- Página Inical
- Denunciando
- Divulgando
- Noticiando
- Doando
- Traduzindo
- Programando
- Pesquisando
- Conscientizando
- Reivindicando
| Texto do Projeto (última versão) | Texto da Convenção contra o Cibercrime (Budapeste/01) | Comentários | |
|---|---|---|---|
| Inclusão de novos crimes no Código Penal: Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 154-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida: Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. Par 1º- Nas mesmas penas incorre quem permite, facilita ou fornece a terceiro meio não autorizado de acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado. Par 2º- Somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e suas subsidiárias. Par 3º- A pena é aumentada na sexta parte, se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do acesso. Par 4º- Não há crime quando o agente acessa a título de defesa digital, excetuado o desvio de finalidade ou excesso. |
Art. 2º - Acesso ilegítimo Cada parte adotará as medidas legislativas e outras que se revelem necessárias para estabelecer como infração penal, no seu direito interno, o acesso intencional e ilegítimo à totalidade ou a parte de um sistema informático. As partes podem exigir que a infração seja cometida com violação de medidas de segurança, com a intenção de obter dados informáticos ou outra intenção ilegítima, ou que seja relacionada com um sistema informático conectado a outro sistema informático. |
A alteração da linguagem da versão anterior do projeto, de “acesso indevido” para “acesso não autorizado”, bem como de “indevidamente” para “sem autorização do legítimo titular, quando exigida”, trouxe significativa melhora à redação, já que a forma anterior pecava por absoluta falta de precisão. Por outro lado, há que se destacar que é absolutamente temerária e inaceitável a possibilidade aberta a “agentes técnicos ou profissionais habilitados” para a prática da conduta tipificada, a título de “defesa digital”. O caput do art. 5º da Constituição Federal garante o direito de igualdade de todos os cidadãos perante a lei, que seria violado ao conceder àqueles com formação técnica em informática o poder de praticar conduta tipificada (crime de interceptação não autorizada de dados telemáticos, previsto no art. 10 da Lei 9296/96 e Exercício Arbitrário das Próprias Razões, previsto no art. 345 do Código Penal), em detrimento dos demais. Trata-se de uma flagrante inconstitucionalidade, que na prática institui o grampo privado no Brasil, sem necessidade de prévia autorização judicial, e cria um precedente perigoso ao dar a tais agentes, que podem ser prepostos de instituições, o poder de invadir sistemas informatizados de terceiros, sob justificativa de segurança. Isso instituiria uma verdadeira "tecnocracia" no Brasil. Analogicamente, seria o mesmo que conceder a agentes de segurança privada o direito de invadir residências para verificar se o residente praticou ato contrário aos interesses de seu preponente. O poder de polícia deve ficar adstrito ao Poder Público. Clique aqui para saber mais sobre possíveis desdobramentos práticos da aprovação desta proposta contida no Projeto. Leia mais sobre “hacktivism” clicando aqui Por fim, sugere-se excluir o Par 4º e alterar a redação do caput e dos demais parágrafos para adequá-la a Convenção de Budapeste e fazer constar a exigência de que a infração seja cometida com violação de medidas de segurança, com a intenção de obter dados informáticos ou outra intenção ilegítima específica e delimitada no texto legal. |
|
| Inclusão de novos crimes no Código Penal: Obtenção, manutenção, transporte ou fornecimento não autorizado de informação eletrônica ou digital ou similar Art. 154-B. Obter dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida: Pena – detenção, de 2(dois) a 4 (quatro) anos, e multa. Par 1º- Nas mesmas penas incorre quem mantém consigo, transporta ou fornece dado ou informação obtida nas mesmas circunstâncias do “caput” ou desses se utiliza além do prazo definido e autorizado. Par 2º- Se o dado ou informação obtida desautorizadamente é fornecida a terceiros pela rede de computadores, dispositivo de comunicação ou sistema informatizado, ou em qualquer outro meio de divulgação em massa, a pena é aumentada de um terço. Par 3º- Somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e suas subsidiárias. |
