1. Introdução
O objetivo do presente artigo é desenvolver uma visão clara acerca do papel do direito frente à crescente onda de crimes que vem ocorrendo através do uso da tecnologia. Em um sentido cronológico, a sociedade de uma forma geral, passou por diversas transformações sócio-políticas, tanto como econômicas. Principalmente quando analisamos a era Industrial que impactou diretamente as relações humanas, influenciados diretamente pela Terceira Revolução Industrial, impulsionando o que podemos chamar hoje de a Era Digital1.
Neste sentido, temos hoje a Internet considerada talvez a maior invenção do homem moderno. Com o surgimento da internet, houve uma difusão quando se trata de comunicação e informação, na qual esta expansão acarretou mudanças nas relações sociais, políticas e de trabalho entre os povos2. A internet sozinha não é nada sem os denominados dados pessoais e é acerca de sua segurança que que iremos abordar no decorrer deste presente artigo.
No primeiro capítulo, retrataremos temas relevantes acerca da Invasão de dispositivos eletrônicos e vazamentos de dados. Serão abordadas informações sobre as tipologias de crimes cibernéticos existentes tendo em vista que, há diversas categorias de “ataques” cibernéticos amplamente utilizados pelos “Hackers”. Citaremos também um contexto histórico das principais invasões e vazamentos de dados no Brasil e no mundo e seus impactos perante à sociedade.
O segundo capítulo retrata a Legislação brasileira perante aos crimes cibernéticos. Apesar da comprovada relevância deste assunto para a população, no âmbito do direito essa é uma matéria nova e que carece de material legislativo que busque de forma coesa entender o tema e buscar soluções.
O Brasil hoje é o terceiro país que mais sofre com os ataques cibernéticos no mundo3, no entanto, isto é reflexo da ausência tutelar legislativa perante os atos praticados pelos criminosos virtuais3. Atualmente, temos 3 dispositivos legislativos que abordam os crimes e a forma dos tratamentos dos dados pessoais, e é através do estudo destes dispositivos entenderemos a importância do tratamento e da exposição das plataformas tecnológicas usualmente utilizadas e do zelo das empresas com relação à segurança da informação.
O terceiro e último capítulo, trataremos as três atuais leis acerca dos crimes cibernéticos, sendo elas a Lei 12.737/2012 (Lei Carolina Dieckmann), a lei 12.955/2014 (Marco Civil da Internet), e por último a Lei 13.709/20218 (Lei Geral da Proteção de Dados). Observando o ano em que as leis entraram em vigor e o período da existência da Internet, pode-se reparar a lacuna temporal para que o legislativo compreendesse a importância de normas acerca do tema.
2. Da invasão e vazamento de dados
A sociedade contemporânea é marcada por diretrizes universais, dentre elas o uso da tecnologia. A internet marcou o início de uma nova era, na qual a população mundial virou “refém” dos seus efeitos. De fato, não podemos negar que a rede mundial de computadores nos proporciona benefícios aos quais antigamente não se imaginaria. Com o surgimento do cenário Digital e consequentemente a Internet, a sociedade passou a receber um nível de informação como nunca visto antes. Com apenas um “click” pode-se ter informações de qualquer parte do mundo de forma instantânea, principalmente com a criação de redes sociais como Facebook, Instagram, WhatsApp.
Por outro lado, não podemos deixar de analisar os impactos dessa universalização da informação. A conexão de milhares de indivíduos tem seu preço. Com a evolução tecnológica, houve também a evolução dos atos ilícitos praticados por indivíduos de má fé que aproveitam de “brechas” da segurança da informação, quanto legislativa, para moldar ao cenário atual e praticar, de forma anônima, crimes cibernéticos. Tais crimes vão desde à furto de dados, clonagens e até mesmo chantagens a pessoas e empresas que tiveram seus dispositivos invadidos.
Para entendermos a respeito da invasão e vazamento de dados, devemos abordar alguns termos técnicos os quais serão tratados no decorrer deste artigo. Primeiramente, devemos entender quem, como e por qual razão se praticam tais atos.
Hoje, grande parte da população relaciona o sujeito que pratica atos criminosos digitais ao “Hacker”. Neste contexto, o simples fato de a pessoa descobrir algo no meio tecnológico, facilitando atividade já existente ou até mesmo crie algo para tornar o processo mais célere será considerada como tal. Todavia, os meios de comunicações não têm o hábito de diferenciá-lo do tecnicamente conhecido como “Cracker”. Na verdade, o último é o vilão. É o indivíduo que usa seus conhecimentos técnicos de computação para praticar atos ilícitos de forma remota.
