Depois de cinco anos em discussão, o Senado aprovou na semana passada projeto de lei substitutivo que tipifica e torna crime diferentes modos de agir em redes públicas e privadas de computadores. O texto ainda tem de voltar à Câmara dos Deputados, onde começou a ser concebido na segunda metade dos anos 1990, mas já é possível afirmar que, finalmente, o Brasil tem uma legislação que diz o que é crime cibernético e como puni-lo.
Pela nova lei, passa a ser crime – com penas inclusive de detenção -, por exemplo, criar e propagar vírus, phishing e outros códigos maliciosos, invadir redes, acessar e divulgar indevidamente dados pessoais ou corporativos, além, claro, de ações ligadas a pedofilia. O projeto determina ainda que os provedores armazenem dados de acesso de seus usuários por três anos. O texto, que não pode mais sofrer novas modificações, vai ser votado em plenário da Câmara nos próximos meses, devendo antes passar pelas comissões de Ciência e Tecnologia, Educação e Constituição, Cidadania e Justiça.
Apesar de reconhecidamente necessária e de contar com o apoio de quase toda a sociedade brasileira, a lei enfrenta críticas e resistência de alguns setores. Principalmente dos provedores de acesso à internet, que estimam custos adicionais superiores a R$ 14 milhões para armazenar e administrar dados dos internautas; de segmentos da Fundação Getulio Vargas, que considera faltar maior clareza à lei de crimes virtuais; e da Comissão de TI do Conselho Federal da OAB, que aponta vulnerabilidades no projeto.
“Toda lei nova sempre suscita discussões e interpretações que, à medida que vai sendo aplicada, se torna mais clara e precisa. Isso é normal. O que não se pode é negar o grande avanço que ela representa para o país, num momento em que os crimes cibernéticos crescem numa velocidade incrível e de várias formas diferentes”, diz o senador Eduardo Azeredo, relator do projeto. “A Justiça ganha muito com a lei, pois a partir de agora ela tem onde se basear para definir um crime e como aplicar a punição que a legislação determinar”, completa o desembargador Fernando Botelho, membro da Associação Brasileira de Direito de Informática e Telecomunicação e ex-integrante do Comitê de Usuários de Telecomunicações da Anatel.
Ambiente seguro
Relator do projeto, o senador Eduardo Azeredo considera a nova lei um grande avanço para o país, já que ela transforma o ambiente de informática muito mais seguro, além de manter a liberdade de seu uso. Para ele, a apreciação e aprovação final pela Câmara dos Deputados deverão ser bem rápidas, apesar de os parlamentares estarem envolvidos com as eleições municipais deste ano, porque se trata de um projeto fruto de consenso. “Estamos, com ela, dando ao usuário maior segurança de navegação pela rede e lhe oferecendo condições de se defender em situações em que se sentir prejudicado. A polícia e a Justiça passam a contar com armas eficazes para enfrentar os bandidos eletrônicos, cuja gama de crimes cresce vertiginosamente”, afirma.
O senador ressalta que assumiu a defesa da lei muito por sua formação em analista de sistemas, fato que, pelo correr dos anos, lhe transmitiu conhecimentos especiais sobre a área. “São vários os tipos de crimes surgidos com o desenvolvimento da tecnologia. Por isso são necessários instrumentos para combatê-los. O tema é novo, mexe com interesses e desperta interpretações equivocadas, resultando, logicamente, em queixas. Mas o assunto já foi amplamente discutido e somente a prática da lei é que irá aprimorá-la”, acredita.
Segundo ele, nenhuma alteração ocorrerá na vida do usuário honesto. “Dizem os contrários que a lei vai punir quem baixar música pela internet e coisas assim. Nada disso ocorrerá, pois o que a lei pretende é punir crimes, agora que eles foram tipificados. Espalhar vírus, roubar dados, divulgar informações sem autorização, seviciar menores e expor pessoas, isso sim se caracteriza crime”, explica, exemplificando com o caso recente de uma garota, em Brasília, que foi assassinada e enterrada num quintal. O processo transcorria em sigilo, mas alguém conseguiu fotos do corpo da menina e as espalhou pela rede. “Além da dor vivida com a perda, a família ainda teve de conviver com o constrangimento da situação. O juiz, até então, não poderia fazer nada, uma vez que inexistia uma legislação própria. Agora não, isso é crime e deve ser punido.”
