"Governo deveria regular direitos dos internautas"
O advogado especializado em direito eletrônico Solano Camargo fala sobre os dois novos projetos de lei para crimes digitais
Da Redação
Publicado em 12 de novembro de 2012 às 08h37.
São Paulo – Nesta semana a Câmara Federal aprovou dois projetos de lei que tipificam crimes cometidos por meios eletrônicos ou internet. O texto agora irá para sanção da presidente Dilma Rousseff para entrar em vigor.
Batizados de “Lei Carolina Dieckmann” e “Lei Azeredo”, os projetos alteram o Código Penal, introduzindo crimes como a invasão de computadores, o roubo de senhas e de conteúdos de e-mails, além da derrubada proposital de sites e o uso de dados de cartões de crédito ou débito obtidos indevidamente ou sem autorização do titular. As penas variam de 3 meses a 3 anos de detenção, mais multas.
Embora seja um passo importante para a segurança na internet, as leis ainda possuem alguns pontos que geram dúvidas e abrem margem para diversas interpretações.
Para esclarecer os principais detalhes destes dois projetos, INFO entrevistou Solano Camargo, advogado especialista em Direito Eletrônico e sócio-diretor do escritório Dantas, Lee, Brock & Camargo Advogados.
A Lei Carolina Dieckmann tipifica como crime pontos importantes como invasão de computadores e a derrubada de sites. Nesses casos, foi especificado no texto como será feita essa fiscalização?
A lei não especifica a forma de fiscalização, mas a constatação se dará através de perícia técnica, após a vítima perceber a ocorrência do crime. Nos casos de invasão de computadores, é muito comum que os invasores copiem o conteúdo dos discos rígidos e o espalhem pela internet, após a vítima facilitar a entrada, como aconteceu com a Carolina Dieckmann. A polícia federal brasileira, além de empresas privadas, possui a tecnologia adequada que permite, muitas vezes, descobrir a origem dos ataques.
Como poderá ser provado que determinada pessoa ou grupo realizou um ataque ou retirou um site do ar?
A principal arma dos invasores, além da simplicidade do usuário, é o código de computador. Há um sem número de comunidades de hackers na Internet, mas poucos deles programam códigos. A maioria busca e baixa códigos escritos por outras pessoas, havendo milhares de programas diferentes usados pelos hackers para invadir computadores e redes. Esses programas dão aos hackers muito poder sobre os usuários (exatamente como aconteceu com a Carolina Dieckmann, que acreditou numa mensagem de e-mail enviada por um hacker) e empresas inocentes, pois se for habilidoso o bastante para saber como um sistema funciona, ele poderá projetar programas para explorá-lo.
Na grande maioria das vezes, essa ação dos criminosos deixa uma trilha, e essa trilha pode ser descoberta por técnicos especializados. A caçada mais famosa da história foi protagonizada pelo cientista da computação Tsutomu Shimomura, japonês radicado nos EUA. No Natal de 1994, seu computador foi invadido pelo hacker Kevin Mitnick, que ainda "convidou" o japonês a pegá-lo. Com a ajuda do FBI, Shimomura aceitou o desafio, montando armadilhas por toda a internet. Meses depois, Mitnick foi preso na Carolina do Norte, após uma ligação telefônica ter sido rastreada pelo FBI.
Nessa situação [de fiscalização para comprovar um ataque], como ficam as questões relacionadas à privacidade do usuário na rede?
Todas as buscas e análises serão feitas pelos peritos após a obtenção de autorização judicial, como se faz em quaisquer investigações criminais. Caso contrário, a prova é ilícita e não servirá no processo criminal.
A derrubada de sites (ação também conhecida como ataque de negação de serviço) será considerada crime apenas se a página da internet atacada for de “utilidade pública”. Como isto será definido?
Na verdade, a lei trata de qualquer derrubada (“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública"). Interessante é que se a derrubada ocorrer durante uma calamidade pública, a pena será aplicada em dobro. Esse tipo de ocorrência é muito rara; em minha opinião, a lei deveria prever o agravamento da pena para os golpes praticados durante a calamidade pública, o que ocorreu no mundo todo durante o tsunami do Japão. Foram noticiados muitos golpes de falsos sites de bancos que mostravam filmes com situações de possíveis auxílios aos flagelados.
