Seria fastidioso enumerar a quantidade de casos em que fugas de processos em segredo de Justiça chegaram ao meios de comunicação social. Os responsáveis por estas fugas ficam, regra geral, impunes e as investigações são arquivadas sem conclusões reforçando o clima de impunidade que tem décadas e que teve o seu primeiro grande apogeu com as fugas para os jornais do caso “Casa Pia” e, pouco depois, as que rodearam toda a investigação ao antigo Primeiro-ministro José Sócrates.

Numa auditoria realizada em 2013 (!) escrevia-se que “as repetidas ocorrências de violação de segredo de justiça colocam em causa interesses relevantes de todos os processualmente envolvidos e também o interesse público no bom andamento e êxito das
investigações criminais.
A prática reiterada de actos tidos pela lei como ilícitos criminais, sem que, por regra, seja possível a respetiva punição – desde logo pelas dificuldades de apuramento de responsabilidades – contribui para a descredibilização do sistema judiciário e é sentido pela comunidade como intolerável e incompreensível“.

O caso do momento é o do inquérito aberto pelo Ministério Público a fugas de informação no processo Influencer, depois das divulgações de transcrições de escutas a conversas telefónicas entre o ex-primeiro-ministro, António Costa, e o então ministro das Infraestruturas, João Galamba. Este é, com efeito, o “caso do momento” porque se nada de substancial ou substantivo mudar haverão muitos mais casos de fugas e julgamentos antecipados na praça pública com graves danos pessoais e colectivos para as pessoas e entidades visadas.

O problema está – obviamente – nas agendas políticas e/ou motivações financeiras de que liberta estas escutas mas, acima disso, está na inexistência de adequados sistemas de controlo que as previnam, detectem e permitam a boa conclusão de qualquer inquérito que a futuras fugas de informação de processos em segredo de Justiça. Como sempre: o verdadeiro problema não são as pessoas (haverá sempre maus oficiais de justiça, maus juízes, maus magistrados do ministério público, maus advogados, etc), mas a falta de um bom sistema que previna e permita a detecção rápida e eficiente destas fugas.

A auditoria de 2013 já indicava a via técnica como uma das vias de solução para este problema “criação e instituição de aplicações informáticas compatíveis entre os diversos OPC, o MP e e os tribunais, com níveis de acesso à informação diferenciados consoante o grau de responsabilidade de cada um na tramitação e decisão dos processos, a que as atuais, algumas de duvidosa legalidade, não respondem“.

Actualmente o sistema informático usado pelos tribunais em Portugal é o Citius. Trata-se de uma plataforma electrónica desenvolvida para auxiliar a tramitação dos processos judiciais, facilitando a comunicação entre os tribunais, advogados, agentes de execução e outros intervenientes no sistema judicial. Permite a gestão electrónica de processos, a submissão de peças processuais, a consulta de documentos e o acompanhamento do andamento processual de forma digital. Criado para modernizar e agilizar o funcionamento dos tribunais, reduzindo a burocracia e aumentando a eficiência e a transparência na administração da justiça o Citius revelou-se uma crucial ferramenta para o exercício da Justiça em Portugal.

Contudo, o sistema foi implementado em 2009 como parte de uma ampla reforma do sistema judiciário em Portugal, com o objectivo de modernizar e digitalizar os processos judiciais. Desde então, tem passado por várias actualizações para se adaptar às necessidades do sistema judicial e incorporar novas tecnologias. O sistema, contudo, tem acumulado problemas de desempenho e estabilidade, o que levou a várias interrupções graves e a atrasos na tramitação de processos. A sua interface não é intuitiva e poderia ser mais amigável, melhorando a experiência do utilizador.

A Iniciativa CpC: Cidadãos pela Cibersegurança sugere ao Ministério da Justiça que implemente com urgência melhorias que possam responder a estes problemas crónicos de fuga de informações:
1. A implementação de autenticação forte, como tokens de hardware ou biometria, tornaria o acesso não autorizado aos dados extremamente difícil.
2. A monitorização de todos os acessos, downloads, impressões e outras actividades relacionadas com dados forneceria uma visão completa do uso da informação e facilitaria a identificação de actividades suspeitas.
3. Aplicar criptografia de dados e formação permanente de funcionários, que complementam os elementos principais e reforçam a segurança geral.

Além da implementação destas propostas, podem ainda ser tomadas medidas mais detalhadas e adicionais para reforçar a actualmente muito baixa eficácia do combate à fuga de informação nos sistemas do Ministério da Justiça:

1. Todos os ficheiros em file shares ou computadores pessoais devem estar encriptados.
2. Todas as bases de dados devem estar encriptadas se armazenarem informações sensíveis para proteger contra acessos não autorizados.
3. Reforçar o RBAC (Controlo de Acesso Baseado em Funções) para garantir que os utilizadores tenham acesso apenas às informações necessárias para a sua função de forma a garantir que os utilizadores tenham apenas o nível mínimo de acesso necessário para desempenhar suas funções.
4. Exigir MFA para aceder a todos os sistemas do Ministério da Justiça, adicionando uma camada extra de segurança.
5. Registar todos os acessos a dados sensíveis, incluindo identidade do utilizador, data/hora e acções realizadas.
6. Usar ferramentas de monitorização em tempo real para detectar e alertar sobre actividades suspeitas ou tentativas de acesso não autorizadas.
7. Realizar auditorias regulares dos registos de acesso e políticas de segurança para identificar e corrigir possíveis vulnerabilidades e com avaliações regulares de riscos para identificar e priorizar ameaças à segurança da informação.
8. Implementar soluções de Software DLP (Prevenção contra Perda de Dados) para monitorizar, detectar e prevenir a transmissão não autorizada de dados sensíveis.
9. Usar DLP para inspeccionar automaticamente (sem interferência humana) e-mails, transferências de arquivos e outras comunicações em busca de informações sensíveis ou onde ocorra o envio para o exterior de padrões que indiquem a violação do segredo de Justiça.
10. Aplicar marcas de água digitais em documentos para rastrear e identificar as fontes de divulgações não autorizadas.
11. Implementar controlos de expiração de documentos onde documentos sensíveis expiram automaticamente ou se tornam inacessíveis após um certo período.
12. Usar portais online seguros para partilhar documentos em vez de e-mail ou outros métodos menos seguros.
13. Definir datas de expiração para o acesso a documentos para limitar a duração em que os documentos estão disponíveis.
14. Criar uma equipa dedicada para responder rapidamente e eficientemente a potenciais violações de dados.
15. Considerar o uso de blockchain para criar trilhas de auditoria imutáveis e garantir a integridade das informações sensíveis.
16. Implementar e comunicar uma política abrangente de segurança da informação que defina claramente os requisitos de protecção de dados para todos os funcionários e agentes do sistema.
17. Colocar em vários processos informações de controlo que permitam determinar a origem da fuga em função de quem tinha autorização prévia para aceder a esses dados.
18. Realizar simulações de fugas e determinar a origem e elaborar relatórios sobre a rapidez e eficácia com que essa fuga simulada foi detectada.
19. Estabelecer um plano detalhado para responder a incidentes de fuga de informação, incluindo procedimentos de contenção, investigação e remediação.
20. Promover uma cultura de segurança da informação positiva, onde a protecção de dados seja vista como uma responsabilidade de todos os funcionários e reforçada com acções de formação regulares.

Na CpC acreditamos que a implementação destas propostas, conjuntamente com as medidas adicionais acima descritas representa um passo significativo para combater a fuga de informação no Citius. Ao fortalecer os controlos de acesso, melhorar a monitorização e aumentar a conscientização sobre segurança da informação, podemos reduzir a quantidade e abrangência destas fugas e sobretudo, a impunidade sistemática com que são praticadas em Portugal.

Enviada ao Ministério da Justiça