AULA_0309_1

Prévia do material em texto

''Lei Carolina Dieckmann'' sobre 
crimes na internet entra em 
vigor 
A Lei 12.737/2012 sobre crimes na internet entra em vigência nesta terça feira 
(2). Apelidada de "Lei Carolina Dieckmann", ela altera o Código Penal para 
tipificar como infrações uma série de condutas no ambiente digital, 
principalmente em relação à invasão de computadores, além de estabelecer 
punições específicas, algo inédito até então. 
Proposta pelo deputado Paulo Teixeira (PT-SP), a lei ganhou o nome 
"extraoficial" porque, na época em que o projeto tramitava na Câmara de 
Deputados, a atriz teve fotos pessoais divulgadas sem autorização. A nova 
leiclassifica como crime justamente casos como esse, em que há a invasão de 
computadores, tablets ou smartphones, conectados ou não à internet, "com o 
fim de obter, adulterar ou destruir dados ou informações". 
O advogado Antonio Carlos de Almeida Castro (conhecido como Kakay), que 
defende a atriz, classificou a atitude dela como um marco. "É o marco de uma 
pessoa que agiu com dignidade e coragem. Ela foi muito firme, queria provar 
que alguém cometeu um crime contra ela, que ela não havia feito nada de 
errado e que tinha o direito de manter sua privacidade", afirmou ao UOL 
Tecnologia. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
O Direito da Tecnologia da Informação: noções essenciais 
Marcelo Xavier de Freitas Crespo 
 
Mais do que nunca os termos “digital”, “eletrônico”, “informático”, “cibernético", 
“tecnologia da informação” são mencionados em explícita vinculação ao Direito. 
Somado isso ao fato de que faltam profissionais com estudo e preparo para atender 
adequadamente as demandas da sociedade envolta na tecnologia, obviamente 
surgem questionamentos, muitas vezes elementares, sobre o real posicionamento do 
Direito ante a modernidade tecnológica. Eis que neste texto aponta-se, 
resumidamente, sobre isso. 
O Direito nada mais é que conjunto de regras que ditam os parâmetros de 
comportamento social. Em assim sendo, trata-se de unidade essencial de ditames a 
serem socialmente seguidos. Didaticamente é dividido em ramos, como o penal, 
tributário, empresarial, civil, processual, todavia, é uno, sendo a divisão mera 
técnica metodológica para facilitar a explicação das suas minúcias. 
O Direito se produz a partir de fatos considerados importantes, a que se atribui um 
valor especial, merecendo, portanto, a proteção por meio de uma norma jurídica. 
Sendo um fenômeno cultural, deve estar preparado para acompanhar a realidade 
temporal e geográfica em que se desenvolve, uma vez que a tecnologia revoluciona 
aspectos sociais, políticos e econômicos, tendo importantes conseqüências jurídicas. 
Paralelamente a isso, é preciso considerar que principalmente a informática 
transformou-se em importantíssimo instrumento de informação. E este se tornou 
valioso bem econômico. Naturalmente, por conta disso, indagações quanto a leis que 
regulam as novidades trazidas pelo desenvolvimento tecnológico. 
Desta forma, o Direito da Tecnologia da Informação, também chamado de Direito da 
Informática e de Direito Digital, é uma realidade incontestável. Mas é preciso deixar 
claro algumas coisas. Vejamos: 
Como dito acima, o Direito é uno, apenas dividido em ramos para fins metodológicos. 
Mas o que se passa com a Tecnologia da Informação é um tanto quanto diferente dos 
ramos tradicionais da ciência jurídica. Eis que o Direito da Tecnologia da Informação 
não é e não deve ser considerado ramo jurídico. Devo, pois, ser tratado como novo 
olhar sobre questões já reguladas pelo Direito e, ainda, como prospecção de novas 
regulamentações sobre institutos modernos e ferramentas de última geração. 
O Direito da Tecnologia da Informação deve ser considerado verdadeira evolução no 
estudo e trato do Direito. Não se pode entendê-lo como criação de ramo próprio, 
com leis e princípios próprios porque seria humanamente impossível acompanhar o 
passo da evolução tecnológica. Tanto o Direito posto quanto as discussões legislativas 
não tem condições seguir simultaneamente o surgimento das novas tecnologias. 
Sempre estaremos um passo (ou muitos deles) atrás. O que não significa dizer que 
não se pode dar tratamento jurídico adequado às novidades tecnológicas, até porque 
o atraso legislativo no país parece ser a regra, nunca a exceção. 
Em outras palavras, é desejável entender que o Direito da Tecnologia da Informação 
esteja suscetível às mudanças culturais e, conseqüentemente, aos comportamentais 
vividas socialmente. Nem por isso trata-se de “novidade”, já que muitos dos assuntos 
tratados pelo Direito necessitam apenas de roupagem de vanguarda, mas sua 
essência é a já existente. É o que ocorre, por exemplo com o Direito Civil, mais 
enfaticamente no que diz respeito às obrigações e contratos; com o Direito do 
Consumidor no que tange à toda sua estrutura, mas especialmente nas relações de 
consumo, hipossuficiência, direito de arrependimento; com o Direito Tributário, 
peculiarmente nas questões que envolvem as imunidades (o que é considerado livro, 
por exemplo); com o direito penal, relativamente aos crimes. 
Vê-se que o Direito já atende, ao menos com alguma base regulamentadora, as 
inovações da tecnologia, embora devamos ter justamente a consciência da 
necessidade de se possibilitar roupagem mais moderna a certos institutos e regras 
jurídicas. 
Outra menção que deve ser feita é sobre o Direito da Tecnologia da Informação não 
ser exclusivamente relacionado à internet. Embora essa seja uma ferramenta de 
extraordinárias funcionalidades, deve-se considerá-lo vinculado a quaisquer 
inovações tecnológicas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
http://direitodatecnologia.blogspot.com.br/ 
 