A Lei Azeredo sofreu muitas modificações desde 1999, quando foi criada pelo senador Eduardo Azeredo, e acabou tipificando apenas crimes mais brandos do que previa anteriormente. Acredita que sua aprovação foi apenas simbólica, uma vez que a Lei Carolina Dieckmann abrange grande parte dos crimes cibernéticos?
A Lei Azeredo nasceu de uma concepção equivocada, de que a internet poderia ser regulada e controlada por uma lei, numa espécie tupiniquim da SOPA/PIPA (projetos fracassados de controle da internet pelo governo norte-americano). Inicialmente, o texto do projeto era mais abrangente e, por conta disso, absolutamente ambíguo. Pelo texto inicial, a gravação de um CD com músicas ou arquivos que infringissem as leis de direito autoral seria considerada crime. Essa concepção nasceu inicialmente do lobby das empresas de entretenimento de Hollywood, e veio a ser apresentada no Brasil pelo senador Azeredo.
Durante o debate sobre os projetos norte-americanos, o assunto da lei brasileira voltou à tona e os internautas contrários à aprovação da Lei Azeredo classificaram a proposta como o “AI-5 digital”, numa referência ao ato que reduziu liberdades individuais durante a ditadura militar. A pressão popular acabou funcionando e a votação desse projeto acabou adiada por 13 anos, sendo superado quase que totalmente pelo projeto do Marco Civil, cuja votação deverá ocorrer até a semana que vem. Por isso, a Lei Azeredo acabou por se tornar decrépita, só restando poucas matérias para serem votadas.
As leis aprovadas possuem brechas que podem favorecer alguma das partes envolvidas em um processo?
Na minha opinião, é uma pena que o congresso brasileiro tenha primeiro se preocupado em votar leis criminais, ao invés de regular os direitos dos internautas, conforme previsão do Marco Civil. Antes de se buscar punições, é importante que se defina a extensão da responsabilidade de todos os envolvidos, e o Marco Civil brasileiro, da maneira em que se apresenta, fará do Brasil um exemplo de modernidade.
De qualquer forma, essas leis votadas esta semana são bastante abrangentes e podem ser consideradas duras, na medida em que vão à contramão do que se prega no moderno direito penal: a substituição de penas de prisão por penas alternativas. Não sei se as leis permitem tantas brechas, mas é uma pena que não se obriguem os eventuais hackers a colaborar com o governo, por exemplo, do que inchar ainda mais nosso falido sistema prisional. Acho que eles seriam muito mais úteis servindo a comunidade do que misturados com criminosos violentos; afinal trata-se de criminosos, no mínimo, muito habilidosos.
Quais serão as penas máximas imputadas aos acusados? Algum acusado poderá ser efetivamente preso por conta de crimes cibernéticos?
As penas vão de 3 meses a 2 anos, com várias hipóteses de acréscimo, dependendo da gravidade e da maneira em que os invasores fizerem uso das informações coletadas. Em princípio, se forem condenados por apenas uma invasão, mesmo com as agravantes, será muito difícil de haver prisão, no caso de hackers sem antecedentes. Pelo que se vê ao redor do mundo, esse tipo de ilícito é cometido, em grande parte das vezes, por menores (existem casos de hackers pré-adolescentes). Porém, no caso de quadrilhas especializadas em fraudes cibernéticas ou na exploração de material ligado à pedofilia, a somatória das penas poderá fazer com que muitos criminosos cibernéticos sejam efetivamente presos.
Se as duas leis forem sancionadas pela presidente Dilma, a partir de quando poderão ser utilizadas para processos judiciais?
Pelo que pude ver no site da Câmara dos Deputados, a Lei Azeredo entrará em vigor 30 dias após a sanção da presidente Dilma, e a Lei Carolina Dieckmann, 120 dias após a sanção.
Caso alguma pessoa se considere vítima de um desses crimes cibernéticos como ela deverá prosseguir? Que tipo de provas será preciso levantar para iniciar um processo penal para estas situações?