O maior avanço do projeto é, para ele, criar regras sobre o que é legal e ilegal, seguindo os moldes internacionais aprovados pelo Conselho da Europa, que versa sobre crimes cibernéticos. “Estive no conselho por duas vezes e procurei, como relator, seguir as diretrizes internacionais. Afinal, muitas das fraudes existentes vêm de fora”, ressalta o senador, completando que a lei não é nenhum bicho-papão, como alguns tentam pintá-la, e que veio para ajudar a quem não usa o computador para o mal.
Tecnologia também para punir
Fernando Botelho destaca efeitos do combate a delitos |
Especialista em direito, justiça e, ainda, em tecnologia, o desembargador Fernando Botelho, pós-graduado em gestão de telecomunicações pela Fundação Getulio Vargas e pela Ohio University, Estados Unidos, lembra que a maior polêmica que cercava a nova lei foi superada já há dois anos. Existia no projeto uma proposta de identificação prévia por IP (protocolo de internet) de todos os usuários da rede. “A sociedade civil se manifestou inteiramente contra por considerar uma invasão ao direito de privacidade e a idéia foi extinguida do texto. Revisto isso, o projeto se tornou imprescindível ao conseguir criminalizar certas condutas eletrônicas de quem usa a rede.”
As condutas, segundo ele, passam a ser selecionadas de acordo com a gravidade e incidência. O phishing, por exemplo, que tem por maior finalidade obter dados do usuário – como senhas, cadastros, informações bancárias etc. -, passa a ser um crime de estelionato sujeito, portanto, às mesmas punições previstas pelo famoso artigo 171. Entrar sem autorização em redes de computadores protegidas por expressa restrição de acesso, como em locais de trabalho, é também crime, como igualmente obter e transferir informações não autorizadas. “Há pessoas que roubam dados das próprias empresas onde trabalham para vendê-las. A lei quer, ao punir isso, garantir às companhias a preservação de suas informações sensíveis. A pena para isso pode chegar a três anos de reclusão”, informa.
Para Fernando Botelho, ao combater um crime, dois efeitos são imediatamente sentidos. Um é a repressão específica à conduta; o outro refere-se a ações preventivas que são absorvidas por quem ainda não cometeu delitos. “Aí está a grande vantagem de ter uma legislação específica, como esta que a Câmara dos Deputados deve promulgar em breve”, diz.
RASTREAMENTO Entre as ações delituosas agora tipificadas, o desembargador destaca a destruição ou inutilização da “coisa alheia”, cujo texto do artigo do Código Penal passa a constar também com o termo “dado eletrônico alheio”. Mostrando como isso pode ocorrer e, conseqüentemente, os danos ocasionados, ele cita o Tribunal de Justiça como exemplo: “Imagine nosso tribunal amanhã inteiramente eletrônico. Aí vem um espertinho entendido em informática, invade nossos sistemas e suprime dos arquivos dados importantes, privando a instituição de dar andamento aos processos. Isso é ou não é crime? Que tipo de punição pode ser aplicada? São detalhes assim que a nova lei abrange e que dá base para o Judiciário agir. Só por invadir um sistema, o infrator já fica sujeito a penas de um a três anos. Se destruir ou inutilizar algo, a punição cresce, pois existirá aí uma somatização de penas, prevista na Lei Número 2.848, que trata de crime de dano”, explica.
O especialista ressalta que a tecnologia conta com recursos para identificar quem (ou a máquina) cometeu um ato ilícito, por meio de reastreamento de IP (todo computador tem um número e qualquer coisa que saia dele pode ser identificada. “O que é necessário para se fazer esse rastreamento é uma ordem judicial. Ela concedida e obtendo-se com isso a prova, cabe então à Justiça punir. A nova lei irá viabilizar com clareza isso”, diz.
Se, por acaso, alguém usar o computador de uma empresa para um ato ilícito e o rastreamento identificar a máquina, e seu usuário principal negar a acusação (uma outra pessoa poderia tê-la usado), caberá à polícia abrir um processo investigativo para identificar o culpado. E se o infrator usar uma lan house para o delito? A máquina será identificada, mas pode ser que ele não. “Nesse caso, é preciso uma legislação que obrigue as casas a identificar todos os seus usuários e pôr nas fichas informações como nome, endereço, números de documentos, máquina usada e horário de uso. Em São Paulo já é assim, mas nas outras cidades a medida ainda fica a critério do dono”, informa.
