Safernet Brasil

São Paulo - Mudanças no projeto de lei do senador Eduardo Azeredo (PMDB-MG) são imprecisas e podem levar a interpretações errôneas.

Se tinham como objetivo atenuar a polêmica causada pela primeira versão do projeto de lei sobre crimes virtuais, as alterações anunciadas pelo senador Eduardo Azeredo (PMDB-MG), relator do projeto, conseguiram atrair ainda mais atenção.

O novo projeto, cuja votação estava prevista para esta quarta-feira (23/05) pela Comissão de Constituição e Justiça do Senado e foi adiada pelo senador Antônio Carlos Magalhães (DEM-BA) até a próxima semana, manteve artigos apontados como vagos e instituiu novos que quebram direitos garantidos pela Constituição e permitem interpretações errôneas, defendem especialistas.

Entre as cerca de 40 alterações sofridas, o novo texto descarta o cadastramento obrigatório dos internautas exigida pela antiga versão, com pena de multa para o provedor que não cumprisse a decisão, mas mantém a também polêmica decisão de obrigar provedores a guardarem por três anos logs de conexões de seus usuários.

O principal ponto de discussão do novo projeto permite que usuários contra-ataquem ameaças digitais por meio da contratação de "agente técnico ou profissional habilitado", que será isento da punição prevista por invadir redes ou infectar sistemas por meio da chamada "defesa digital".

Além de considerar a definição do profissional vaga, já que não há regulamentação apropriada da profissão no Brasil, o presidente da ONG SaferNet, Thiago Tavares, considera o artigo "um atentado à Constuitição brasileira".

"A lei garante o sigilo de dados e permite que este seja quebrado apenas com decisão judicial durante uma investigação criminal", afirma, citando o que chamou de "institucionalização do grampo privado" na internet brasileira.

"Existe a Lei do Grampo, que determina que (o grampo) só pode ser feito pela Polícia ou pelo Ministério Público com autorização judicial. O projeto permite que profissionais façam interceptações de dados sem autorização judicial e a partir de seus próprios PCs", exemplifica.

Ao trazer um exemplo para vida real, Tavares afirma que seria o caso de aprovar um chefe a contratar uma empresa de espionagem para invadir a casa de um funcionário suspeito de colocar o sistema da empresa em risco.

Mesmo entusiasta do projeto, o advogado especializado em mídia digital Renato Ópice Blum admite que a definição de "defesa digital" é genérica e vai dar uma discussão, mas defende que "qualquer iniciativa que detalhe e restrinja o conceito de legítima defesa no meio eletrônico é válida".

O advogado admite que a falta de definição clara do termo pode ser usada para que crackers se defendam de acusações de ataques, mas crê que os cargos autorizados a usar a "defesa digital" poderão ser apontados quando a lei chegar ao presidente Lula.

Segundo ele, o senador não toma a decisão para não engessar a lei. "Daqui a dez anos, podemos não ter as profissões especificadas na lei, o que exigiria a aprovação de uma nova emenda. O presidente pode fazer isto com um decreto apenas", complementa.

Pela falta de conhecimento dos magistrados brasileiros das questões técnicas de informática, a interpretação de uma sentença que envolva a definição vaga do novo projeto deverá incentivar a participação de peritos nas decisões judiciais, atitude classificada como "padrão" por Blum.

Outro ponto bastante discutido, mas com diversas interpretações no projeto, se refere ao inciso V do artigo 21, que obriga o provedor a informar à polícia denúncias de conduta delituosa na rede de PCs sob sua responsabilidade.

O presidente da Associação Brasileira de Provedores (Abranet), Eduardo Parajo, aponta esta obrigação do provedor monitorar atividades de seus clientes como o ponto mais grave do projeto.

"Não queremos assumir função de denunciante de possíveis regularidades ou sermos obrigados a monitorar todas as atividades dos usuários. É complicado por que envolve problemas de privacidade", afirma.