A existência destes dois sujeitos é essencial para o entendimento dos crimes cibernéticos. A diferença dos dois está relacionada a maneira como usam seus conhecimentos. Enquanto o primeiro são programadores detentores de conhecimentos tecnológicos e internet desprovidos de intenções criminosas, os Crackers, de acordo com Cassanti4 “deriva do verbo em inglês “to crack”, que significa quebrar. Entre as ações, estão a prática de quebra de sistemas de segurança, códigos de criptografia e senhas de acesso a redes, de forma ilegal e com intenção de invadir e sabotar para fins criminosos”.
Atualmente, um dos objetivos almejados por estes criminosos é a coleta de dados essenciais de instituições e até mesmo pessoas físicas. Tendo em vista o fluxo de informações trocadas entre as pessoas, organizações e empresas, percebemos que a internet consegue mapear nossos perfis somente com base no que pesquisamos e interagimos nas plataformas virtuais. Essas informações obtidas com o mapeamento são chamadas de dados pessoais/sensíveis. De acordo com o desembargador do Tribunal de Justiça da Bahia, José Aras, “Os dados pessoais estão hoje classificados como o novo petróleo. Eles realmente valem muito e muitas vezes são explorados de forma indevida”5. Neste sentido, os dados, se usados de maneira indevida, podem causar graves danos para pessoas, empresas e até mesmo países. Hoje, grande parte das plataformas nos exigem dados, sejam eles endereço, CPF, e-mail, até mesmo posicionamentos políticos e religiosos. Os dados ficam armazenados em seus servidores na qual, se não tiveram devidamente sob segurança, poderão ser facilmente acessados por pessoas com más intenções.
Como exemplo das consequências do mau uso dos dados, podemos citar as eleições do Donald Trump em 2016 que foi acusado de utilizar dados de mais de 50 milhões de norte-americanos retirados da plataforma do Facebook6. Através do uso destes dados, foi possível elaborar campanhas específicas para cada indivíduo com o objetivo de fortalecer posicionamentos políticos e até mesmo mudar opiniões de pessoas que, nas redes sociais, se mostravam indecisas. Desta forma foi possível angariar os votos necessários para chegar à presidência dos Estados Unidos da América.
No cenário nacional, recentemente tivemos o vazamento de dados de 220 milhões de brasileiros. No dia 19 de janeiro de 2021 o país acordou com a notícia de que um criminoso virtual estaria comercializando estes dados em fóruns da DeepWeb, liberando até mesmo amostras grátis destas informações7. As informações comprometidas incluem nome, CPF, RG, título de eleitor, e-mail, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre diversas outras. Com base nisso o que nos resta questionar é a questão da segurança e armazenamento destes dados pelas empresas, sites, no quais solicitam tais informações e nossa legislação em vigor. Estamos realmente seguros?
2.1. Das espécies de crime de invasão e vazamento de dados
Existem diversas maneiras na quais alguém pode, de forma inescrupulosa, obter os dados pessoais de um indivíduo, mas certas práticas acabaram por se tornar mais comuns devido à sua eficiência. Atualmente, aqueles que praticam atos maliciosos para obter informações por meio digital detêm de técnicas já conhecidas, podendo essas serem de alta ou baixa complexidade. Algumas práticas são tão simples que não é necessário o conhecimento em programação para serem executadas, como o caso da fraude por exemplo. No entanto, muitos procedimentos para invasão utilizam de programas conhecidos como malwares, ou seja, softwares programados com o objetivo de provocar algum tipo de dano.
A seguir retrataremos as formas mais conhecidas de invasão de vazamento de dados:
Fraude: é um dos tipos mais comuns de obtenção indevida de dados que ocorre com os civis. Os criminosos utilizam-se de diversas maneiras para enganar as pessoas a fornecerem voluntariamente seus dados. Essa prática se reproduz das mais variadas formas, mas a título de exemplo vale mencionar, as mensagens de “SMS” e WhatsApp onde infratores se fazem passar por empresas, bancos e outras instituições idôneas para pedir os dados particulares do cidadão. Essa prática pode ser de alta ou baixa sofisticação e os que a praticam geralmente buscam pessoas com pouco ou médio conhecimento dos meios tecnológicos para aplicarem suas fraudes. É importante ressaltar que, nesses casos, apesar do dispositivo em si não ter sido invadido, os dados da vítima com certeza foram violados.
