Introdução
No contexto mais amplo da Proteção de Conhecimentos Sensíveis, a começar pela propriedade intelectual, este artigo tem como propósito abordar a questão relacionada à segurança de informações que são vitais para o mundo corporativo, diante de um cenário que se caracteriza pelo aumento das ameaças, em especial no ambiente cibernético, derivadas de ataques hackers, e pelas vulnerabilidades internas, resultado principalmente do comportamento do “elo humano”, chamado de INSIDER THREAT1.
Em apertada síntese, Insider Threat se caracteriza pela ação de uma pessoa que, dentro de uma corporação, valendo-se de seu grau de credenciamento e principalmente do acesso a dados sigilosos da empresa, como, por exemplo, o desenvolvimento de projetos técnicos, voluntariamente ou inconscientemente, contribui para o vazamento de dados (data leak) ou violação de dados (data breach)2, de maneira a contribuir com uma pessoa ou grupos mal-intencionados.
O amálgama entre ameaças externas e vulnerabilidades internas, condensado com uma realidade espinhosa3 [pouco tratada ou desconhecida] a ser vista nas próximas linhas, tende a provocar um efeito ainda mais corrosivo para o ambiente corporativo advindo de cenários de concorrência desleal.
Propriedade Industrial ou Intelectual?
No Brasil, a Lei 9.279, de 14/05/96, regula e protege os direitos e obrigações relativos à Propriedade Industrial, considerando o interesse social e o desenvolvimento tecnológico e econômico do País, mediante as ações descritas no seu Art. 2º, tais como a concessão de “patentes de invenção” e a “repressão à concorrência desleal”.
Interessante notar que a referida Lei, somente no seu Art. 241 menciona o termo Propriedade Intelectual, assim descrito como “fica o Poder Judiciário autorizado a criar juízos especiais para dirimir questões relativas à propriedade intelectual”, sem entrar em maiores detalhes sobre a atuação desses juizados especiais.
A Associação Brasileira da Propriedade Intelectual (ABPI) apresenta a definição de Propriedade Intelectual4 da seguinte forma:
“a convenção da Organização Mundial da Propriedade Intelectual … define como propriedade intelectual “a soma dos direitos relativos às obras literárias, artísticas e científicas, … aos desenhos e modelos industriais, às marcas industriais, … , à proteção contra a concorrência desleal e todos os outros direitos inerentes à atividade intelectual nos domínios industrial, científico, literário e artístico”.”
A WIPO (World Intelectual Property Organization) aborda, além da Propriedade Intelectual, a questão de Trade Secrets5 (Segredos Comerciais, em tradução livre) da seguinte maneira:
Trade secrets are intellectual property (IP) rights on confidential information which may be sold or licensed.
What qualifies as a trade secret?
In general, to qualify as a trade secret, the information must be:
- commercially valuable because it is secret,
- be known only to a limited group of persons, and
- be subject to reasonable steps taken by the rightful holder of the information to keep it secret, including the use of confidentiality agreements for business partners and employees.
In general, any confidential business information which provides an enterprise a competitive edge and is unknown to others may be protected as a trade secret.
Um bom exemplo de segredo comercial é a fórmula química da Coca Cola, cujos componentes estariam divididos em diferentes fábricas, sendo que os funcionários destas cadeias intermediárias de produção não teriam acesso às demais partes da fórmula. Outro exemplo de segredo comercial seria o código fonte do sistema operacional Windows da Microsoft. O algoritmo de busca do Google também é considerado como um trade secret, bem como a fórmula do óleo penetrante/lubrificante WD-40.
Independente do apontamento entre ser uma propriedade industrial ou intelectual e de segredos envolvidos na produção de produtos e serviços, o que se deseja é estudar como estes aspectos se conectam com a “realidade”.
Uma perspectiva mais abrangente
A recente publicação do artigo da revista The Economist que menciona o caso de uma decisão judicial, nos Estados Unidos da América (EUA), que determinou o pagamento de uma indenização no valor de dois bilhões de dólares por uma empresa norte-americana, acusada de ter se utilizado de recursos de espionagem industrial para se apropriar de conhecimentos sensíveis de uma concorrente local, merece uma reflexão mais aprofundada.
O caso foge da arquitetura clássica que levaria à acusação da prática de espionagem provocada com o apoio de um sistema de inteligência estatal estrangeiro.
Não por acaso, o título da reportagem é: Corporate espionage is entering a new era,6 o que, por si só, ao mencionar o termo “espionagem”, deveria aguçar a curiosidade do leitor, principalmente de quem exerce alguma atividade relacionada à proteção de conhecimentos sensíveis de uma empresa.
