quarta-feira, 25 de março de 2009

Para entender o que anda acontecendo

*retirado do ótimo música da minha gente

Projeto de Cibercrimes - colocando os pingos nos is

Esse artigo é uma antecipação da blogagem coletiva sobre o Projeto de Lei de Cibercrimes do Senador Eduardo Azeredo, convocada para o dia 19 de julho.
Atualização: colocações adicionais em O Projeto de Lei de Cibercrimes (de novo) e outras coisas.

Antes que você parta com quatro pedras na direção do polêmico substitutivo do Azeredo, é bom que saiba: o diabo projeto não é tão feio quanto pintam - já foi; não é mais. E, antes de partir com quatro pedras pra cima de mim, leia este artigo até o final.

O projeto aprovado no último dia 9 de julho pelo Senado (e encaminhado à Câmara dos Deputados) é bem melhor que o absurdo proposto por Azeredo. Será que os inúmeros protestos surtiram efeito?

Essa entra para a lista de dúvidas insolúveis (a mesma que contempla a questão das questões: por que o Pato Donald sai do banho enrolado na toalha, se ele nunca usa calças?): o substitutivo do Senador Eduardo Azeredo, que, basicamente, criminalizava o simples fato de se navegar na internet, foi amenizado em virtude das reclamações da ABRANET, dos blogueiros e dos internautas em geral?

Não dá pra saber. O fato é que o substitutivo sofreu intenso bombardeio. O envio de emails aos senadores cresceu (sempre respondidos com prepotência por Azeredo: quem questiona o projeto é "pessoa de má-fé"). Paralelamente, sem que ninguém se preocupasse em atualizar a sociedade civil, o texto foi modificado diversas vezes - felizmente, para melhor (e, suspeito, graças à boa consultoria da Comissão de Constituição e Justiça). O texto aprovado no último dia 9 de julho pelo Senado foi a quarta versão do substitutivo - e ainda recebeu algumas emendas do Senador Aloizio Mercadante, a fim de esclarecer passagens confusas.

O resultado é um projeto que impõe alguns (bons) controles, mas ainda contém enormes erros e traz a possibilidade de vários problemas. Leia o texto aprovado. (Deu trabalho encontrar esse texto. Obrigada à Nova Corja por tê-lo divulgado.)
O que melhorou?

Em linhas gerais, as vantagens do projeto aprovado pelo Senado em relação ao substitutivo do Azeredo são as seguintes:

- Navegar na internet não é mais crime. Olha que legal. Pelo substitutivo, armazenar dados sem autorização do "legítimo titular" era crime. Acontece que todos os navegadores armazenam dados no seu computador enquanto você navega - faz parte do processo natural de andar pela web.

Sem contar que passaria a ser crime receber no seu email (pior ainda: salvar no computador!) aquele pps com as fotos da National Geographic, por exemplo.

- Redundâncias, penas desproporcionais e até inovações no tocante à prisão preventiva foram abolidas do texto final.

O aumento de pena para os crimes contra a honra praticados pela internet foi retirado do texto. Também não sumiu a qualificação do furto realizado por meio eletrônico. Ótimo, eram proposições sem qualquer razoabilidade. Afinal, por que ofender alguém pela internet seria mais grave que fazê-lo na televisão?

- A possibilidade de interceptação de comunicações telefônicas no caso de suspeita dos tais cibercrimes foi suprimida. Respeitou-se o direito à intimidade, um dos bens maiores do Estado Democrático de Direito.

- Os provedores de acesso não mais terão que armazenar rigorosamente todas as atividades praticadas na web por seus usuários (o que era uma brutal invasão de privacidade, além de impor dificuldades técnicas). Agora, basta que guardem os registros de acesso. Hmmm… ainda me parece controle demais. Voltarei a isso mais tarde.

- O substitutivo introduzia um artigo no Código de Defesa do Consumidor que equiparava o provedor de acesso à internet ao fornecedor de produtos ou serviços nocivos ou perigosos à saúde. Esse absurdo desapareceu.
A vaguidão

O art. 16 do projeto de lei traz várias definições. Diz o que é dispositivo de comunicação, sistema informatizado, rede de computadores, código malicioso, dado informático e dado de tráfego.

