No mesmo dia (8 de novembro) em que se encerrava em Brasília a III Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber 2006), evento organizado pela Diretoria Técnico-Científica da Polícia Federal, o parecer do senador Eduardo Azeredo (PSDB-MG) sobre projetos de lei que tratam desse tema saiu da pauta de votações da Comissão de Constituição, Justiça e Cidadania (CCJ) do Congresso Nacional. No evento, o Brasil acabava de ser apontado como o 5º no ranking mundial de crimes cibernéticos, e advogados e especialistas defenderam a aprovação de uma lei específica no país para esse tipo de delito. Pode até ser a que está tramitando na CCJ, que antes de voltar à pauta de votações, será alterada em alguns pontos – como o que trata da exigência de identificação dos usuários pelos provedores de acesso a uma rede de computadores – e é fruto de discussões que se iniciaram há uma década no parlamento brasileiro.

O parecer de Azeredo, já aprovado na Comissão de Educação, é um substitutivo a três projetos de lei que já tramitavam no Congresso: os PLS 137/00 e 76/00, apresentados em 2000 respectivamente pelos senadores Leomar Quintanilha (PCdoB-TO) e Renan Calheiros (PMDB-AL), e o PLC 89/03, do deputado federal Luiz Piauhylino (PDT-PE), que desde 2003 está na CCJ. O primeiro, de Quintanilha, apenas estipula que crimes já previstos no Código Penal – contra a pessoa, a criança e o adolescente, os costumes, o patrimônio e a propriedade intelectual – tenham suas penas triplicadas, caso sejam cometidos com a utilização de meios de tecnologia de informação e telecomunicações. O de Calheiros, por sua vez, define crimes de uso indevido de informática, como a violação de dados e a lesão à propriedade, ao patrimônio, à honra, à vida privada, ao fisco e à segurança nacional. Já o de Piauhylino é o mais detalhado – e antigo, apresentado na Câmara dos Deputados em 1999 sob o número 84/99 –, acrescentando uma seção inteira ao Código Penal (decreto-lei 2.848), que é de 1940, para tratar exclusivamente de crimes de informática, com definições de termos como “meio eletrônico” e “sistema informatizado” para a interpretação da lei.

O projeto de Piauhylino se originou de outro ainda mais antigo, do qual ele era relator: o PL 1.713/96, apresentado pelo então deputado Cassio Cunha Lima (PSDB-PB) em 1996. Seu parecer sobre o PL de Cunha Lima propunha um substitutivo, elaborado por um grupo de dez especialistas em direito, entre advogados, juizes e promotores, que alterava o projeto original. O PL acabou arquivado pelo fato de o substitutivo de Piauhylino não ter sido apreciado em todas as comissões necessárias até o fim daquela legislatura (1995-1998), e para aproveitar o trabalho daquele grupo de especialistas, Piauhylino o transformou em um novo PL, o 84/99. “Toda vez que o projeto anda, todo mundo quer acrescentar alguma coisa”, afirma o advogado José Henrique Barbosa Moreira, professor do Centro de Estudos, Pesquisa e Atualização em Direito, que coordenou o grupo. “O Brasil está muito atrás nessa matéria. A Europa e os Estados Unidos já têm legislação específica sobre isso desde os anos 80”, comenta.

Segundo Moreira, com o fim da reserva de mercado em informática na última década, o aumento da importância do uso de softwares e de computadores e o crescimento da Internet no país, a discussão sobre crimes cibernéticos ganhou espaço e relevância. “Mas em 1999, era coisa nova. E ainda existe um pouco de ignorância em relação à matéria, quando se acha que a lei pode violar o direito à privacidade”, avalia. Esse temor esquentou nos últimos meses a discussão sobre o substitutivo do senador Azeredo, que acrescentou um parágrafo ao artigo 154-D do Código Penal, dizendo não ser uma violação de sigilo o fornecimento, às autoridades competentes, de informações de acesso, hospedagem e dados de identificação de usuário, quando constatada qualquer prática criminosa. Entre os dados previstos no substitutivo, além de nome, data de nascimento e endereço, está um número de documento hábil e legal de identidade. “Se esse item saísse, talvez o projeto fosse aprovado mais rápido. O endereço de IP Internet Protocol é suficiente para a identificação do usuário”, acredita Moreira.

Mas nem sempre a identificação da máquina de onde partiu um delito, através do IP, garante a identificação de quem o cometeu. Em setembro deste ano, o ministro Barros Monteiro, do Supremo Tribunal de Justiça, após solicitação de um tribunal de Dusseldorf, na Alemanha, pediu que o provedor de acesso UOL informasse os dados da pessoa que acessou a Internet a partir do IP 200.98.154.187 no dia 25 de fevereiro de 2004, às 3h20 (no horário alemão), e bloqueou o acesso a sites atendidos por uma empresa daquele país. O UOL negou o pedido, alegando que o princípio da inviolabilidade de dados previsto na Constituição impede a quebra do sigilo de dados cadastrais de usuários, os quais só poderiam ser fornecidos mediante expressa autorização judicial.

