CURSO DE DIREITO PENAL INFORMÁTICO€¦ · 432 DIREITO PENAL INFORMÁTICO • Parte Geral e...

2020

Spencer Toth Sydow

CURSO DE DIREITO PENALINFORMÁTICO

Parte Geral e Especial

431

INTERRUPÇÃO OU PERTURBAÇÃO DE SERVIÇO TELEMÁTICO OU DE INFORMAÇÃO DE UTILIDADE PÚBLICA

Interrupção ou perturbação de serviço telemático ou

de informação de utilidade pública

Assim fi cou o artigo 266:

Artigo 266. Interromper ou perturbar serviço telegráfi co, radiotelegrá-fi co ou telefônico, impedir ou difi cultar-lhe o restabelecimento:

Pena – detenção, de 1 (um) a 3 (três) anos, e multa.

§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou difi culta-lhe o res-tabelecimento.

§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública. (NR)

Em nossa opinião, o que houve foi uma tentativa de trazer ao orde-namento jurídico pátrio dispositivo penal semelhante àquele conceituado como atentado contra segurança de serviço essencial. Mas, se foi essa a inten-ção, o legislador errou a mão.

A ideia de que os meios de comunicação entre pessoas são fundamen-tais para o desenvolvimento de uma sociedade deveria fazer com que se eri-gisse a atitude de prejudicar tais sistemas à categoria de delito gravíssimo. Ou, como já apresentamos adiante, até como delito específi co que viola a Segurança de todo o Sistema da Informação – quiçá viola a segurança púbica – verdadeiro meio ambiente através do qual as relações humanas ocorrem. Viola-se o Direito Humano de conexão e a Dignidade do Usuário.

432

DIREITO PENAL INFORMÁTICO • Parte Geral e Especial Spencer Toth Sydow

Sistema de comunicação é, hoje, serviço público sine qua non, dada a velocidade com que as relações negociais, profi ssionais e pessoais se dão.

Em nosso ordenamento, porém, trata-se de delito contra a segurança dos meios de comunicação e transporte e outros serviços públicos, e não atentado contra a segurança do Estado ou serviço essencial. Por isso, a pena é consideravelmente inferior.

Dentro de nosso conceito, tem como bem jurídico atacado, também e especialmente, a disponibilidade do serviço de comunicação ou a informa-ção de utilidade pública.

Reiteramos que não vislumbramos como adequada a modifi cação. Em verdade, somos pela revogação do artigo 266 com a inclusão dos núcleos e especifi cidades no artigo 265 e com a inclusão de todo o serviço de comuni-cação como essencial.

Cremos que toda a perturbação dolosa a serviço essencial deva ser equi-parada a delito de colocação em risco (atentado). Na mesma toada, cremos que a fi gura qualifi cada constante no parágrafo único do artigo 266 poderia estar em um § 3º no artigo 265, todos do Código Penal.

Analisemos, de todo modo.

Trata-se de tipo misto alternativo, uma vez que o cometimento de qual-quer dos núcleos do tipo isolada ou cumulativamente faz com que o agente incida no Tipo Penal do mesmo modo.

Pode ser praticado por qualquer pessoa (delito comum) e tem como vítima toda a sociedade (a parcela da sociedade prejudicada, na lógica difusa ou coletiva), posto que o prejuízo de um nó de conexão atinge verdadeira-mente o funcionamento da rede como um todo.

Apesar de delito dito comum, compreendemos que é necessária especial e elevada competência técnica, em muitos casos, para sua prática, especial-mente no que se refere àqueles cometidos virtualmente e em face das co-municações informáticas. Assim, apesar de o agente não ser objetivamente qualifi cado, subjetivamente o é.

Possui como verbos (a) interromper (fazer cessar integralmente o ser-viço), (b) impedir o restabelecimento (não permitir que, uma vez cessado por qualquer causa, volte a ser disponibilizado) e (c) difi cultar o restabele-cimento (gerar embaraços ou atrasos para a recomposição do serviço). O

433


legislador, diferentemente do caput do artigo, nessa fi gura omitiu a pertur-bação do serviço.

É delito formal porque prevê resultado mas não exige a consecução do dano previsto, que é mero exaurimento. O tipo busca punir, portanto, tam-bém, a conduta incompleta, não exaurida e, dessa forma, o legislador optou por punir igualmente a inexistência de resultado.

A nosso modo de ver, o verbo “perturbar” pode ser entendido como parte obrigatória do iter da “interrupção” não sucedida, assim como o “difi -cultar o restabelecimento”, parte obrigatória do iter do “impedir-lhe o resta-belecimento”.

Desse modo, e como houve omissão do verbo “perturbar”, parecem ad-mitir tentativa os núcleos “interromper” (na própria modalidade “pertur-bar”) e “difi cultar o restabelecimento ”, mas não caberia tentativa no núcleo “impedir o restabelecimento”, pela previsão do núcleo específi co “difi cultar”, que, sozinho, gera integralmente a conduta.