O advogado Ópice Blum tem outro entendimento do artigo. "O provedor não tem obrigação nenhuma de policiar, só encaminhar as denúncias recebidas. Com ou sem aprovação da lei, só agente público, como policial, tem obrigação de fiscalizar. Provedor, não".

A presença do inciso é ainda mais controversa pela falta de punições para provedores que ignorarem possíveis delitos.

De acordo com Blum, o provedor é obrigado pela lei, mas não existe punição direta caso não relate. "Se quiser ignorar, ele corre o risco de pagar indenização de um possível caso em que o usuário seja vítima de ataques online", explica. "Mas, juridicamente, é difícil de se provar este tipo de prejuízo de qualquer maneira".

Para Parajo, os provedores não vêm problemas com a manutenção dos logs de conexões de seus usuários por três anos. A decisão, inclusive, está integrada em um documento elaborado pelo órgão com seus associados para auto-regulamentação, em vias finais de ser finalizado com apoio do Comitê Gestor da Internet (CGI).

"Para nós, o projeto do Senador não exemplifica diversas questões e apresenta novas soluções para crimes já tipificados", argumenta, citando casos de fraudes bancárias e quadrilhas de pedofilia solucionados pelo Ministério Público e pela Polícia Federal respaldados pela lei atual.

Parajo defende uma necessidade de "esgotar as discussões sobre o projeto" e acusa o senador mineiro de falta de transparência na condução do caso. "Tivemos uma dificuldade tremenda para ter acesso à versão final. Onde está a transparência necessária do processo?".

Ouvido pelo IDG Now!, o assessor técnico do senador, José Henrique Portugal, afirma que a íntegra do documento foi enviada ainda na tarde desta quarta-feira (23/05) para Parajo alegando desconhecer "que a Abranet tinha um novo presidente".

Outro ponto que esbarra em questões vagas no novo projeto, segundo Tavares, é a equiparação de dados eletrônicos para o termo jurídico "coisa". Segundo ele, o artigo permite que a apreensão de banco de dados digitais.

As conseqüências da lei implicam na expedição de mandados de busca para usuários que se apropriam de dados sem a permissão do autor ou que firam a comunidade como um todo, como usuários de redes P2P ou detentores de imagens pedófilas, entre mais de 600 crimes previstos na lei que podem ser enquadrados na vaga definição, segundo Tavares.

As interpretações errôneas que a tipificação vaga de crimes digitais permite, segundo Tavares, permitem ainda que usuários sem qualquer conhecimento técnico de segurança possam ser enquadrados em disseminação culposa (sem intenção) de códigos maliciosos.

"Um usuário que tem um vírus rodando na sua máquina que se auto-replique para sua lista de contatos pode não saber da infestação, mas, dentro do artigo 163, está cometendo um crime culposo, que prevê pena de até cinco anos de reclusão", explica.

Para efeito de comparação, a punição para um crime de lesão corporal grave, onde há um espancamento seguido por uma seqüela irreparável, é menor - o artigo 129 do Código Penal prevê detenção entre um e cinco anos para o agressor.

Procurada pela reportagem do IDG Now!, a Federação Brasileira de Bancos (Febraban) não quis se pronunciar sobre o projeto. O representante do Comite Gestor da Internet não foi localizado até o fechamento da reportagem.

Expectativa

Afirmando estar frustrado com o adiamento da votação na Comissão de Constituição e Justiça do Senado, Portugal afirma que há a expectativa de o projeto ser o primeiro da pauta na próxima reunião do órgão, prevista para a próxima quarta-feira (30/05).

Segundo o assessor, caso o projeto de lei siga o cronograma regular após o adiamento, há a expectativa que, caso não haja problemas na Câmara dos Deputados nem a sanção do presidente Lula e contando com a prioridade dada à aprovação de Medidas Provisórias (MPs), o projeto poderá entrar em vigor no final do ano.