De acordo com o artigo, o episódio serviu para ilustrar que o negócio da espionagem industrial tem se expandido e que a atividade de extrair informações sigilosas do concorrente não está mais concentrada somente em setores da indústria chamados como “sensíveis”, tais como o de defesa e o farmacêutico. O que se tem observado é o aumento de alvos da atividade de espionagem em empresas de menor porte e em setores como o da educação e da agricultura (tradução livre).
No contexto brasileiro, o recente caso judicial pela disputa do controle acionário da Eldorado Celulose, que atinge a cifra de 15 (quinze) bilhões de reais, entre as empresas J&F e Paper Excellence, demonstra, ainda que de maneira subjetiva, que o tema da proteção de conhecimentos sensíveis permeia os segredos de negócios intrínsecos das corporações, nas vertentes retromencionadas entre ameaças e vulnerabilidades.
De acordo com a reportagem de Reynaldo Turollo Jr, publicada pela revista Veja7, além de sustentar que foi vítima de ‘hackeamento’ de e-mail de advogados e espionagem que teriam prejudicado sua defesa, a J&F afirmou que um dos juízes que analisou a disputa, entre 2019 e 2021, em uma corte de arbitragem teria agido sem a imparcialidade necessária.
A J&F, segundo a reportagem, em nota, manifestou que:
“O caso da Paper Excellence é um escândalo comprovado por documentos, testemunhos e perícias. Está provado que todos os e-mails trocados pela J&F com seus advogados na arbitragem foram espionados durante a disputa.”
Um possível exemplo de norma mais específica
Nesse contexto, existem dois documentos vigentes nos EUA que estão [in]diretamente relacionados com o tema em si e que merecem ser citados. O primeiro é o Defend Trade Secrets Act of 20168 que trata em seu bojo da conduta de apropriação indébita relacionada a Segredos Comerciais, o que permite fazer referência a algum tipo de prática de concorrência desleal.
Assim, verifica-se que esse Ato Normativo nos EUA estabelece que:
the term ‘misappropriation’ means—
‘‘(A) acquisition of a trade secret of another by a person who knows or has reason to know that the trade secret was acquired by improper means; or
‘‘(B) disclosure or use of a trade secret of another without express or implied consent by a person who—
‘‘(i) used improper means to acquire knowledge of the trade secret;
‘‘(ii) at the time of disclosure or use, knew or had reason to know that the knowledge of the trade secret was—
‘‘(I) derived from or through a person who had used improper means to acquire the trade secret;
…
‘‘(III) derived from … a person who … maintain the secrecy of the trade secret …; or
‘‘(iii) before a material change of the position of the person, knew or had reason to know that—
…
‘‘(II) knowledge of the trade secret had been acquired by accident or mistake;
‘‘(6) the term ‘improper means’—
‘‘(A) includes theft, bribery, misrepresentation, breach or inducement of a breach of a duty to maintain secrecy, or espionage through electronic or other means; and
‘‘(B) does not include reverse engineering, independent derivation, or any other lawful means of acquisition; …”.
Um dos aspectos que chama a atenção deste documento de 2016 é a menção à questão da apropriação indébita de segredos por meio de espionagem realizada com recursos eletrônicos (tradução livre).
O segundo documento versa sobre o Economic Espionage Act of 19969 que aborda a definição mais específica do ato de espionagem econômica, que, como será visto na sua definição, está relacionado com a ação em si da espionagem com o fito de roubar segredos de negócios e que envolve a participação de agentes estrangeiros.
Em que pese tal especificação normativa no contexto norte americano, entende-se que o assunto em comento merece atenção no cenário brasileiro, ainda que guardadas as devidas proporções geopolíticas de cada um dos dois países em seus relacionamentos comerciais e a capacidade de produção de propriedade intelectual nos meios acadêmicos e industriais.
Destarte, segundo o Economic Espionage Act, o crime de Espionagem Econômica é definido como:
‘‘… Whoever, intending or knowing that the offense will benefit any foreign government, foreign instrumentality, or foreign agent, knowingly—
‘‘(1) steals, or without authorization appropriates, takes, carries away, or conceals, or by fraud, artifice, or deception obtains a trade secret;
‘‘(2) without authorization copies, duplicates, sketches, draws, photographs, downloads, uploads, alters, destroys, photocopies, replicates, transmits, delivers, sends, mails, communicates, or conveys a trade secret;
‘‘(3) receives, buys, or possesses a trade secret, knowing the same to have been stolen or appropriated, obtained, or converted without authorization;
…
‘‘(5) conspires with one or more other persons to commit any offense … the object of the conspiracy…”.
