728x90 AdSpace

  • Novidades

    quinta-feira, 14 de abril de 2016

    Relatório Final da CPI de Crimes Eletrônicos: como fica o Marco Civil?

    No começo de abril, após meses de discussão, foi finalmente divulgado o relatório final da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, encerrada em 30 de março último, e destinada a investigar a prática de crimes eletrônicos. Sabemos que as condutas delituosas pela internet têm crescido exponencialmente, e que a legislação brasileira na área penal ainda possui uma série de lacunas que precisam ser preenchidas com urgência para que a Justiça consiga acompanhar a evolução da tecnologia. Porém, como era de se esperar, o relatório veio acompanhado de uma série de polêmicas. 

    O documento traz uma série de propostas de projetos de lei que figuram no centro de tais questões: algumas por não trazerem redações muito claras ganharam a resistência de alguns setores da área do Direito e da tecnologia, mas por outro lado, outros pontos de premente necessidade, como o cyberbullying, finalmente ganharam a atenção devida que a precisavam. O objetivo deste artigo será analisar alguns pontos do relatório para que possamos opinar se este de fato é mais benéfico ou prejudicial para o usuário comum da internet, e como ele poderá afetar o Marco Civil da Internet, o Código Penal, e outras leis.

    Afinal, o que pretendem mudar?

    Preliminarmente, muito se falou de obtenção de IPs (internet protocol, ou, protocolo de internet) e outros dados dos usuários sem a necessidade de ordem judicial. Tal questão foi inclusive questionada em uma recente Carta Aberta, publicada no dia 11 de abril, por Tim Bernes-Lee, o "pai da Internet". Há um pouco de desinformação aqui: o relatório não traz essa proposta, ela já existe na Lei de Organização Criminosa (Lei nº 12.850/13), em seu art. 15, a saber:
    Art. 15.  O delegado de polícia e o Ministério Público terão acesso, independentemente de autorização judicial, apenas aos dados cadastrais do investigado que informem exclusivamente a qualificação pessoal, a filiação e o endereço mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito.
    A proposta trazida no relatório apenas inclui o IP no rol das informações a serem obtidas. Além do mais, é preciso esclarecer que essa situação será restrita às condutas de organizações criminosas e relacionadas aos crimes de lavagem de dinheiro, ou seja, situações excepcionais que não afetam o usuário comum, em sua maioria.

    Já discutindo os demais projetos, um dos primeiros pontos que chamam a atenção é a proposta de alteração do art. 154-A do Código Penal, inserido recentemente pela Lei n.º 12.737/12, conhecida popularmente como Lei Carolina Dieckmann. Segue o dispositivo em vigor atualmente:
    Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

    Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.      

    § 1o  Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

    § 2o  Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

    § 3o  Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

    Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

    § 4o  Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.    

    § 5o  Aumenta-se a pena de um terço à metade se o crime for praticado contra:  

    I - Presidente da República, governadores e prefeitos;    

    II - Presidente do Supremo Tribunal Federal;    

    III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou      

    IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
    O que a proposta pretende mudar:
    1. Aumentar a pena do caput para 06 (seis) meses a 02 (dois) anos;
    2. Substituição do verbo "invadir" pela expressão "acessar indevidamente";
    3. A forma qualificada do § 3.º teria sua pena aumentada para 01 (um) a 04 (quatro) anos, e multa, e seriam deslocadas para o § 2.º;
    4. As causas de aumento do § 5.º se tornariam uma nova forma qualificada do delito, com penas de 02 (dois) a 04 (quatro) anos, e multa, e seriam deslocadas para o § 3.º.
    5. A causa de aumento do atual § 2,º (prejuízo econômico) seria deslocada para dentro do § 3.º, qualificando o crime;
    6. Haveria uma causa de aumento, a mesma do atual parágrafo 4.º, porém, aplicável às hipóteses dos §§ 2.º e 3º, adicionada da hipótese de acesso mediante violação de mecanismo de segurança.
    7. Por fim, seria adicionado um § 5.º com um glossário para definir de forma clara conceitos como "sistema informatizado", "dados informatizados", e "mecanismos de segurança", algo que a lei atualmente não traz. 
    Um dos primeiros pontos de crítica foi a troca da expressão "invadir" por "acessar indevidamente". Não fica muito claro o que seria exatamente um "acesso indevido", apesar de a boa lógica entender este como uma sinonímia de "invasão" ou "acesso não autorizado". Para evitar interpretações dúbias, seria de fato interessante esclarecer até onde vai a extensão do termo "indevido". Há quem diga que uma mera violação dos termos de uso já caracterizariam um acesso "indevido"; há outros que afirmam que o uso de uma senha (que é pessoal e intransferível) de terceiros para usar um determinado serviço também possa ser um acesso "indevido" - ainda que a senha tenha sido fornecida pelo seu titular. Julgamos que há um certo exagero na questão quando abordada dessa forma.

