REVISTA ELETRÔNICA DE JORNALISMO CIENTÍFICO
Dossiê Anteriores Notícias Reportagens Especiais HumorComCiência Quem Somos
Dossiê
Editorial
Segurança contra quem? - Carlos Vogt
Reportagens
Lei sobre crimes de informática voltará ao debate
Rodrigo Cunha
Não morda a isca!
Flávia Gouveia
A liberdade vigiada do Orkut
Cauê Nunes
Códigos a(r)mados, códigos desa(r)mados
Yurij Castelfranchi
Governos e mercado impulsionam censura na Internet
Germana Barata
Artigos
Certificação e identidade digital: ICP-Brasil
Renato Martini
A robotização do controle
Diego Saravia
DRM: Defectis Repleta Machina
Alexandre Oliva e Fernanda G. Weiden
Ferramentas de segurança alinhadas à realidade brasileira
Luiz Fernando Rust da Costa Carmo
Hackers, monopólios e instituições panópticas
Sergio Amadeu da Silveira
Resenha
Reconhecimento de padrões
Marta Kanashiro
Entrevista
Pedro Rezende
Entrevistado por por Rafael Evangelista
Poema
Guerra solidária
Carlos Vogt
Humor
HumorComCiencia
João Garcia
    Versão para impressão       Enviar por email       Compartilhar no Twitter       Compartilhar no Facebook
Reportagem
Lei sobre crimes de informática voltará ao debate
Por Rodrigo Cunha
10/12/2006

No mesmo dia (8 de novembro) em que se encerrava em Brasília a III Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber 2006), evento organizado pela Diretoria Técnico-Científica da Polícia Federal, o parecer do senador Eduardo Azeredo (PSDB-MG) sobre projetos de lei que tratam desse tema saiu da pauta de votações da Comissão de Constituição, Justiça e Cidadania (CCJ) do Congresso Nacional. No evento, o Brasil acabava de ser apontado como o 5º no ranking mundial de crimes cibernéticos, e advogados e especialistas defenderam a aprovação de uma lei específica no país para esse tipo de delito. Pode até ser a que está tramitando na CCJ, que antes de voltar à pauta de votações, será alterada em alguns pontos – como o que trata da exigência de identificação dos usuários pelos provedores de acesso a uma rede de computadores – e é fruto de discussões que se iniciaram há uma década no parlamento brasileiro.

O parecer de Azeredo, já aprovado na Comissão de Educação, é um substitutivo a três projetos de lei que já tramitavam no Congresso: os PLS 137/00 e 76/00, apresentados em 2000 respectivamente pelos senadores Leomar Quintanilha (PCdoB-TO) e Renan Calheiros (PMDB-AL), e o PLC 89/03, do deputado federal Luiz Piauhylino (PDT-PE), que desde 2003 está na CCJ. O primeiro, de Quintanilha, apenas estipula que crimes já previstos no Código Penal – contra a pessoa, a criança e o adolescente, os costumes, o patrimônio e a propriedade intelectual – tenham suas penas triplicadas, caso sejam cometidos com a utilização de meios de tecnologia de informação e telecomunicações. O de Calheiros, por sua vez, define crimes de uso indevido de informática, como a violação de dados e a lesão à propriedade, ao patrimônio, à honra, à vida privada, ao fisco e à segurança nacional. Já o de Piauhylino é o mais detalhado – e antigo, apresentado na Câmara dos Deputados em 1999 sob o número 84/99 –, acrescentando uma seção inteira ao Código Penal (decreto-lei 2.848), que é de 1940, para tratar exclusivamente de crimes de informática, com definições de termos como “meio eletrônico” e “sistema informatizado” para a interpretação da lei.

