O que é uma decisão de governança, e por isso tem de estar previsto antes do incidente, é o critério e o processo que levam a essa instância.
Uma organização sem esse critério definido improvisa no pior momento. Perante um acesso ilegítimo ou uma fraude interna, as perguntas acumulam-se: quem decide se isto escala para o plano penal? Com que limiar? Quem preserva a informação enquanto se decide? Que área é notificada primeiro? Se essas respostas se constroem em cima do acontecimento, a organização perde tempo, perde rastreabilidade e muitas vezes perde a possibilidade de agir.
A governança do risco não resolve o caso penal. Define quem decide, com que critérios e com que informação disponível. Isso documenta-se num procedimento de gestão de incidentes que contemple, além da resposta técnica, o percurso de decisão para quando um facto possa ter implicações penais. O “como” jurídico fica nas mãos de quem compete; o “quando se ativa e quem o ativa” é responsabilidade da governança.
O limite entre o disciplinar e o penal
Boa parte dos factos que a Lei 26.388 contempla nasce portas adentro. Um colaborador que acede a um sistema para o qual não tem autorização, que reencaminha informação confidencial ou que manipula um registo está, ao mesmo tempo, a infringir a política interna e a realizar uma conduta que a lei penal contempla. Distinguir esses dois planos é uma das tarefas mais delicadas da governança do risco.
O plano disciplinar resolve-o a organização com as suas próprias ferramentas: a política, o regulamento interno, as consequências previstas para cada infração. O plano penal excede a organização e rege-se pela lei e pela atividade de quem a aplica. Confundi-los gera dois erros opostos e ambos dispendiosos. Tratar como simples infração interna algo que a lei considera crime pode deixar a organização exposta. Tratar como caso penal cada infração menor desgasta o clima de trabalho e satura a área jurídica com factos que se resolviam com um controlo mais bem desenhado.
A saída não é jurídica, é de critério prévio. Uma matriz que classifique os tipos de incidente segundo a sua gravidade e defina, para cada nível, que resposta corresponde e quem a decide, evita essa confusão. Não é um documento legal: é um instrumento de governança que dá à organização uma linguagem comum para decidir com a cabeça fria aquilo que, a quente, quase sempre se decide mal.
Continuidade de negócio após um incidente com implicações penais
Um incidente que passa para o plano penal não termina quando é contido tecnicamente. Na verdade, começa uma etapa que muitas organizações não têm mapeada: a convivência entre continuar a operar e sustentar um processo que se pode prolongar no tempo. Preservar a informação sem travar a operação, comunicar às partes adequadas sem alimentar o ruído, e manter o serviço enquanto se gere o caso são desafios de continuidade, não de resposta a incidentes.
Por isso insisto, sempre que reviso um quadro, em que a Lei 26.388 não se gere no dia do facto. Gere-se antes, no desenho dos controlos, na clareza das políticas, na rastreabilidade da sensibilização e num procedimento que contemple a possibilidade de um incidente escalar. Uma organização que chega preparada a esse momento não só reduz a sua exposição: protege a sua capacidade de continuar a funcionar, que é, no fundo, aquilo de que trata a governança do risco.
A articulação entre quadro legal e cultura de segurança não é exclusiva da Argentina. A lei-quadro de cibersegurança no Chile e o debate regulatório em toda a região empurram na mesma direção: tratar a sensibilização como um controlo formal e não como uma atividade de preenchimento. O cumprimento normativo entendido como compromisso sustentado é a melhor descrição do rumo que a exigência está a tomar.
O que retirar da Lei 26.388 para a governação de risco?
A Lei 26.388 está em vigor há mais de quinze anos, e a sua maior utilidade para uma organização não está no receio da pena. Está em que oferece um mapa das condutas que o quadro de governança tem de atender com controlos concretos, políticas claras e evidência de que ambos existem.
A pergunta que vale a pena levar não é se a tua organização poderia sofrer um crime informático, porque a resposta é que sim. É se a tua governança do risco previu que controlos o previnem, quem decide quando um facto escala e o que pode a organização demonstrar no dia em que tiver de responder. Se essas respostas hoje se constroem em cima do acontecimento, esse é o trabalho a fazer. Não para escapar a uma sanção, mas para sustentar a confiança de clientes, reguladores e direção, que é a condição de fundo da continuidade de negócio.
Deixe um comentário