Estatísticas de fraudes, proteção de dados pessoais e “pânico moral” 
Guilherme Damasio Goulart 
 
O CIFAS (organização sem fins lucrativos de prevenção de fraudes da 
Inglaterra) reportou que em 2012 houve o registro de 38.428 fraudes1 
envolvendo o acesso não autorizado a contas. De acordo com esta pesquisa, em 
65% das fraudes foi necessário que os agentes tivessem que ter acesso a dados 
pessoais dos usuários para o cometimento dos crimes. Esta aquisição de dados 
pessoais envolve desde ações de hacking, engenharia social e também 
interceptação de correspondência e e-mails. 
 
Os números ingleses mostram que houve um aumento de 53% das fraudes 
envolvendo o acesso não autorizado a contas, de 2011 para 2012. Porém estes 
números vistos isoladamente podem não signifcar muito. Seria necessário 
verificar também o crescimento do número de usuários e do número de 
serviços e contas (sabe-se que os usuários cadastram-se em novos serviços com 
uma frequência bastante grande). Além do mais, seria importante verificar a 
diminuição da frequência de outras atividades criminosas. Dependendo da 
situação, o criminoso migra de atividade, partindo para ações de menos risco 
ou de maior custo-benefício (aumentando assim o seu benefício marginal)2. 
 
Destaca-se, inicialmente, a grande diferença de números de fraudes envolvendo 
a Inglaterra e o Brasil. É evidente que se tratam de países diferentes, com 
realidades absolutamente distintas (inclusive em relação à educação e à 
tecnologia) e também com números de habitantes diferentes. Mesmo assim, a 
natureza das estatísticas - e a sensação que sua divulgação causa - deve ser 
destacada. A Serasa reportou recentemente a notícia de que a cada 15 segundos 
uma pessoa seria vítima de “tentativa de fraude” no Brasil e ainda que, de 
janeiro a setembro de 2012, houve 1.565.028 tentativas de fraude3. Infelizmente, 
a Serasa não reportou a quantidade de fraudes concretizadas (o que ainda assim 
é relativo pois uma fraude pode ocorrer e ser reportada - ou não - para outro 
órgão que não a Serasa) e ainda utilizou, em minha opinião, um método 
questionável para chegar a estes resultados (o que será objeto de artigo futuro 
sobre o assunto). De qualquer forma, na Inglaterra, ao contrário, trabalha-se 
com o número de fraudes concretizadase reportadas, o que parece estar muito 
mais próximo da realidade (bastando comparar os números). Além do mais, o 
conceito do que venha a ser “tentativa de fraude” pode ser bastante amplo, 
questionável e envolver até mesmo ações que não podem ser consideradas uma 
tentativa. É verdade que a violação da privacidade e a ocorrência das referidas 
fraudes é um grande problema que deve ser considerado pelos profissionais do 
Direito da Tecnologia e da Segurança da Informação. O objetivo deste pequeno 
artigo não é retirar a importância do tema, mas sim estabelecer uma análise 
crítica sobre como o assunto é geralmente tratado. 
 