As definições têm recebido críticas por serem muito vagas, abarcando qualquer coisa. Bem, quem trabalha com o Direito sabe que não é possível cobrir todas as hipóteses de aplicação de uma regra. A vaguidão, por mais desagradável que seja, é necessária. Não se trata de insegurança jurídica, mas de um espaço necessário para que a lei não fique ultrapassada daqui a dois ou três anos.

Sim, resta uma margem ao arbítrio do juiz. Isso faz parte do Direito, para bem e para mal. Se o mundo fosse "preto no branco", um computador poderia sentenciar.
O que o projeto traz de positivo?

Os arts. 297 e 298 do Código Penal tratam da falsificação de documentos públicos ou particulares; pela nova lei, passarão a abranger a falsificação de dados eletrônicos públicos ou particulares. Dado que a equiparação de "documentos" a "dados eletrônicos" pode ser considerada analogia contra o réu (proibida no Direito Penal), o esclarecimento é bem-vindo.

A Lei 7.716/89, que define crimes resultantes do preconceito de cor, passará a trazer a obrigação da cessação de transmissões "eletrônicas ou da publicação por qualquer meio" de condutas que promovam a discriminação de cor, etnia, religião ou procedência nacional (art. 20). Mero esclarecimento, na verdade - a lei, do jeito que está, já serve de base para excluir comunidades do orkut e denunciar seus donos e participantes.

O maior avanço do projeto de lei está na alteração do art. 241 do Estatuto da Criança e do Adolescente (Lei nº 8.069/90), que define o crime de pedofilia. Pela nova redação, passará a ser crime armazenar imagens pornográficas envolvendo crianças ou adolescentes. Hoje, a grande dificuldade em indiciar pedófilos está, justamente, no enquadramento. O sujeito pode ter milhares de fotos de pornografia infantil, mas não pode ser punido - só quem produz ou divulga as imagens é enquadrado atualmente.

A venda e a receptação desse material pornográfico também passarão a ser crime.
Os problemas que ainda persistem

Nem tudo são flores. Os furos deixados no projeto confirmam que os senadores (e os políticos e juristas em geral, bem como outros tantos que interferem freqüentemente no nosso dia-a-dia) pouco entendem de internet.

Veja a redação proposta para o art. 154-A do Código Penal:

Divulgação ou utilização indevida de informações e dados pessoais
154-A. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal.
Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.
Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada da sexta parte.

Em tese, o artigo criminaliza spammers - ótimo.

Na prática, no entanto, imagine que um conhecido, com quem você mantém contato profissional, resolva enviar uma piadinha para toda a lista de contatos (da qual você faz parte) via email. Imagine, ainda, que ele não use o BCC ("Blind Carbon Copy" - belo recurso que quase ninguém usa), que oculta os emails dos destinatários. Pronto: o conhecido divulgou seu email (dado pessoal) com finalidade distinta da que motivou o contato entre vocês (profissional, lembra?) e sem a sua autorização expressa. Cometeu crime. Segundo o projeto de lei, você poderá processá-lo.

Se o seu colega usou uma conta de email que, ao invés de trazer o próprio nome, usa um apelido (gatosarado69@hotmail.com, quem sabe), pior pra ele. O parágrafo único aumenta-lhe a pena.

Achou ruim? Fica pior.

Veja essa outra inovação no Código Penal:

Inserção ou difusão de código malicioso
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Inserção ou difusão de código malicioso seguido de dano
§ 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2(dois) a 4 (quatro) anos, e multa.
§ 2º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.

É isso mesmo: passa a ser crime espalhar cavalos-de-tróia, vírus ou qualquer outro código capaz de causar dano a computadores ou outros apetrechos de comunicação, mesmo que não haja intenção. Você acha que isso é um avanço? Pense duas vezes.