Brechas sistêmicas: existe a crença comum de que apenas aqueles com um conhecimento avançado em programação são capazes de burlar a segurança de certos programas e aplicativos. Entretanto, esses softwares não tem uma programação perfeita e qualquer pessoa que se dedique a entender como se dá a funcionalidade desses sistemas poderá obter vantagem indevida.
Phishing: refere-se ao método pelo qual iscas(e-mails) são usadas para pescar informações de usuários na Internet, constituindo-se um ataque que tem como objetivo efetuar algum ilícito através do envio de mensagem não solicitada (Laerte Peotta de Melo, 2011). Pode-se considerar o phishing como um malware que funciona basicamente como um spam, uma mensagem não solicitada que se acumula ao redor dos sistemas de rede e depois é redistribuída aos usuários. A grande diferença é que o spam tem um objetivo de divulgar algum produto ou serviço, enquanto o phishing tem o propósito de invadir os dados daqueles que rebem e abrem essas mensagens.
Cavalo de Troia: A mitologia grega conta a história de Troia, cidade que foi saqueada pelo povo grego após esses oferecerem de presente aos troianos um cavalo que continha soldados gregos em seu interior. Para o direito digital, os Cavalos de Troias podem ser considerados um malware “que não se replicam e que tem aparência inofensiva, escondendo sua proposta maliciosa. [...] pode tomar o lugar de um programa com intenções legítimas, executar todas as funções esperadas e então, conjuntamente, executar as ações para a qual foi programado” (Laerte Peotta de Melo, 2011). Após assumir o controle das funções dos dispositivos do usuário, o criminoso pode fazer com que esse aparelho envie as informações contidas nele para quem o está invadindo.
-
Vírus: é considerado como um malware que após invadir um dispositivo faz a “reprodução” de seu código através do sistema infectado. O objetivo desse código além de se reproduzir descontroladamente é causar dano a programação de um dispositivo. Por exemplo, um vírus que se espalha através dos programas de um computador e causam danos ao seu sistema de defesa, com o objetivo de derrubar as barreiras desse aparelho e obter seus dados.
Ransomware: derivado da palavra em inglês ransom que significa a quantia paga a um sequestrador como regate. Esse programa permite o criminoso invadir um sistema, tomar controle de parte dele e impedir que o usuário tenha controle sobre esse sistema. É uma técnica perigosa para empresas e serviços públicos que dependem de sistemas de rede integrada para exercer suas atividades. A palavra ransomware advém da pratica dos invasores de cobrar o resgate para liberar o sistema impedido.
Spoofing: esse procedimento não consiste em invadir um dispositivo em si, mas em “mascarar” um usuário através da camuflagem de seu endereço de IP (Protocolo de Internet). As vítimas do spoofing acabam entregando seus dados ao infrator, pois acreditam que estão interagindo com uma fonte confiável, quando na verdade estão sendo enganadas por alguém que está se fazendo passar como idôneo através da falsificação do seu endereço IP.
Worms: É um programa malicioso classificado como malware. Diferente de um vírus comum, ele age através pra propagação em massa, criando cópias de si, se espalhando em diferentes locais do sistema. Sua principal característica é a capacidade de infectar outras máquinas através do uso compartilhado da rede. Sobre o tema aborda o Laerte Peotta de Melo:
“Um programa que é capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador, de sistema para sistema {...} Diferentemente do vírus, o worm não tem a capacidade de infectar outros programas inserindo seu código em outros programas ou arquivos, também não depende de execução para se propagar em outros sistemas, pois é através da exploração de vulnerabilidades que esse tipo de malware contamina outros sistemas, aproveitando de falhas de configuração ou softwares vulneráveis.(Laerte Peotta de Melo, 2011) 8 .”
Essa prática vem sendo amplamente utilizada pelos criminosos, pois ao infectar uma rede e não um único usuário permite que esse malware tenha um alcance muito maior. Após infetar um dispositivo o programa irá causar um ataque DoS (Denialof Service ou Negação de Serviço) que irá comprometer os sistemas de defesa desse aparelho, deixando os dados do usuário expostos.
Após sermos apresentados a tantas formas diferentes de se obter indevidamente os dados pessoais de um indivíduo torna-se clara a necessidade da legislação brasileira de proteger o bem jurídico de seus cidadãos. Com a entrada em vigor da LGPD o legislador reconhece a importância da proteção dos dados pessoais contidos nas redes para a segurança dos seus usuários, no entanto é necessário se questionar se a legislação tem sido suficiente para essa proteção.
