Nesta semana a Câmara dos Deputados aprovou os dois principais projetos de lei (PL) sobre crimes cibernéticos que estavam em discussão no congresso, dando fim a vários anos de uma tramitação que parecia que não teria fim. Para virarem lei, falta apenas a sanção da presidente Dilma Rousseff.
Os projetos aprovados foram o famoso "PL do Azeredo" (PL 84/99), também conhecido maldosamente como "AI-5 Digital" e o PL do deputado Paulo Teixeira (do PT), chamado de "Lei Carolina Dieckmann" (PL 2793/2011).
Eu já discuti aqui a importância de termos um projeto de lei sobre os crimes cibernéticos e também critiquei a "Lei Carolina Dieckmann", principalmente porque ela corre o sério risco de criminalizar a pesquisa em segurança.
O importante a ser notado é que, no final das contas, o Congresso conseguiu fazer uma baita de uma "lambança": aprovou a lei Carolina Dieckmann às pressas, em cerca de um ano, e aprovou um mini-frankstein do PL do Azeredo, que teve quase todos os artigos originais cortados para retirar todo e qualquer ponto polêmico e, assim, conseguir ser aprovado após tramitar no Congresso por quase 12 anos. Ou seja, discutiu um projeto demais, outro de menos, e acabou aprovando algo que está longe do ideal, embora certamente darão um certo suporte jurídico ao combate ao crime cibernético.
Uma coisa a se notar é que o processo de criação de leis no Brasil é intrisicamente lento e, normalmente, envolve dezenas de discussões. De uma forma geral, um projeto de lei surge em uma das "casas" (a Câmara dos Deputados ou o Senado). Após ser discutido em várias comissões e após ser discutido e aprovado no plenário (o que pode durar várias reuniões), o projeto segue para a avaliação da outra casa. Nesta casa, ele também vai passar por várias comissões e votações, aonde pode ser alterado várias vezes, até ser aprovado pelo plenário. Quando o projeto de lei volta para a casa original, ele segue para a "reta final" aonde não pode mais sofrer alterações: o plenário pode apenas aprovar ou rejeitar as alterações propostas pela outra casa, ou retirar alguma coisa do texto original. Nada mais pode ser alterado ou incluído. Com a aprovação do plenário, aí o PL segue para sanção da Presidência da República, que pode aprovar o projeto integralmente, vetar algum parágrafo específico ou vetar tudo. Ou seja, um projeto proposto por um Deputado Federal, por exemplo, vai tramitar durante um tempão na Câmara, depois vai para o Senado, vai passar por todos os trâmites burocráticos e discussões do Senado, e quando a proposta voltar para a Câmara ela deve ser aprovada para ir para a Presidência, lembrando que a Câmara não poderá mudar nada no projeto após recebê-lo do Senado - só poderá, no máximo, retirar algum artigo ou parágrafo do projeto original ou algo que tenha sido adicionado ou alterado pelo Congresso.
Meio confuso, né? Por isso mesmo que um projeto de lei demora vários anos para ser aprovado, e por isso mesmo dá um frio na espinha ver um projeto aprovado as pressas por todo mundo.
Os dois projetos de lei, em conjunto, incluem no Código Penal crimes como a invasão de computadores, violação de senhas, roubo de dados, ataques de DDoS (Distributed Deny of Service) e até mesmo clonagem de cartão de crédito ou débito. Também criminalizam a criação de código malicioso. Isto certamente é positivo, pois a legislação atual não prevê estes delitos e, por isso, os tribunais eram obrigados a recorrer a boa vontade e interpretação dos juizes para relacionar um crime cibernético a uma modalidade de crime tradicional. E, mesmo assim, somente na esfera cível, pois o Código Penal não permite este tipo de interpretação - somente é julgado um crime que esteja descrito especificamente na lei, sem margem a interpretações.
Mas, cá entre nós, o que foi aprovado? Para responder esta questão, eu resolvi criar a "tabelinha" abaixo, que resume os principais pontos incluídos pela redação final do PL do Azeredo e pela Lei Carolina Dieckmann (quando o projeto incluir algo em uma lei existente, eu marquei o trecho incluído em negrito).