Insuflar números de segurança da informação ou tentar formar cenários irreais 
de risco cria o que Bruce Schneier chamou de “Teatro de Segurança”4. Esta 
situação pode fazer com que os agentes invistam muito mais recursos do que o 
necessário para controles de segurança da informação - e, por consequência, 
transfiram mais recursos às empresas de segurança da informação. Por outro 
lado, pode criar também o chamado “pânico moral” (assim visto como uma 
reação social), que se caracteriza por situações envolvendo uma falsa e intensa 
sensação de medo acerca de um assunto. Stanley Cohen5 define o pânico moral 
como uma condição, episódio, pessoa ou grupo de pessoas que emergem e 
passam a ser definidos como uma “ameaça aos valores e interesses da 
sociedade”; geralmente sua natureza é apresentada de maneira “estilizada” e 
“estereotipada” pela grande mídia. O “pânico” é caracterizado pelo súbito e 
excessivo sentimento de alarme ou medo, conforme David Garland6. A 
desproporção entre a reação ao fato que a desencadeia também caracteriza o 
pânico moral. Garland ainda menciona algumas condições que quase sempre 
estão em situações de pânico moral, e que podem ser relacionadas com 
situações envolvendo a tecnologia da informação, entre elas: a existência de 
uma mídia de massa sensacionalista envolvida (defendo, há muito, que existe 
uma verdadeira mídia sensacionalista acerca da segurança da informação e da 
medição de risco que insufla resultados de segurança com pesquisas sem base 
científica ou estatística); a descoberta de uma nova forma de desvio que veio a 
causar a situação (situação que se encaixa muito bem com o espanto diante de 
novas vulnerabilidades e formas de exploração envolvendo a violação de 
dados); a existência de grupos marginalizados que passam a ser caracterizados 
como "folk devils"7 (no nosso ambiente, representado pelos hackers e crackers, 
e que geralmente também envolvem a existência de comportamentos hostis 
pela sociedade em relação àquele que foi classificado como um “folk devil”) e, 
por último, uma audiência já sensibilizada8 (aqui representada por pessoas 
envolvidas nas atividades de TI que, nem sempre, possuem meios de avaliar o 
risco e reagem de maneira inadequada e desproporcional diante de situações de 
risco). 
 
Situações que ameaçam hierarquias, que impactam em mudanças sociais ou que 
levam estruturas já existentes ao colapso também são fontes de pânico moral9. 
É verdade que situações de “pânico moral” podem levar um determinado 
assunto (e aqui falamos sobre a relação entre proteção de dados e pânico moral) 
a ser discutido e enfrentado pelas pessoas e pelas autoridades. Porém, e essa é a 
questão central, tomar decisões baseado em situações de “pânico” é muito 
perigoso; a racionalidade e a visão técnica não deve ser abandonada em troca 
de reações emocionais e apaixonadas (no caso da segurança da informação, a 
paixão por tecnologias, soluções, marcas ou empresas). Neste sentido, situações 
de “pânico moral” podem ser utilizadas e voluntariamente organizadas e 
direcionadas para o aumento de lucro de uma organização, principalmente ao 
se aproveitar da assimetria informacional entre as empresas e os responsáveis e 
também aquilo que os economistas chamam de bounded rationality (ou 
racionalidade limitada)10. A relação entre o "pânico moral" aplicado à 
tecnologia da informação já foi analisada, sendo chamada por Adam Thierer de 
"tecnopânico"11. 
 
Destaca-se, portanto, a importância de legislações e ações gerais dos Estados 
para a proteção de dados pessoais e sensíveis. É muito perigoso o descontrole e 
a insegurança jurídica, principalmente no Brasil, que envolve o uso e 
processamento de dados pessoais. Se o recolhimento e uso de dados pessoais é 
o primeiro passo para esse tipo de crime é imperioso que o país possua uma 
regulação sobre a atividade de aquisição e processamento de dados pessoais. O 
Brasil possui um anteprojeto (que pode ser visto aqui 
http://culturadigital.br/dadospessoais/) mas que, no entanto, não possui 
previsão para ser votado12. Os recentes acontecimentos envolvendo a demora e 
a falta de consenso no Congresso Nacional sobre o Marco Civil da Internet13 
parecem revelar um futuro incerto acerca da aprovação de ambos os projetos. 
 