É delito que apenas existe na modalidade dolosa, e assim, por exemplo, o uso de máquinas alheias escravizadas (bots) para gerar prejuízo em sistema de comunicação via ataques de negação de sistema (DoS) não permite que as máquinas utilizadas como ferramenta e seus usuários sejam responsabili-zados, se não possuírem deveres de cuidado e previsão culposa de conduta. Do mesmo modo, o contágio involuntário de sistema de comunicação por vírus e que consequentemente gerasse prejuízo nos serviços também seria fato atípico.

Possui como bem jurídico a segurança dos sistemas de comunicação e serviços públicos, agora alargados, levando em consideração os sistemas telemáticos e os serviços de informação. O bem material será o serviço pro-priamente dito.

Curiosamente, o legislador deu novo nomen iuris ao Tipo Penal, deno-minando-o “interrupção ou perturbação de serviço telegráfi co, telefônico, informático, telemático ou de informação de utilidade pública”. Porém, a leitura do § 1º demonstra que somente foram acrescidos o serviço telemático e o de informação de utilidade pública, tendo fi cado de fora o serviço infor-mático genericamente considerado.

A separação dos conceitos de informática e telemática é possível. Con-ceituemos ainda que de modo repetitivo, a partir do dicionário Michaelis:

434


– Telemática: Ciência que trata da manipulação e utilização de infor-mação através do computador e da telecomunicação.

– Informática: Tratamento automático da informação, ou seja, o em-prego da ciência da informação com o computador eletrônico. Tem como base a informação, que por sua vez é resultante da evolução do conceito de documentação; teoria da informação.

A telemática, portanto, seria o campo científi co que trata do estudo, de-senvolvimento, gestão e aplicação da rede e dos serviços de comunicação para transporte, armazenamento e processamento de qualquer tipo de in-formação (voz, dados, vídeos, fotos etc.).

Assim, é possível afi rmar que a informática, no que se refere à comuni-cação e a produção de efeitos a distância, está contida no conceito de tele-mática até pela própria etimologia da palavra, que utilizou o prefi xo “tele” da palavra “telecomunicação” e o sufi xo “mática” da palavra “informática”.

Os serviços de informática não comunicativos ou que não repercutem a distância parecem ter fi cado de fora do Tipo Penal, como o funcionamento de um soft ware ou de um hardware. Na questão do soft ware, remanesce o artigo 313-B do Código Penal, quando se tratar de Administração Pública.

De qualquer maneira, encontramo-nos diante de Norma Penal em bran-co que necessita de normativo complementar ao indefi nido preceito primário, especialmente com o fi to de evitar-se alargamento excessivo na punição.1

Isso porque o conceito de “serviço telemático” não está defi nido/regula-mentado, podendo ensejar debate acerca de sua precisão. Afi nal de contas, considera-se no conceito de serviço telemático o provimento de acesso à rede ou a lei quer restringi-lo à comunicação telemática e, pois, apenas a serviços de email, comunicação instantânea ou trocas de arquivos? Um por-tal de notícias privado seria serviço de comunicação ou de informações de utilidade pública? O canal informático que provém serviço de hospedagem de arquivos pode ser abarcado no tipo? Serviços providos por redes sociais que hoje substituem sistema de mensagens eletrônicas estão elencados? O prejuízo a serviços de VoIP, como o Skype, HangOut, Zoom ou asseme-lhados, inclui-se no tipo como serviço telefônico ou telemático?

1. A Portaria nº 93 do Gabinete Institucional da Presidência da República, de 26 de setembro de 2019 não se ocupou dessas complementações.

435


Parece-nos fundamental que norma como, por exemplo, portaria do Ministério de Ciências e Tecnologia, venha para suprir a dúvida gerada pela expressão genérica, que não admite complementação ou interpretação ex-tensiva prejudicial ao acusado.

Quanto à sanção, a pena vai de 1 a 3 anos de detenção.

Pelo quantum da pena e por sua natureza, pode-se dizer que é delito em que o legislador não teve como objetivo precípuo o encarceramento do delinquente.

Justifi ca-se pelo fato de que, mesmo em caso de condenação em grau máximo, na fi gura simples, caberá ao infrator o benefício da substituição da pena privativa de liberdade por restritiva de direitos, se preenchidos os requisitos.

Cremos que a penalidade restou excessivamente branda para a violação de serviços considerados essenciais pela nova sociedade e que podem ter repercussão enorme e gerar grande prejuízo econômico aos vitimizados in-diretos, como no caso de contas com vencimento da data da interrupção ou peticionamentos eletrônicos com prazo fatal na data de uma difi culdade de comunicação telemática.

No que se refere ao regime inicial de cumprimento de pena, nos casos em que a restrição de direitos não é adequada ou aconselhada, ainda as-sim fi ca permitida ao magistrado a determinação de regime semiaberto ou aberto para cumprimento inicial, mesmo no caso do delito qualifi cado. Isso porque a obrigatoriedade para o estabelecimento de regime inicialmente fe-chado está restrita a penas privativas de liberdade acima de 8 anos, ou acima de 4 anos, mas com réu reincidente (artigos 33 e seguintes do Código Penal).