Artigo 3º - Intercepção ilegítima Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para estabelecer como infração penal, no seu direito interno, a intercepção intencional e ilegítima de dados informáticos, efetuada por meios técnicos, em transmissões não públicas, para, de ou dentro de um sistema informático, incluindo emissões eletromagnéticas provenientes de um sistema informático que veicule esses dados. As Partes podem exigir que a infração seja cometida com dolo ou que seja relacionada com um sistema informático conectado com outro sistema informático. |
Os comentários ao artigo anterior se aplicam ao presente. A redação tornou-se mais precisa com a substituição da expressão “indevidamente”, contida na versão anterior do Projeto. Todavia, há no presente artigo a mesma concessão descabida aos técnicos e agentes de segurança digital, permitindo-lhes incorrer no tipo penal, sem qualquer conseqüência, a pretexto de defender o interesse próprio ou de seu contratante. Conforme acima mencionado, o direito de defesa deve ser igual a todos, assim como deve ser aplicada punição pela prática do delito. Cabe ao Estado, e somente ao Estado, o exercício do Poder de Polícia. Vale lembrar que a Convenção Contra o Cibercrime, tanto em seu preâmbulo como em todo o seu corpo, ressalta o conceito geral de que todas as normas legais estabelecidas pelos países-membros deverão respeitar os direitos humanos e as liberdades fundamentais dos cidadãos, incluso o direito à privacidade e à intimidade, citando-se diversas convenções internacionais que os garantem. Esse dispositivo enquadraria também, em sua acepção literal, vários modelos negociais hoje praticados no mercado.Clique aqui para ler um artigo interessante sobre addware/spyware, e aqui para ler sobre Windows WGA e invasão de privacidade. Adicionalmente, atividades corriqueiras dos usuários da rede mundial de computadores, como a aquisição, por meios eletrônicos (download), de textos, músicas e vídeos convertidos para formato digital, passam a ser punidos com excessivo rigor. Se, além de obtida, a informação é redistribuida, como acontece normalmente nos protocolos das redes Peer-to-Peer e bittorrent, utilizadas em populares programas de compartilhamento de dados como Emule, Kazaa, Donkey, Azureus, entre outros, a pena é acrescida em um terço. O transporte dessas informações através de meios eletrônicos (CD, DVD, um dispositivo de armazenamento de dados - como um HD externo ou pendrive, um aparelho reprodutor de música - mp3 player, ou ainda o próprio disco rígido de um computador portátil), recebe tratamento semelhante. Tal rigor nos torna temerosos da adoção de medidas como aquelas tornadas legais nos Estados Unidos, onde os agentes da alfândega têm autorização para revistar o conteúdo e confiscar por tempo indeterminado quaisquer dispositivos de transporte de dados (notadamente laptops, CDs, DVDs, celulares e aparelhos reprotores eletrônicos de música), em busca de conteúdo não autorizado. Leia mais sobre isso neste link. A tipificação como crime, com punição rigorosa, do transporte de informação não autorizada, ou obtida nas mesmas circunstâncias, dá aos agentes da polícia brasileira, em tese, o direito de revistar os dispositivos eletrônicos em busca dessas informações, sem autorização judicial. |
|
| Inclusão de novas definições no Código Penal: Dispositivo de comunicação, sistema informatizado, rede de computadores e defesa digital Art. 154-C: Para os efeitos penais considera-se: I - dispositivo de comunicação: o computador, o telefone celular, o processador de dados, os instrumentos de armazenamento de dados eletrônicos ou digitais ou similares, os instrumentos de captura de dados, os receptores e os conversores de sinais de rádio ou televisão digital ou qualquer outro meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia eletrônica ou digital ou similar; II – sistema informatizado: o equipamento ativo da rede de comunicação de dados com ou sem fio, a rede de telefonia fixa ou móvel, a rede de televisão, a base de dados, o programa de computador ou qualquer outro sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente; III – rede de computadores: os instrumentos físicos e lógicos através dos quais é possível trocar dados e informações, compartilhar recursos entre máquinas, representada pelo conjunto de computadores, dispositivos de comunicação ou sistemas informatizados, que obedecem de comum acordo a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial; IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em proveito próprio ou de seu preponente, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação; V – código malicioso: o conjunto de instruções e tabelas de informações ou programa de computador ou qualquer outro sistema capaz de executar uma seqüência de operações que resultem em ação de dano ou obtenção indevida de informações contra terceiro, de maneira dissimulada ou oculta, transparecendo tratar-se de ação de curso normal; VI – dados informáticos: qualquer representação de fatos, de informações ou de conceitos sob uma forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado, incluindo um programa, apto a fazer um sistema informatizado executar uma função; VII – dados de tráfego: todos os dados informáticos relacionados com sua comunicação efetuada por meio de uma rede de computadores, sistema informatizado ou dispositivo de comunicação, gerados por eles como elemento de uma cadeia de comunicação, indicando origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente. |