Este mesmo documento define o ato de roubo/furto de segredos comerciais como:
‘‘(a) Whoever, with intent to convert a trade secret, that is related to or included in a product that is produced for or placed in interstate or foreign commerce, to the economic benefit of anyone other than the owner thereof, and intending or knowing that the offense will, injure any owner of that trade secret, knowingly—…”.
Não por acaso, a WIPO ao tratar da proteção de segredos de negócios aponta na mesma direção do que acaba de ser visto naquilo que se refere à prática delituosa quando ocorre uma apropriação indébita:
The unauthorized acquisition, use or disclosure of such secret information in a manner contrary to honest commercial practices by others is regarded as an unfair practice and a violation of the trade secret protection.
A concorrência desleal
Com o propósito de trazer um pouco mais de subsídios para a discussão sobre o assunto, à luz do arcabouço jurídico brasileiro, retoma-se a citação da Lei de Propriedade Industrial, pois é neste instrumento que se verifica a definição para o crime de concorrência desleal.
Dentre as 14 (quatorze) condutas que tipificam tal crime, assim expressas no seu Art. 195, entende-se que os itens do artigo que mais se aproximam do contexto aqui abordado são:
XI – divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, …, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII – divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;
XIV – divulga, explora ou utiliza-se, sem autorização, de resultados de testes ou outros dados não divulgados, cuja elaboração envolva esforço considerável e que tenham sido apresentados a entidades governamentais como condição para aprovar a comercialização de produtos.
Há conhecimento de exemplos de empresas brasileiras que patentearam seus produtos de acordo com as Normas Brasileiras e optaram por produzi-los em outro país para, posteriormente, realizar o processo de importação do produto já pronto para a comercialização no mercado brasileiro.
Contudo, nesses exemplos, as empresas enfrentaram uma concorrência desleal quando constataram que seus produtos de forma idêntica estavam sendo vendidos em outros mercados, internacional e mesmo o nacional, por outras empresas que se apresentaram como “representantes” de um “suposto” fabricante internacional.
Fica assim uma possibilidade de reflexão: – em que medida o sistema jurídico nacional está preparado para lidar com a realidade deste tipo de problemática, considerando como subsídio de análise, por exemplo, um instrumento mais recente, qual seja o Defend Trade Secrets Act?Quais são as ações que as empresas podem adotar para mitigar tal prática desleal? Quais aperfeiçoamentos a referida Lei poderia sofrer?
A ameaça cibernética
Espera-se que seja adredemente de domínio do C-Level a amplitude das ameaças que se constituem e se ampliam no espaço cibernético, por conta, por exemplo, de campanhas de spear phishing para roubar credenciais de funcionários e dos nefastos ataques ransomware, que, em linhas gerais, se devem a grupos de criminosos que de forma orquestrada e organizada criptografam bancos de dados inteiros de um alvo (empresa ou pessoa) e depois sequestram essas informações para proceder com o pedido de resgate.
Em suma, há todo um complexo operacional que se desenvolve em torno do cyber crime, com a venda, por exemplo, de informações sigilosas (Propriedade Intelectual ou Trade Secrets) de uma empresa na dark web, o que nos obriga a revisitar o artigo da revista The Economist:
“CEOs should be worried when they see their firms’ secrets being hawked on the dark web; one marketplace, Industrial Spy, flogs stolen data and documents to “legitimate” businesses. Information is sold in packets ranging from a few dollars to millions. Keeping intellectual property (ip) safely locked in the digital vault can be devilishly difficult.”
Derivado dessa situação, outra reflexão possível seria: – qual é a avaliação do grau de maturidade de sua empresa em relação à segurança cibernética para garantir um mínimo de proteção aos conhecimentos sensíveis?
Por que falar de uma realidade espinhosa: a espionagem?
Falar do termo “espionagem” no contexto brasileiro é um tema delicado por razões diversas. Em suma, o termo geralmente é revertido para o vocábulo “arapongagem” e se desvirtua, via de regra, em argumentações de cunho político-ideológicas cujo lapso temporal se lastra nas décadas de 1960/1970.
Como resultado, não se identifica, na atualidade, no seio do mundo corporativo um debate com base acadêmica e com argumentação técnica sobre o tema.
Todavia, a “realidade” é outra! Ideal seria se essa pseudo realidade estivesse conectada com o respeito à patente ou com a preservação de um segredo comercial. Aliás, bastaria a assinatura de um Non Disclosure Agreement vis à vis entre advogados ou equipes de compliance para se ter confiança de que haveria a manutenção de um sigilo comercial entre duas empresas.
