Comentários sobre o PL dos cibercrimes

 

A discussão sobre a nova lei de crimes eletrônicos ganhou novamente as páginas dos jornais. Recentemente foi aprovado no Senado Federal um Substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003, que pretendem alterar o Código Penal e outras leis para tipificar condutas delituosas realizadas mediante uso de sistemas eletrônicos, redes de computadores, ou que sejam praticadas através da Internet ou contra dispositivos de comunicação e sistemas de informática em geral.

 

O Substitutivo aprovado teve grande contribuição do Senador Aloísio Mercadante, que propôs algumas interessantes modificações no Projeto de Lei apresentado pelo Sen. Eduardo Azeredo. O Projeto do Senador Azeredo, foi marcado por uma enorme polêmica nos meios virtuais  desde o início de sua tramitação, e virou alvo de muitas críticas de boa parte da comunidade internauta brasileira, que não teve a oportunidade de participar ativamente de seu debate. Apenas um número limitado de especialistas na área pôde tomar parte de sua discussão, e o usuário comum de Internet não foi ouvido. É possível que estes usuários de Internet só tenham conseguido se fazer ouvir já nos últimos instantes do debate, com um “abaixo-assinado” online, trazendo mais de 50 mil assinaturas contra a 1ª. versão do PL. 

 

A importância deste “abaixo assinado” não pode ser subestimada. Além de ter sido um dos possíveis motivadores do novo Substitutivo, animou a discussão sobre o tema ao mesmo tempo em que trouxe dúvidas e incertezas sobre os reais objetivos do aludido projeto. Referido abaixo assinado continua disponibilizado na Internet.

 

O Substitutivo apresentado pelo Senador Mercadante evoluiu em alguns pontos, e por isso merece nossos elogios. Mas ainda existem tópicos que merecem um melhor esclarecimento, principalmente na redação do texto legal, seja para orientar os operadores do Direito sobre como a lei vai funcionar na prática, ou para que a comunidade internauta brasileira se sinta mais segura e confiante sobre os reais interesses desta proposta legislativa para tipificar adequadamente os crimes eletrônicos.

 

Em 1º. lugar, entendemos que o texto do PL deveria elucidar melhor que alguns dos tipos penais presentes no projeto de lei demandam uma conduta dolosa, ou seja, que é necessária a intenção do agente para tipificar alguns dos crimes ali previstos.  Isto evitará, por exemplo, que prossiga a desconfiança que ainda se propaga pela internet brasileira de que bastaria um usuário baixar um arquivo mp3 irregular que, mesmo sem ter conhecimento de que tal arquivo foi criado sem a autorização do titular dos direitos de propriedade intelectual, estará incorrendo em um delito.  Pelos comentários ao Substitutivo, nos parece que não é interesse do legislador abordar, de forma direta, este tipo de violação, mantendo o delito de violação de direito autoral nos termos do Art. 184 do Código Penal. Porém, o ideal seria que o texto legal apontasse esta distinção, a fim de evitar interpretações equivocadas do Artigo 285-B do PL .

 

Ademais, a redação atual do Artigo 285-A (Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação, ou sistema informatizado, protegidos por expressa restrição de acesso), por ter uma linguagem genérica, poderia ser interpretado pelos operadores do Direito como criminalizando algumas atividades como o desbloqueio de aparelhos de DVDs ou telefones celulares.  O objetivo do legislador aqui talvez seja coibir a violação de sistemas tecnológicos de Digital Rights Management – DRM e outros bloqueios tecnológicos contra cópia gerados por software, o que entendemos ser muito relevante e justo para com os titulares de direitos intelectuais.  Porém, seria interessante que uma nova redação do PL esclarecesse de vez o que se entende por “expressa restrição de acesso”, e se a mesma engloba também as restrições legais ou contratuais, tais como os termos de uso de um produto ou serviço.  As mesmas dúvidas de redação surgem também na análise do Artigo 285-B do mesmo PL, cuja linguagem permite uma leitura igualmente aberta.

 

Algumas das definições presentes no art.16 do referido PL também causam polêmica. Em que pese a necessidade de se criar acepções corretas para “dados informáticos” e “código malicioso”, algumas delas podem gerar interpretações bastante controversas. Quanto ao “código malicioso”, por exemplo, se interpretarmos ao pé da letra o que diz o Artigo 16 do PL com a mudança sugerida para o Artigo 163-A do Código Penal e seu parágrafo primeiro (Art. 163-A – Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores ou sistema informatizado. Parágrafo 1º. Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado), parece claro que a intenção do legislador é a de caracterizar como crime difundir um vírus ou mesmo uma ferramenta que captura ilegalmente senhas de terceiros. 

