Entenda a CPI de crimes cibernéticos
Escrito por
Equipe IRIS-BH (Ver todos os posts desta autoria)
28 de setembro de 2016
Histórico e introdução
A primeira tentativa de se regulamentar a internet no Brasil foi em 1999 por meio de um projeto de lei completamente voltado para a esfera penal. Criado pelo deputado Eduardo Azeredo (PSDB-MG), o projeto previa a criminalização de diversas condutas do meio virtual, além de medidas para repressão e auxílio a investigação O projeto foi duramente criticada por ter medidas consideradas demasiadamente intrusivas, como a manutenção de um histórico de IPs (Internet Protocol) por até 3 anos para ser utilizado em investigações criminais. O projeto composto por 23 artigos demorou a ser finalmente aprovado e hoje corresponde à lei 12.735/12. A Lei Azeredo só tem duas previsões em vigor: a criação de setores da polícia judiciária especializada em crimes cibernéticos e a previsão expressa da possibilidade do pedido de cessação de distribuição eletrônica de conteúdo discriminatório ou preconceituoso.
A segunda legislação relativa ao Direito e a Internet que foi proposta no país ficou conhecida como Lei Carolina Dieckmann. O PL que compõe o texto da lei foi apresentado bem antes do caso icônico da divulgação de fotos íntimas da atriz, no entanto a aprovação pela Câmara do projeto ocorreu apenas duas semanas depois do incidente, tornando a associação inevitável. A lei 12.737/12 foi aprovada antes da Lei Azeredo, proposta 12 anos antes, e representava uma alternativa mais concisa à mesma. Embora a Lei Caroline Dieckmann não cubra o caso que originou seu nome, ela é responsável pelos únicos crimes cibernéticos puros tipificados em nossa legislação penal. A legislação criou a redação do crime de interrupção de serviços informáticos e falsificação de cartão de crédito ou débito.
Por fim, surge o Marco Civil da Internet (MCI), Lei 12.965/14. Como seu nome sugere, o texto apresenta uma orientação mais voltada para o âmbito civil, pretendendo garantir a liberdade dos usuários que utilizam a Internet. O Marco até prevê algumas medidas de proteção dos usuários contra ações ilícitas, mas abre mão da segurança para garantir liberdade, diferente das alternativas anteriores (para o bem ou para o mau). A previsão de manutenção do registro de dados do usuário por apenas 1 anos é um corte à proposta anterior de 3 anos, e a isenção de provedores de aplicação por conteúdos compartilhados por terceiros pode facilitar a realização de injúrias. Nesse contexto de tentativas frustradas de criminalização de condutas e de uma legislação voltada a garantir a liberdade, foi realizada a CPI de crimes cibernéticos.
Trabalhos realizados
Sob a presidência da deputada Mariana Carvalho (PSDB-RO), a CPI buscou seus objetivos de investigação sobre a realidade do crime cibernético brasileiro procurando informações em diversas fontes. Foram realizadas oitivas de testemunhas, autoridades públicas e especialistas da área, além de audiências públicas para a obtenção de relatos diversos entre dados e experiências pessoas. Porém, questiona-se a falta dos métodos de participação política utilizados no Marco Civil (como utilização de fóruns e outros meios digitais), em razão de sua maior inclusividade e participaração paritária, sendo elogiado por todo o mundo.
Ao fim, os trabalhos da Comissão foram documentados por quatro sub-relatorias abrangendo os temas: instituições financeiras e comércio virtual; crimes contra a criança e o adolescente; crimes contra a honra e outras injúrias; e segurança cibernética no Brasil. Uma parte inicial do relatório é voltada a passar os conceitos gerais da criminalidade cibernética discutidas durante a CPI. Posteriormente, cada sub-relatoria se aprofundou em dados da área buscando uma análise quantitativa e qualitativa da situação, sendo citadas, a diante, as conclusões de cada grupo.
Instituições Financeiras
A sub-relatoria de instituições financeiras e comércio virtual documentou uma temática ampla que segue de publicidade virtual até a segurança de sistemas financeiros.
Após a constatação de que serviço de propagandas contratados de grandes empresas na internet podem acabar com a imagem do contratador veiculadas em sites voltados à atividades ilícitas, surge a proposição de um Código de Boas Práticas adotado pelas entidades envolvidas com publicidade digital. A medida segue na mesma linha de atuação do YouTube, que recentemente tomou a decisão de retirar o ganho com propagandas de vídeos que contem conteúdo violento ou ofensivo.