3. Legislação brasileira
Podemos considerar que a primeira legislação redigida sobre o assunto de violação e vazamento de informações informáticas foi a Lei 12.737 de 2012 criminalizando a invasão de dispositivo eletrônico após a inserção do artigo 154-A no Código Penal. Essa lei foi promulgada após o infame caso envolvendo a atriz Carolina Dieckmann, onde seu computador foi hackeado e 36 fotos intimas suas foram divulgadas ao redor da internet. A lei surge com a intenção de evitar que casos semelhantes voltem a ocorrer e que aqueles que os pratiquem sejam punidos. Entretanto, com o avanço da tecnologia tais ações tornaram-se mais sofisticadas e perigosas, fazendo com que houvesse certa insuficiência no texto legal para sanar esse problema.
Em 2014 foi aprovado o Marco Civil da Internet, primeira lei que previa a proteção de dados individuais como um direito do cidadão. O marco civil é importante, pois ele vem de maneira engenhosa estabelecer um convívio democrático para a internet brasileira. É importante entender que no ano de 2014 a internet já estava amplamente difundida pelo território nacional há muitos anos e não eram novidades os malefícios que são causados por uma rede completamente livre de regulação. Diversos bens jurídicos eram violados e devido as peculiaridades dessa tecnologia os violadores acabavam não sendo punidos.
No entanto, a principal crítica que deve ser feita ao Marco Civil da Internet em relação a proteção de dados é que, apesar do inciso III do artigo 3° desse texto prever que os dados pessoais são protegidos na forma da lei, até o momento não havia legislação que resguardasse tal assunto. Resumindo, na prática os dados dos usuários de internet continuariam desprotegidos até que uma nova legislação acerca do assunto fosse redigida.
Com o avanço da tecnologia de programação, os códigos desenvolvidos pelas grandes empresas virtuais começaram se tornar cada vez mais sofisticados e fazer previsões cada vez mais precisas sobre determinados assuntos. A sofisticação desses códigos chegou até o ponto de esses serem classificadas como inteligência artificial, e a programação matriz desses sistemas serem classificadas como segredo industrial. Porém, para alcançar esse nível de complexidade esses códigos precisaram ser alimentados com uma quantidade impressionante de dados que são promovidos pelos próprios usuários das redes. A partir da nossa interação na internet acabamos por deixar dados de nossas vidas nesse sistema, coisas como nossos gostos pessoais por música, relacionamento, nosso estilo de consumo e até mesmo comportamentos que temos e que nem mesmo nós percebemos. Todas essas informações são utilizadas por empresas para gerar lucro, sendo que atualmente esses dados são as comodities mais valiosas do mundo e as grandes companhias que os gerenciam são as mais valiosas do planeta. Não só isso, mas o mercado de e-commerce em si cresceu muito ao longo dos tempos e gigantes da indústria tradicional estão começando a utilizar de plataformas virtuais para realizar suas vendas.
Neste contexto, é de extrema importância que os dados pessoais desses usuários tenham um mínimo de proteção, pois por serem tão valiosos eles são cada vez mais exigidos pelas diferentes plataformas online. Ou seja, nunca se houve tanta informação sensível presente nas redes e tão pouca proteção legal.
Pensando nisso, no ano de 2018 o legislador brasileiro, se inspirando em normas estrangeiras como a GDPR (Regulamento Geral de Proteção de Dados) europeia, criou a Lei Geral de Proteção de Dados (LGPD) que regulamenta e instrui como deve ser o uso e comércio de dados na internet brasileira. O principal objetivo dessa norma é ordenar, de forma geral, como os dados devem ser utilizados, sua importância para o usuário e qual é o valor jurídico que essas informações representam.
O presente estudo almeja fazer uma análise dessa legislação mais moderna e chegar a uma conclusão se essa basta para solucionar o problema dos crimes de invasão e vazamento de dados mencionados no capítulo anterior.
3.1. Lei 12.737 de 2012
Com o aumento dos ataques cibernéticos e a necessidade de o sistema jurídico acompanhar esse processo, foi apresentado no dia 29 de novembro de 2011 e sancionada pela então presidente Dilma Roussef, no dia 02 de dezembro de 2012, a lei 12.737 de 2012. A referida lei trata de uma alteração no Código Penal Brasileiro voltada para delitos virtuais e sendo pioneira neste sentido no país. Essa legislação foi inspirada no caso da atriz Carolina Dieckmann, que teve seu e-mail invadidos por hackers e trinta e seis fotos intimas suas foram divulgadas pela internet. Após investigação os responsáveis pelos ataques foram descobertos e levados a julgamento 9. No entanto, até o momento do ocorrido não havia tipificação penal para essa prática.