 

Porém, como a definição de “código malicioso” é muito ampla, surgem alguns questionamentos importantes: Afinal, é sabido que endereços eletrônicos, dados e até mesmo computadores de terceiros são constantemente utilizados por criminosos para alterar a procedência de um e-mail, o que pode tornar a identificação do usuário que realmente cometeu o delito algo muito difícil. E em alguns casos, o usuário sequer tem como saber que seu computador estava difundindo o “código malicioso” o que, se seguirmos friamente a norma legal, já o transforma em um criminoso.

 

Para evitar situações como esta, e tranqüilizar a comunidade internauta brasileira, o ideal seria uma redação que assegure o real objetivo desta lei, que é criminalizar a difusão de má-fé do “vírus” e outros programas que causem efetivo dano aos usuários, assim impedindo que os internautas de boa-fé sejam responsabilizáveis por difundir código malicioso, inclusive quando não tem a intenção de fazê-lo.

 

Por outro lado, o Substitutivo também aborda alguns aspectos que modificam diretamente as práticas de todas as empresas que exploram atividades de Internet e afins no Brasil. O Artigo 22 do PL cria diversas responsabilidades para os “provedores de acesso” a Internet e redes, dentre as quais a de manter, em ambiente controlado e de segurança, dados de conexão de usuários por um prazo de três anos. O objetivo de tal medida é que os mesmos possam ser fornecidos, se necessário, para as autoridades investigatórias mediante prévia requisição judicial. Além disso, os provedores ficam obrigados a informar, de maneira sigilosa, à autoridade competente, qualquer denúncia que tenham recebido e que contenha indícios da prática de crime no âmbito de sua responsabilidade.  Como não há uma definição de “provedores de acesso”, aqui também existe uma interpretação ampla, que pode abarcar os provedores de serviço de Internet (seja discado ou em banda larga), de acesso a conteúdo (como Google), serviços online (sites de e-commerce como o Mercado Livre e o Submarino) e até quem libera acesso “wi-fi” a terceiros via redes públicas.

 

Em que pese a louvável boa intenção do legislador de garantir a instrução processual, a redação deste artigo ainda causa dúvidas e incertezas, e por isso mesmo é bastante contestada pelos provedores em geral. Afinal, é legitima a idéia de se exigir que tais empresas guardem alguns dados de acesso de seus clientes e usuários para facilitar as atividades de investigação criminal e a identificação de um usuário suspeito garante para a vítima maior segurança em sua denúncia. Porém, o provedor aqui assume a responsabilidade de repassar às autoridades todo e qualquer tipo de denúncia, inclusive as que nem chegariam à autoridade competente por pura falta de provas.  E como não existe restrição para qualquer interessado enviar denúncias, o provedor que seguir a lei deverá enviar até mesmo as fantasiosas ou feitas por fanfarronice de internautas. Além disso, quem denuncia poderá fazê-lo livremente, sem qualquer punição, pois o sigilo desta denúncia ilícita também está preservado por lei.

 

Caso o PL seja aprovado como está, os provedores serão obrigados até a criar equipes de atendimento às autoridades e de encaminhamento imediato de denúncias, inclusive com o apoio de profissionais de Direito. Além disso, deverão contratar espaço em servidores de máxima segurança para armazenar 3 anos de registros de acesso e navegação de usuários a seu conteúdo.  Em que pese estes dados serem simples linhas de texto, imaginemos o reflexo destas medidas em um provedor de serviço que receba 1.000.000 de acessos por dia de usuários brasileiros.  Ou seja, a conta recai sobre as empresas que exploram atividades de Internet no Brasil.

 

 

Por esta razão, acreditamos que o legislador, ao mesmo tempo em que cria um novo e promissor mercado para os advogados e para as empresas que trabalham com segurança e armazenamento de dados, age em detrimento dos provedores e usuários em geral ao propor medidas de controle cuja forma de implantação pode até inviabilizar o próprio negócio dos provedores localizados ou que queiram se instalar no Brasil.  Muitas empresas de Internet preferirão atender seus usuários brasileiros diretamente do exterior, para não precisar atender estas exigências legais.