Barros Monteiro, mencionando o artigo “Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado”, publicado por Tércio Sampaio Ferraz no volume 88 da Revista da Faculdade de Direito, da USP, considerou imprópria a alegação do UOL, afirmando que a vida privada compõe um conjunto de situações envolvendo a informação de dados privativos – como nome, endereço, profissão, idade, estado civil e filiação – sem qualquer constrangimento. Segundo o ministro, cadastros de identificação não são protegidos por sigilo, cabendo essa proteção apenas a cadastros sobre relações privadas, como as de clientela – desde quando alguém é cliente, se a relação foi interrompida e as razões para isso. O ministro encaminhou o processo à Justiça Federal do Estado de São Paulo para as providências cabíveis. Procurados pela redação da ComCiência, a direção geral do UOL e o seu departamento jurídico não quiseram se pronunciar sobre o episódio e tampouco sobre o substitutivo de Azeredo ainda em tramitação.

Embora os países desenvolvidos – com acesso à informática garantido há décadas para uma parcela considerável de sua população – já tenham legislação específica sobre o assunto, é relativamente recente a tentativa de padronização de procedimentos e a proposta de ação colaborativa entre as nações nos casos de crimes cibernéticos. Um marco nesse sentido foi a Convenção de Budapeste sobre o Cibercrime, organizada pela Comunidade Européia em 2001, cujo texto final traz uma série de recomendações para o aprimoramento das legislações locais e de compromissos de colaboração entre os países que o assinarem. Os Estados Unidos se tornarão signatários a partir de janeiro do ano que vem. O Brasil ainda não assinou a Convenção, mas o substitutivo de Azeredo, que voltará à pauta da CCJ, segue algumas de suas recomendações.

A velocidade das transformações no mundo da informática também leva à atualização das recomendações da própria Convenção de Budapeste. Uma diretiva do parlamento europeu, publicada este ano, recomenda que os provedores de acesso conservem dados de conexão e identificação além do IP, como nome e endereço do usuário, por um período entre seis meses e dois anos. Nessa diretiva, alguns signatários declaram que os prazos poderiam se estender para dezoito ou até trinta e seis meses a partir dos próximos anos. Esse período mais longo de três anos de manutenção de dados é recomendado pelo Comitê Gestor da Internet no Brasil e é o que determina o texto em tramitação no Congresso.

“Nós ainda vamos melhorar no substitutivo a definição de dados de conexão, que dizem respeito apenas ao começo e ao fim do acesso. E vamos tirar o trecho que fala em número de identidade, deixando só ‘documento hábil e legal’. Outra alteração é que vamos descriminalizar a responsabilidade do provedor de acesso que descumprir a determinação da lei, aplicando apenas uma multa”, revela o analista de sistemas José Henrique Portugal, assessor de Azeredo e principal articulador do trabalho de redação do substitutivo. O texto que saiu de pauta na CCJ em novembro define esse descumprimento por parte dos provedores como crime, mas não estipula pena. Antes mesmo de voltar à pauta de votação, esses itens já serão alterados. Para elaborar o substitutivo, Portugal, que trabalha há 40 anos com informática e já foi dirigente do Serviço Federal de Processamento de Dados (Serpro), colheu sugestões informais de pessoas de sua relação, entre advogados e analistas de sistemas. Chegou a ouvir 150 pessoas no início do processo, das quais 40 aprimoraram o debate e 12 – entre eles, colegas do Serpro – contribuíram até a redação final do texto, que estendeu para “meio digital”, por exemplo, o que antes estava restrito a “meio eletrônico”.

Na prática, caso seja aprovada, a lei não vai afetar o usuário comum de Internet, que já informa seus dados cadastrais ao contratar um provedor de acesso, e não vai precisar acrescentar nada além do login e senha que já usa atualmente a cada novo acesso. Não atingirá também as Lan Houses e Cyber Cafés, locais com grande rotatividade de clientes, em que é possível o acesso à Internet e onde nem sempre é exigido um cadastro do usuário. Isso porque, segundo Portugal “esses estabelecimentos são prestadores de serviços. É o município que faz a lei que regulamenta esses casos, e não o Congresso”. A lei federal em tramitação define crimes de informática que não se restringem ao uso de Internet, mas a qualquer rede de computadores, como as redes locais. E ela vai incidir sobre quem realmente pratica delitos nessas redes. “Pode haver violação de dados na rede interna da Unicamp ou do Senado, e isso é crime”, exemplifica. “Mesmo assim, nós sabemos que não vamos pegar 100% dos crimes com essa lei”, admite.

Porém, mesmo que estejam associados a crimes já previstos em lei, para que os delitos envolvendo uso indevido de informática tenham penas específicas, é preciso que os parlamentares cheguem a um consenso para a aprovação da matéria. “Vejo isso o substitutivo de Azeredo como um avanço. O Brasil não pode ficar para trás. E o princípio básico do direito penal é que não há crime sem lei que o defina”, conclui Moreira. Em outras palavras, isso significa que com o ritmo das evoluções tecnológicas e o avanço do uso da informática, qualquer tempo adicional de espera pode deixar a lei obsoleta antes mesmo de sua aprovação.