Esse artigo se propõe a mostrar como a segurança da informação é uma ferramenta preciosa na prevenção do Cibercrime. São temas que por si só dariam vários artigos, um ligado à área de Tecnologia da Informação, o outro à área do Direito. Não esgotaremos nenhum dos conceitos, pois são muito extensos e complexos. Mas os temas serão abordados de forma a dar um breve conceito dos institutos e da sua intima correlação no cenário atual de proteção das informações.
Cibercrime é a denominação dada de forma geral aos crimes cibernéticos, também chamados de crimes informáticos, ou crimes na internet e que envolvam qualquer atividade ou prática ilícita em dispositivos informáticos e correlatos. Essas práticas podem envolver de forma exemplificativa, fraude por e-mail, invasões de sistema, disseminação de vírus, roubo de dados pessoais ou corporativos, falsidade ideológica, acesso a informações confidenciais, stalking, ataques de ransomware, (que é um tipo de extorsão cibernética) entre tantos outros.
Importante ressaltar que atualmente a informação é o patrimônio mais importante e estratégico para as organizações sejam elas privadas ou públicas. Os Crimes cibernéticos estão cada vez mais sofisticados, e os cibercriminosos estão cada vez mais ousados. Recentemente, a mídia noticiou o mega vazamento, como foi intitulado o vazamento de informações de 200 milhões de brasileiros. As informações expostas incluem CPF, nome, sexo e data de nascimento, além de uma tabela com dados de veículos e uma lista com CNPJ. Isso ocorreu porque não existe uma cultura predominante, tanto da parte dos usuários como das corporações com a segurança da informação.
Do ponto de vista do Direito Penal, podemos então afirmar que a Informação como Patrimônio fundamental e estratégico de Corporações Públicas e Privadas e na mesma linha o são os dados pessoais das pessoas naturais, e dessa forma erigir a informação, seja qual for, como um novo bem jurídico a ser protegido, esposando dessa forma o ensinamento do Me. SYDOW:
“Limitado pelo princípio da taxatividade, o Direito Penal, por exemplo, não pode proteger ataques a “dados” por ausência de previsão legal, por não serem os “dados” elementos objetivos de nenhum tipo e pela proibição da analogia in malam partem...”
O nosso ordenamento conta com uma tímida normatividade relativamente recente, como por exemplo, a chamada Lei Carolina Dieckmann (lei 12.737/12), Marco Civil da Internet (lei 12.965/14) e mais recentemente a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a Lei nº 14.132/2021 que normatiza o crime de perseguição, também conhecido como stalking. Se analisarmos essas leis mais profundamente, verificaremos que o legislador carece de tecnicidade, e muitas vezes vemos que as mudanças, principalmente no Código Penal, são feitas por pressões populares e da mídia. É necessário que seja feita uma mudança mais profunda no Código Penal, principalmente na parte geral, que reflita as mudanças face a essas novas modalidades de crimes, afinal nosso Código é de 1940.
Como não existe um rol descritivo de condutas e, principalmente, como não existe uma legislação específica para a configuração do cibercrime é necessário recorrer aos artigos do Código Penal, e que deixam inúmeras lacunas que dificultam aplicação correta da lei. No cenário atual o julgador esbarra frontalmente, somente para citar alguns, com o Princípio da Legalidade, Taxatividade, Lesividade e Ubiquidade, entre outros. Enfrenta-se também problemas na parte geral do Código, com vários institutos, como: autoria, materialidade, local do crime, tempo do crime, e poderíamos seguir enumerando vários outros. Dessa forma reforça-se a necessidade urgente de um esforço conjunto do legislativo no sentido de promover mudanças profundas no Código Penal e de Processo Penal. Devido ao seu aspecto peculiar essas mudanças devem contar com o apoio técnico multidisciplinar de diversos especialistas.
Importante ferramenta na prevenção desse tipo de crime, tem sua principal base nas boas práticas atreladas a Segurança da Informação, que tem por objetivo principal, ações que objetivem a garantia dos pilares básicos dessa prática: confidencialidade, disponibilidade, integridade. De forma rápida e menos aprofundada vamos explicar cada um deles para que não nos afastemos muito do tema. Confidencialidade é o que garante o acesso à informação exclusivamente às pessoas autorizadas, ou seja, a informação não está disponível ou é revelada a indivíduos, entidades ou processos sem autorização. Integridade é o que garante a veracidade da informação. A integridade indica que os dados não podem ser alterados sem autorização. Se alguma alteração indevida, não prevista ou planejada for realizada nos dados, a informação será afetada, o que compromete sua integridade. Disponibilidade é o que garante que dados e sistemas poderão ser acessados por indivíduos e Corporações autorizados quando esse acesso for necessário.
A Segurança da Informação é a linha de frente na proteção dos dados, tanto corporativos como individuais. Andou bem o legislador com a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), que criou importante normatização protetiva no tratamento de dados pessoais. Embora não preveja sanções penais, criou várias sanções administrativas, dentre elas pesadas multas que podem chegar até 50 milhões.
Dessa forma pode-se concluir que embora a LGPD vise a proteção e preservação dos dados pessoais, deve refletir diretamente em uma mudança de paradigmas, na forma em que as Corporações irão proteger seu patrimônio informático. Os Agentes de Tratamento previstos nessa norma possuem deveres que, em resumo, evidenciam o desafio que as empresas privadas e órgãos públicos encontrarão para estar em conformidade com a LGPD. Os efeitos do não-atendimento do regramento previsto quanto ao tratamento dos dados passam não só pelas sanções administrativas que podem ser eventualmente impostas pela ANPD – Autoridade Nacional de Proteção de Dados, mas em maior escala, por ações de responsabilidade civil.
Dessa forma, assim como as Empresas se preocupam com a segurança do seu patrimônio físico, se utilizando de dispositivos como, por exemplo: guarda patrimonial, cercas, alarmes etc. Também deverão ter uma proteção especializada na salvaguarda de seu patrimônio informático, se valendo das ferramentas disponibilizadas pela segurança da informação, como por exemplo: Firewall, IDS, IPS, WAF, Antivírus etc.
Pode-se concluir que vemos hoje a Tecnologia empregada na Segurança da Informação como um aliado muito importante na prevenção dos Crimes Cibernéticos. E aqui vamos frisar a palavra prevenção que é fundamental para preservação dos pilares básicos da segurança da informação: confidencialidade, disponibilidade, integridade
Referência:
_______. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm. Acesso: 31 mar. 2021.
_______. Decreto-Lei No 2.848, de 7 de dezembro de 1940. Código Penal. Disponível em: http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848compi-ladohtm. Acesso em: 31 mar. 2021.
_______. Lei 12.965/2014, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 30 Mar 2021.
_______. Lei 13.709/2018, de 23 de abril de 2014. Dispõe sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03 /_ato2015-2018/2018 /lei/l13709.htm. Acesso em: 30 Mar 2021.
SUPERIOR TRIBUNAL DE JUSTIÇA. Justiça usa Código Penal para combater crime virtual. In: Jusbrasil. 2008. Disponível em: <https://stj.jusbrasil.com.br/ noticias/234770/justica-usa-codigopenal-para-combater-crime-virtual>. Acesso em: 31 mar. 2021.
SYDOW, Spencer Toth. Curso de Direito Penal Informático: 2 ed. Salvador: Editora JusPodivm, 2021.