 

Outro ponto polêmico é que o mesmo artigo 22 não torna claros os critérios para um “ambiente controlado e de segurança”, e nem dá ao usuário a certeza de como os dados fornecidos para uma investigação criminal serão tratados, inclusive após o término da mesma. Afinal, estes dados não utilizados continuarão restritos e terão sua privacidade garantida ?  Os comentários ao novo Substitutivo parecem esclarecer que o objetivo do legislador não é autorizar o provedor, ou mesmo as autoridades, a vigiar os usuários ou interferir na liberdade de sua comunicação, mas aqui existe uma necessidade de se “jogar limpo” com a comunidade internauta brasileira, e esclarecer o tratamento e uso dos dados que ficarão neste ambiente de segurança.

 

Mas ao mesmo tempo em que existem duras críticas ao seu conteúdo, o referido Projeto de Lei também merece alguns aplausos. É louvável o esforço do legislador em definir crimes como o Estelionato Eletrônico (Art.171), a Falsificação de dados eletrônicos ou documentos (Arts. 297 e 298), a pedofilia na posse de material ilícito e a criminalização do acesso não autorizado à redes e sistemas (Art. 285-A). Estes novos tipos legais permitirão que quem invade irregularmente redes de terceiros sem causar dano direto seja também punido. Assim cobrem-se algumas tradicionais lacunas da nossa legislação criminal sobre a atuação de certos tipos de “hackers”.

 

E em se tratando de privacidade, que é um assunto importantíssimo na Internet, o Artigo 154-A (Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal.) sinaliza para uma evolução do nosso Direito no sentido de melhor regulamentar o uso e o acesso aos dos dados pessoais dos brasileiros em bancos de dados informatizados.

 

Sob a ótica da privacidade, estamos perdendo uma excelente oportunidade de aproveitar este PL para ampliarmos nossa legislação sobre o uso irregular de informações privadas dos brasileiros, principalmente quando armazenadas em bases de dados de terceiros. O que temos hoje em nosso arcabouço jurídico sobre privacidade online é apenas uma previsão constitucional da privacidade, o impedimento de cadastro indevido de consumidores em bases de dados e obrigações de sigilo de certos dados transmitidos por meios telefônicos. A criminalização do uso não autorizados de dados pessoais por terceiros é um importante passo para proteger a privacidade dos internautas brasileiros, e está sendo deixada de lado.

 

Ao invés de nos dedicarmos apenas em instituir leis que permitam ao Brasil aderir à Convenção sobre o Cibercrime, deveríamos estar preocupados era em criar legislação que traga ao Brasil um nível de proteção e confidencialidade aos dados privados semelhante ao “Directive on Data Protection” da União Européia.  Assim nosso país poderia se qualificar como um “safe harbor”, apto a receber e processar dados de identificação pessoal da Europa e dos EUA, fato que incrementaria nossa competitividade mundial na área de outsourcing de serviços de TI.  Ao invés disso, o Brasil prefere onerar os provedores locais e criar um arcabouço legislativo que pode afastar o estabelecimento de novos negócios de Internet no Brasil (ou manter tais estruturas em servidores localizados onde as exigências da lei brasileira não os alcancem).

 

Em síntese, a imprecisão do texto atual do PL evoluiu, mas ainda permite uma interpretação bastante ampla que, se mal feita, levará a conseqüências práticas imprevisíveis. Estas conseqüências são o principal motivador do debate na comunidade internauta brasileira envolvendo liberdade de expressão e a criminalização de condutas tidas como triviais.  Todo este rebuliço na rede é justo e veio em muito boa hora. Mas, após uma leitura mais isenta do novo Substitutivo, entendemos que o objetivo do PL não é o de censurar a liberdade de informação nem o de criar algum tipo de censura dos provedores. Talvez o legislador queira atender o anseio social por leis que inibam a prática de crimes diversos por meio de redes de computador.  Contudo, seria mais fácil que o novo PL se preocupasse em também preservar a liberdade de expressão dos internautas brasileiros.

 

A lentidão do processo legislativo não se coaduna com a velocidade da Internet, mas a tecnologia de hoje ainda não pode regular a Internet. Por isso, é fundamental que a discussão sobre o PL se concentre nos tópicos importantes, buscando um texto de equilíbrio entre os interesses das autoridades criminais e o dos provedores de internet, sem comprometer as liberdades individuais e a privacidade da comunidade internauta brasileira. Que a comunidade internauta brasileira continue mobilizada sobre este assunto, mas lutando por uma mobilização consciente e construtiva de todos os envolvidos.