O legislador, alargando o rol dos elementos objetivos complementares aos núcleos do tipo “interromper” (o funcionamento), “impedir” (o resta-belecimento) e “difi cultar” (o restabelecimento), manteve existente a fi gura qualifi cada, com pena mínima de 2 anos e máxima de 6 anos de detenção.

O aumento de patamares é gerado por uma qualifi cadora em razão da circunstância de cometimento de delito, qual seja, situação de calamidade pú-blica que, nas palavras de NUCCI, é “tragédia envolvendo muitas pessoas”.

Destarte, fi ca o Poder Judiciário impedido, nos casos concretos, de apli-car simultaneamente a agravante do artigo 61, j, quarta fi gura, Código Penal, e o parágrafo único do artigo 266 por conta da proibição do bis in eadem.

437

INVASÃO INFORMÁTICA

Invasão Informática

1. A CRIAÇÃO DOS ARTIGOS 154-A E 154-B DO CÓDIGO PENAL

É o texto:

Artigo 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fi m de obter, adulterar ou destruir dados ou in-formações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1º Na mes-ma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta defi nida no caput.

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim defi nidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qual-quer título, dos dados ou informações obtidos.

§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:

438


I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de As-sembleia Legislativa de Estado, da Câmara Legislativa do Distrito Fede-ral ou de Câmara Municipal; ou

IV – dirigente máximo da administração direta e indireta federal, esta-dual, municipal ou do Distrito Federal.

Inserido no capítulo VI, Dos Delitos contra a Liberdade Individual, na seção IV, Dos Crimes contra a Inviolabilidade dos Segredos, o novo delito foi apelidado de “Invasão de dispositivo informático” e veio inovar, trazendo algum progresso para o Direito Penal Informático.

No mesmo sentido, no que se refere à proteção do novo bem jurídico informático (a segurança telemática), vem proteger a confi dencialidade dos arquivos existentes nos dispositivos informáticos, mas também a integrida-de dos dados e sua disponibilidade, todos em conjunto. Infelizmente, porém, a alocação não foi feita em capítulo próprio o que prejudicou o marco de criação do novo bem jurídico penal.

O que nos parece, porém, é que o legislador não buscou sufi cientes es-pecialistas no tema para editar a legislação. Isso porque diversos detalhes acerca da forma como certas condutas violadoras de bens jurídicos (infor-máticos ou comuns) podem ser cometidas não foram considerados na cria-ção do Tipo Penal em comento.

Vale destacar que o Brasil andou na contramão da lógica mundial. En-quanto que a maior parte dos países criou um tipo de INTRUSÃO informá-tica, mais abrangente, nós tipifi camos a INVASÃO informática, mais especí-fi ca e com aplicabilidade reduzida.

A priori, a inserção do novo delito no artigo referente à violação de se-gredo profi ssional pareceu-nos inadequada. Isso se dá pelo fato de que não são somente dados profi ssionais que merecem a guarida jurídico-penal, mas sim quaisquer dados existentes em qualquer dispositivo informático, sejam pessoais ou profi ssionais. A inserção sob tal rubrica poderá gerar interpreta-ção equivocada por parte dos operadores do direito.

A produção de qualquer dado inserida num sistema particular de in-formação, por si só, possui os resguardos naturais de qualquer propriedade intelectual (seja pela Lei nº 9.609/98, seja pela Lei nº 9.610/98).

439


O que estava num limbo jurídico era a proteção a acessos indevidos, a proteção à modifi cação de dados por terceiros não autorizados, a proteção à disponibilidade dos serviços informáticos, a proteção contra o uso desauto-rizado, entre outros.

O Tipo Penal aqui estudado é exageradamente confuso em sua redação. Não se compreende ao certo os objetivos do legislador, posto que certos as-pectos da tipifi cação parecem irreais, e sua responsabilização penal, impra-ticável.

A princípio parecem ter sido descritas as seguintes 4 (quatro) condutas como típicas, no caput:

a) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de obter dados ou informações sem autoriza-ção do titular do dispositivo;

b) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de adulterar dados ou informações sem au-torização do titular do dispositivo;

c) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de destruir dados ou informações sem auto-rização do titular do dispositivo;

d) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de instalar vulnerabilidades para obter van-tagem ilícita; OU simplesmente instalar vulnerabilidades para obter vantagem ilícita.

A hermenêutica do tipo nos faz concluir que a autorização do titular do dispositivo (expressa ou tácita) somente se aplica aos três primeiros núcleos (devassar dispositivo a fi m de obter, adulterar ou destruir dados) sendo, portanto, dispensável no caso da instação das vulnerabilidades. Alternati-vamente, a instalação de vulnerabilidades é situação absolutamente diversa, como apresentaremos a seguir.

