48 horas depois do ciberataque que levou os clientes da Vodafone a ficarem sem serviços de telecomunicações ainda não está tudo resolvido. Entre os juristas contactados pelo Observador há uma certeza: poderá haver eventual “responsabilização”, tanto criminal como civil. Mas todos concordam também que, sem se saber o que levou a que este ataque informático acontecesse, é cedo para se avançar sobre eventuais consequências para a operadora, além das que já está a passar. Mesmo assim, no final do mês, a fatura dos clientes poderá ter uma redução no preço.
Segundo Jorge Morais Carvalho, especialista em Direito do Consumo e diretor do mestrado em Direito e Tecnologia da Nova School of Law e do Nova Consumer Lab, é necessário olhar em “concreto” para as cláusulas dos contratos que a empresa tem celebrados com os clientes para se dizer se a Vodafone tem de ressarcir os clientes. Porém, o jurista refere haver uma cláusula que retira culpa à empresa no caso de um ataque informático que considera ser “desequilibrada”.
Serviços da Vodafone continuam afetados. Televisão com problemas devido a trabalhos técnicos
“Há um incumprimento parcial do contrato provavelmente não imputável” à empresa, explica Morais Carvalho. Porém, “dependendo da duração do incumprimento”, o tempo em que o serviço esteve limitado pode ser refletido na fatura no final do mês. “Meia hora não é justificável” para haver uma redução de preço, mas “um dia” já levanta a possibilidade de haver “desconto de um euro, mesmo que não tenham agido com culpa”.
Apesar desta possibilidade, o académico refere que não haverá motivo para a resolução do contrato, porque a empresa não está em incumprimento total e muitos dos serviços já estarem restabelecidos.
Ainda se coloca a questão de poder haver, neste processo, pedidos de indemnizações ou compensações de clientes à Vodafone. Sobre isso, esta tarde, a Deco defendeu à Rádio Observador que era cedo para se determinar essa possibilidade, ainda assim aconselhou os consumidores a reportarem as dificuldades e restrições nos serviços.
Reclamar compensações à Vodafone? Deco avisa: “Podemos estar perante um vazio legal”
Em resposta ao Observador ao final desta tarde, fonte oficial da operadora voltou a reiterar que “neste momento, o foco da Vodafone está no restabelecimento da sua operação, com a maior brevidade possível e máxima estabilidade, para repor todos os serviços aos seus clientes”, não se pronunciando quanto a possíveis ressarcimentos aos clientes.
Cibercrime, cibersegurança e proteção de dados. A Vodafone vai ser responsabilizada? E o eventual pirata informático?
David Silva Ramalho, advogado na Morais Leitão e especialista em cibercrime, afirma que “poderá haver responsabilização a título contra-ordenacional” à Vodafone. No entanto, “a circunstância de ter havido um ataque informático bem sucedido [à operadora] não implica que tenha havido negligência”. No caso desta eventual responsabilização, o que será preciso averiguar é se a empresa violou um “dever de cuidado” que devia ter tido e não teve — por exemplo, se a empresa implementou mecanismos de segurança, explica o jurista.
Do ponto de vista do eventual atacante — um pirata informático, presume-se por sido um ataque informático — a questão é mais simples. “Temos crimes de acesso ilegítimo, temos crimes de acesso indevido, temos crimes de sabotagem informática, podemos ter crimes de dano informático”, diz Silva Ramalho. “Se houver ransomware [ataque informático com pedido de resgate] teremos um crime de extorsão e, naturalmente, o acesso ilegítimo pode ser na modalidade agravada, entre outros crimes que se venham a apurar”, adianta o jurista.
Para poder provar este tipo de crimes as autoridades vão ter de procurar várias provas através, por exemplo, de “registos de atividade no sistema informático”, explica o mesmo especialista. Contudo, mesmo que se prove que foi um hacker que esteve por detrás de todos estes danos à Vodafone, “nada impede” que a empresa possa ter de pagar indemnizações, refere o advogado salientado que isso são questões para outras áreas do Direito e, mais uma vez, não se sabe ainda tudo sobre este caso.