O desembargador Fernando Botelho, que participou da redação de alguns dos itens aprovados como especialista nas duas matérias (justiça e tecnologia), considera a lei abrangente, de fácil entendimento e realmente punitiva. “Ela modifica 11 dispositivos do Código Penal, de 1940, além de alterar também itens do Código Penal Militar. Ou seja, trabalha com leis criadas na primeira metade do século passado com recursos tecnológicos do terceiro milênio.” Lembrando que nova lei é, praticamente, apenas a introdução de crimes praticados por meio eletrônico à atual legislação, ele cita como exemplo a pedofilia, tema que integra o artigo 241 do Estatuto da Criança e do Adolescente. “O delito já existia e a punição também: 2 a 4 anos de detenção. O que foi acrescentado no artigo é que, agora, a pedofilia eletrônica é igualmente crime e passível da mesma pena, e que o armazenamento em mídias eletrônicas (computador, celular etc.) de imagens pedófilas é também um ato delituoso”, completa.
Diante de muita resistência, com acusações de criação de um sistema de controle da internet, Eduardo Azeredo acabou por flexibilizar um pouco mais as regras. Assim, o novo texto prevê a necessidade de armazenar, pelo mesmo período previsto anteriormente, apenas dados relativos a origem e data da conexão, com a devida hora de acesso. E, logicamente, somente apoiado por decisão judicial é que o repasse das informações poderá ser feito. Para completar, os provedores de acesso à internet não têm mais a obrigatoriedade de fiscalizar o uso de seus sistemas, embora continuem com o dever de repassar denúncias recebidas sobre conteúdos.
O projeto torna ainda crime, punível com prisão, a propagação de vírus pela internet. E tipifica crimes como o phishing (roubo de dados geralmente ocorridos em e-mails enviados), considerado estelionato eletrônico. “A gente se sente impotente, porque tem muitas pessoas à toa criando vírus, que só atrapalham a vida dos outros. Meu e-mail já sofreu vários ataques, alguns até constrangedores. E não há nada que se possa fazer, a não ser encaminhar a máquina para a assistência e esperar. Sentia, sim, falta de uma lei que regulamentasse isso e que fizesse justiça, punindo esse tipo de gente”, diz a consultora de RH Cynthia Moreira.
Pela nova lei, também torna-se delito a divulgação ou uso indevido de informações e dados pessoais ou corporativos. O projeto avança bem no combate à pedofilia, que agora, além de punir quem produz e divulga material envolvendo crianças e adolescentes, considera também crime o armazenamento de imagens em computadores, celulares e outras mídias eletrônicas.
Resumidamente, a convenção recomenda procedimentos processuais penais, a guarda criteriosa das informações trafegadas nos sistemas informatizados e sua liberação para as autoridades. Trata ainda da necessária cooperação internacional, das questões de extradição, da assistência mútua entre os Estados, da denúncia espontânea e sugere procedimentos na ausência de acordos internacionais específicos, além da definição de termos como confidencialidade e limitações de uso.
Para o senador Eduardo Azeredo, é necessário haver harmonia na repressão dos crimes de informática, que são notadamente transnacionais. “O nosso projeto põe o Brasil em condições de tratar e fazer acordos de maneira diferenciada, facilitando em muito a cooperação judiciária internacional e eventuais extradições.”
Um dos arautos da campanha on-line contra o projeto é o sociólogo Sérgio Amadeu da Silveira, que enxerga, no texto da proposta, a criminalização das redes P2P e de repositórios de vídeos como YouTube. “O que esse projeto faz não é combater somente a pedofilia, os vírus, os spammers, as intrusões em bancos de dados e o roubo de senhas. Por trás disso tudo há a prestação de um serviço inaceitável para a indústria de copyright contra o compartilhamento de arquivos nas redes”, publicou o sociólogo em seu blog (samadeu.blogspot.com). Na opinião de Amadeu, para evitar qualquer possibilidade de restrição às redes P2P, seria preciso derrubar os artigos 285-A e 285-B e o inciso terceiro do artigo 22. Da forma como está, o projeto de lei, segundo ele, é um ataque à essência da cibercultura,
Isso porque esses artigos criminalizam o acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado e a obtenção, transferência ou fornecimento não autorizado de dado ou informação. Na percepção do sociólogo, a abrangência do texto acaba incluindo programas de compartilhamento de arquivos, como o Limewire, o Kazza, Emule. As penas, nesses casos, poderiam variar de um a três anos de reclusão e multa. O inciso obriga os provedores a informar, sigilosamente, à autoridade competente, denúncia que tenham recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicional, ocorrido na rede de computadores.