PL | Lei | Artigo | Resultado... |
Azeredo | Código Penal | Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito. | 1 a 5 anos de prisão para falsificação de cartão de crédito ou débito. |
Azeredo | Código Penal Militar | Art. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar: I - empreendendo ou deixando de empreender ação militar; II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar; III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar; IV - sacrificando ou expondo a perigo de sacrifício fôrça militar; V - abandonando posição ou deixando de cumprir missão ou ordem: Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo. | 20 anos de prisão ou pena de morte para roubo de dados militares. |
Azeredo | N/A | Os órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado. | N/A |
Azeredo | Lei nº 7.716, de 5 de janeiro de 1989 | Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Pena: reclusão de um a três anos e multa. § 1º Fabricar, comercializar, distribuir ou veicular símbolos, emblemas, ornamentos, distintivos ou propaganda que utilizem a cruz suástica ou gamada, para fins de divulgação do nazismo. Pena: reclusão de dois a cinco anos e multa. § 2º Se qualquer dos crimes previstos no caput é cometido por intermédio dos meios de comunicação social ou publicação de qualquer natureza: Pena: reclusão de dois a cinco anos e multa. § 3º No caso do parágrafo anterior, o juiz poderá determinar, ouvido o Ministério Público ou a pedido deste, ainda antes do inquérito policial, sob pena de desobediência: I - o recolhimento imediato ou a busca e apreensão dos exemplares do material respectivo; II – a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio; III - a interdição das respectivas mensagens ou páginas de informação na rede mundial de computadores. § 4º Na hipótese do § 2º, constitui efeito da condenação, após o trânsito em julgado da decisão, a destruição do material apreendido. | Obriga a remoção de conteúdo online associado a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional. |
Dieckmann | Código Penal | Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: I – Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos. | Mínimo de 3 meses a 1 ano de (OBS: a pena aumenta para 6 meses a 2 anos de prisão se envolver acesso a segredos comerciais ou dados sigilosos) |
Dieckmann | Código Penal | Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento: Pena - detenção, de um a três anos, e multa. § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. § 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública. | Mínimo de 1 a 3 anos de |
Dieckmann | Código Penal | Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito. | 1 a 5 anos de prisão para falsificação de cartão de crédito. |
É interessante notar que os dois PLs alteram o artigo 298 do Código Penal, criminalizando a falsificação de cartões de débito e crédito. A redação é ligeiramente diferente, e eu particularmente não sei qual das duas terá precedência e será a redação final, o que não faz tanta diferença assim. Coincidência? Claro que não, tolinho... não se esqueça que estes projetos de lei são resultado do lobby da Febraban e, além do mais, o PL do Deputado Paulo Teixeira foi criado a partir do texto do PL do Azeredo.
Não custa lembrar que o Walter Capanema, da OAB/RJ, fez uma palestra excelente no SegInfo deste ano aonde ele discutiu e criticou muito bem os projetos de lei sobre crimes cibernéticos. Vale a pena dar uma olhada no vídeo.
Para saber mais, além dos vários links citados acima, eu recomendo...
- Podcast "Para Sua Segurança" de junho deste ano em que discuti com o Ricardo Castro e a Dra Gisele Truzzi (Truzzi Advogados) sobre a aprovação relâmpago o PL 2793.
- Artigo do Dr. Coriolano Camargo (OAB/SP) sobre "Um panorama sobre os projetos de lei de crimes digitais"
- Artigo bem objetivo do site Linha Defensiva sobre a aprovação dos PLs
- Artigo no Blog do Pablo Ximenes em que ele acredita que a redação final da Lei Dieckmann não vai criminalizar os pesquisadores de segurança. Eu, particularmente, continuo com medo que a redação final ainda dê margem a interpretações que penalizem os profissionais da área.
- Não custa lembrar que o documentário "We Are Legion" faz uma crítica muito madura sobre a discrepância existente nas leis americanas no tocante a punição para os protestos tradicionais e protestos online, e que alguns hacktivistas americanos estão correndo risco de enfrentar até 15 anos de prisão por conta de seus protestos online.
Atualização em 11/11: Após uma excelente conversa com a Dra. Gisele Truzzi e o Ricardo Castro, fiquei sabendo que pena de detenção é diferente de pena de reclusão. Reclusão é o que nós, leigos no direito, chamamos de prisão ou "ver o sol nascer quadrado". A detenção, na verdade, representa uma privação da liberdade em menor grau. O código penal define que a pena de reclusão deve ser cumprida em regime fechado, semi-aberto ou aberto, enquanto a pena de detenção é cumprida em regime semi-aberto ou aberto.
Atualização em 04/12: No dia 30 de Novembro, a presidenta Dilma Rousseff sancionou os dois projetos de lei, foram publicados no Diário Oficial de 03 de Dezembro. O PL Carolina Dieckmann foi aprovado em sua totalidade, como Lei Nº 12.737, enquanto o PL do Azeredo virou a Lei Nº 12.735 e foi cortado pela metade: a Dilma vetou os artigos sobre o código penal militar e o artigo semelhante ao que existia no PL Dieckmann. Com isso, após mais de 10 anos de discussões no Congresso, o PL do Azeredo ficou reduzido aos artigos que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito.
Um comentário:
No país da “teoria do domínio do fato”, esta lei é muito perigosa.
Postar um comentário