    O que enxergamos é que hoje, com o uso do verbo "invadir", só haverá crime se houver necessariamente a violação de um mecanismo de segurança do aparelho ou da conta do serviço eletrônico (a senha, por exemplo); um aparelho desbloqueado ou sem senha não poderia ser objeto do crime, vez que a elementar "violação indevida de mecanismo de segurança", prevista no caput do art. 154-A, não estaria preenchida. Com a nova expressão ("acesso indevido"), passa-se a criminalizar a conduta de acesso sem autorização do titular ainda que não haja a proteção de uma senha, o que, ao nosso ver, é muito positivo. Porém, é inegável que, como posta, a expressão pode levantar algumas dúvidas, que, para variar, precisarão ser sanadas em seara jurisprudencial.

    O aumento da pena base e de suas formas qualificadas segue a tendência clássica de tratar com maior rigor condutas típicas visando criar um elemento dissuador da prática de crimes. Já criticamos esse tipo de abordagem no passado, mas nesse caso, cremos que a mudança seja positiva: as penas continuam não sendo muito altas, e são passíveis de substituição por restritivas de direito, logo, os resultados podem ser bem positivos.

    Nos chamou a atenção, porém, o reforço à blindagem que criticamos no passado, quando da publicação da Lei nº 12.737/12. Antes, quando os crimes de invasão de dispositivos informáticos eram cometidos contra agentes públicos, incidia apenas uma causa de aumento de pena: agora qualificam com rigor máximo dentro das sanções previstas no tipo penal. Enxergo como desnecessária tal medida, e me causa ainda mais estranheza no relatório final da CPI que não haja uma linha sequer na justificativa que esclareça as razões dessa mudança das hipóteses de aumento de pena para formas qualificadas do crime (p. 185-188).

    No mais, não há nada de muito relevante que seja digno de nota, fora a inclusão do breve glossário ao final do artigo. É extremamente salutar quando há a preocupação do legislador em estabelecer de forma objetiva conceitos que podem ser encarados com dúvida pelos agentes públicos responsáveis pela aplicação da lei.


    Outra proposta interessante de projeto de lei apresentado procura incluir os crimes eletrônicos no "rol das infrações de repercussão interestadual ou internacional que exigem repressão uniforme". Isso quer dizer que a proposta procura definir como competência da Polícia Federal a investigação e apuração de crimes praticados na internet. Hoje, salvo os casos de preconceito racial e pornografia infantil, a competência é da Polícia Civil de cada estado. A justificativa para a mudança é oportuna (p. 194-195): na maioria das vezes, crimes de qualquer natureza, praticados por meios eletrônicos, têm repercussão interestadual ou internacional, logo, sua competência caberia à autoridade federal. Importante destacar que a mudança de competência seria aplicada somente aos casos de interestualidade ou internacionalidade: questões locais ainda seriam de competência da Polícia Civil. 

    Nossa preocupação maior se revela quanto aos crimes de menor potencial ofensivo, como uma Ameaça (art. 147 do CP), ou mesmo os crimes contra a honra de forma geral (Calúnia, Difamação e Injúria, previstos nos artigos 138 a 140 do CP); nesses casos, manter o registro das ocorrências no foro da vítima, junto à Polícia Civil, pode ser interessante, vez que são questões ordinárias que podem sobrecarregar a Polícia Federal desnecessariamente. 