A vítima deverá desconectar seu computador imediatamente da internet, desligá-lo, procurar a delegacia de crimes eletrônicos mais próxima de sua casa, e relatar o ocorrido. Não havendo delegacias com essa especialidade próximas a sua casa, vale uma delegacia comum. É importante preservar o computador que tenha sido infectado, para que os técnicos da polícia possam iniciar as investigações. Na grande maioria das vezes, a partir do computador infectado, os técnicos conseguem identificar os arquivos maliciosos utilizados pelos hackers e o modus operandi. Talvez seja necessário, através de ordem judicial, se recorrer aos provedores de acesso para que sejam identificados os endereços dos criminosos.
E com relação ao Marco Civil da Internet, quais seriam os pontos considerados polêmicos e que vêm protelando a votação do projeto?
As divergências em torno da neutralidade da rede são consideradas o ponto crítico para o avanço do Marco Civil. Pelo texto original do projeto, "os provedores de conexão, empresas de telecomunicação e demais agentes que atuam na operacionalização da internet não poderão efetuar discriminações quanto ao conteúdo, origem e destino, serviço, terminal ou aplicativo utilizado na comunicação." O objetivo é impedir que os provedores de internet priorizem o acesso de clientes que pagam pelos pacotes mais caros de banda larga e favoreçam os conteúdos de determinados sites em detrimento de outros.
Os provedores e as companhias telefônicas estão resistindo a essa definição, pois isso evitará o acréscimo de receita. Outro ponto de discórdia é a regulamentação do Marco Civil. O projeto original indica que a regulamentação será do Poder Executivo (muito provavelmente, do Comitê Gestor da Internet no Brasil, a CGI), mas o Ministério das Comunicações quer a indicação da Anatel. Isso muda a maneira pelo qual o tema será gerido, pois a CGI possui uma posição mais liberal da internet, enquanto a Anatel está ligada aos provedores e às telefônicas.
Outro ponto de impasse foi das regras para se proteger a privacidade do usuário e de seus dados pessoais. O texto do relator permite, por exemplo, que sites de conteúdo e de serviços mantenham os dados cadastrais dos usuários por até um ano. Já os provedores de conexão ficam proibidos de ter acesso aos dados de clientes. Essas informações são usadas pelas operadoras para oferecer publicidade dirigida a partir do que é colhido pelos provedores.
São Paulo – Nesta semana a Câmara Federal aprovou dois projetos de lei que tipificam crimes cometidos por meios eletrônicos ou internet. O texto agora irá para sanção da presidente Dilma Rousseff para entrar em vigor.
Batizados de “Lei Carolina Dieckmann” e “Lei Azeredo”, os projetos alteram o Código Penal, introduzindo crimes como a invasão de computadores, o roubo de senhas e de conteúdos de e-mails, além da derrubada proposital de sites e o uso de dados de cartões de crédito ou débito obtidos indevidamente ou sem autorização do titular. As penas variam de 3 meses a 3 anos de detenção, mais multas.
Embora seja um passo importante para a segurança na internet, as leis ainda possuem alguns pontos que geram dúvidas e abrem margem para diversas interpretações.
Para esclarecer os principais detalhes destes dois projetos, INFO entrevistou Solano Camargo, advogado especialista em Direito Eletrônico e sócio-diretor do escritório Dantas, Lee, Brock & Camargo Advogados.
A Lei Carolina Dieckmann tipifica como crime pontos importantes como invasão de computadores e a derrubada de sites. Nesses casos, foi especificado no texto como será feita essa fiscalização?
A lei não especifica a forma de fiscalização, mas a constatação se dará através de perícia técnica, após a vítima perceber a ocorrência do crime. Nos casos de invasão de computadores, é muito comum que os invasores copiem o conteúdo dos discos rígidos e o espalhem pela internet, após a vítima facilitar a entrada, como aconteceu com a Carolina Dieckmann. A polícia federal brasileira, além de empresas privadas, possui a tecnologia adequada que permite, muitas vezes, descobrir a origem dos ataques.
Como poderá ser provado que determinada pessoa ou grupo realizou um ataque ou retirou um site do ar?