Inspirado por esse caso, o legislativo brasileiro decidiu introduzir ao sistema penal um novo bem jurídico a ser protegido, a partir da inserção dos artigos 154-A e 154-B em uma nova seção no Código Penal. A conduta consiste na ação de invadir virtualmente, sem a devida permissão do proprietário, dispositivo alheio. Os bens jurídicos tutelados são a intimidade, vida privada e o direito ao sigilo de dados presentes no dispositivo informático. Desta forma, pode-se entender que, qualquer cidadão poderá praticar tal crime, não havendo condição especial, configurando-se como sujeito ativo do delito. Quanto ao sujeito passivo, pode ser qualquer pessoa que tenha seu dispositivo eletrônico infiltrado, tanto quanto pessoa que tenha inserido informações ou dados neste aparelho. Ademais, vale ressaltar que o objeto material nestes tipos de crimes é o próprio dispositivo informático como por exemplo: computador, smartphone, notebook, pen drive, e-mail e etc.
Portanto, para saber como essa norma se aplica em casos reais, primeiro é preciso analisar o conteúdo destes dispositivos. No primeiro se redige o seguinte:
Art. 154-A: Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - Dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal”
Ao se examinar o caput desse artigo percebemos que a intenção do legislador era em primeiro lugar proteger a segurança do dispositivo informático em si, ou seja, que o sistema de proteção de um celular, computador ou qualquer outro aparelho protegido por uma senha não pudesse ser violado e subsequentemente garantir que os dados contidos nesse aparelho não pudessem ser obtidos, adulterados ou destruídos. Entretanto, é preciso lembrar que a proteção desses dados está consequentemente atrelada à invasão de uma máquina. Portanto, os dados em si ainda não eram protegidos por lei. Também vale destacar que para que se consuma o crime, o dispositivo invadido deve pertencer a outrem, podendo estar ou não conectados a rede mundial de computadores. Vale mencionar que, a invasão aos aparelhos deverá ser feita através de violação de medida de segurança como senhas, firewalls ou programas “antivírus” para que de fato seja constatado a ilicitude.
O crime consubstancia-se no ato de invadir dispositivo informático alheio, mediante violação de mecanismo de segurança com o propósito de obter, adulterar ou destruir dados ou informações ou de instalar vulnerabilidades. (JESUS, 2013, p.344)
Requer-se ainda, elemento subjetivo específico, consistente na finalidade de obter, adulterar ou destruir dado ou informação, ou, ainda de instalar vulnerabilidades, ou seja, fatores que fragilizem o dispositivo informático, seja tornando-o mais propenso a ataques indesejados ou facilitando o acesso a seu conteúdo. (JESUS, 2013, p. 344).
Além disso, é importante destacar que a lei deixa claro que a violação precisa ser indevida. Portanto, pode-se argumentar que um equipamento que não for protegido por algum tipo de segurança e senha não poderá ter a sua inviolabilidade assegurada pela legislação, uma vez que o seu acesso é aberto e qualquer um pode acessar o aparelho sem que esse ato seja considerado criminoso. Além disso, a lei não especifica o que deve ser considerado “mecanismo de segurança”, deixando vaga a intepretação referente a este incidente. Uma vez não delimitado, não se sabe se um programa desatualizado ou pirata enquadraria em um sistema de segurança válido pela legislação. Outro ponto que deve ser considerado é o fato de que, a norma deixa de proteger uma parcela da população que não tem conhecimentos necessários para implementar um mecanismo de segurança em seus aparelhos como antivírus, um sistema operacional atualizado, etc.
Como exemplo prático, se um indivíduo tem um computador desprovido de senha e acaba tendo seus dados invadidos, o autor da ação não será punido pela lei, uma vez que não burlou nenhum mecanismo de segurança. Outro exemplo prático, tem se quando um indivíduo empresta seu computador a outrem e essa pessoa acaba divulgando informações, e dados relevantes. Percebe-se que nesta situação também não houve quebra de mecanismo de segurança, descaracterizando a figura do crime.
Vale ressaltar que, por se tratar de crime formal, o fato independe de resultado previstos no caput do art. 154-A do CP. Desta forma, não sendo necessário que o autor da conduta ilícita consiga obter, adulterar ou destruir dados/informações, sempre sendo admissível a tentativa nesses crimes. Como forma de comparação, antigamente para se punir os responsáveis por crimes cibernéticos, havia a necessidade de existir alguma consequência econômica ou pessoal para que pudessem fazer uma analogia com outros crimes já previstos no Código Penal. Com a entrada em vigor desta lei, deixa de haver esse requisito de vantagem ilícita para a consumação do crime.