440


Isso se dá porque o legislador pôs a palavra OU após as primeiras três condutas, separando a expressão “autorização do titular do dispositivo” da conduta de instalar vulnerabilidades para obter vantagem ilícita. Observe:

Artigo 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fi m de obter, adulterar ou destruir dados ou

informações sem autorização expressa ou tácita do titular do dis-

positivo OU instalar vulnerabilidades para obter vantagem ilícita. (Grifos e negritos nossos.)

Assim, a autorização do titular do dispositivo só possui relevância jurí-dica no que se refere à invasão informática com especial fi m do agente, que impactará os dados informáticos.

Em suma, há, portanto, duas categorias de delito, classifi cadas de acordo com diferentes fi nalidades tipifi cadas. Vamos à análise.

2. INVASÃO DE DISPOSITIVO INFORMÁTICO COM A FINALIDADE DE OBTENÇÃO, ADULTERAÇÃO OU DESTRUIÇÃO DE DADOS OU SISTEMA DE INFORMAÇÕES

Novamente apresentamos o artigo referente ao delito, com os pertinen-tes grifos:

Artigo 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fi m de obter, adulterar ou destruir dados ou in-formações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.

Para a confi guração desse delito, é necessário que a conduta apresente as seguintes características, necessariamente:

I. Deve ter havido uma invasão ou uma tentativa de invasão de ao menos um dispositivo informático;

II. O dispositivo informático deve ser alheio (não pode ser de titulari-dade do próprio agente invasor, pela própria lógica do instituto da confusão);

441


III. O dispositivo pode estar conectado à rede de computadores ou pode não estar conectado à rede de computadores (abarca a inter-venção em qualquer dispositivo, portanto);

IV. A violação do mecanismo de segurança deve ter sido indevida;

V. Não pode haver autorização expressa ou tácita do titular do dispo-sitivo;

VI. O objetivo do “invasor” deve ser necessariamente a obtenção (có-pia de dado ou acesso a informação), adulteração (modifi cação do arquivo original constante em dispositivo informático ou modifi ca-ção de informação constante em arquivo) ou destruição (violação irreparável da integridade de arquivo).

Cada elemento merece análise destacada.

Em primeiro lugar, a legislação determinou como elemento do tipo ha-ver um dispositivo informático. Porém, não houve por parte do legislador qualquer menção à defi nição do que seria um. Nos 8 (oito) anos que se su-cederam nem o Poder Executivo, nem o Poder Legislativo buscaram sanar essa dúvida interpretativa.

Para o dicionário Michaelis, dispositivo pode ser defi nido como “3. Qualquer peça ou mecanismo de uma máquina destinados a uma função especial. 4. Inform. Cada uma das várias peças úteis ou máquinas menores de um equipamento” (grifo nosso).

Em nossa concepção e a partir do norte linguístico, um dispositivo in-formático pode ser qualquer hardware que trabalhe com o trato automáti-co de informações e possua em si capacidade de armazenamento de dados confi denciais.

Isso excluiria, por exemplo, sistemas. Ficaria excluído o conceito de contas em serviços exclusivamente on-line (por ausência de suporte/dispo-sitivo), soft wares (bens imateriais) e também aparelhos eletrônicos que não tenham por função específi ca o uso no ambiente informático e que não pos-suam dados resguardados pelo sigilo em si por não se adequarem ao destino da norma.

Desse modo, estariam incluídos nessa defi nição aparelhos celulares, ta-blets, smartphones, computadores, drives externos, fl ash drives, geladeiras de

442


última geração, aparelhos de GPS, relógios, vestíveis, quadros informatiza-dos, computadores de mesa, notebooks, porta-retratos digitais etc.

A segunda crítica se refere ao núcleo do tipo “invadir”, que signifi ca in-gressar sem autorização. Difere muito da expressão ignorada “devassar”, que representa a conduta de penetrar e/ou bisbilhotar um ambiente.

No caso, o dispositivo informático é o alvo do agente, que ingressa sem consentimento do titular. Na primeira fi gura, o sentido do verbo ultrapassa o mero ingresso no intento de simplesmente superar as barreiras informáti-cas garantistas do sigilo. É necessário que o objetivo seja ulterior ao desafi o do ingresso não autorizado e, destarte, objetive ações em dados específi cos.

Acreditamos ser imprescindível que o dolo seja o de afetar dados ou informações específi cas, bem como que as mudanças em arquivos ocorri-das com a mera fi nalidade de ingresso no sistema (por exemplo leitura dos arquivos de log para descobrimento da senha de acesso a uma determinada pasta), por si sós, não bastariam para a caracterização do delito por serem meramente meio, e não fi nalidade do agente.

Isso porque não restou como conduta tipifi cada o mero ingresso de-sautorizado sem fi nalidade específi ca. O legislador vinculou a conduta de ingresso forçado à fi nalidade do agente acerca de dados ou acerca de vanta-gem.

