A Convenção de Budapeste sobre os Cibercrimes, de acordo sua ementa, é o primeiro tratado internacional sobre crimes cometidos por meio da internet e outras redes informáticas, tratando de infrações de direitos autorais, fraudes informáticas, pornografia infantil e violações da segurança da rede (COUNCIL OF EUROPE, 2001). Foi firmado no âmbito do Conselho da Europa87 e tem como objetivo a proteção da sociedade contra a cibercriminalidade por meio de legislação adequada (uniformização88) e também da promoção da cooperação internacional (COUNCIL OF EUROPE, 2001).
Atualmente conta com, além dos países-membros do Conselho da Europa, 23 países não-membros do Conselho, dentre os quais destacamos: Argentina, Austrália, Canadá, Chile, Israel, Japão, Paraguai, Peru, África do Sul e Estados Unidos da América. O Brasil não faz parte desse tratado (COUNCIL OF EUROPE, 2017).
Seu Capítulo I traz algumas terminologias aplicáveis. O Art. 1º colaciona algumas definições utilizadas na Convenção. São elas: a) computer system89; b) computer data90; c) service provider91; d) traffic data92.
87 “Organização intergovernamental que apresenta larga experiência e tradição na celebração de instrumentos multilaterais sobre cooperação internacional em matéria penal, é a pioneira na elaboração da primeira convenção internacional a tratar especificamente do tema da ‘criminalidade informática’.” (DELGADO, 2007). Não deve ser confundido nem com Conselho Europeu, nem com Conselho da União Europeia. O Conselho Europeu “é o órgão supremo da União Europeia, sendo constituído pela reunião dos Chefes de Governo ou Chefes de Estado dos membros da Comunidade […] tem por missão dar os impulsos necessários ao desenvolvimento da União, definindo suas orientações e prioridades políticas gerais […] não exerce função legislativa e se reúne duas vezes por semestre, pronunciando-se, como regra, por consenso” (DEL’OLMO, 2014, p. 282). Já o Conselho da União Europeia é “o principal órgão legislativo e executivo da União […] formado por um representante de cada país, com poderes para vincular o governo que representa” (DEL’OLMO, 2014, p. 283).
88 “A Convenção apresenta recomendações para todos os Estados signatários criarem ou adaptarem seu arcabouço legislativo de modo uniforme, para não existirem falhas decorrentes da transindividualidade dos atos praticados no ciberespaço.” (BRITO, 2013, p. 44).
89 Ou “sistema informático” diz respeito a “qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados, em que um ou mais de entre eles, desenvolve, em execução de um programa, o tratamento automatizado dos dados.” (CONSELHO DA EUROPA, 2001).
90 Ou “dados informáticos” diz respeito a “qualquer representação de factos, de informações ou de conceitos sob uma forma susceptível de processamento num sistema de computadores, incluindo um programa, apto a fazer um sistema informático executar uma função.” (CONSELHO DA EUROPA, 2001).
91 Ou “fornecedor de serviço” diz respeito a “I – qualquer entidade pública ou privada que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático e II – qualquer outra entidade que processe ou armazene dados informáticos em nome do referido serviço de comunicação ou dos utilizadores desse serviço.” (CONSELHO DA EUROPA, 2001).
92 Ou “tráfego de dados” diz respeito a “todos os dados informáticos relacionados com uma comunicação efectuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajecto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente.” (CONSELHO DA EUROPA, 2001).
No Capítulo II, a Convenção prescreve que medidas devem ser tomadas no âmbito de direito interno de cada país quando de algumas infrações que são agrupadas em quatro títulos. O Título 1, tratando de “infrações contra a confidencialidade, integridade e disponibilidade de sistemas informáticos e dados informáticos”, colaciona os seguintes tipos: (Art. 2º) acesso ilegítimo; (Art. 3º) interceptação ilegítima; (Art. 4º) interferência em dados; (Art. 5º) interferência em sistemas; e (Art. 6º) uso abusivo de dispositivos. No Título 2 encontram-se algumas infrações relacionadas com computadores, dentre as quais: (Art. 7º) falsidade informática e (Art. 8º) burla informática. Já o Título 3 trata das infrações relacionadas a conteúdos, como aquelas atinentes à pornografia infantil (Art. 9º)93. No Título 4, (Art. 10º) encontramos as infrações relacionadas à violação de direitos autorais e outros direitos conexos. O Título 5, por sua vez, trata da tentativa e cumplicidade (Art. 11º), (CONSELHO DA EUROPA, 2001).