O parágrafo primeiro associa a prática criminosa descrita acima àqueles que mesmo não participando diretamente do delito, possibilitaram que outro o fizesse mediante a venda ou difusão de um “dispositivo ou programa de computador” capaz de romper a tecnologia de segurança de um aparelho. Antes, essas pessoas ficavam sem enquadramento penal e com a lei em vigor já podem ser punidas pela prática de invasão de dispositivo informático.
Em seguida, percebemos que a lei quis dar uma importância maior para a privacidade dos dados contidos nesses dispositivos, pois medidas mais severas são tomadas contra quem obtém ou divulga esse tipo de informação. O parágrafo 3° dispõe que “se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei” a penalidade será maior, previsto a reclusão de seis meses até dois anos e multa. Também estarão agravados por esse parágrafo os que conseguirem o controle remoto desse aparelho como no caso do ransomware. Ademais, haverá um aumento da pena “de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos”.
Podemos concluir que, o legislador foi falho em alguns pontos ao tentar prevenir os dispositivos eletrônicos de ataques como os descritos no Capitulo 2 desse trabalho, no entanto, supriu ao tipificar os crimes de invasão aos dispositivos móveis. Programas maliciosos como vírus, ransomware, cavalo de troia, ou phishing podem ser enquadrados perfeitamente na descrição de violação indevida prevista no 154-A do Código penal.
Entretanto, como a conduta criminosa está necessariamente atrelada à invasão do dispositivo eletrônico, algumas técnicas não podem ser enquadradas nessa tipificação penal como o caso do spoofing onde a vítima entrega suas informações deliberadamente, ou nos casos em que há um ataque não a um dispositivo, mas de uma rede inteira como exemplo os worms. Além disso, muitas das informações pessoais dos usuários estão salvas em sistemas de nuvens que não necessariamente precisam ter um aparelho invadido para que a sua segurança seja comprometida.
Outro contexto que precisa ser analisado é de quando o indivíduo cede seus dados de forma voluntária para uma fonte idônea. Qual será a responsabilidade dos servidores de serviço pela internet com os dados de seus clientes? Pois, como veremos o artigo 154-B torna a ação penal desses crimes pública e condicionada. Vejamos:
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Portanto, caso um servidor de serviço tenha seu sistema invadido e o mesmo não decidir por ingressar no processo penal, o terceiro prejudicado poderá fazer jus para ter seu direito reparado. Caso um hacker invada o sistema de um site de compras online obtenha dados como o CPF e número da conta bancária dos usuários desse domínio, esses poderão fazer ingressar com denúncia referente aos dados furtados.
3.2. Marco Civil da Internet
Tendo em vista as consequências de uma internet sem regulamentação, e a disseminação de práticas criminosas, o legislador viu a necessidade da criação de um dispositivo que seja capaz de regulamentar esse universo no qual não haviam regras. Desta forma, surgiu a lei 12.965/14. O dispositivo tem como pilares a neutralidade da rede, a liberdade de expressão e privacidade dos usuários10. Foi implementado com o objetivo de constituir direitos e deveres para o uso da internet, considerada por muitos como uma “Constituição digital”, estabelecendo diretrizes voltadas ao sigilo de dados, inclusão digital, garantia de liberdade de expressão e inviolabilidade da intimidade e vida privada, dentre outros direitos.
Quanto à inclusão digital, conforme estabelece o art. 4. da Lei 12.965/14:
Art. 4º. A disciplina do uso da internet no Brasil tem por objetivo a promoção:
I - Do direito de acesso à internet a todos;
II - Do acesso à informação, ao conhecimento e à participação na vida cultural e na condução dos assuntos públicos;
III - Da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso e acesso; e
IV - Da adesão a padrões tecnológicos abertos que permitam a comunicação, a acessibilidade e a interoperabilidade entre aplicações e bases de dados.
A partir da leitura do dispositivo transcrito acima, percebe-se a valoração que a doutrina estabelece à rede mundial de computadores como um meio informativo. Atualmente, a população mundial utiliza da internet como ferramenta de “intercâmbio cultural”, onde há uma troca de informações com pessoas de qualquer lugar do mundo e a qualquer hora. Desta forma, percebe-se a importância do acesso à internet a todos, tendo em vista que é fundamento para a participação da vida cultural e na condução dos assuntos públicos, conforme estabelecido no inciso II, do art. 4. º da Lei 12.965/14.