Artigo 1º - Definições Para os fins da presente Convenção: a) “Sistema informático” significa qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados, em que um ou mais de entre eles, desenvolve, em execução de um programa, o tratamento automatizado dos dados; b) “Dados informáticos” significa qualquer representação de fatos, de informações ou de conceitos sob uma forma susceptível de processamento num sistema de computadores, incluindo um programa, apto a fazer um sistema informático executar uma função; c) “Fornecedor de serviço” significa: (i) Qualquer entidade pública ou privada que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático (ii) Qualquer outra entidade que processe ou armazene dados informáticos em nome do referido serviço de comunicação ou dos utilizadores desse serviço. d) “Dados de tráfego” significa todos os dados informáticos relacionados com uma comunicação efetuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente. |
As definições contidas no projeto permanecem confusas à medida em que, ao invés de criar conceitos, cria relações que indicam que não são exaustivas, ao adotar termos vagos como “ou similares”, ou mesmo “ou qualquer outra tecnologia”. Esse tipo de linguagem é inadmissível como norma penal, que deve ser sempre fechada e interpretada restritivamente, em obediência aos princícios elementares que regem o Direito Penal, como o da taxatividade (precisão na descrição do tipo penal para evitar a sua aplicação elástica). A justa preocupação da redação do projeto em impedir que novas tecnologias tornem a legislação obsoleta foi enfrentada de maneira mais eficaz na própria Convenção Contra o Cibercrime, ao evitar a indicação de tecnologias e tornar a redação o mais abrangente possível. A redação das definições da Convenção, inteligentemente, faz com que o conceito de “rede de computadores” seja abrangido pelo de “sistema informático”. O mesmo deve ocorrer no projeto de lei em discussão, uma vez que a rede de computadores é, de fato, um sistema informatizado. Para tornar isso mais claro, a definição da Convenção estabelece que “sistema informático significa qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados”. Nesse sentido, vale notar que a redação das definições de “dados informáticos” e “dados de tráfego” nada mais são do que as da própria Convenção, porém contaminadas pela confusão estabelecida com as definições de “dispositivo de comunicação”, “sistema informatizado” e “rede de computadores”. Nesse caso, a simplicidade da Convenção é mais eficiente e precisa. Vale destacar, ainda, que, em vista do que já foi exposto acima, a definição de “defesa digital” deve ser excluída, pois se presta, apenas, a criar uma classe especial de cidadãos – os agentes e técnicos de informática – conferindo-lhes o direito de praticar delitos, a pretexto de defesa de sua segurança ou de seu preponente. Vale destacar, por fim, que seria mais lógico que as definições antecedessem os artigos em que são mencionadas. Assim, o artigo 154-C deveria ser 154-A. |
|
| Inclusão de novos crimes no Código Penal: Difusão de Código Malicioso Dano por Difusão de código malicioso eletrônico ou digital ou similar Art. 163-A. Criar, inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena - reclusão, de 1 (um) a 3 (três) anos, e multa. Dano qualificado por difusão de código malicioso eletrônico ou digital ou similar Par 1º- Se o crime é cometido com finalidade de destruição, inutilização, deterioração, alteração, dificultação do funcionamento , ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena - reclusão, de 2 (dois) a 4 (quatro) anos, e multa. Difusão de código malicioso eletrônico ou digital ou similar seguido de dano Par 2º - Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado, e as circunstâncias demonstram que o agente não quis o resultado, nem assumiu o risco de produzi-lo: Pena – reclusão, de 3 (três) a 5 (cinco) anos, e multa. Par 3º - A pena é aumentada de sexta parte, se o agente se vale de nome falso ou da utilização de identidade de terceiros para prática do crime. Par 4º - Não há crime quando a ação do agente é a titulo de defesa digital, excetuado o desvio de finalidade ou o excesso. Difusão de código malicioso Art. 171-A. Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de levar a erro ou, por qualquer forma indevida, induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, à rede de computadores, dispositivo de comunicação ou a sistema informatizado, com obtenção de vantagem ilícita, em prejuízo alheio: Pena – reclusão, de 1 (um) a 3 (três) anos. Par 1º - A pena é aumentada de sexta parte, se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática de difusão de código malicioso. Par 2º - Não há crime quando a difusão ocorrer a título de defesa digital, excetuando o desvio de finalidade ou o excesso. |
Artigo 6º - Uso abusivo de dispositivos 1. Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para estabelecer como infrações penais, em conformidade com o seu direito interno, quando cometidas intencional e ilegitimamente: a) A produção, a venda, a obtenção para utilização, a importação, a distribuição, ou outras formas de disponibilização de: i. Um dispositivo, incluindo um programa informático, concebido ou adaptado essencialmente para permitir a prática de uma das infrações definidas em conformidade com os artigos 2º a 5º; ii. Uma palavra-passe, um código de acesso ou dados informáticos semelhantes que permitam aceder a todo, ou a parte de um sistema informático com a intenção de serem utilizados para cometer qualquer uma das infrações definidas nos Artigos 2º a 5º; e b) A posse de um elemento referido na alínea a, i. ou ii., com a intenção de ser utilizado com o objetivo de cometer qualquer uma das infrações referidas nos artigos 2º a 5º. As Partes podem exigir que no direito interno se reuna um certo número desses elementos para que seja determinada a responsabilidade criminal. 2. O presente artigo não deve ser interpretado como impondo responsabilidade criminal quando a produção, a venda, a aquisição para utilização, a importação, a distribuição, ou outra forma de disponibilização ou posse, mencionadas no nº. 1 do presente artigo não tenham por objetivo cometer uma infração estabelecida em conformidade com os artigos 2º a 5º da presente Convenção, como é o caso de ensaios autorizados ou de proteção de um sistema informático. 3. Cada Parte pode reservar-se o direito de não aplicar o disposto no nº. 1 do presente artigo desde que essa reserva não diga respeito à venda, distribuição, ou a qualquer outra forma de disponibilização dos elementos referidos no nº. 1, a, ii. Artigo 8º - Burla Informática Cada parte adotará as medidas legislativas e outras que se revelem necessárias para estabelecer como infração penal, em conformidade com seu direito interno, o ato intencional e ilegítimo, que origine a perda de bens a terceiros através: a) Da introdução, da alteração, da eliminação ou da supressão de dados informáticos. b) De qualquer intervenção no funcionamento de um sistema informático, com a intenção de obter um benefício econômico ilegítimo para si ou para terceiros. |
Tendo em vista que a redação já foi ajustada em outros artigos, acreditamos que tenha passado desapercebida a manutenção da expressão “acesso indevido” no artigo 171-A, o que deve ser retificado. Por outro lado, parece que o artigo 171-A abrange o “caput” do artigo 163-A. Já o parágrafo 2º do artigo 163-A não pode subsistir, uma vez que tipifica como crime a conduta culposa de difusão de código malicioso, de maneira que aquele que o fizer desavisadamente (não souber que há um vírus em sua máquina, por exemplo), cometerá crime. Ressalte-se aqui que, não apenas nesse tipo penal, mas em todo os outros indicados pela Convenção Contra o Cibercrime, a recomendação é expressa no sentido de punir apenas os atos intencionais e ilegítimos, ou seja, é exigida a verificação do dolo na ação praticada pelo agente. Ainda que, desviando-se das recomendações da convenção de Budapeste, se tentasse justificar a insersão da modalidade culposa, por algum critério relativo ou subjetivo de cautela devida, nenhum grau de cautela será suficiente para evitar que usuários de sistemas vuleráveis a ataques conhecidos por zero day exploits se tornem duplamente vítimas desses ataques e do enquadramento penal culposo por suas consequências. De acordo com relatórios sobre cibercirme de 2006, tanto do FBI (aqui) quanto de uma empresa líder no mercado de segurança em informática (aqui), essa modalidade de ataque cresceu explosivamente em 2006, tornando-se um novo ramo do crime organizado e expondo 9 entre 10 usuários da internet, que estão presos a um modelo negocial restritivo em relação a suas opções. Clique aqui para ler uma análise a respeito. Cabe também acrescentar, como subsídio de análise ao Direito comparado, que tal cenário plausivelmente emana do tratamento discriminatório que a Lei e a administração do Direito vêm dando, com respeito às responsabilidades na esfera digital, aos grandes fornecedores monopolistas em detrimento dos usuários comuns. Leia mais aqui |