Nesse documento ainda são recomendadas medidas pelas quais as autoridades possam obter dados de pessoas, ou de fornecedores que prestam serviço em território nacional, para viabilizar investigações (Art. 18º); além da busca e apreensão de dados informáticos armazenados (Art. 19); do recolhimento em tempo real de dados informáticos, dentre os quais estão aqueles relativos ao tráfego (Art. 20º) e a interceptação de dados relacionados ao conteúdo (Art. 21º); além de tratar da necessidade de serem estabelecidas nas legislações internas medidas acerca da competência para quaisquer daquelas infrações penais anteriormente elencadas (Art. 22º). (CONSELHO DA EUROPA, 2001).
O Capítulo III é responsável por trazer: os “princípios gerais relativos à cooperação internacional” (Art. 23º); “princípios relativos à extradição” (Art. 24º)94; e os “princípios gerais relativos ao auxílio mútuo” (Art. 25º). Interessante também é o que dispõe o Art. 35º ao tratar da chamada “Rede 24/7”95, que é um sistema para aconselhamento técnico e de assistência às investigações que deve ser mantido pelas partes do Tratado (CONSELHO
93 Cf. As condutas relacionadas a essa infração que a Convenção elenca podem ser encontradas em Conselho da Europa (2001), Art. 9º.
94 Sobre isso, diz que são passíveis de extradição as infrações dispostas nos arts. 2º a 11º, desde que encontrem previsão punitiva na legislação de ambos países envolvidos (CONSELHO DA EUROPA, 2001).
95 “Cada Parte designará um ponto de contacto disponível 24 horas sobre 24 horas, 7 dias por semana, a fim de assegurar a prestação de assistência imediata a investigações ou procedimentos respeitantes a infracções penais relacionadas com dados e sistemas informáticos, ou a fim de recolher provas, sob forma electrónica, de uma infracção penal. O auxílio incluirá a facilitação, ou se o direito e práticas internas o permitirem, a aplicação directa das seguintes medidas: a) A prestação de aconselhamento técnico; b) A conservação de dados em conformidade com os artigos 29º e 30º; e c) A recolha de provas, informações de carácter jurídico e localização de suspeitos.” (CONSELHO DA EUROPA, 2001).
DA EUROPA, 2001). Por fim, a Convenção traz disposições envolvendo assinatura e entrada em vigor; adesão; aplicação territorial; efeitos; reserva; denúncia; dentre outras.
Brito (2013, p. 49) escreve que:
A Convenção possui três objetivos específicos, a saber: (a) harmonizar a tipicidade penal no ambiente do ciberespaço pelos Estados signatários; (b) definir os elementos do sistema de informática promovendo a unidade na interpretação da legislação penal interna e possibilitar a credibilidade da prova eletrônica no ambiente virtual; (c) implementar um sistema rápido e eficaz de cooperação internacional no combate à criminalidade informática.
Em resumo, essa é a Convenção de Budapeste sobre o Cibercrime96, um tratado pioneiro no combate às infrações digitais. Embora o Brasil não faça parte, nada impede, pelo contrário, que o legislador pátrio utilize como parâmetro algumas recomendações para o estabelecimento de instrumentos legislativos que tenham o mesmo objetivo, qual seja: proteger a sociedade desses crimes digitais.
Quando se analisa a legislação brasileira à luz da Convenção de Budapeste, percebe-se que diversas condutas prescritas por este documento já encontram respaldo em nosso ordenamento97. Dentre elas: o acesso ilegal, a interceptação ilegal, a interferência de dados, a interferência de sistemas, o mau uso de equipamentos, a falsificação computacional, violação a direitos autorais. Esses e outros pontos são analisados em seguida.
Com a conduta de acesso ilegítimo, ou acesso ilegal, a Convenção, segundo Brito (2013, p. 51), tenciona criminalizar o acesso realizado em sistema computacional sem a autorização para isso. Obviamente, a modalidade prevista é dolosa98. Em nosso ordenamento, tal ação já encontra-se tipificada no Art. 154-A, do Código Penal, assim como há uma disposição nesse sentido em se tratando do sistema eleitoral, conforme Art. 72 da Lei nº 9.504, de 199799.