    Continuando nossa análise, um dos pontos mais polêmicos com certeza é a proposta de um projeto de lei que pretende alterar o artigo 21 do Marco Civil da Internet (p. 197-201), determinando procedimento específico para a retirada de conteúdos que atentem contra a honra e outras providências. A justificativa é interessante, e vai ao encontro de algo que defendemos há algum tempo já: os efeitos de crimes contra a honra perpetrados em redes sociais são extremamente destrutivos - ao meu ver, a ponto de serem completamente irretratáveis, já que muitas vezes a informação não desaparece da rede. Segundo o relatório, "a amplificação do dano advém da característica das redes sociais que permitem a replicação e a continuidade das postagens de forma impessoal e com pouco ou nenhum esforço. Some-se às facilidades digitais a possibilidade de viralização dos conteúdos, o que leva à possibilidade de a honra de uma pessoa ser destruída em poucos dias". 

    O novo relatório sugere que provedores de aplicações de internet terão "responsabilidade subsidiária por prejuízos decorrentes da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais que atentem contra a honra" caso, após o recebimento de notificação pelo participante, vítima ou representante legal, não retirarem o conteúdo do ar em 48 horas. O Marco Civil em vigor determina a urgência de retirada apenas para conteúdos pornográficos.

    Há quem critique dizendo que isso representa censura às empresas ou atenta contra a própria teoria da comunicação. Não compartilhamos desse ponto de vista: destarte o art. 18 estabelecer que "o provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros", o art. 19 já traz tal responsabilização de forma excepcional, a saber:
    Art. 19.  Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. (GRIFO NOSSO)
    A proposta está de acordo com o posicionamento jurisprudencial pacificado dos Tribunais Superiores, e por certo a atividade desenvolvida por empresas provedoras de serviços é de risco - isso quer dizer que elas assumem a responsabilidade, independentemente de dolo ou culpa, pelos danos que venham a sofrer seus usuários. A limitação, porém, é clara: a empresa precisa ter sido notificada do fato, e nada ter feito para minimizar o dano. Se ela assim o fizer, deverá responder solidariamente - um posicionamento que já havia sido cunhado pela primeira vez no TJRJ, no julgamento do caso Rubens Barrichelo x Orkut, há quase 10 anos. 

    A intenção é incluir novos dispositivos que desdobrem a questão tratada no supracitado artigo 19, uma vez que neste dispositivo é necessária uma ordem judicial; pela proposta, basta uma notificação que permita a identificação específica do material apontado e a verificação da legitimidade para apresentação do pedido. Se aprovada, a partir do momento em que YouTube, Facebook, Instagram, Twitter, ou qualquer outra empresa / rede social, tomar ciência de que existe um conteúdo difamatório hospedado em sua plataforma, caberá à empresa decidir se o conteúdo será excluído ou não, já que se trata de notificação, e não ordem judicial; porém, se confirmada a situação em juízo, e nada tiver sido feito, poderá ser responsabilizada.

    A melhor técnica recomenda que o novo art. 21-A trabalhe em conjunto com o atual art. 19 do Marco Civil da Internet: num primeiro momento, faz-se a notificação pela parte interessada; caso não atendida, buscar-se-ia o apoio legal para, por força de ordem legal, retirar tais conteúdos. Só com uma nova negativa deveria haver a responsabilização da empresa. Isso evitaria eventuais abusos de pessoas de má-fé, que quisessem, indevidamente, forçar uma situação de "esquecimento" frente aos provedores de serviço.

    Será preciso equilibrar porém os dois dispositivos, afinal, se por um lado é mais prudente e democrático que um juiz decida se há ou não evidência de ilícito antes de que um usuário determine que o Facebook, por exemplo, remova um conteúdo, por outro, a morosidade da Justiça vai contra a rapidez da internet, permitindo que um conteúdo ofensivo fique sendo indefinidamente replicado, dias a fio, e exposto nas redes sociais. 

