Violações de dados: adicionando uma nova camada ao risco de negligência jurídica
- Criado em 27/01/2020 Por LinkLei
Os advogados têm o dever ético de ter salvaguardas razoáveis para proteger e responder a uma violação de dados. O fracasso em fazer isso resultou em processos profissionais por negligência profissional.
As notícias hoje em dia estão cheias de relatórios de violações significativas de dados. De fato, a maioria dos especialistas opina que não se trata de "se", mas "quando", se uma entidade será vítima de um ataque cibernético. Infelizmente, os profissionais não estão imunes a violações de dados. Além disso, as obrigações éticas colocam advogados e escritórios de advocacia em risco ainda maior por danos comerciais, financeiros e à reputação significativos, caso sofram um ataque cibernético. Mais empresas estão presas a esquemas tão simples quanto táticas de “phishing” ou tão sofisticados quanto um ataque cibernético coordenado, expondo dados de clientes que podem incluir informações financeiras sensíveis, informações sobre fusões e aquisições que influenciam o mercado e propriedade intelectual de um registro de patente.
Por que escritórios de advocacia são alvos principais
Os escritórios de advocacia são um alvo fácil para os hackers, pois possuem um grande volume de dados críticos. Por exemplo, um advogado envolvido em uma transação comercial altamente sensível tem acesso a informações que variam de informações de identificação pessoal (PII) de um cliente a detalhes de transações confidenciais de uma empresa. Além disso, por meio da descoberta e do processo de litígio, os escritórios de advocacia obtêm acesso, entre outros itens, às PII de seus clientes e adversárias, informações pessoais de saúde (PHI) e informações financeiras confidenciais. Tudo, desde segredos comerciais, informações sensíveis que movimentam o mercado sobre as finanças de uma empresa, até a PHI de um cliente ocupa os arquivos e servidores de um escritório de advocacia. Além disso, como os advogados tendem a identificar e isolar essas informações, os hackers conseguem localizar rápida e eficientemente esses dados altamente confidenciais. Assim sendo,
Além disso, os escritórios de advocacia tendem a empregar menos recursos para implementar fortes controles de segurança cibernética, tornando-os mais suscetíveis a ataques. De acordo com o Relatório de Pesquisa de Tecnologia Legal de 2019 do Centro de Recursos de Tecnologia Legal da American Bar Association, 26% dos entrevistados relatam que suas empresas sofreram algum tipo de violação de segurança (desde atividades de hackers e explorações de sites até incidentes mais mundanos, como laptops perdidos ou roubados). Embora o número de 26% seja notável, também chamam a atenção os 19% dos entrevistados que informaram que não sabem se sua empresa já sofreu uma violação de segurança. Além disso, a pesquisa constatou que apenas 31% dos entrevistados tinham um plano de resposta a incidentes. Além disso, apenas 44% dos entrevistados usam criptografia de arquivos, 38% usam criptografia de email e 22% usam criptografia de disco inteiro / completo.
É evidente que, entrando na nova década, os escritórios de advocacia continuarão sendo alvos maduros para um ataque cibernético e devem tomar medidas para adicionar camadas adicionais de proteção para proteger as informações de seus clientes e reduzir a possibilidade de uma reclamação por negligência.
Consequências legais e éticas de uma violação
As regras de ética exigem que os advogados sejam competentes e tomem medidas razoáveis para proteger as informações relacionadas aos clientes. Os comentários à Regra modelo 1.1 da ABA afirmam que “para manter o conhecimento e a habilidade necessários, um advogado deve manter-se a par das mudanças na lei e em sua prática, incluindo os benefícios e riscos associados à tecnologia relevante, se envolver em estudos e educação e cumprir todos os requisitos legais de educação continuada a que o advogado está sujeito. ”
Em junho de 2017, o Comitê Permanente de Ética e Responsabilidade Profissional da ABA emitiu o parecer formal 477R sobre o assunto das obrigações éticas de um advogado para garantir a comunicação de informações protegidas dos clientes. O parecer examinou novamente os avanços da tecnologia e as ameaças cada vez maiores à segurança cibernética, além de fornecer orientações sobre quando medidas de segurança aprimoradas são adequadas ao transmitir informações protegidas dos clientes. O parecer declarou que nem sempre é razoável confiar no uso de e-mail não criptografado; portanto, os advogados devem, caso a caso, analisar constantemente como eles se comunicam eletronicamente sobre as questões do cliente para determinar que esforço é razoável.
O Comitê recomendou as seguintes etapas que os advogados devem adotar para se proteger das divulgações, incluindo: compreensão da natureza da ameaça; entender como as informações confidenciais do cliente são transmitidas e onde são armazenadas; compreender e usar medidas razoáveis de segurança eletrônica; determinar como as comunicações eletrônicas sobre os assuntos dos clientes devem ser protegidas; rotular informações confidenciais do cliente; treinamento de advogados e assistentes não-advogados em tecnologia e segurança da informação; e realização de due diligence em fornecedores que fornecem tecnologia de comunicação.