Quanto a referida lei, não se pode deixar de mencionar o art. 7º Caput como ferramenta essencial para o exercício da cidadania:
Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I - Inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - Inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
Percebe-se que a lei atribui a cidadania como carácter essencial à internet. Serviços como entretenimento, cultura, informação e educação estão coligadas ao serviço que a rede proporciona. A presente lei surge como meio de estabelecer diretrizes em meio à avalanche de informações e seus meios de difusões frente ao papel que a internet vem cumprindo neste processo.
Outro ponto que vale ressaltar é o detalhamento das garantias consumeristas aplicáveis a relações no ambiente digital, conforme art. 7º, IV a VIII:
Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
...
IV -Não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;
V - Manutenção da qualidade contratada da conexão à internet;
VI -Informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a ) justifiquem sua coleta;
b ) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
Conforme a ampliação das formas de consumo por intermédio das plataformas digitais, trouxe à tona questões relevantes frente a legislação civil e consumeristas. Desta forma, ressalta-se a importância de se estabelecer diretrizes para regulamentar a responsabilidade no uso da rede com a constituição de direitos e deveres. Todavia, a Lei 12.965/14deixou pontos nos quais precisavam ser discutidos, principalmente tratando dos dados manuseados pelas empresas. Isso reflete diretamente na privacidade da intimidade e vida privada do indivíduo, uma vez que é “forçado” a compartilhar dados pessoais para poder usufruir de recursos nestes ambientes virtuais.
3.3. Lei Geral de Proteção de Dados.
A lei de nº 13.709, aprovada em agosto de 2018, surgiu com objetivo de criar um cenário de segurança jurídica no que diz respeito ao controle e armazenamento de dados pessoais. Podemos considera-la como lei complementar à lei 12.965/14, delimitando o que são dados pessoais/sensíveis, principalmente padronizando seus cuidados frente ao tratamento e fiscalização, como na criação do ANPD (Autoridade Nacional da Proteção de Dados), órgão responsável pelo cumprimento da LGPD. Ademais, vale ressaltar que não importa a localidade da organização, desde que haja o processamento de dados de pessoas, sejam estas brasileiras ou não, a lei deve ser cumprida. Para isso, há a possibilidade de compartilhamento de informações com organismos internacionais através de protocolos próprios exigidos por lei.
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Quanto aos fundamentos da proteção dos dados pessoais, conforme estabelece o art. 2. da Lei 13.709/18:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I –O respeito à privacidade;
II - A autodeterminação informativa;
III - A liberdade de expressão, de informação, de comunicação e de opinião;
IV - A inviolabilidade da intimidade, da honra e da imagem;
V - O desenvolvimento econômico e tecnológico e a inovação;
VI - A livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
No seu inciso primeiro, assegura o respeito à privacidade e teve como objetivo tutelar a inviolabilidade da intimidade, da honra, da imagem, e da vida privada. Em seguida temos a autodeterminação informativa, este surgiu como novidade ao dar poderes ao cidadão de controle, podendo o indivíduo optar pelo processamento, ou não, de seus dados pessoais. O inciso terceiro, trata da liberdade de expressão e quanto a este não há novidades, e sim uma forma de ratificar a importância deste princípio no contexto sociojurídico. Posteriormente, no inciso quarto, trata do desenvolvimento econômico e tecnológico e a inovação. Como mencionado anteriormente, é através deste fundamento em que se baseia a ideia da criação de um cenário de segurança jurídica quanto à forma que os dados serão processados. O inciso quinto, refere-se a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado11 e por último temos os direitos humanos, livre desenvolvimento da personalidade e dignidade exercício da cidadania pelas pessoas, no qual se enquadra perfeitamente ao artigo primeiro da Declaração dos Direitos Humanos, que afirma que todos os seres humanos nascem livres e iguais em dignidade e direitos12.
No tocante ao tratamento dos dados, refere-se a toda operação que se utilize dados pessoais. Temos como figura dois agentes neste processo, sendo estes o controlador e o operador. O controlador, pode ser tanto pessoa natural quanto jurídica, de direito público e privado, a quem fica responsável em decidir quais dados serão tratados, conforme art. 5º, inciso VI, da lei 13.709/18:
Art. 5º Para os fins desta Lei, considera-se:
VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Quanto ao operador, a LGPD dispõe que, pode ser pessoa natural ou jurídica, direito público ou privado, que realiza o tratamento em nome do controlador. Percebe-se que, neste caso não há a liberdade referente a razão do tratamento dos dados, mas há quanto ao meio que se dará13.