Provavelmente, você já difundiu códigos maliciosos por aí. Já vi gente esperta, com décadas de praia anos de internet, ter o computador invadido por trojans que se auto-enviam por email para toda a lista de contatos. O dono do computador nem fica sabendo. O projeto de lei não está nem aí: cadeia nele!

Ah, sim: se o email do "bandido" é morena1988@hotmail.com, pior pra ele (ou ela?).

Pelo projeto, o art. 266 do Código Penal, que criminaliza a interrupção ou perturbação de serviço telegráfico ou telefônico, também se aplicará a "serviço informático, telemático, dispositivo de comunicação, rede de computadores ou sistema informatizado". Problemas à vista! Um banco de dados institucional disponível para consulta via web, por exemplo, eventualmente interrompe seu serviço para atualizações, ou por excesso de conexões - isso passa a ser crime?

A interrupção do serviço de conexão à internet prestado pela Telefônica em São Paulo, no início de julho, seria crime pela nova lei? Em caso afirmativo, quem seria o responsável? O presidente da empresa? Um técnico? Todos os técnicos? A operadora do telemarketing? Como fazer a individualização do responsável (sem a qual não pode haver crime)?

Por maiores que tenham sido os incômodos ou prejuízos no incidente gerado pela Telefônica, a queda do serviço representa ilícito civil, quebra de contrato, ofensa ao Código de Defesa do Consumidor - daí a configurar crime vai uma distância. Que fará essa distinção? Sob que critérios?

Estamos chegando ao fim do projeto de lei - e a mais uma série de problemas.

O artigo 22 do projeto pelo Senado traz sérias complicações.

Art. 22. O responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público é obrigado a:
I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial;
(…)

A redação anterior era pior ainda, pois exigia que o provedor de acesso à internet guardasse todos os dados gerados a cada conexão de cada usuário. Além das dificuldades técnicas e dos altos custos envolvidos, o dispositivo instituía um verdadeiro Big Brother, uma vigilância permanente sobre todos os passos dados na web por cada internauta.

Verdade seja dita: já existe uma tremenda vigilância hoje em dia. Se você usa o Google, saiba que boa parte da sua vida online está rastreada. A questão é que, de "boa parte", você passaria a ter todos os seus movimentos vigiados, por uma empresa privada muito mais próxima que a "entidade" Google e, pior, perfeitamente acessível à "autoridade investigatória". Aí, entra a clássica questão: "Quem observa os observadores?". Quem garantiria o uso adequado desses dados?

Bem, mas a nova redação prevê, apenas, o registro dos acessos, não dos dados gerados durante esses acessos. Menos mal.

Também caiu o artigo que permitia que provedores, quando "constatada alguma conduta criminosa", informassem o fato às autoridades competentes. Era o fim da picada: os provedores de acesso passariam a ter poder de polícia! Seríamos, todos, vigiados como possíveis delinqüentes, seríamos "culpados até prova em contrário", policiados por empresas privadas prestadoras de serviços. Seríamos - não seremos mais.

Apesar dessas melhoras, um tremendo problema ainda persiste no artigo 22: a exigência de que os provedores de acesso registrem o IP e a data de cada acesso feito por cada usuário.

Ora, um dos shoppings principais de Brasília fornece acesso à internet sem fio (wi-fi) grátis aos seus freqüentadores. Acontece que, independentemente de quantos ou quais equipamentos sejam conectados à rede, o IP é sempre o mesmo. Como a Jess me esclareceu, o mesmo acontece numa lan house, num cibercafé e em redes internas - todas as máquinas conectadas usam o mesmo endereçamento eletrônico.

Então, para que serve esse registro de IP? Bem, durante uma investigação criminal, o máximo a que se chegaria seria à lan house, ou ao shopping. A partir daí, caberia a eles o registro de todas as pessoas que usaram sua conexão. Numa lan house, isso é fácil. Mas e numa conexão aberta, sem senha? Impossível. A alternativa é o fim desse tipo de conexão. Você vai chegar ao shopping e terá de preencher uma papelada se quiser usar a rede wi-fi, mediante senha. Desanimador, burocrático, ineficiente.