O projeto de Piauhylino se originou de outro ainda mais antigo, do qual ele era relator: o PL 1.713/96, apresentado pelo então deputado Cassio Cunha Lima (PSDB-PB) em 1996. Seu parecer sobre o PL de Cunha Lima propunha um substitutivo, elaborado por um grupo de dez especialistas em direito, entre advogados, juizes e promotores, que alterava o projeto original. O PL acabou arquivado pelo fato de o substitutivo de Piauhylino não ter sido apreciado em todas as comissões necessárias até o fim daquela legislatura (1995-1998), e para aproveitar o trabalho daquele grupo de especialistas, Piauhylino o transformou em um novo PL, o 84/99. “Toda vez que o projeto anda, todo mundo quer acrescentar alguma coisa”, afirma o advogado José Henrique Barbosa Moreira, professor do Centro de Estudos, Pesquisa e Atualização em Direito, que coordenou o grupo. “O Brasil está muito atrás nessa matéria. A Europa e os Estados Unidos já têm legislação específica sobre isso desde os anos 80”, comenta.

Segundo Moreira, com o fim da reserva de mercado em informática na última década, o aumento da importância do uso de softwares e de computadores e o crescimento da Internet no país, a discussão sobre crimes cibernéticos ganhou espaço e relevância. “Mas em 1999, era coisa nova. E ainda existe um pouco de ignorância em relação à matéria, quando se acha que a lei pode violar o direito à privacidade”, avalia. Esse temor esquentou nos últimos meses a discussão sobre o substitutivo do senador Azeredo, que acrescentou um parágrafo ao artigo 154-D do Código Penal, dizendo não ser uma violação de sigilo o fornecimento, às autoridades competentes, de informações de acesso, hospedagem e dados de identificação de usuário, quando constatada qualquer prática criminosa. Entre os dados previstos no substitutivo, além de nome, data de nascimento e endereço, está um número de documento hábil e legal de identidade. “Se esse item saísse, talvez o projeto fosse aprovado mais rápido. O endereço de IP Internet Protocol é suficiente para a identificação do usuário”, acredita Moreira.

Mas nem sempre a identificação da máquina de onde partiu um delito, através do IP, garante a identificação de quem o cometeu. Em setembro deste ano, o ministro Barros Monteiro, do Supremo Tribunal de Justiça, após solicitação de um tribunal de Dusseldorf, na Alemanha, pediu que o provedor de acesso UOL informasse os dados da pessoa que acessou a Internet a partir do IP 200.98.154.187 no dia 25 de fevereiro de 2004, às 3h20 (no horário alemão), e bloqueou o acesso a sites atendidos por uma empresa daquele país. O UOL negou o pedido, alegando que o princípio da inviolabilidade de dados previsto na Constituição impede a quebra do sigilo de dados cadastrais de usuários, os quais só poderiam ser fornecidos mediante expressa autorização judicial.

Barros Monteiro, mencionando o artigo “Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado”, publicado por Tércio Sampaio Ferraz no volume 88 da Revista da Faculdade de Direito, da USP, considerou imprópria a alegação do UOL, afirmando que a vida privada compõe um conjunto de situações envolvendo a informação de dados privativos – como nome, endereço, profissão, idade, estado civil e filiação – sem qualquer constrangimento. Segundo o ministro, cadastros de identificação não são protegidos por sigilo, cabendo essa proteção apenas a cadastros sobre relações privadas, como as de clientela – desde quando alguém é cliente, se a relação foi interrompida e as razões para isso. O ministro encaminhou o processo à Justiça Federal do Estado de São Paulo para as providências cabíveis. Procurados pela redação da ComCiência, a direção geral do UOL e o seu departamento jurídico não quiseram se pronunciar sobre o episódio e tampouco sobre o substitutivo de Azeredo ainda em tramitação.