    A maior polêmica, por fim, está na oitava proposta de projeto de lei apresentada (p. 208-210), que prevê a possibilidade de "bloqueio ao acesso a aplicações de internet por parte dos usuários, sempre que referida medida for implementada com a finalidade de coibir o acesso a serviços que, no curso do processo judicial, forem considerados ilegais". Simples e direta, ela propõe criar um § 4.º no art. 9º da Lei nº 12.965/14, o Marco Civl da Internet, com a seguinte redação:
    § 4º Ordem judicial poderá determinar aos provedores de conexão bloqueio ao acesso a aplicações de internet por parte dos usuários, sempre que referida medida for implementada com a finalidade de coibir o acesso a serviços que, no curso do processo judicial, forem considerados ilegais.
    A redação não é clara e pode levar a várias interpretações: um determinado site que tenha contra ele imposta uma decisão judicial, será bloqueado para alguns usuários que infrigiram a lei, ou será bloqueado para todos os usuários do Brasil, porque está indo contra uma lei federal? Ou dependerá de cada caso? Por exemplo, um usuário que use o Facebook para crimes de difamação, terá só ele seu acesso bloqueado, enquanto uma página dedicada a downloads ilegais será inteira bloqueada?

    Seja qual for a resposta, políticas de bloqueio de acesso a páginas da internet são e sempre serão completamente ineficazes: hoje, qualquer pessoa consegue facilmente encontrar tutoriais online que ensinam como configurar um proxy para contornar esses bloqueios, ou ainda usar recursos como VPN e navegadores específicos que não são afetados por tais medidas. Na teoria é uma solução muito interessante, mas na prática será inexequível e pode levar a abusos desnecessários - como nas recentes decisões que bloquearam o aplicativo WhatsApp no Brasil para todos os usuários. Mais interessante que o bloqueio é a responsabilização direta do autor do fato, e a retirada - não o bloqueio - da página ou do conteúdo do ar, quando possível for. 

    Há ainda outras questões positivas, ao meu ver, como a proposta que altera a Lei n.º 5.070, visando autorizar o uso de até 10% dos recursos do Fundo de Fiscalização das Telecomunicações (Fistel) por órgãos da polícia judiciária. A justificativa é extremamente pertinente: muitos estados não contam com delegacias especializadas em crimes eletrônicos, ou setores específicos para tratar desses assuntos e que os recursos do fundo acabam sendo repassados ao Tesouro Nacional, para fins de superávit fiscal. Ou seja, está sobrando recurso. Nada mais justo que realocar esses recursos com investimentos nas polícias.

    Outras incluem o IP como dado cadastral, o que é extremamente positivo para identificação de conexões utilizadas para prática de eventuais crimes eletrônicos, e mais pontos de extrema relevância, como a elaboração de um Código de Boas Práticas na Publicidade da Internet, o apoio à aprovação do projeto de Lei nº 1.776/15, hoje em tramitação, que torna hediondos os crimes ligados à pedofilia, políticas de investimento e ampliação na segurança da infraestrutura de TI da Administração Pública, além de alterações que reforcem dispositivos da Lei Maria da Penha (Lei nº 11.343/06).

    No geral, é um relatório interessante com boas propostas. Há pontos que precisam ser melhor discutidos, com certeza, e exatamente por isso, felizmente, todas as propostas de projetos de lei contidos no relatório final da CPI foram abertos para consulta pública: esse é o momento em que se deve fomentar o debate entre os diferentes setores da área de tecnologia e do Direito para que a lei alcance seus objetivos, caminhe lado a lado com a tecnologia, mas, acima de tudo, para que não caminhemos para trás no que diz respeito aos direitos fundamentais conquistados na internet. 
    • Comentários do Blogger
    • Comentários do Facebook

    0 comentários:

    Postar um comentário

    Item Reviewed: Relatório Final da CPI de Crimes Eletrônicos: como fica o Marco Civil? Rating: 5 Reviewed By: Raphael Chaia
    Ir para Cima