Nova York é o primeiro estado a exigir de advogados curso de cibersegurança

A partir de julho de 2023, todos os advogados que atuam no estado de Nova York serão obrigados a fazer um curso de cibersegurança, que inclui privacidade e proteção de dados. O curso, de pelo menos uma hora, fará parte do programa de formação jurídica continuada (CLE, ou continuing legal education) do estado. 

123RF

A ordem, dada pelo Tribunal Superior do Estado de Nova York seguiu recomendações do Comitê de Tecnologia e da Profissão Jurídica da American Bar Association (ABA), que explica:

"O Comitê [da ABA] acredita que os advogados devem focar em uma das questões mais prementes e urgentes enfrentadas pela advocacia: a proteção da cibersegurança das informações eletrônicas confidenciais e proprietárias, bem como dos ativos, dos clientes e do escritório, que inclui proteger os recursos financeiros em depósito e as contas operacionais, sendo que tudo isso está sujeito a phishing, scams, usurpação, fraude e outros artifícios ilegais".

"O Comitê acredita que requerer que os advogados obtenham o crédito de uma hora em cibersegurança irá sensibilizá-los e ensiná-los como proteger informações eletrônicas do cliente e do escritório e quando e como notificar o cliente e/ou os órgãos de segurança, conforme apropriado, no caso de um incidente cibernético".

A ordem cria dois tipos de treinamento em cibersegurança, um focado em ética e outro na prática profissional. Descreve assim a parte sobre a ética:

"A ética em Cibersegurança, Privacidade e Proteção de Dados deve se relacionar às obrigações éticas e reponsabilidades profissionais dos advogados, em relação à proteção de dados e comunicações eletrônicos e pode incluir, entre outras coisas: fontes das obrigações éticas e reponsabilidades profissionais dos advogados e suas aplicações a dados e comunicações eletrônicas; proteção de dados e comunicações confidenciais, privilegiados e proprietários do cliente e do escritório de advocacia; aconselhamento e consentimento do cliente em relação a dados eletrônicos, políticas de comunicação e armazenamento, protocolos, riscos e implicações na privacidade; questões de segurança relacionadas à proteção de fundos de depósito; divulgação eletrônica inadvertida ou não autorizada de informações confidenciais, incluindo através da mídia social, violações de dados e ataques cibernéticos; e supervisão de empregados, fornecedores e terceiros, no que se refere a dados e comunicações eletrônicos".

No que se refere à prática da advocacia, a ordem pontua:

"Cibersegurança, Privacidade e Proteção de dados em geral devem se relacionar à prática da advocacia e podem incluir, entre outras coisas, aspectos tecnológicos da proteção dos dados e comunicações do cliente e do escritório (incluindo enviar, receber e armazenar informação eletrônica; recursos de cibersegurança da tecnologia utilizada; segurança da rede, de hardware, de software e de dispositivos móveis; prevenção, mitigação e resposta à ataques cibernéticos e violações de dados); exame e avaliações minuciosos de fornecedores e terceiros em relação a políticas, protocolos e práticas de proteção de dados e comunicações eletrônicos; leis aplicáveis relativas à cibersegurança (incluindo leis de violação de dados) e privacidade dos dados; e políticas e protocolos de cibersegurança, privacidade e proteção de dados do escritório".

Cada estado dos EUA tem suas próprias regras e exigências relativas à CLE, que são recomendadas por suas respectivas seccionais e determinadas por seus respectivos tribunais superiores.

No caso de Nova York, os novos advogados são obrigados a fazer 32 horas de treinamento, dentro do programa de CLE, nos primeiros dois anos após inscrição na ABA; os demais advogados têm de fazer 24 horas de treinamento a cada dois anos.

A nova exigência é a de que os advogados façam curso de uma a três horas sobre suas obrigações éticas em relação à cibersegurança, privacidade e proteção de dados a cada dois anos. Essas horas farão parte do tempo de treinamento bienal da CLE, isto é, não serão adicionadas ao que já está previsto.

No que se refere ao treinamento obrigatório sobre profissionalismo da CLE, os novos advogados devem se dedicar a ele por seis horas em um período de dois anos; os demais advogados, por quatro horas no período de dois anos.

Competência tecnológica
Em 2012, a ABA aprovou formalmente uma mudança em suas Regras-Modelo de Conduta Profissional (Model Rules of Professional Conduct) para sugerir que os advogados têm o dever de serem competentes não apenas em Direito e em sua prática, mas também em tecnologia. A recomendação da ABA dizia, entre outras coisas:

"Para manter o conhecimento e qualificação requeridos, o advogado deve se manter em dia com as mudanças na lei e na prática da advocacia, incluindo os benefícios e riscos associados à tecnologia relevante, participar de estudos e cursos continuamente e cumprir todas as exigências de educação jurídica continuada, às quais o advogado está sujeito".

As regras-modelo são o que essas palavras expressam: um modelo que, no caso, deve servir de orientação aos estados para formular suas próprias regras de conduta profissional, segundo o Law Sites. Cada estado pode adotar, rejeitar, ignorar ou modificar as regras-modelo, segundo o site TRTCLE.

Para o dever de competência tecnológica se aplicar a advogados de qualquer estado, o tribunal superior estadual deve adotá-lo formalmente. De 2013 a 2021, 40 dos 50 estados dos EUA incorporaram formalmente suas próprias regras de competência tecnológica, de acordo com o Law Sites.