A principal arma dos invasores, além da simplicidade do usuário, é o código de computador. Há um sem número de comunidades de hackers na Internet, mas poucos deles programam códigos. A maioria busca e baixa códigos escritos por outras pessoas, havendo milhares de programas diferentes usados pelos hackers para invadir computadores e redes. Esses programas dão aos hackers muito poder sobre os usuários (exatamente como aconteceu com a Carolina Dieckmann, que acreditou numa mensagem de e-mail enviada por um hacker) e empresas inocentes, pois se for habilidoso o bastante para saber como um sistema funciona, ele poderá projetar programas para explorá-lo.
Na grande maioria das vezes, essa ação dos criminosos deixa uma trilha, e essa trilha pode ser descoberta por técnicos especializados. A caçada mais famosa da história foi protagonizada pelo cientista da computação Tsutomu Shimomura, japonês radicado nos EUA. No Natal de 1994, seu computador foi invadido pelo hacker Kevin Mitnick, que ainda "convidou" o japonês a pegá-lo. Com a ajuda do FBI, Shimomura aceitou o desafio, montando armadilhas por toda a internet. Meses depois, Mitnick foi preso na Carolina do Norte, após uma ligação telefônica ter sido rastreada pelo FBI.
Nessa situação [de fiscalização para comprovar um ataque], como ficam as questões relacionadas à privacidade do usuário na rede?
Todas as buscas e análises serão feitas pelos peritos após a obtenção de autorização judicial, como se faz em quaisquer investigações criminais. Caso contrário, a prova é ilícita e não servirá no processo criminal.
A derrubada de sites (ação também conhecida como ataque de negação de serviço) será considerada crime apenas se a página da internet atacada for de “utilidade pública”. Como isto será definido?
Na verdade, a lei trata de qualquer derrubada (“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública"). Interessante é que se a derrubada ocorrer durante uma calamidade pública, a pena será aplicada em dobro. Esse tipo de ocorrência é muito rara; em minha opinião, a lei deveria prever o agravamento da pena para os golpes praticados durante a calamidade pública, o que ocorreu no mundo todo durante o tsunami do Japão. Foram noticiados muitos golpes de falsos sites de bancos que mostravam filmes com situações de possíveis auxílios aos flagelados.
A Lei Azeredo sofreu muitas modificações desde 1999, quando foi criada pelo senador Eduardo Azeredo, e acabou tipificando apenas crimes mais brandos do que previa anteriormente. Acredita que sua aprovação foi apenas simbólica, uma vez que a Lei Carolina Dieckmann abrange grande parte dos crimes cibernéticos?
A Lei Azeredo nasceu de uma concepção equivocada, de que a internet poderia ser regulada e controlada por uma lei, numa espécie tupiniquim da SOPA/PIPA (projetos fracassados de controle da internet pelo governo norte-americano). Inicialmente, o texto do projeto era mais abrangente e, por conta disso, absolutamente ambíguo. Pelo texto inicial, a gravação de um CD com músicas ou arquivos que infringissem as leis de direito autoral seria considerada crime. Essa concepção nasceu inicialmente do lobby das empresas de entretenimento de Hollywood, e veio a ser apresentada no Brasil pelo senador Azeredo.
Durante o debate sobre os projetos norte-americanos, o assunto da lei brasileira voltou à tona e os internautas contrários à aprovação da Lei Azeredo classificaram a proposta como o “AI-5 digital”, numa referência ao ato que reduziu liberdades individuais durante a ditadura militar. A pressão popular acabou funcionando e a votação desse projeto acabou adiada por 13 anos, sendo superado quase que totalmente pelo projeto do Marco Civil, cuja votação deverá ocorrer até a semana que vem. Por isso, a Lei Azeredo acabou por se tornar decrépita, só restando poucas matérias para serem votadas.
As leis aprovadas possuem brechas que podem favorecer alguma das partes envolvidas em um processo?
Na minha opinião, é uma pena que o congresso brasileiro tenha primeiro se preocupado em votar leis criminais, ao invés de regular os direitos dos internautas, conforme previsão do Marco Civil. Antes de se buscar punições, é importante que se defina a extensão da responsabilidade de todos os envolvidos, e o Marco Civil brasileiro, da maneira em que se apresenta, fará do Brasil um exemplo de modernidade.