À polícia investigativa e ao Ministério Público caberá a tarefa de de-monstrar quais dados ou informações eram objetivadas, demonstrando e apontando a especial fi nalidade do agente no que se refere à violação da si-gilosidade. Relatórios ou denúncias vazias, sem demonstração específi ca do objetivo do agente, carecem de fundamento jurídico acerca da materialidade e do elemento subjetivo do agente, ensejando declaração de atipicidade da conduta por falta de justa causa.

O fato de a lei apresentar a expressão “violação indevida” preocupa e gera nossa terceira crítica.

A nosso ver, o legislador foi redundante, visto que toda a violação é in-devida. Quando devida, deixa de ser violação e passa a ser ingresso autori-zado ou ordem cumprida.

Até mesmo quando um magistrado permite a quebra do sigilo telemá-tico não se poderá utilizar da expressão “violação devida” ou “indevida”,

443


porquanto a autorização legal (ordem) retira o caráter violador por sua na-tureza permissiva. Violação devida, em si, não existirá, por inexistência de transgressão.

Outro elemento do tipo é o fato de ser necessário que o agente tenha violado indevidamente um mecanismo de segurança do dispositivo infor-mático.

Não se tem até o momento a defi nição de mecanismo de segurança de modo uniforme; logo acreditamos estar novamente diante de Norma Penal em branco, que aguardará defi nições porvindouras. Ressalve-se a necessi-dade de norma de hierarquia inferior (heterogênea), capaz de ser atualizada conforme evoluem as tecnologias de segurança.

Para nós, mecanismos de segurança são todos aqueles que têm como fi nalidade evitar o acesso de terceiros não legítimos a um sistema informá-tico e garantir autenticidade do detentor legítimo de acesso. Senhas, tokens, cartões de numeração, autenticação de dois fatores, criptografi a, estegano-grafi a, impressão palmar, leitura de íris, todos são exemplos de métodos de segurança para, simultaneamente restringir acesso alheio e certifi car-se da permissão para uso e alteração, por parte de um usuário.

Importante debatermos algo que o legislador não cuidou e que compõe nossa quarta crítica: os graus de acesso aos programas e dados dos disposi-tivos informáticos.

Existem três situações: (a) permissão para acesso total ao dispositivo; (b) permissão para acesso parcial ao dispositivo; (c) negação para acesso ao dispositivo. A própria legislação apresentou que permissões também podem ser classifi cadas em expressas ou tácitas.

Além disso, é necessário destacarmos que permissões de acesso podem ser revogadas a qualquer momento. O fato é que um acesso permitido pelo detentor do dispositivo informático pode ser unilateralmente revogado. Ou seja, é possível que, após a concessão de ingresso no dispositivo, o titular resolva, por qualquer motivo, proibir a continuidade no acesso e a perma-nência de um terceiro. Do mesmo modo como, durante uma relação sexual consentida, o parceiro pode revogar o consentimento.

Paralelamente, é uniforme na doutrina o raciocínio de que o delito de invasão de domicílio existe quando o ingresso na casa em sentido amplo se dá contra a vontade do morador ou quando o ingresso é permitido mas a

444


permanência se dá contra a vontade expressa de quem de direito. É possí-vel, assim, que alguém esteja em circunstância de invasão de domicílio após ter sido concedido acesso: basta que o morador titular revogue tal acesso e determine a saída. A permanência, após revogação do consentimento, é igualmente invasão.

Para tal situação, a legislação esclareceu que: “Artigo 150. (...) permane-cer (...) contra a vontade expressa ou tácita de quem de direito, em casa alheia ou em suas dependências”.

Ocorre que o novo artigo não prevê essa hipótese.

Desse modo, a concessão para ingresso no dispositivo, se revogada, não gera consequências penais, por ausência de previsão de uma conduta de “permanência ilícita em dispositivo informático alheio” no tipo. É penal-mente relevante somente a invasão, o ingresso, a entrada, pois.

Ainda na lógica da autorização, outra possibilidade existente seria a au-torização de acesso ao dispositivo ser concedida de modo limitado, parcial. Por exemplo: um titular dá a um técnico informático permissão para acessar suas confi gurações, porém não suas pastas de fotos.

Isso porque o acesso a dispositivo informático é fi gura material, e acesso a pastas e programas é fi gura imaterial. O legislador não levou isso em consi-deração também. Colocou como elemento do tipo o ingresso no dispositivo, e não em suas localidades imateriais.

Entendemos que, uma vez tendo o agente recebido autorização genérica ou em qualquer grau para ingresso no dispositivo, o núcleo do tipo invadir dispositivo informático, por si, já não mais se encontra presente. O acesso a pastas ou informações, com ou sem consentimento (autorização expressa ou tácita do titular do dispositivo), perde a importância, posto que a não sub-sunção ao núcleo do tipo, sozinha, já torna o ato atípico.