Some-se a essa realidade a participação de empresas terceirizadas, Third Party, que se juntam à cadeia logística de suprimentos e de distribuidores, que de maneira inerente têm acesso a muitas informações sigilosas de seus contratantes.
Nesse diapasão, como sugestão acadêmica, recomenda-se a leitura do livro Economic Espionage and Industrial Spying10, ainda mais quando se observa o título do artigo publicado pela The Economist, que destaca que a espionagem no mundo corporativo entra em uma nova era de atuação inclusive mais agressiva.
Nasheri (2005, p. 50) aponta com muita perspicácia que grandes empresas são cada vez mais forçadas a compartilhar informações críticas e sensíveis com seus consumidores, subcontratados, consultores e parceiros estratégicos durante a fase de desenvolvimento de produtos, o que eleva o risco do negócio a ataques (cibernéticos) em face do uso de redes globais de comunicações on line.
Por fim, enquanto estórias de espionagem militar são contadas com glamour nos filmes pelos vencedores, na guerra econômica entre países e entre corporações concorrentes, os vencedores quando se utilizam de técnicas de espionagem econômica não revelam tal conquista e o lado derrotado, por diversas vezes, nem chega ao ponto de saber que foi alvo de uma ação adversa (Nasheri, 2005). Muitas empresas se chegarem ao ponto de descobrirem que foram alvo deste tipo de ação preferem não tornar público tal infortúnio, o que é compreensível.
Além da espionagem tradicional, haveria ainda espaço para tratar da cyber espionagem econômica11, uma vez que as empresas também
podem ser vítimas em razão de fragilidades provocadas por: técnicas avançadas de “deception”; exploração de falhas em redes nas nuvens; e desenvolvimento de infraestruturas de IoT (Internet of Things) sem padrões de segurança. No entanto, o assunto é merecedor de outro artigo.
Conclusão
A proteção da Propriedade Intelectual e dos segredos comerciais das empresas brasileiras torna-se cada vez uma tarefa difícil e custosa em razão de ambientes em que prospera a atividade cibernética de cunho criminoso.
Espera-se que a proteção dos conhecimentos sensíveis da empresa não seja vista como custo pelo C-Level, mas sim como uma decisão de investimento de médio e longo prazo, inclusive com possibilidade de mensurar o seu ROI (Return over the investment).
Percebe-se haver espaço para o fortalecimento do arcabouço jurídico brasileiro no enfrentamento das atividades de concorrência desleal e da prática de ações ilegais perpetradas à obtenção de vantagens comerciais; bem como, a necessidade de um diálogo técnico e acadêmico sobre o assunto delicado da espionagem no mundo corporativo.
Como mencionou o ex-chefe do serviço de inteligência francesa Pierre Marion, “é uma tolice elementar pensar que somos países aliados. Quando se trata de negócios estamos em guerra”12 (tradução livre).
Quanto que as empresas estão preparadas para tratar da realidade espinhosa?
CMG RM1 Luis Fernando Baptistella
Diretor da Bravus Consultoria
Diretor de Contrainteligência da SmartCyber
1 Uma definição detalhada de INSIDER THREAT encontra-se disponível em: https://www.forbes.com/sites/forbestechcouncil/2022/06/23/the-ins-and-outs-of-insider-threats/?sh=2b69a04ceec6. Acesso em 25/06/22.
2 Sugestão de leitura sobre Proteção do conhecimento sensível – Vazamento ou violação de dados – Bravus Consultoria
3 Nota do Autor: todos os grifos utilizados neste artigo são exclusivamente do autor.
4 Disponível em: https://abpi.org.br/blog/o-que-e-propriedade-intelectual/. Acesso em: 25/06/22.
5 Disponível em: https://www.wipo.int/tradesecrets/en/. Acesso em 25/06/22.
6 Disponível em: https://www.economist.com/business/2022/05/30/corporate-espionage-is-entering-a-new-era. Acesso em 25/06/22.
7 Disponível em: https://veja.abril.com.br/economia/guerra-bilionaria-entre-jf-e-paper-excellence-entra-em-fase-decisiva/. Acesso em 25/06/22.
8 Disponível em: https://www.congress.gov/114/plaws/publ153/PLAW-114publ153.pdf. Acesso em 25/06/22.
9 Disponível em: https://www.congress.gov/104/plaws/publ294/PLAW-104publ294.pdf. Acesso em 25/06/22.
10 Nasheri, Hedieh. Economic Espionage and Industrial Spying (Cambridge Studies in Criminology), 2005. Cambridge University Press. Edição Kindle.
11 Leitura recomendada para quem atua na área de contrainteligência. Disponível em: https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf. Acesso em 26/06/22.
12 Nasheri (2005, p. 13).