É aí que o projeto cutuca a Associação Brasileira dos Provedores de Internet (Abranet), que tem ressalvas ao texto. Em caso de aprovação da lei, o funcionamento dessas empresas e o relacionamento com os usuários da internet mudariam completamente, como aponta o presidente da Associação, Eduardo Fumes Parajo. De acordo com ele, hoje existe um acordo de colaboração com o Ministério Público. Quando os provedores recebem denúncias de pedofilia ou racismo, comunicam às autoridades competentes. O texto atual do projeto amplia em muito esse universo, quando inclui e transforma em obrigação dos provedores o repasse de denúncias relativas a qualquer crime sujeito a acionamento penal ocorrido no âmbito da rede de computadores. “Nossas centrais de segurança não são preparadas para o aumento de denúncias. Estão nos transferindo uma responsabilidade que não é nossa. A denúncia deveria ser feita, diretamente, para o órgão competente e, para isso, o Estado tem que se aparelhar”.
A política de privacidade também mudaria radicalmente, com a criação do que muitos já chamam de “provedor dedo-duro”. O projeto de lei determina que os provedores mantenham os logs de acesso de seus clientes por três anos e comuniquem os dados, sigilosamente, às autoridades, caso haja qualquer denúncia de suspeita de crime. “Esse tempo é muito dilatado, se comparado a outras legislações ou diretivas, que prevêem, no máximo, dois anos.” A presença do termo “sigilosamente” também causa rebuliço, já que o suspeito do crime nem seria comunicado que seus dados pessoais foram encaminhados para investigação, sem direito de defesa nessa fase. Outro ponto delicado é a definição do responsável pela rede, obrigado a repassar os dados em caso de denúncia. “Uma empresa que tem uma rede local que acessa a internet, por exemplo, teria essa responsabilidade. Mas não há nada que obrigue redes privadas a registrar logs de acesso”, exemplifica Parajo.
PONTOS DO PROJETO ATUAL
1 – Acesso não autorizado a dispositivo de informação ou sistema informatizado (Art. 285-A, Código Penal)
Conduta: Acessar computador ou sistema de computador de outra pessoa, sem a sua autorização
Pena: Reclusão de um a três anos e multa. Aumenta em 1/6 se o agente se vale de nome ou identidade de terceiros na prática delituosa
2 – Obtenção, transferência ou fornecimento não-autorizado de dado ou informação (Art. 285-B, Código Penal)
Conduta: Pegar para si, transferir ou fornecer, sem autorização, dado ou informação de um sistema informatizado que não lhe pertença
Pena: Reclusão de um a três anos e multa. Aumentada de 1/3 se o dado obtido é passado a terceiro
3 – Divulgação ou uso indevido de informações e dados pessoais (Art. 154-A, Código Penal)
Conduta: Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em um sistema (um computador por exemplo) sem a autorização do(s) titular(es), ressalvados os casos previstos em lei
Pena: Detenção de um a dois anos e multa. Aumentada em 1/6 se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime
4 – Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio (Art. 163, Código Penal)
Conduta: Destruir ou deteriorar o que é de outra pessoa, como um computador, ou as informações contidas nele
Pena: Detenção de um a seis meses ou multa
5 – Inserção ou difusão de vírus (Art. 163-A, Código Penal)
Conduta: Colocar vírus de computador em aparelho de comunicação, rede de computadores ou sistema informatizado
Pena: Reclusão de um a três anos e multa. Agravamento de pena para inserção ou difusão de vírus seguido de dano
6 – Estelionato eletrônico (fishing) (Art. 171, Código Penal)
Conduta: Pôr vírus de computador para ter acesso facilitado a informações, obtendo, dessa forma, vantagem para si ou para outra pessoa
Pena: Reclusão de um a cinco anos e multa. Pena aumentada em 1/6 se o agente se valer de nome falso ou de identidade de terceiro para a prática do delito
7 – Atentado contra segurança de serviço ou utilidade pública (Art. 265, Código Penal)
Conduta: Afrontar a segurança ou o funcionamento de serviços de água, luz, força, calor, informação ou telecomunicação ou qualquer outro que seja de utilidade pública
Pena: Reclusão de um a cinco anos e multa
8- Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistema informatizado (Art. 266, Código Penal)
Conduta: Interromper ou dificultar tais serviços, assim como impedir ou dificultar seu restabelecimento
Pena: Detenção de um a três anos e multa
9 – Falsificação de dados eletrônicos públicos e falsificação de dados eletrônicos particulares (clonagem de cartões e celulares, por exemplo) (Art. 297, Código Penal)
Conduta: Falsificar ou alterar, no todo ou em parte, dado eletrônico ou documento público ou particular verdadeiro
Pena: Reclusão de um a cinco anos e multa
10 – Pedofilia (Art. 241, Estatuto da Criança e do Adolescente)
Conduta: Passa a punir quem recepta e armazena conteúdos de pornografia infantil e não apenas quem envia, como dizia a legislação anterior.