|
| Inclusão de novas definições no Código Penal: Art. 183-A. Para efeitos penais, equiparam-se à coisa o dado, informação ou unidade de informação em meio eletrônico ou digital ou similar, a base de dados armazenada, o dispositivo de comunicação, a rede de computadores, o sistema informatizado, a senha ou similar ou qualquer instrumento que proporcione acesso a eles. |
Não há equivalente na Convenção | O dado não pode ser considerado coisa, uma vez que, quando se refere a informações pessoais e individuais, está indelevelmente ligado à personalidade e, consequentemente, protegidos como tal pelos incisos X e XII do art. 5º da Constituição. O Código Civil dá tratamento distinto aos direitos da personalidade e aos direitos reais. Por isso, a equiparação do dado à coisa deve excluir os dados e informações pessoais. Além disso, por ser “dado” um bem simbólico, e “coisa” um bem presumivelmente material, a equiparação de dado a coisa embute e oculta novos problemas hermenêuticos, concernentes aos critérios de usufruto e gozo, aqui não endereçados. Problemas que afetam a aplicação de dispositivos legais sensíveis à materialidade, especialmente em códigos processuais, como por exemplo os de adminissibilidade de prova. |
|
| Inclusão de novas obrigações de natureza civil e penal: Art. 21. O responsável pelo provimento de acesso a rede de computadores é obrigado a: I – manter em ambiente controlado e de segurança os dados de conexões realizadas por seus equipamentos, aptos à identificação do usuário e dos endereços eletrônicos de origem, da data, do horário de início e término e referência GMT, das conexões, pelo prazo de três anos, para prover os elementos probatórios essenciais de identificação da autoria das conexões na rede de computadores; II – tornar disponíveis à autoridade competente, por expressa autorização judicial, os dados e informações mencionados no inciso I no curso de auditoria técnica a que forem submetidos; III – fornecer, por expressa autorização judicial, no curso de investigação, os dados de conexões realizadas e os dados de identificação de usuário; IV – preservar imediatamente, após a solicitação expressa da autoridade judicial, no curso de investigação, os dados de conexões realizadas, os dados de identificação de usuário e as comunicações realizadas daquela investigação, respondendo civil e penalmente pela sua absoluta confidencialidade e inviolabilidade; V – informar, de maneira sigilosa, à autoridade policial competente, denúncia da qual tenha tomado conhecimento e que contenha indícios de conduta delituosa na rede de computadores sob sua responsabilidade; VI – informar, ao seu usuário que o uso da rede sob sua responsabilidade obedece às leis brasileiras e que toda comunicação ali realizada será de exclusiva responsabilidade do usuário, perante as leis brasileiras; VII – alertar aos seus usuários, em campanhas periódicas, quanto ao uso criminoso de rede de computadores, dispositivo de comunicação e sistema informatizado; VIII – divulgar aos seus usuários, em local destacado, as boas práticas de segurança no uso de rede de computadores, dispositivo de comunicação e sistema informatizado. Par 1º- Os dados de conexões realizadas em rede de computadores, aptos à identificação do usuário, as condições de segurança de sua guarda, a auditoria à qual serão submetidos, a autoridade competente responsável pela auditoria e o texto a ser informado aos usuários de rede de computadores serão definidos nos termos de regulamento. Par 2º- Os dados e procedimentos de que cuida o inciso I deste artigo deverão estar aptos a atender ao disposto nos incisos II, III e IV no prazo de cento e oitenta dias, a partir da promulgação desta Lei. Par 3º- O responsável citado no caput deste artigo que não cumprir o disposto no Par 2º, independentemente do ressarcimento por perdas e danos ao lesado, estará sujeito ao pagamento de multa variável de R$ 2.000,00 (dois mil reais) a R$ 100.000,00 (cem mil reais) a cada verificação ou solicitação, aplicada em dobro em caso de reincidência, que será imposta mediante procedimento administrativo, pela autoridade judicial desatendida, considerando-se a natureza, a gravidade e o prejuízo resultante da infração. Par 4º- Os recursos financeiros resultantes do recolhimento das multas estabelecidas neste artigo serão destinados ao Fundo Nacional de Segurança Pública, de que trata a Lei nº. 10.201, de 14 de fevereiro de 2001. |