Art. 5º Para os fins desta Lei, considera-se
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
A título de exemplo, vamos supor que uma empresa A, no ramo de cloud, oferece o serviço de armazenamento de dados dos funcionários de seus clientes, no entanto, não tem como receber mais clientes devido a sua estrutura. Como solução contrata empresa B, do mesmo ramo, na qual deverá armazenar os dados dos novos clientes da empresa A, com devida autorização. Desta forma, a empresa A será operadora para seus clientes, e controladora em relação à empresa B, pois caberá a ela determinar a forma e quais dados serão tratados14.
Ademais, não podemos deixar mencionar a figura do encarregado neste cenário. Conforme estabelecido no art. 41. da lei 13.709/18:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - Receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O art. 41. da Lei Geral de Proteção de Dados trata do encarregado. Este é o responsável pela aplicação das normas impostas pelo controlador frente ao tratamento dos dados de seus clientes. Suas atribuições consistem na aceitação das reclamações dos titulares, receber comunicações da autoridade nacional (ANDP), orientar funcionários a respeito das práticas a serem adotadas e executar as determinações impostas pelo controlador. Desta forma, compreende-se que o encarregado é o canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional15.
Outro ponto de suma importância sobre a Lei Geral de Proteção de Dados, é com relação ao consentimento. Na prática, são os termos e políticas de privacidade imposta pelas plataformas digitais. Com a lei em vigor, tais termos deverão ser claros e simples, deixando de lado as letras miúdas de difícil compreensão, aderidos de conteúdo automatizado. Tal fundamento está elencado no art. 2º, inciso II e no art. 5º, inciso XII da lei nº13.709/18.
Art. 5º Para os fins desta Lei, considera-se:
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
De acordo com o artigo 5º, inciso XII, a autorização para tratamento de dados, ou seja, o consentimento, é “a livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Neste sentido, podemos entender que:
Quanto à forma livre, refere-se a não obrigatoriedade. O titular não será obrigado a dar a autorização e não ser obtidas de outras formas, como em caixas de texto pré-selecionadas ou em caso de sites com opção de aceitar todas as condições dos termos de uso.
Informada, trata-se da capacidade de compreensão do titular em consentir algum dado para tratamento. Os termos devem ser transparentes e simples compreensão. Permitindo que o titular compreenda por que e para que serão utilizados.
Inequívoca é sobre a clara aceitação das daquelas condições pelo titular. Não pode haver dúvidas sobre a aceitação dos termos. As empresas devem se esforçarem ao máximo tendo em vista que, ônus da prova de que o consentimento foi obtido é da empresa16.
O legislador visa com a implementação de tais requisitos coibir termos de consentimentos genéricos, como por exemplo: “Os tipos de informações listados abaixo estão sempre disponíveis publicamente e são tratados da mesma forma que as informações que você decidiu tornar pública 17 ". Desta forma, fica evidente que as plataformas tradicionais terão que se readequar aos procedimentos impostos pela lei com relação aos termos de uso, como vem ocorrendo no âmbito da União Europeia, com a entrada em vigor da GDPR. Ou seja, não basta o “aceito” ou “li e concordo”. Em consoante com o art. 5º, inciso XII, é preciso que o consentimento seja livre, informado e inequívoco, devendo o titular concordar com o tratamento para uma finalidade determinada conforme art. 8º, § 4º, da LGPD:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
No tocante a entidade fiscalizadora e a regulamentadora das normas impostas pela Lei Geral de Proteção de Dados, temos a ANPD (Autoridade Nacional da Proteção de Dados). Este é órgão independente e parte do Poder executivo, tem como objetivo orientar, fiscalizar e advertir as empresas controladoras de dados pessoais. Atua principalmente na orientação e fiscalização das empresas em relação às situações em que elas podem ou não tratar dados pessoais do cidadão18. É composto por membros não remunerados, formando um conselho diretório formada por cinco pessoas indicadas pelo Poder Executivo e aprovado pelo senado19.
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.( Incluído pela Lei nº 13.853, de 2019)
Nos casos em que houver o descumprimento às regras impostas, caberá à ANPD, a partir de agosto de 2021, aplicar as sanções positivadas em lei. As penalidades variam de acordo com o caso e somente após análise poderá ser fixada a sanção. Desta forma, a empresa poderá ser advertida, multada de 2% do valor do faturamento, bloqueio ou exclusão dos dados envolvidos na ocorrência e suspensão ou proibição do acesso ao tratamento de dados pessoais20.