Logo, deparamo-nos, com outra dúvida acerca do novo tipo: O que quis dizer o legislador com a expressão “invadir (...) com o fi m de obter, adulte-rar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo”?

Vislumbramos, hipoteticamente, as situações abaixo:

445


1) O titular de um dispositivo dá autorização expressa ou tácita (no momento ou em momento anterior) para alguém obter um dado ou informação, e esse alguém, para esse fi m, invade sua máquina;

2) O titular de um dispositivo dá autorização expressa ou tácita (no momento ou em momento anterior) para alguém adulterar um dado ou informação, e esse alguém, para esse fi m, invade sua má-quina; e

3) O titular de um dispositivo dá autorização expressa ou tácita (no momento ou em momento anterior) para alguém destruir um dado ou informação, e esse alguém, para esse fi m, invade sua máquina.

Mas por que alguém que recebeu autorização do titular do dispositi-vo informático para obter, adulterar ou destruir seus dados ou informações precisaria/quereria invadir esse dispositivo? Não se trataria, portanto, de simples acesso autorizado tácito? Cremos que sim.

Na leitura da justifi cativa do projeto de lei, o que se vê é que o legislador informou que essa redação teve por objetivo punir-se

Apenas quando a conduta do agente estiver relacionada a determina-do resultado danoso ou quando o objetivo do agente for efetivamente censurável e não se confundir com atividades legítimas da Internet, excluindo-se assim, mais uma vez, os casos de mero acesso a informa-ções, ou os casos de obtenção de informações que, por sua natureza, não seriam passíveis de restrição de acesso.

Ora, mas por qual motivo se preocupou o legislador nesse sentido, se se trata de exclusão de responsabilidade penal em casos de ACESSO, e não INVASÃO, na primeira fi gura e de dados que “NÃO SERIAM PASSÍVEIS DE RESTRIÇÃO” na segunda fi gura? O próprio núcleo do tipo já estaria afastado.

Importante, porém, a identifi cação da circunstância, que é a fi gura do consentimento do ofendido e do caráter de disponibilidade determinado pelo legislador no que tange aos dados e às informações contidas nos dispo-sitivos informáticos. Isso, extensamente tratado na Lei Geral da Proteção de Dados e aqui alvo de nossa quinta crítica.

O normativo deixa claro que há grande importância na autorização do titular do dispositivo no que se refere aos dados e informações ali contidos.

446


Um ato de disponibilidade faz com que se anule totalmente o nível de ofen-sividade de uma conduta invasiva telemática em face de tais bens jurídicos.

Mas, no que se refere à anuência do titular do dispositivo, diversos pon-tos merecem destaque.

Parece-nos um pouco temeroso e indevido esse elemento do tipo. Isso por vários motivos.

O primeiro é não haver precisão para a forma com que a autorização expressa ou tácita será dada, nem o momento oportuno para sua verifi cação. Seria escrita? Oral? Por meio informático?

Poderá o violado autorizar a conduta sobre os dados ou informações a qualquer momento no inquérito ou processo-crime? Ou seria obrigatório no momento da conduta? Haverá algum momento em que a lide penal se es-tabilizará? Os princípios da indisponibilidade e inderrogabilidade recebem exceções com tal normativo?

Em segundo lugar, há um imenso defeito conceitual na compreensão da informática por parte do legislador, gerando norma anacrônica e imprecisa.

A sociedade passou por diversas evoluções na informática. Hoje, no Bra-sil, a maior parte da população tem smartphones e dispositivos informáticos.

Mesmo com a redução dos preços e do sumiço das lan houses, grande parte das residências ainda possui apenas um computador, compartilhado por diversos usuários, ou apenas smartphones.

Empresas também e normalmente cedem máquinas para uso de seus funcionários, universidades que cedem uso para seus alunos, professores e funcionários administrativos, dentre outros, apesar de uma cultura de BYOD1 lentamente crescer.

Tudo isso para demonstrar nossa preocupação com a falta de técnica do legislador ao deixar de levar em consideração a existência de sujeitos infor-máticos de diferentes naturezas.

1. BYOD é sigla em inglês que signifi ca “bring your own device” ou “traga seu próprio dispositivo”. Tra-ta-se de expressão que pode ser utilizadas com as semelhantes Bring Your Own Technology (BYOT), Bring Your Own Phone (BYOP) and Bring Your Own PC (BYOPC) e que tem como parâmetro a ideia do funcionário levar seu próprio dispositivo para o trabalho sem precisar utilizar-se de máquinas sob controle alheio. Mais informações em [https://www.techradar.com/news/computing/what-is-byod--and-why-is-it-important-1175088]. Acesso em 29.03.2020 às 20:55h.

447


Observe-se que é totalmente possível que um modem, um roteador ou um computador (ou outro dispositivo informático qualquer) seja comparti-lhado entre 2 (dois) ou mais usuários e que cada um deles possua suas pastas protegidas e acessos diferenciados ao sistema operacional, todos por meio de contrassenha.