O que já se sabe (e o que falta saber) sobre o ataque à Vodafone Portugal
Quanto à questão de uma eventual negligência da Vodafone, Carina Branco, sócia da sociedade de advogados Pbbr, acrescenta que “provar que existe uma abertura negligente de portas ou falha de implementação de medidas que permitiram essa entrada é quase uma equação académica”, e vai mais longe dizendo que é “extremamente difícil ou praticamente impossível de provar”.
Acontece que a Vodafone como entidade prestadora de um serviço essencial, e por estar num setor regulado, é obrigada a determinadas medidas de proteção, salvaguardas e segurança, só que a sua implementação, diz a jurista, é pouco escrutinada.
Tendo sido conhecido esta quarta-feira que a Vodafone alertou a Comissão Nacional de Proteção de Dados (CNPD) logo na terça-feira quanto a uma eventual falha na proteção de dados, disse a entidade ao Observador, surgem também questões sobre se a empresa foi ou não diligente no cuidado com os mesmos.
Vodafone notifica CNPD de violação de dados pessoais. Operadora diz que não são dados de clientes
Esta notificação deve ser feita, de qualquer forma, mesmo que seja uma violação de dados a nível interno de colaboradores e mesmo que não saiba ou não consiga identificar a violação de dados na altura, diz Carina Branco, referindo que a notificação significa que a empresa foi exposta a uma violação de dados, mas não configura “confissão de violação”. A Vodafone tem rejeitado ter indícios que dados de clientes tenham sido acedidos, ainda assim, conforme avançou o Observador, notificou a CNPD. De qualquer forma, numas perguntas e respostas colocadas no site, a Vodafone reforça que “a investigação aprofundada do ato criminoso a que fomos sujeitos se irá prolongar por tempo indeterminado e com o envolvimento das autoridades competentes”.
Ricardo Henriques, sócio da Abreu Advogados, corrobora, dizendo que “para haver uma violação de dados basta que haja um qualquer comprometimento da segurança da disponibilidade dos dados”. Neste caso, como disse a Vodafone ao Observador, não se terá tratado de uma violação de dados pessoais dos clientes. Não avançando mais informação sobre o caso por estar “em segredo de justiça”, poderá inferir-se que são dados pessoais de funcionários, apontou o jurista. Mas há outros cenários: “a incapacidade de acesso aos dados pode, por si só, configurar uma violação de dados”, segundo o Regulamento Geral sobre a Proteção de Dados”, explica.
Quanto à notificação à CNPD, Carina Branco admite que possa ser preventiva e cautelar. Ainda assim assume que só o facto de ter havido um incidente de segurança e como os prazos para notificação são curtos as empresas acabam por notificar, mesmo não percebendo, nessa altura, a extensão do impacto.
Quando é que se saberá que tipo de violação de dados houve? Essa é uma das principais questões ainda em aberto. Para já, a CNPD “ainda vai analisar a informação que foi disponibilizada pela Vodafone”. Além disso, ainda é preciso saber o que outras entidades envolvidas na investigação — caso da Polícia Judiciária e do Centro Nacional de Cibersegurança (CNCS) — vão concluir. Por isso, mais uma vez, Ricardo Henriques deixa o alerta: “É complicado responsabilizar sem mais detalhes sobre o que sucedeu”. Mesmo assim, a CNPD deve acionar meios e recursos de vigilância, mantendo-se vigilante junto da operadora e acompanhando o processo, pedindo esclarecimentos, diz Carina Branco.
Falando como jurista e “cliente particular” da Vodafone (ou seja, não falando em nome do seu escritório), Ricardo Henriques tece uma opinião favorável à empresa: “Na linha do quem tem sido noticiado, dos comentários que tenho ouvido, também pela parte de entidades reguladoras e pela postura da Vodafone em termos de comunicação e transparência, creio que tem havido uma posição correta e adequada às suas obrigações em relação aos seus clientes”. “Tem sido na linha daquilo que seria expectável de uma empresa da dimensão que é Vodafone”, conclui.