96 Cf. Para mais esclarecimentos, recomendamos a leitura de Clough (2012), o artigo (em inglês) faz uma análise da Convenção e traz algumas críticas. Dentre as observações feitas está a de que não é uma lei-modelo, mas um quadro de princípios sobre os quais as legislações podem ser baseadas, permitindo que os países modifiquem sua legislação sempre que necessário em razão do acompanhamento da tecnologia. Outros trabalhos, como o de Delgado (2007, p. 153 a 260); Inouye (2016, p. 62 a 69); Brito (2013, p. 43 a 70) e Fernandes (2013, p. 144 a 147), tratam do tema.
97 Sobre isso, Bitencourt (2013, p. 513) concorda ao dizer que os delitos cibernéticos que foram recentemente estabelecidos em nossa legislação estão em consonância com recomendações do Tratado Internacional de Direito Penal e Processual Penal, criado pelo Conselho da Europa em 2001.
98 Dolo de obter os dados ou informações de computador, burlando medidas de segurança, sem a devida autorização do dono ou de quem possua o poder de autorizar o acesso (BRITO, 2013, p. 51).
99 “Art. 72. Constituem crimes, puníveis com reclusão, de cinco a dez anos: I - obter acesso a sistema de tratamento automático de dados usado pelo serviço eleitoral, a fim de alterar a apuração ou a contagem de votos; II - desenvolver ou introduzir comando, instrução, ou programa de computador capaz de destruir, apagar, eliminar, alterar, gravar ou transmitir dado, instrução ou programa ou provocar qualquer outro resultado diverso do esperado em sistema de tratamento automático de dados usados pelo serviço eleitoral; II - causar,
Sobre a interceptação ilegal prevista no Art. 3º da Convenção, lembra Brito (2013, p. 51) que, nesse sentido, temos o Art. 10 da Lei nº 9.296, de 1996, que enuncia essa modalidade como “realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.” (BRASIL, 1996).
Acerca da interferência de dados, enunciada no Art. 4º da Convenção, poderia ser observada no Brasil à luz do Art. 163 do Código Penal, que se refere ao crime de dano: “destruir, inutilizar ou deteriorar coisa alheia.” Brito (2013, p. 52) lembra que já há atividade legislativa, em tramitação no Congresso Nacional, no sentido de alterar o referido artigo do Código Penal para que abranja os dados eletrônicos ou computacionais.
Em se tratando da interferência de sistema100, disposta no Art. 5º da Convenção sobre o Cibercrime, há também tipificação no Código Penal, Art. 265 e 266, passível de ser aplicada (BRITO, 2013, p. 52). O Art. 265 pune com reclusão de um a cinco anos aquele que “atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública”. Já o Art. 266101 pune a “interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública” (BRASIL, 1940). A Lei nº 12.737, de 2012, acrescentou o § 1º ao Art. 266, “incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.” (BRASIL, 1940).
O mau uso de equipamento102, encontrado no Art. 6º da Convenção, encontra reflexo no § 1º do Art. 154-A do Código Penal, (artigo acrescentado em virtude da Lei nº 12.737, de 2012). Esse dispositivo penaliza “quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”, qual seja, a de invasão de dispositivo informático alheio (BRASIL, 1940).
propositadamente, dano físico ao equipamento usado na votação ou na totalização de votos ou a suas partes.” (BRASIL, 1997).
100 A interferência de sistema pode ser entendida como “o ato que, de maneira intencional, cause sério atraso, sem permissão, de funcionamento de sistema de computador, por meio de inserção, transmissão, danificação, deleção, deterioração, alteração ou supressão de dados de computador.” (BRITO, 2013, p. 52).
101 Tal dispositivo, antes da Lei nº 12.737, de 30 de novembro de 2012, falava tão somente em “interrupção ou perturbação de serviço telegráfico ou telefônico” (BRASIL, 1940).
102 “Conduta de produção, venda, compra para uso, importação, distribuição ou disponibilização de dispositivos, que incluem programas de computador, projetados ou adaptados primariamente, com o propósito de cometer os delitos de acesso ilegal, interceptação ilegal, interferência de dados e a interferência de sistema, ou então a disponibilização de senha de computador, código de acesso, ou dados similares, por meio dos quais o todo ou qualquer parte de um sistema de computador possa ser acessado com a intenção de praticar essas condutas.” (BRITO, 2013, p. 53).
Também a falsificação computacional103, Art. 7º da Convenção, como esclarece Brito (2013, p. 53), se refere a quem insere, altera, deleta ou suprime dados informáticos, transformando-os em falsos, tencionando o uso em propósitos legais (como se lícito fosse). No ordenamento brasileiro é tipificada a falsificação documental, pública ou particular, mas não do “dado eletrônico ou de computador”104. Ainda, para a Convenção, não é requisito a existência de dano.