Ainda sobre as empresas de publicidade, foi constatada a falta do recolhimento de impostos devidamente devidos principalmente ao Estado de São Paulo. Segundo a CPI, as empresas que prestam esse serviço estariam isentas de ISS, mas como prestam serviços de comunicação deveriam pagar ICMS pelas atividades realizadas em território nacional. As empresas negaram a obrigação tributária, mas ofícios foram enviados ao estado de São Paulo para que a situação seja melhor investigada e estudada.
Passando ao estudo da criminalidade contra as instituições financeiras, a primeira constatação foi de que a cifra negra existente nesses casos é maior que a usual para outros crimes. da constatação de que, portanto, diversos delitos praticados nessa esfera acabam por não ser noticiados e assim ficam fora de qualquer estatística.
Mesmo com a difícil captação de dados, um cálculo aproximado realizado pela Comissão concluiu que no mínimo R$615,4 milhões são retirados de instituições financeiras via crimes virtuais. Para combater essa expressiva perda de recursos foram sugeridos: a obrigatoriedade da notificação dos crimes por instituições financeiras; a cooperação institucional para facilitar a obtenção de dados; o oferecimento de projeto de lei para que os criminosos percam os bens utilizados para a consumação de delito cibernético; e a criação de varas judiciais especializadas em crimes eletrônicos.
Antes de concluir o relatório, o documento faz uma última recomendação temerária. Mesmo admitindo que não houve tempo para se debruçar sobre o assunto, a sub-relatoria recomenda à Comissão Especial de Direito Autoral da câmara que inclua ao Marco Civil, ou em legislação posterior, dispositivo que permita o bloqueio de sites que veiculem de maneira ilegal conteúdos protegidos por direito autoral. A recomendação é uma represália clara a sites como o Pirate Bay, em uma abordagem semelhante a realizada pelas leis americanas denominadas SOPA e PIPA. A repercussão da legislação americana não foi boa, mas a efetividade e popularidade do dispositivo depende muito de como a legislação brasileira irá positivar essa possibilidade de remoção, podendo ser mais arbitrária ou prevendo a necessidade de diversos requisitos legais para comprovação do fato e aplicação de medidas.
Criança e adolescente
O primeiro tópico abordado por essa sub-relatoria não poderia ser outro senão a educação sobre a utilização correta da internet. Segundo a relatoria, um termo de cooperação entre empresas de telefonia e provedores de acesso seria uma medida a ser aplicada em conjunto com uma modificação do Plano Nacional de Educação (PNE), que juntas gerariam uma diminuição considerável nas vítimas de crimes cibernéticos. Portanto a previsão expressa da educação digital no PNE e medidas junto com o setor privado se tornaram a proposta principal do grupo.
Seguindo ao tópico de educação, seguem propostas que buscam causar grande repressão a condutas de disponibilização de conteúdo ilícito. A recomendação da relatoria é a inclusão de uma exceção ao princípio de neutralidade de rede no Marco Civil, que permita aos provedores de acesso à internet, mediante decisão judicial, o bloqueio de certos sites, uma vez que a retirada do conteúdo de sites estrangeiros se mostra extremamente complexa, quando não impossível. Caso não ocorra a aplicação comedida pelo judiciário, a medida pode gerar uma grande limitação do conteúdo acessado no país, considerando que atualmente o WhatsApp foi bloqueado em três oportunidades, sendo que a decisão que decretou a medida, em todas as ocasiões, foi revertida em instâncias superiores.
Por fim, na mesma linha de repressão mas não tão polêmico, a sub-relatoria apoia o projeto de lei que prevê a inclusão da pedofilia no rol de crimes hediondos.
Crimes contra a honra
Iniciando os trabalhos, a sub-relatoria se declara como sensibilizado com o assunto e diz que convidou diversas vítimas para compartilharem suas experiências perante os deputados. Entretanto todos declinaram alegando se tratar de fato pessoal e doloroso. Com essa justificativa, foi apresentado projeto que prevê a retirada de conteúdo atentatório a honra em até 48 horas após a manifestação de participante, sendo necessário apenas “elementos que possibilitem a identificação do material”, responsabilizando o provedor pela veiculação de cópias ou conteúdo relacionado, apesar da dificuldade técnica já discutida. A previsão é muito diferente da atual regra do MCI, que prevê a necessidade de se informar o endereço eletrônico de cada conteúdo a ser removido, gerando uma facilidade maior para a vítima, porém um trabalhoso estrondoso para o servidor, em razão da dificuldade de se encontrar o conteúdo a ser removido.