Embora os países desenvolvidos – com acesso à informática garantido há décadas para uma parcela considerável de sua população – já tenham legislação específica sobre o assunto, é relativamente recente a tentativa de padronização de procedimentos e a proposta de ação colaborativa entre as nações nos casos de crimes cibernéticos. Um marco nesse sentido foi a Convenção de Budapeste sobre o Cibercrime, organizada pela Comunidade Européia em 2001, cujo texto final traz uma série de recomendações para o aprimoramento das legislações locais e de compromissos de colaboração entre os países que o assinarem. Os Estados Unidos se tornarão signatários a partir de janeiro do ano que vem. O Brasil ainda não assinou a Convenção, mas o substitutivo de Azeredo, que voltará à pauta da CCJ, segue algumas de suas recomendações.

A velocidade das transformações no mundo da informática também leva à atualização das recomendações da própria Convenção de Budapeste. Uma diretiva do parlamento europeu, publicada este ano, recomenda que os provedores de acesso conservem dados de conexão e identificação além do IP, como nome e endereço do usuário, por um período entre seis meses e dois anos. Nessa diretiva, alguns signatários declaram que os prazos poderiam se estender para dezoito ou até trinta e seis meses a partir dos próximos anos. Esse período mais longo de três anos de manutenção de dados é recomendado pelo Comitê Gestor da Internet no Brasil e é o que determina o texto em tramitação no Congresso.

“Nós ainda vamos melhorar no substitutivo a definição de dados de conexão, que dizem respeito apenas ao começo e ao fim do acesso. E vamos tirar o trecho que fala em número de identidade, deixando só ‘documento hábil e legal’. Outra alteração é que vamos descriminalizar a responsabilidade do provedor de acesso que descumprir a determinação da lei, aplicando apenas uma multa”, revela o analista de sistemas José Henrique Portugal, assessor de Azeredo e principal articulador do trabalho de redação do substitutivo. O texto que saiu de pauta na CCJ em novembro define esse descumprimento por parte dos provedores como crime, mas não estipula pena. Antes mesmo de voltar à pauta de votação, esses itens já serão alterados. Para elaborar o substitutivo, Portugal, que trabalha há 40 anos com informática e já foi dirigente do Serviço Federal de Processamento de Dados (Serpro), colheu sugestões informais de pessoas de sua relação, entre advogados e analistas de sistemas. Chegou a ouvir 150 pessoas no início do processo, das quais 40 aprimoraram o debate e 12 – entre eles, colegas do Serpro – contribuíram até a redação final do texto, que estendeu para “meio digital”, por exemplo, o que antes estava restrito a “meio eletrônico”.

Na prática, caso seja aprovada, a lei não vai afetar o usuário comum de Internet, que já informa seus dados cadastrais ao contratar um provedor de acesso, e não vai precisar acrescentar nada além do login e senha que já usa atualmente a cada novo acesso. Não atingirá também as Lan Houses e Cyber Cafés, locais com grande rotatividade de clientes, em que é possível o acesso à Internet e onde nem sempre é exigido um cadastro do usuário. Isso porque, segundo Portugal “esses estabelecimentos são prestadores de serviços. É o município que faz a lei que regulamenta esses casos, e não o Congresso”. A lei federal em tramitação define crimes de informática que não se restringem ao uso de Internet, mas a qualquer rede de computadores, como as redes locais. E ela vai incidir sobre quem realmente pratica delitos nessas redes. “Pode haver violação de dados na rede interna da Unicamp ou do Senado, e isso é crime”, exemplifica. “Mesmo assim, nós sabemos que não vamos pegar 100% dos crimes com essa lei”, admite.

Porém, mesmo que estejam associados a crimes já previstos em lei, para que os delitos envolvendo uso indevido de informática tenham penas específicas, é preciso que os parlamentares cheguem a um consenso para a aprovação da matéria. “Vejo isso o substitutivo de Azeredo como um avanço. O Brasil não pode ficar para trás. E o princípio básico do direito penal é que não há crime sem lei que o defina”, conclui Moreira. Em outras palavras, isso significa que com o ritmo das evoluções tecnológicas e o avanço do uso da informática, qualquer tempo adicional de espera pode deixar a lei obsoleta antes mesmo de sua aprovação.