Mais de um ano depois, em 17 de outubro de 2018, o Comitê Permanente de Ética e Responsabilidade Profissional da American Bar Association emitiu o parecer formal 483, detalhando as obrigações de um advogado após uma violação de dados eletrônicos ou ciberataque. O Comitê da ABA reconheceu que “[a] guardiões de informações altamente sensíveis, os escritórios de advocacia estão convidando alvos para hackers”. A Opinião descrevia algumas medidas razoáveis que o Comitê acreditava que os advogados deveriam tomar no caso de uma violação de dados. Ao fazer isso, o Comitê tratou da obrigação de um advogado de monitorar uma violação, interromper uma violação descoberta e restaurar sistemas, determinar quais informações foram comprometidas, avaliar as obrigações de aviso e determinar quais informações devem ser fornecidas aos clientes e ex-clientes. em caso de violação.
Consequentemente, os advogados têm o dever ético não apenas de ser competente no que diz respeito ao uso da tecnologia, mas de ter salvaguardas razoáveis para proteger e responder a uma violação de dados. A falha em fazer isso resultou em ações movidas, soando em negligência profissional. Por exemplo, em Millard v. Doran,153262/2016 (Sup. Ct. NY Cty.), Foi instaurado um processo por negligência por um advogado por permitir supostamente cibercriminosos invadir o sistema de e-mail da empresa e ler e interceptar as comunicações realizadas. Isso resultou na denúncia fraudulenta de US $ 1,9 milhão aos criminosos cibernéticos. Um exemplo em larga escala ocorreu em 2017, quando uma ação coletiva foi iniciada contra o escritório de advocacia Johnson & Bell não por qualquer violação real, mas por ter medidas inadequadas de segurança de dados em vigor. Quanto aos danos, a classe buscou uma medida cautelar, a exigência de que a empresa informe seus clientes que seus sistemas de computador não são seguros e passem por uma auditoria de segurança, a perda de honorários e lucros que a empresa supostamente desviou de gastar em segurança cibernética, honorários advocatícios despesas e juros pré e pós-julgamento. Na medida em que os escritórios de advocacia continuem ignorando suas obrigações éticas e legais de se proteger contra um ataque cibernético, espera-se que ainda mais ações judiciais por negligência profissional sejam registradas.
Evitando reivindicações de negligência
A cibersegurança é responsabilidade de todos em um escritório de advocacia. O buy-in deve fluir de cima para baixo para garantir uma cultura de segurança na organização. Os escritórios de advocacia devem criar um comitê interorganizacional, que inclui não apenas gerenciamento, mas também recursos humanos, compras, finanças e TI, para desenvolver e implementar um plano de gerenciamento de riscos para impedir a violação de dados. Além disso, muitos escritórios de advocacia agora estão usando um Diretor de Tecnologia ou Privacidade para supervisionar a segurança e privacidade de dados da empresa, bem como a infraestrutura de tecnologia para garantir que as políticas e procedimentos sejam consistentes com o plano e a tecnologia de segurança. Usar recursos como o Instituto Nacional de Padrões e Tecnologia (NIST) como orientação para a implementação de um programa de segurança de dados é um bom começo. É um modelo abrangente e flexível para gerenciar riscos. Os cinco pilares do NIST incluem: identificar, proteger, detectar, responder e corrigir. Atualmente, trinta por cento das empresas americanas usam a estrutura do NIST para gerenciar seus riscos cibernéticos. Até 2020, o número de empresas deverá aumentar para 50%.
Além disso, um escritório de advocacia deve realizar um inventário de seus sistemas e dados de software e atribuir propriedade e categorização de risco; quanto maior a sensibilidade das informações, mais fortes devem ser as proteções de segurança e o controle de acesso. Além disso, o departamento de TI ou um fornecedor externo deve realizar varreduras de vulnerabilidades, testes de penetração e malware de terceiros para proteger contra possíveis violações. O uso de software antivírus simplesmente não é suficiente para detectar ataques sofisticados que às vezes passam despercebidos por uma média de 300 dias.
Mais importante, depois de definir o tom do topo, os escritórios de advocacia devem treinar os funcionários para que estejam cientes do protocolo de segurança da empresa e protegidos contra o potencial de expor acidentalmente as informações pessoais e confidenciais de um cliente com o clique de um botão. Isso também inclui que todos os funcionários criem senhas fortes e exclusivas para proteger seus computadores e dispositivos móveis em conjunto com um utilitário de gerenciamento de senhas. Além de implementar o uso de credenciais de conta seguras, outros métodos e ferramentas comumente implantados, usados para manter os dados seguros, incluem criptografia e títulos físicos. Claramente, o uso da criptografia para e-mails é uma ferramenta essencial para advogados. Os aplicativos de criptografia são muito fáceis de usar e protegem os dados e a privacidade dos clientes ao enviar e-mails e anexos confidenciais.
A nova era digital impõe uma maior responsabilidade ética e legal à profissão de advogado para proteger a confidencialidade, a integridade e a disponibilidade dos dados de um cliente. Com a crescente ameaça de alegações de negligência relacionada à segurança cibernética, é imperativo que os advogados comportem sua prática para evoluir com as mudanças atuais da tecnologia.