Além disso, na Convenção de Budapeste trata-se de infrações sobre os direitos autorais, que no Brasil encontra reflexos na Lei nº 9.609105, de 19 de fevereiro de 1998, e na Lei nº 10.695, de 1º de julho de 2003.
No ordenamento pátrio, também há tipos que punem a tentativa (Art. 14, II, CP/1940), a ajuda ou participação (Art. 29, CP/1940) e o encorajamento ou incitação ao crime106 (Art. 296, CP/1940), (BRITO, 2013, p. 55). Algo também versado no Tratado sobre cibercrimes.
A Convenção refere-se ainda à responsabilização penal do servidor, algo sobre o qual Brito (2013, p. 56) observa:
Uma questão bastante interessante da Convenção é justamente a possibilidade de responsabilização penal do provedor de acesso, hipótese não contemplada pela Constituição Federal de 1988 e tampouco pela legislação infraconstitucional, com a devida vênia aos que entendem de maneira diversa em face da leitura do Art. 241 do Estatuto da Criança e do Adolescente.
Observe que, ao tempo do livro escrito por Brito (2013), ainda não havia sido sancionado o Marco Civil da Internet, que é de 2014. Em certo sentido, ele atende aos reclames sociais, conforme verificado no tópico 2.3.3, uma vez que prevê a responsabilização do provedor em face dos danos gerados por terceiros se, depois de ter recebido uma ordem judicial específica, não tornar indisponível o conteúdo infringente (BRASIL, 2014). Obviamente que ainda reside certa dificuldade quando envolve provedores situados em outros países, sem sede no Brasil, mas nota-se um avanço.
103 Não confundir com a “fraude informática”, que “prevê as práticas de inserção, alteração, deleção, supressão de dados de computador ou qualquer interferência no funcionamento de um sistema de computador com intenção fraudulenta, de compra, para si ou para outrem, visando benefício econômico. A discussão sobre essa conduta é grande na doutrina e na jurisprudência, pois se amolda aos crimes previstos nos arts. 155, § 5º (furto mediante fraude), e 171 (estelionato), caput, do Código Penal.” (BRITO, 2013, p. 54).
104 Brito (2013, p. 54) observa que tramitam no Congresso Nacional projetos que buscam trazer esse tipo ou alterar os artigos 171, 297 e 298 para contemplá-lo.
105 Conhecida como Lei do Software “dispõe sobre a proteção da propriedade intelectual de programa de computador” (BRASIL, 1998).
Percebe-se que o assunto vem ganhando mais atenção por parte das autoridades, o que é bastante positivo. Todavia, é necessário um cuidadoso estudo dos aspectos relativos ao Direito Penal Informático, assim como a observância das questões relacionadas à técnica legislativa a ser empregada, conforme analisado no tópico 4.1.
Com isso, espera-se que as leis que venham a ser criadas para combater os delitos informáticos não sejam inócuas, mas que cumpram efetivamente seu papel de proteger a sociedade nesse novo contexto em que se insere107.
107 Jesus e Milagre (2016, p. 15) sustentam que o Brasil seguiu um caminho diverso de outras nações, porque buscou-se adotar “primeiramente a legislação criminal (que deveria ser a ultima ratio), de modo a punir condutas praticadas por intermédio ou contra sistemas informáticos. Os direitos dos usuários vieram depois com a Lei n. 12.965/2014, denominada ‘Marco Civil da Internet’. Uma sociedade que não está preparada para entender o que pode caracterizar ou não um crime informático, mas que a despeito já o tipifica, inconsequentemente.”
CONSIDERAÇÕES FINAIS
Em um clique já não estarei aqui, pois partirei para mundos invisíveis onde não há leis bem certas.
Do autor
Diante de tudo o que fora apresentado, percebe-se que as novas tecnologias modificam o modo de se viver em sociedade. O estereótipo de “homem moderno” passa a corresponder ao de “homem conectado”. Os vínculos entre o ser humano e a máquina se estreitam. A própria organização social se desenvolve entorno da tecnologia. Vivemos em uma sociedade da informação (digital).
Vários avanços estão atrelados às tecnologias, mas também há preocupações por conta de suas implicações jurídicas. Aqui abordou-se, principalmente, o direito à informação, o direito à privacidade, o anonimato e a liberdade de expressão – tal apresentação se pautou em discorrer sobre os limites a esses direitos, recorrendo-se à matéria constitucional.