Pena: Um a três anos de reclusão e multa
11 – Armazenamento de dados por provedores
Conduta: Os provedores de acesso à internet passam a ter de armazenar por três anos os dados origem, data hora e local dos acessos feitos por meio de suas redes
Pena: Multa de R$ 2 mil a R$ 100 mil para cada requisição ignorada
Presidente da Comissão Especial de TI do Conselho Federal da OAB, Alexandre Atheniense aponta falhas técnicas no projeto de lei |
Em meio às especulações na web sobre as possíveis ambigüidades do projeto de lei de crimes eletrônicos, um grupo de especialistas da Fundação Getulio Vargas se debruçou sobre o texto e concluiu que as imprecisões em vários artigos podem prejudicar “o interesse público de modo geral, os usuários da internet, a privacidade, a inovação tecnológica brasileira, o acesso ao conhecimento e à cultura e a possibilidade de o país se inserir como uma potência competitiva de nota no mercado global de serviços digitais”. Ainda de acordo com o documento, a questão é especialmente grave, porque o projeto criaria “um sistema de vigilância privada”.
Para Ronaldo Lemos, diretor do Centro de Tecnologia e Sociedade da Escola de Direito da FGV-RJ, um dos autores do estudo, o texto é muito amplo e transforma, na prática, ações triviais em crimes com pena de reclusão e multa. Como exemplo, ele cita a recuperação de músicas de um iPod. O aparelho não permite transferir os arquivos diretamente para um computador. Fazer isso por meio de programinhas baixados na rede seria o equivalente a violar o dispositivo de segurança do tocador, o que é considerado crime pelo projeto de lei. “Tudo bem criminalizar a criação de vírus, mas desbloquear o iPhone é um processo que pode ser feito a partir da inserção de um código que altera o funcionamento do aparelho, o que pode, também, ser entendido como crime”, capitula. “O curioso é que vi muitos parlamentares em Brasília usando o iPhone. Se aprovarem a lei, é bom que saibam disso”, provoca Lemos.
A comissão de tecnologia da informação do conselho federal da Ordem dos Advogados do Brasil aponta falhas técnicas no projeto, como a obrigatoriedade dos provedores de acesso em guardar os logs para encaminhamento às autoridades em caso de denúncias. No entendimento do presidente da Comissão Especial de TI do Conselho Federal da OAB, Alexandre Atheniense, o registro do IP é imprescindível no processo de identificação de autoria dos crimes. “Nesse sentido, quem registra o endereço IP é o provedor de conteúdo, hospedagem ou de correio eletrônico, e quem pode associar esse endereço IP a um assinante é o provedor de acesso. Sem a obrigação de registro do endereço IP, pouco adianta que o provedor de acesso tenha como associar o IP a um assinante”, afirma.
A FGV também não vê com bons olhos as novas obrigações dos provedores de acesso. A vigilância poderia, segundo Lemos, criar uma indústria da denúncia. “O texto é muito amplo e abrange condutas triviais na internet. O risco é o da criminalização de massa. Muita gente vai virar criminoso do dia para a noite. E como não há condições para prender todos, podemos prever o surgimento de bodes expiatórios”, avalia.
Fonte: Jornal Estado de Minas