Artigo 16º - Conservação expedita de dados informáticos armazenados. 1. Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para permitir às suas autoridades competentes exigir ou obter de uma outra forma a conservação expedita de dados informáticos específicos, incluindo dados relativos ao tráfego, armazenados por meio de um sistema informático, nomeadamente nos casos em que existem motivos para pensar que os mesmos são susceptíveis de perda ou alteração. 2. Sempre que a Parte aplique o disposto no nº. 1, através de uma injunção ordenando a uma pessoa que conserve os dados informáticos específicos armazenados que estão na sua posse ou sob o seu controle, esta Parte adotará as medidas legislativas e outras que se revelem necessárias para obrigar essa pessoa a conservar e proteger a integridade dos referidos dados durante um período de tempo tão longo quanto necessário, até um máximo de 90 dias, de modo a permitir às autoridades competentes obter a sua divulgação. Uma Parte pode prever que essa injunção seja subsequentemente renovada. 3. Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para obrigar o responsável pelos dados, ou outra pessoa encarregada de conservá-los a manter segredo sobre a execução dos referidos procedimentos durante o período previsto pelo seu direito interno. 4. Os poderes e procedimentos referidos no presente artigo devem estar sujeitos aos artigos 14º e 15º. Artigo 17º - Conservação expedita e divulgação parcial de dados de tráfego 1. A fim de assegurar a conservação de dados relativos ao trafego em aplicação do artigo 16º, cada Parte adotará as medidas legislativas e outras que se revelem necessárias, para: a) Assegurar a conservação rápida desses dados de tráfego, quer tenham participado na transmissão dessa comunicação um ou vários fornecedores de serviços; b) Assegurar a divulgação rápida à autoridade competente da Parte ou a uma pessoa designada por essa autoridade, de uma quantidade de dados de tráfego, suficiente para permitir a identificação dos fornecedores de serviços e da via através do qual a comunicação foi efetuada. 2. Os poderes e procedimentos referidos no presente artigo devem estar sujeitos aos artigos 14º e 15º. Artigo 18º - Injunção 1. Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para habilitar as suas autoridades competentes para ordenar: a) A uma pessoa que se encontre no seu território que comunique os dados informáticos específicos, na sua posse ou sob o seu controle e armazenados num sistema informático ou num outro suporte de armazenamento de dados informáticos; e b) A um fornecedor de serviços que preste serviços no território da Parte, que comunique os dados na sua posse ou sob o seu controle, relativos aos assinantes e respeitantes a esses serviços. 2. Os poderes e procedimentos referidos no presente artigo devem estar sujeitos aos artigos 14º e 15º. 3. Para os fins do presente artigo, a expressão “dados relativos aos assinantes“ designa qualquer informação, contida sob a forma de dados informáticos ou sob qualquer outra forma, detida por um fornecedor de serviços e que diga respeito aos assinantes dos seus serviços, diferentes dos dados relativos ao tráfego ou ao conteúdo e que permitam determinar: a) O tipo de serviço de comunicação utilizado, as medidas técnicas tomadas a esse respeito e o período de serviço; b) A identidade, a morada postal ou geográfica e o número de telefone do assinante, e qualquer outro número de acesso, os dados respeitantes à faturação e ao pagamento, disponíveis com base num contrato ou acordo de serviços; c) Qualquer outra informação sobre a localização do equipamento de comunicação, disponível com base num contrato ou acordo de serviços. |