E apenas um dos usuários, neste exemplo, seria o proprietário do dispo-sitivo. O titular civil do aparelho informático, portanto, cujo nome consta na nota fi scal de compra do aparelho.

Esse e somente esse é considerado pela norma como o ator relevante para o Direito Penal, no caput do artigo 154-A. Estranhamente é o proprie-tário do dispositivo a vítima verdadeira (exclusiva) do Tipo Penal. Em ver-dade, para ser sujeito passivo do tipo, é necessário ser titular de um disposi-tivo informático. E, por titular, compreenda-se o possuidor (que usa e goza) ou o proprietário do bem (que usa, goza e dispõe). Pouco importa o titular do dado, da conta ou do sistema.

Mas há outros sujeitos.

Há usuários da máquina, que não são titulares do dispositivo, mas o utilizam para criar e acessar contas de email, serviços on-line, contas em re-des sociais etc. Há usuários de máquinas alheias que utilizam o aparato para criar arquivos, gerar informações originais, criar dados pessoais e sensíveis, tudo recoberto com a proteção dos direitos autorais e dos dados.

Titulares de dados podem não ser titulares de dispositivos. E cada dia menos o são, numa sociedade prestes a minimizar o uso do suporte e maxi-mizar o uso do serviço sob demanda.

A Norma Penal, porém, ignorou a existência de quaisquer outros sujei-tos além do titular do dispositivo.

Ocorre que poderá haver situações em que o titular das informações e/ou dos dados será diverso do titular do dispositivo informático.

Como fi cará a questão da disponibilidade? Poderá uma pessoa titular de um dispositivo informático retirar a ofensividade de uma conduta invasiva que impacte dados de outrem?

Terá pensado o legislador em situações em que o dispositivo de uma pessoa é invadido para acessar ilegitimamente a conta de rede social de ou-trem e obter informações, por exemplo? Seria justo retirar da verdadeira

448


vítima que teve seus dados atacados a titularidade da anuência expressa ou tácita? A representação penal, pois, foi potencialmente retirada do lesado.

Acreditamos que o legislador apegou-se no ultrapassado conceito de materialidade, de hardware. Hoje, a telemática e a informática mais e mais trabalham com ideias de contas de usuários, de perfi s e de serviços exclu-sivamente on-line. Os aparatos materiais perdem espaço e importância a cada dia.

A escolha legislativa por dar ao titular do dispositivo conduta de impac-to no Direito Penal foi buscar o meio e ignorar o fi m do delito. Erro crasso.

Porém, há mais.

Como interpretar, por exemplo, anuência feita por titular de dispositivo informático que seja menor de 18 (dezoito) anos?

É totalmente possível que um menor de 18 (dezoito) anos que não pos-sui autorização legal para representar nem mesmo em seu favor no Direito Penal seja titular desse direito em questões informáticas? Se não seria neces-sário que seu representante legal anuísse em seu lugar?

Nesse caso, se Tício, titular dos dados, utilizando dispositivo informáti-co de propriedade de Mévio, de 17 (dezessete) anos, precisasse do represen-tante legal de Mévio, Sr. Crasso, para poder buscar a persecução penal por uma lesão por si sofrida?

Poderá a pessoa jurídica proprietária do bem informático decidir sobre dados e informações dos dispositivos utilizados por seus funcionários?

E se houver confl ito entre o titular proprietário do dispositivo informá-tico e o titular possuidor do dispositivo informático? Prevalece a anuência ou a proibição?

Se levarmos em conta o in dubio, pro reo, cremos que prevaleça a anuên-cia. Mas e o titular dos dados e informações? Ficaria ele sem proteção penal?

E informações e dados públicos acessados? Também terão proteção ju-rídico-penal? Ou o acesso a eles será resguardado pelo princípio da insigni-fi cância?

Reitera-se que a mera invasão, sem propósito de prejuízo ou obtenção de dados, não é considerada delito pelo legislador.

449


Outro ponto curioso também não levado em conta pelo legislador é o que se refere à migração da materialidade para a imaterialidade (uso de ser-viços on-line que independem do dispositivo ter confi gurações específi cas de hardware, ou soft wares especiais instalados), posto que faz com que a ex-pressão “dispositivo informático alheio” esteja inadequada.

Isso porque é perfeitamente possível o uso de dispositivo informático próprio para a obtenção/adulteração/destruição de dados ou informações que estejam hospedadas em serviços exclusivamente na rede. Nesses casos, será impossível identifi car o titular do alvo vitimizado.

É, também, possível que haja um dispositivo informático com diversos acessos independentes e diversas pastas protegidas por senhas. Dessa forma, é lógico que o titular do dispositivo não consiga acessar dados e informações de membros de sua família, por exemplo, graças a mecanismos de segurança de cada usuário separadamente.

Caso o titular do dispositivo conseguisse superar os mecanismos de se-gurança e obtivesse acesso ilegal aos dados, teria ele incorrido no novo de-lito? Temos que não, pela inexistência da característica de ser o dispositivo “alheio”, mas sim próprio. Novamente o foco no dispositivo material faz com que remanesça sem proteção o dado e a informação.