Em segundo lugar, a comissão trata da utilização de contas de provedores de aplicação para se cometer os mais diversos crimes. Partindo de uma análise detalhada da facilidade de se criar uma conta em um servidor de aplicação, a sub-relatoria sugere a ampliação do acesso ao IP dos usuários desses serviços. Segundo o texto elaborado, seriam modificados o MCI, a Lei de Organizações Criminosas (12.850/13) e a lei da Lavagem de Dinheiro (9.613/98) para incluir o IP do usuário como dado cadastral, obrigando os provedores detentores desse dado a disponibiliza-lo para a polícia em caso de investigação criminosa. O projeto frisa que não modifica o sistema já previsto nas referidas leis, apenas aumenta o rol de dados que devem ser compartilhados em caso de investigação, não disponibilizando os dados de qualquer usuário a todo o momento para a polícia investigativa.
Na conclusão do relatório, é reconhecida a importância do dispositivo do MCI que aumenta a proteção quando o conteúdo divulgado se trata de pornografia não consensual. Nessa linha, apoia o projeto de lei 5555/2013 que prevê a criminalização da conduta via modificação da Lei Maria da Penha (11.340/2006). A criminalização específica demonstra um claro interesse de repressão pelo Estado, entretanto a colocação do dispositivo dentro da Lei Maria da Penha pode não se mostrar como meio efetivo para se alcançar os resultados pretendidos, uma vez que. A lei em questão, apesar de ser uma grande conquista para todas as mulheres brasileiras, é específica para esse gênero, e a discussões da relatoria chegou a conclusão de que a difusão de conteúdo atentatório afeta pessoas de todos os gêneros e classes sociais. Assim impossível que uma modificação apenas nessa lei seja suficiente para cobrir todo o objeto discutido.
Segurança Cibernética no Brasil
O problema apontado no início do texto é objeto inicial desta relatoria. A modificação proposta no artigo 154-A do Código Penal busca tornar desnecessário o proveito pessoal no crime de invasão de dispositivo informático, cobrindo assim o caso da atriz Carolina Dieckmann e outros tantos como a pichação virtual (deface). O projeto portanto dá mais valor ao bem jurídico “dados informáticos” e faz com que a simples invasão sem causar danos já seja criminalizada. A medida causa grande repressão ao grupo cultural hacker, que busca conhecimento sobre sistemas e dispositivos informáticos no geral, sem ter necessariamente intenções criminosas.
A sub-relatoria apresenta também um novo olhar sobre questões já apresentadas. No que tange a educação do usuário, tem-se um novo posicionamento, sugerindo também a colaboração com servidores mas dessa vez para a educação do público adulto. Já em relação a identificação do usuário por seu endereço digital, é sugerido a utilização do IPv6 como forma de se aumentar a especificação da máquina utilizada e ainda a requisição de registro e guarda dos dados de endereço digital por servidores não primários, evitando que usuários se utilizem de servidores menores para cometer crimes garantindo sua impunidade.
Reconhecendo a dificuldade de se responsabilizar uma empresa internacional por fatos ocorridos no Brasil, a comissão sugere a criação de dispositivo que prevê expressamente a ampliação da obrigação de fornecimento de dados para qualquer empresa do grupo empresarial da responsável direta. A medida já ocorre atualmente em tribunais, mas ainda é muito questionada pelas empresas atingidas. Uma previsão direta na legislação pátria serviria para pacificar de vez o entendimento sobre a questão e agilizar a obtenção de informações pela polícia investigativa.
Por fim, grande parte da atividade da relatoria é voltada para a fiscalização e medidas gerais. Segundo o documento, várias questões necessitam de mais atenção dos órgãos de fiscalização para serem melhor mensuradas e constatadas. A falta de controle sobre os dispositivos móveis pré-pagos causou a utilização dos mesmos para cometimento de crimes, além disso as políticas de segurança virtual tomadas pela administração públicas são fracas e não estão sendo cumpridas pelos funcionários públicos. Portanto é sugerido a fiscalização mais próxima por diversos órgãos, elaboração de guias de segurança, e o próprio aumento de verba para o combate ao crime cibernético.