A Convenção e as obrigações dos provedores A Convenção Contra o Cibercrime (Convenção de Budapeste) foi colocada como parâmetro para a presente proposta legislativa, com o fim de tornar a legislação brasileira harmônica em relação à européia e dar ao Brasil uma condição vanguardista sobre esse tema. Todavia, no que diz respeito às obrigações de provedores, o substitutivo traz obrigações que inexistem na Convenção, causando o conseqüente desequilíbrio em relação ao restante do texto. Identificação de usuário No inciso I, o provedor fica obrigado a manter dados de conexão “aptos à identificação do usuário e dos endereços eletrônicos de origem”, além de alguns outros dados. Porém, é fácil verificar que essa obrigação não existe na Convenção. Com efeito, o artigo 17º da Convenção Contra o Cibercrime determina que os fornecedores assegurem “uma quantidade de dados de tráfego, suficiente para permitir a identificação dos fornecedores de serviços e da via através do qual a comunicação foi efetuada”. Portanto, não se trata dos dados dos usuários e sim daqueles que tornem possível rastrear a sua navegação. Já o artigo 18º estabelece que, mediante ordem judicial, o fornecedor de serviços deve fornecer os dados relativos aos assinantes desses serviços. Mas à frente, define como “dados relativos a assinantes” como sendo qualquer informação relativa aos assinantes que não seja nem dados de tráfego ou conteúdo dos usuários, que possam definir (a) tipo de serviço de comunicação e medidas técnicas utilizadas, bem como o período do serviço; e (b) identidade e endereço postal ou residencial, dados telefônicos ou outra forma de acesso ao assinante, dados referentes à emissão de faturas e pagamentos, “disponíveis com base num contrato ou acordo de serviços”; ou (c) qualquer outra informação sobre a localização do equipamento de comunicação, disponível com base num contrato ou acordo de serviços. Portanto, nota-se que, em nenhum momento o provedor (ou fornecedor de serviços, segundo a definição da Convenção) é obrigado a garantir que os dados estejam aptos à identificação. Sua obrigação é bem outra: fornecer dados de tráfego aptos a rastrear quais os serviços de comunicação utilizados (artigo 17º) e fornecer os dados que tiver disponíveis, de acordo com o contrato de serviços que presta, para a localização e identificação do usuário ou do dispositivo de comunicação utilizado. A obrigação, portanto, é fornecer os dados disponíveis, colaborando com o processo investigativo, e não de assegurar a veracidade dos dados, o que implicaria na necessidade de cadastramento presencial de cada Internauta ou o uso de certificado digital, conforme previsto na versão anterior do projeto de lei. Vale notar que, se cada rede de computador tiver que atestar a veracidade dos dados de usuários, a navegação na internet torna-se impossível, uma vez que, a cada novo sítio ou serviço acessado, o internauta poderá ser obrigado a demonstrar que ele é ele mesmo. Não há precedentes dessa natureza no mundo. E nem haverá, pois a característica conceitual básica sobre a qual foi concebida a Internet, seus protocolos foram projetados, desenhados, testados e implementados, é da adaptabilidade – e portanto imprevisibilidade – do rota pela qual dados trafegam através dela. Auditoria técnica Tanto a legislação brasileira quanto a Convenção Contra o Cibercrime indicam que o fornecimento de qualquer informação, seja constituída de dados de tráfego, informáticos ou de assinantes de serviços depende de ordem judicial, quando houver relevância. A sugestão de criação de um órgão responsável por proceder a auditorias técnicas em dados privativos, tais como os de tráfego, informáticos e de usuários é uma afronta aos princípios constitucionais que resguardam a privacidade e a intimidade de cada cidadão brasileiro. A criação de tal órgão apto a realizar auditorias, de característica “orwelliana”, parece ser a confirmação, juntamente com a sugestão do conceito de “defesa digital”, de que o projeto confere aos conhecedores de tecnologia da informação um poder maior do que os demais cidadãos. Sobre defesa digital orwelliana, clique aqui Não é demais notar que o artigo 18º, que define a obrigação de fornecer dados de usuários, faz a ressalva de que se deve observar o disposto nos artigos 14º e 15º, ou seja, os direitos fundamentais do homem, nos quais se incluem o direito à privacidade e à intimidade. Prazo de guarda de dados de tráfego O único prazo de guarda de dados estabelecido na Convenção Contra o Cibercrime é de 90 dias, como prazo máximo (e não mínimo) para a guarda de dados informáticos. A posição defendida pelos provedores indica que a guarda por 3 (três) anos de todo e qualquer dado de conexão, incluindo e-mails e spam, gerará custos vultosos, que comprometeriam de forma significativa a atividade do setor. Alternativamente, os provedores consideram razoável o prazo geral de 6 (seis) meses e de 3 (três) anos para a guarda de dados específicos, mediante a solicitação de autoridades. A SaferNet Braisil, por outro lado, defende a preservação geral dos dados pelos provedores por um prazo mínimo de 1 (um) ano e máximo de 2 (dois) anos, em conformidade com as práticas internacionais na Europa e EUA, e compatível com o ritmo das investigações e cumprimento de cartas rogatórias estrangeiras no Brasil Denúncia de condutas delituosas e indícios Este inciso inspirou-se na cláusula segunda, alínea “g”, do Termo de Compromisso e Integração Operacional celebrado em 10/11/2005 pelo Ministério Público Federal do Estado de São Paulo e os principais provedores, e que dispõe: "g) informar imediatamente ao Ministério Público Federal, por via eletrônica ou outros meios de comunicação, tão logo tomem conhecimento de que abrigam pornografia infantil ou conteúdo manifestamente discriminatório em razão da origem, raça, etnia, sexo, orientação sexual, cor, idade, crença religiosa ou outras formas de discriminação, ou ainda de que usuários do provedor estão usando o acesso à rede para praticar os crimes tipificados no art. 241 da Lei Federal n.º 8.069/90 e no art. 20 da Lei Federal n.º 7.716/89, assegurada a proteção ao sigilo dos dados telemáticos;" O texto proposto pelo substitutivo, no entanto, como não especifica o tipo penal da obrigação prevista no acordo com o MPF (restrita a crimes de pedofilia e racismo), acaba por ampliar o escopo do texto para abranger qualquer "indício de conduta delituosa". Tal dispositivo pode ser interpretado como criador de obrigação potencial do provedor processar denúncias envolvendo mais de 600 condutas tipificadas como crime no Brasil, o que pode ser um valioso instrumento de pressão para as associações, empresas e titulares de direitos autorais requisitarem dados e informações de usuários que compartilham conteúdo e streaming de áudio e vídeo (MP3, por exemplo) pelas redes, no contexto das ações de "marketing do medo" em curso no Brasil e no no mundo. Multa A aplicação de multa por descumprimento do disposto no artigo 21 a provedores deve ocorrer segundo as ponderações efetuadas acima, notadamente em caso de recusa em fornecer dados a que teve acesso, sem arcar com a obrigação de responder por sua veracidade, valendo o mesmo para as ponderações quanto ao prazo de guarda de dados. |
| Número | Artigo da Convenção de Budapeste | Justificativa da ressalva, reserva e/ou declaração | |
|---|---|---|---|
| (1) | Artigo 2 - Acesso Ilegítimo | Exige a intenção de obter dados informáticos. | |
| (2) | Artigo 6 – Uso Abusivo de Dispositivos | Exige determinado número de elementos para que seja configurada a responsabilidade criminal | |
| (3) | Artigo 7 – Falsidade Informática | Exige intenção de fraude para que seja configurada a responsabilidade criminal | |
| (4) | Artigo 27 - Procedimentos Relativos aos Pedidos de Auxílio Mútuo na Ausência de Acordos Internacionais Aplicáveis | Os requerimentos deverão ser encaminhados para a “autoridade centrall” para assistência mútua | |
| (5) | Artigo 4 – Interferência em Dados | Exige que a conduta resulte em dano grave | |
| (6) | Artigo 6 – Uso Abusivo de Dispositivos | Exclui do rol de artigos apontados neste dispositivo os artigos 4 e 5 | |
| (7) | Artigo 9 – Infrações Relacionadas com Pornografia Infantil | Se reserva ao direito de aplicar o disposto no parágrafo 2, item (b) e (c), em consonância com os conceitos estabelecidos na Constituição dos Estados Unidos. (Deve ser observado que o artigo 42 só possibilita reserva em relação ao parágrafo 4 do artigo 9) | |
| (8) | Artigo 10 - | Impõe outra medida que não a responsabilidade criminal aos parágrafos 1 e 2 do artigo 10. (Deve ser observado que o artigo 42 só possibilita reserva em relação ao parágrafo 3 do artigo 10) | |
| (9) | Artigo 22 – Competência | Se reserva ao direito de não aplicar, em parte, o disposto no parágrafo 1, item (b) e (c), limitando o número de infrações a serem assumidas. (Deve ser observado que o artigo 42 só possibilita reserva em relação ao parágrafo 2 do artigo 22) | |
| (10) | Artigo 41 – | Assume as obrigações do Capítulo II respeitados os Princípios Fundamentais do Federalismo | |
| (11) | Artigo 24 – Extradição | Não designa responsável por extradição, assim como prevê tal artigo. (Esta opção não está expressa em nenhum artigo da Convenção) | |
| (12) | Artigo 27 - Procedimentos Relativos aos Pedidos de Auxílio Mútuo na Ausência de Acordos Internacionais Aplicáveis | É designada como “autoridade centrall” para assistência mútua o “Office of International Affairs, United States Department of Justice, Criminal Division, Washington, D.C., 205300”. | |
| (13) | Artigo 35 – Rede 24/7 | É designada como ponto de contato, nos termos deste artigo, a “Computer Crime and Intellectual Property Section, United States Department of Justice, Criminal Division, Washington, D.C., 205300”. | |