Assim, há uma imensa quantidade de situações que a legislação não abarcou fazendo-nos crer pela sua raríssima aplicabilidade pelos buracos em sua exegese e aplicação.

3. INVASÃO DE DISPOSITIVO INFORMÁTICO COM A FINALIDADE DE INSTALAR VULNERABILIDADES PARA OBTER VANTAGEM ILÍCITA

Novamente o artigo, com os destaques necessários:

Artigo 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fi m de obter, adulterar ou destruir dados ou in-formações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (…)

Esta é possivelmente a parte escrita de modo mais equívoco do ar-tigo. É impossível saber ao certo o que objetivou o legislador porque na

450


exposição de motivos não explicou a parte fi nal do artigo 154-A, deixando margem para 2 (duas) interpretações muito diferentes: ou se trata de OU-TRO fi m específi co da invasão informática, ou se trata de delito autônomo amplo. Observemos:

No primeiro caso, para a confi guração desse delito, seria necessário que a conduta apresentasse as seguintes características, necessariamente:

I. deve ter havido uma invasão ou uma tentativa de invasão de dispo-sitivo informático;

II. o dispositivo informático deve ser alheio;

III. o dispositivo pode estar conectado à rede de computadores ou não;

IV. a violação do mecanismo de segurança deve ter sido indevida;

V. deve haver objetivo de instalação (ato comissivo) de vulnerabilida-de informática para fi ns de obtenção de vantagem ilícita de qual-quer natureza.

Todas as anotações feitas no item anterior aplicam-se a este: difi culdade de defi nição do termo “dispositivo informático”, problemas conceituais na limitação do dispositivo alheio, a terminologia “mecanismo de segurança”, o conceito de “devido” e o não cuidado do legislador acerca dos níveis de acesso a dispositivos informáticos.

Aqui, o que muda é o especial fi m de agir do delinquente, que, do mes-mo modo como já mencionado, é fundamental como complemento no nú-cleo do tipo “invadir”.

Temos que, se for esta a interpretação, errou o legislador.

Primeiramente, é de se destacar que a única fi nalidade prevista na fi gura é a de obtenção de vantagem ilícita de qualquer natureza. Não deixou o legis-lador debate acerca de ser somente patrimonial a vantagem, podendo esta ser sexual, competitiva, intelectual etc.

Porém, a obtenção de tal vantagem ilícita só é relevante na invasão SE E SOMENTE SE, para tal objetivo, o agente instale vulnerabilidades no dispositivo alheio.

Com isso, pode-se dizer a contrario sensu, que a obtenção de vantagem (seja lícita ou ilícita) a partir de invasão de dispositivo alheio que não se

451


utiliza de instalação de vulnerabilidades é fato penalmente irrelevante e, portanto, não confi gura o delito. Isso porque o legislador vinculou a instala-ção de vulnerabilidades às tais vantagens ilícitas.

Nesse raciocínio, se alguém ingressa num dispositivo desprotegido, vulnerável por si só, e a partir disso obtém vantagem ilícita (p.ex., obtém informações privilegiadas de qualquer natureza ou vantagem patrimonial ou segredo), tal conduta não seria o delito da segunda fi gura da invasão de dispositivo informático. Isso porque não houve movimento positivo de ins-talação de vulnerabilidades.

Também, se em vez de o invasor instalar uma vulnerabilidade sim-plesmente explorar uma brecha na segurança do dispositivo, um bug origi-nário, uma porta aberta, ou acessar o dispositivo adivinhando a senha do titular, também não se poderá considerar que cometeu o delito do 154-A do Código Penal.

O segundo delito possível seria unicamente o de instalar vulnerabilida-des para obter vantagem ilícita. Nesse caso, teria o legislador buscado uma inteligente expressão genérica para preencher a conduta de instalação de vulnerabilidades para obter qualquer vantagem, desvinculando essa con-duta de todo o cabedal de elementos objetivos confusos da primeira parte do artigo. Esta forma de redação legislativa mais próxima da forma técnica adequada.

Se assim o for, teríamos, portanto, as seguinte 4 (quatro) situações no artigo 154-A:

a) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de obter dados ou informações sem autoriza-ção do titular do dispositivo;

b) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de adulterar dados ou informações sem au-torização do titular do dispositivo;

c) Devassar dispositivo informático alheio – conectado ou não à rede de computadores – mediante violação indevida de mecanismo de segurança, com o fi m de destruir dados ou informações sem auto-rização do titular do dispositivo;

CURSO DE DIREITO PENAL INFORMÁTICO€¦ · 432 DIREITO PENAL INFORMÁTICO • Parte Geral e...

Documents

Transcript of CURSO DE DIREITO PENAL INFORMÁTICO€¦ · 432 DIREITO PENAL INFORMÁTICO • Parte Geral e...