Os dispositivos informáticos foram definidos como os equipamentos que recebem, tratam e transmitem pacotes de dados. Quando se tratou sobre a origem e desenvolvimento dos computadores, constatou-se que sua popularização se deu principalmente por conta da amplitude de acesso à internet e pelos incrementos relativos às ferramentas comunicativas (como as redes sociais). Ainda percebeu-se que, embora os computadores pessoais de mesa sejam bastante populares, os equipamentos móveis estão ganhando cada vez mais espaço.
Foi exposto que a internet é uma rede de comunicação entre máquinas espalhadas pelo globo que remonta à Guerra Fria, e que hoje está presente em diversos lares brasileiros (ver pesquisa apresentada no tópico 2.1.2). O Brasil é um dos países mais conectados do mundo e essa conexão está atrelada ao fenômeno da globalização que, conforme visto, torna mais estreita a relação entre os indivíduos.
Verificou-se que condutas individuais, quando praticadas por meio da internet, podem ter repercussão global. Isso foi exemplificado com o emblemático caso do Stuxnet, um
worn que atacou o sistema de usinas nucleares do Irã. Condutas com esse nível de
periculosidade, que se processam por meio do silêncio de códigos binários, não são ficção científica. Os temas cyberterrorism e cyberwarfare são de extrema relevância atualmente – não seria exagero se dizer que o arsenal intelectual é o que prevalece.
Analisou-se também a Lei nº 12.965, de 23 de abril de 2014, conhecida como o Marco Civil da Internet, tida como uma carta de direitos e deveres do usuário da internet. Esclareceu-se que, embora não trate de matéria penal, o Marco Civil é complementar à legislação de crimes informáticos constantes no Código Penal. Dentre as novidades trazidas, foram apontados os princípios, garantias, direitos e deveres sobre o uso da internet. Dentre esses princípios estão: a liberdade de expressão, a proteção da privacidade, a proteção de dados pessoais, etc. Alguns dos direitos assegurados apresentados foram: inviolabilidade da intimidade, assim como da vida privada e das comunicações privadas.
Algo que merece ser destacado quando se trata do Marco Civil da Internet é o que toca à responsabilidade dos provedores de conexão por conta de conteúdos gerados por terceiros. Viu-se que essa lei permite a responsabilização dos provedores no caso de estes não tornarem indisponível o conteúdo infringente após o recebimento de uma ordem judicial específica nesse sentido. Assim, no caso de publicação de fotos íntimas, por parte de um terceiro, o provedor deve tornar indisponível esse conteúdo quando receber ordem judicial para tanto, sob pena de ser responsabilizado, nos termos do Art. 19, da Lei nº 12.965/2014.
Para que a tarefa de se averiguar a autoria dos crimes informáticos seja efetiva, a referida lei também trouxe disposições referentes ao prazo de guarda de logs, registros de acesso, de seus usuários, por parte de provedores. Ressaltou-se que, em muitos casos, sem a colaboração dos provedores de aplicações ou de serviços, poderia ser impossível desvendar certos crimes.
Quanto às críticas lançadas contra o Marco Civil, citou-se a de que esta lei não versa sobre temas como: certificação digital, direito autoral, comércio eletrônico, dentre outros. Verificou-se que, apesar dessas críticas a ele feitas, o Marco é um instrumento que propicia uma maior operacionalização das disposições sobre os delitos informáticos.
O capítulo sobre os aspectos gerais do direito penal informático foi iniciado com uma apresentação dos principais princípios de direito penal (intervenção mínima, fragmentariedade, lesividade, alteridade, insignificância e adequação social) e dos princípios constitucionais que repercutem na seara penal (legalidade, responsabilidade pessoal, individualização da pena, humanidade da pena e presunção de inocência).
Findado o tratamento principiológico, discutiu-se sobre a problemática da nomenclatura. A doutrina costuma utilizar diversos termos como: crimes cibernéticos,
cibercrimes, crimes virtuais, crimes eletrônicos, crimes de computador, crimes via internet, crimes digitais, etc. Preferiu-se a denominação crimes ou delitos informáticos, visto que guarda mais relação com aquilo que é protegido: as informações constantes nos dispositivos.
Arriscou-se propor uma definição para delito informático, de modo a englobar o maior número de características: aquelas condutas que, por meio do uso de dispositivos eletrônicos ou informáticos (computadores, dispositivos móveis, etc.) visam atingir os dados ou informações contidas em outro, ou no mesmo dispositivo, ou que buscam causar danos de alguma espécie ao hardware ou software desse dispositivo, com fins de auferir vantagem