De qualquer forma, essas leis votadas esta semana são bastante abrangentes e podem ser consideradas duras, na medida em que vão à contramão do que se prega no moderno direito penal: a substituição de penas de prisão por penas alternativas. Não sei se as leis permitem tantas brechas, mas é uma pena que não se obriguem os eventuais hackers a colaborar com o governo, por exemplo, do que inchar ainda mais nosso falido sistema prisional. Acho que eles seriam muito mais úteis servindo a comunidade do que misturados com criminosos violentos; afinal trata-se de criminosos, no mínimo, muito habilidosos.
Quais serão as penas máximas imputadas aos acusados? Algum acusado poderá ser efetivamente preso por conta de crimes cibernéticos?
As penas vão de 3 meses a 2 anos, com várias hipóteses de acréscimo, dependendo da gravidade e da maneira em que os invasores fizerem uso das informações coletadas. Em princípio, se forem condenados por apenas uma invasão, mesmo com as agravantes, será muito difícil de haver prisão, no caso de hackers sem antecedentes. Pelo que se vê ao redor do mundo, esse tipo de ilícito é cometido, em grande parte das vezes, por menores (existem casos de hackers pré-adolescentes). Porém, no caso de quadrilhas especializadas em fraudes cibernéticas ou na exploração de material ligado à pedofilia, a somatória das penas poderá fazer com que muitos criminosos cibernéticos sejam efetivamente presos.
Se as duas leis forem sancionadas pela presidente Dilma, a partir de quando poderão ser utilizadas para processos judiciais?
Pelo que pude ver no site da Câmara dos Deputados, a Lei Azeredo entrará em vigor 30 dias após a sanção da presidente Dilma, e a Lei Carolina Dieckmann, 120 dias após a sanção.
Caso alguma pessoa se considere vítima de um desses crimes cibernéticos como ela deverá prosseguir? Que tipo de provas será preciso levantar para iniciar um processo penal para estas situações?
A vítima deverá desconectar seu computador imediatamente da internet, desligá-lo, procurar a delegacia de crimes eletrônicos mais próxima de sua casa, e relatar o ocorrido. Não havendo delegacias com essa especialidade próximas a sua casa, vale uma delegacia comum. É importante preservar o computador que tenha sido infectado, para que os técnicos da polícia possam iniciar as investigações. Na grande maioria das vezes, a partir do computador infectado, os técnicos conseguem identificar os arquivos maliciosos utilizados pelos hackers e o modus operandi. Talvez seja necessário, através de ordem judicial, se recorrer aos provedores de acesso para que sejam identificados os endereços dos criminosos.
E com relação ao Marco Civil da Internet, quais seriam os pontos considerados polêmicos e que vêm protelando a votação do projeto?
As divergências em torno da neutralidade da rede são consideradas o ponto crítico para o avanço do Marco Civil. Pelo texto original do projeto, "os provedores de conexão, empresas de telecomunicação e demais agentes que atuam na operacionalização da internet não poderão efetuar discriminações quanto ao conteúdo, origem e destino, serviço, terminal ou aplicativo utilizado na comunicação." O objetivo é impedir que os provedores de internet priorizem o acesso de clientes que pagam pelos pacotes mais caros de banda larga e favoreçam os conteúdos de determinados sites em detrimento de outros.
Os provedores e as companhias telefônicas estão resistindo a essa definição, pois isso evitará o acréscimo de receita. Outro ponto de discórdia é a regulamentação do Marco Civil. O projeto original indica que a regulamentação será do Poder Executivo (muito provavelmente, do Comitê Gestor da Internet no Brasil, a CGI), mas o Ministério das Comunicações quer a indicação da Anatel. Isso muda a maneira pelo qual o tema será gerido, pois a CGI possui uma posição mais liberal da internet, enquanto a Anatel está ligada aos provedores e às telefônicas.
Outro ponto de impasse foi das regras para se proteger a privacidade do usuário e de seus dados pessoais. O texto do relator permite, por exemplo, que sites de conteúdo e de serviços mantenham os dados cadastrais dos usuários por até um ano. Já os provedores de conexão ficam proibidos de ter acesso aos dados de clientes. Essas informações são usadas pelas operadoras para oferecer publicidade dirigida a partir do que é colhido pelos provedores.