Outro cenário: o que aconteceria com as cidades que estão implementando redes sem fio abertas, como a rede wi-fi pública em Copacabana, por exemplo? É o fim do que acabou de começar. Finito, the end, c'est fini. Que prefeitura ou empresa vai se arriscar a pagar multa e indenização pelos atos cometidos em tais redes?

Aliás, que estabelecimento se arriscará a deixar uma rede wi-fi disponível, mesmo com senha, se um mal-intencionado pode invadi-la e praticar algum crime cuja responsabilidade sobrará, em última análise, para o tal estabelecimento?

E, já que toquei no assunto, como fica a vida de quem tem sua rede wi-fi doméstica invadida por um criminoso? O crime terá sido praticado a partir do seu IP. E agora, José?

Fãs das redes sem fio: se essa lei for aprovada do jeito que está, enfiem a viola no saco.

Aliás, a Jess alertou: qualquer rede, wireless ou não, é vulnerável - o que muda é o grau de dificuldade para invadi-la.

Por fim, sobrou no projeto aprovado pelo Senado um parágrafo perturbador:

§ 1º Os dados de que cuida o inciso I deste artigo, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento.

Peralá - os dados já estão definidos no tal inciso I! Está lá: "dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores". Estranha, muito estranha essa brecha deixada a um futuro regulamento. Certo, um regulamento não pode exigir mais do que a respectiva lei, mas aqui entra-se num terreno pantanoso, reservado à interpretação de Legislativo e Judiciário. Paira no ar a ameaça de um futuro Big Brother, sim.
Concluindo

Boa parte do que está sendo dito pela web com referência ao projeto de lei de cibercrimes está ultrapassada. O texto do abaixo-assinado pelo veto do projeto, aliás, está ultrapassado, já que suscita questões que não são mais problema, como o armazenamento temporário de informações no computador que é feito sempre que se navega na internet.

O que restou de realmente problemático?

* Criminalização de condutas usuais e de boa-fé, como o envio de email para uma lista enorme e visível de contatos.
* Criminalização de condutas sobre as quais o autor não tem controle, como a disseminação de códigos maliciosos.
* Agravamento desses crimes pelo simples uso de nicknames (apelidos), prática habitual na web, e diga-se de passagem, na vida offline também.
* Possibilidade de criminalização pela interrupção de serviços online ou de acesso à internet, matéria que deveria ser tratada no âmbito civil, não penal.
* Possível inviabilização de redes sem fio (wi-fi) e comprometimento de outras redes, como as de cibercafés e lan houses.
* Brecha para futuro regulamento "big brother".

Temos todo o direito de continuar reclamando do projeto de lei de cibercrimes. Devemos, mesmo, protestar, pressionando deputados para que rejeitem dispositivos que trarão graves prejuízos aos usuários de computador. Razões para a mobilização, existem.

Protestemos, no entanto, com embasamento e pelos motivos reais. O "ouvi dizer" está gerando muita confusão sobre o tema e desviando o foco dos defeitos concretos do projeto.

Observações: os grifos no corpo dos artigos são meus (o "nome" dado a cada crime é grifado por padrão). As disposições introduzidas no Código Penal serão reproduzidas no Código Penal Militar, com os ajustes pertinentes às peculiaridades da administração militar. Evidentemente, vários outros exemplos poderiam ser dados em cada tópico - contentei-me com poucos para não deixar este artigo ainda mais extenso.


Um trabalho dificil e extenso, extraido do site: Dia de Folga esclarecendo realmente sobre as duvidas de muitos internautas e blogueiros de plantao.

O Dia de Folga, no ar desde 2003, é seu espaço para conversar sobre entretenimento de qualidade. Também aproveita para refletir sobre o que vai pelo mundo. Contato.

Quem responde pelo site?, autora mora em Brasília e atende por Lu (de Luciana). Ou Lu Monte, já que há um monte de Lus. Mais?

Nenhum comentário: