DOJ Shows its Commitment to Cybersecurity Enforcement Through the False Claims Act

Em certa altura, as investigações e ações de fiscalização da Lei de Reivindicações Falsas (FCA) concentravam-se principalmente em contratos de saúde e defesa. Embora essas duas áreas continuem a dominar o panorama da FCA, a cibersegurança surgiu como uma área importante não só para os denunciantes, mas também para os procuradores do Departamento de Justiça dos EUA (DOJ). Vários desenvolvimentos recentes ilustram essa tendência e sinalizam que a fiscalização da cibersegurança por meio da FCA só tende a aumentar.

Em 2021, o DOJ lançou a sua Iniciativa Civil contra Fraudes Cibernéticas, que visa utilizar a FCA para processar fraudes relacionadas à segurança cibernética cometidas por contratados do governo e beneficiários de subsídios. Desde o seu lançamento, o DOJ anunciou vários acordos nos termos da FCA.

Os seguintes desenvolvimentos recentes destacam o interesse do DOJ nesta área:

No início deste ano, o DOJ interveio num caso FCA iniciado por dois denunciantes, que alegavam que a Georgia Tech Research Corporation e o Georgia Institute of Technology (Georgia Tech) violaram vários requisitos de cibersegurança que fazem parte dos contratos do Departamento de Defesa.

Em maio de 2024, o DOJ anunciou um acordo de US$ 2,7 milhões com a Insight Global LLC. O caso envolvia alegações de denunciantes de que a empresa não implementou medidas de segurança cibernética suficientes para proteger as informações de saúde coletadas como parte do rastreamento de contactos da COVID-19. Essas falhas supostamente violaram a FCA e incluíram alegações de que a empresa não respondeu em tempo hábil às preocupações levantadas internamente sobre as falhas de segurança. Notavelmente, o contrato em questão era um contrato estadual que utilizava fundos federais.

Em junho de 2024, o DOJ anunciou um acordo de US$ 11,3 milhões com duas empresas de consultoria que supostamente violaram a FCA ao não cumprir os requisitos de segurança cibernética como parte de um contrato estadual financiado pelo governo federal para facilitar os pedidos de auxílio federal para aluguel. Esse caso também começou com uma denúncia de um denunciante.

Dado o surgimento da cibersegurança como uma área de foco dentro da FCA, as organizações devem concentrar-se nas seguintes ações para melhorar a conformidade com a cibersegurança e reduzir o risco da FCA:

Catalogar e monitorizar a conformidade com todas as normas de cibersegurança impostas pelo governo. Isso inclui não apenas o conhecimento contínuo dos contratos da organização, mas também o monitoramento e a avaliação contínuos do programa de cibersegurança da organização para identificar e corrigir vulnerabilidades e avaliar a conformidade com essas normas contratuais de cibersegurança.
Desenvolver e manter um programa de conformidade robusto e eficaz. Nesse programa, os funcionários são incentivados a relatar preocupações, e essas preocupações são investigadas prontamente e encaminhadas conforme apropriado.
Quando for identificada a não conformidade com as normas de cibersegurança, as organizações devem avaliar os possíveis passos seguintes. Isto inclui a possibilidade de divulgar o assunto ao governo e cooperar com os investigadores governamentais. As organizações devem trabalhar com advogados experientes neste domínio. O mapeamento proactivo de uma estratégia para investigar e responder a potenciais incumprimentos pode incutir disciplina ao processo e simplificar a abordagem da organização.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.