Ao contrário do Brasil, a União Europeia possui uma série de diretivas sobre o 
assunto que orientam os países membros. A França, por exemplo, possui 
inclusive um órgão específico de proteção, a CNIL - Commission Nationale de 
l'Informatique et des Libertés - nos moldes do Conselho Nacional de Proteção 
de Dados Pessoais, proposto no projeto brasileiro. Também não é necessário ir 
muito longe. Há exemplos próximos, na América Latina, de países com 
legislações de proteção de dados, como o Uruguai14 e a Argentina15. A 
experiência uruguaia é tão positiva que a União Europeia reconheceu, em 
agosto de 2012, que aquele país possui status de proteção adequada, de acordo 
com as diretivas europeias, principalmente a Diretiva 95/46/CE16. 
 
De qualquer forma, o aumento (ou migração) deste tipo de fraude atinge não 
apenas o usuário final como também as empresas. É necessária não apenas a 
adoção de um padrão regulatório para a matéria como também o incremento da 
segurança inclusive nos métodos de autenticação (principalmente com o uso de 
múltiplos fatores de autenticação) e também a conscientização dos usuários 
acerca do chamado “over sharing” (situações em que as pessoas abusam de 
publicações na Internet que envolvem a consciente informação de detalhes 
sobre sua vida pessoa). 
 
Por fim os tomadores de decisões, os técnicos de TI e do Direito, as autoridades 
responsáveis pela tomada de decisões e por políticas públicas bem como as 
pessoas em geral devem estar cientes das implicações do chamado “pânico 
moral”. Deve haver uma certa isenção, por parte destes agentes, em relação aos 
comportamentos da sociedade que possam ser caracterizados como de “pânico 
moral”. Não parece ser adequada a tomada de decisões precipitadas baseadas 
nos anseios provenientes de situações de pânico, abandonando-se, assim, a 
racionalidade. 
 
Notas 
 
[1] Cf. Personal data theft behind 65% of all fraud cases, says UK Fraud 
Prevention Service - http://www.out-
law.com/en/articles/2013/january/personal-data-theft-behind-65-of-all-fraud-
cases-says-uk-fraud-prevention-service/ 
 
[2] Sobre isso ver COOTER, Robert; ULEN, Thomas. Law and Economics. 3ª ed. 
Addison Wesley Longman, 2000. Cap. 11. 
 
[3] Ver A cada 15 segundos uma pessoa é vítima de tentativa de fraude no 
Brasil, aponta indicador Serasa Experian. Disponíve em: 
<http://www.serasaexperian.com.br/release/noticias/2012/noticia_00998.ht
m>. Acesso em: 09 de Novembro de 2012 
 
[4] Ver SCHNEIER, Bruce. Em louvor ao Teatro da Segurança. Trad. 
GOULART, Guilherme Damasio; SERAFIM, Vinícius. Disponível em: 
<http://www.brownpipe.com.br/artigos/em-louvor-ao-teatro-da-seguranca>. 
Acesso em: 8 de Fev. de 2013. Ver também o podcast Segurança Legal onde o 
Prof. Dr. Pedro Rezende, da UNB, foi entrevistado sobre o mesmo assunto, 
disponível em: http://www.segurancalegal.com/2012/12/episodio-13-teatro-
da-seguranca.html 
 
[5] COHEN, Stanley. Folk Devils and Moral Panics: The Creation of the Mods 
and Rockers. London: MacGibbon and Kee, 1972. 
 
[6] GARLAND, David. On the concept of moral panic. Crime, Media, Culture. 
V. 4, n. 1, Disponívelem: 
<http://cmc.sagepub.com/cgi/doi/10.1177/1741659007087270>. Acesso em: 
29 dez. 2012. p. 10-11. 
 
[7] Ao que se sabe o termo “folk devil”, neste contexto de pânico moral, foi 
cunhado por Cohen. Ver também o verbete na WikiPedia em 
http://en.wikipedia.org/wiki/Folk_devil. 
 
[8] GARLAND, David. Ibid. p. 11. 
 
[9] Idem. Ibid. p. 14. 
 
[10] Sobre o conceito de racionalidade limitada ver FAURE, Michael G. 
Calabresi and Behavioural Tort Law and Economics. Erasmus Law Review. Vol. 
1, n. 4, 2008. 
Bruce Schneier já tratou sobre a relação entre questões econômicas, 
comportamentais, cognitivas e sociais na segurança em SCHNEIER, 
Bruce. The Psychology of Security. Disponível em: 
<http://www.schneier.com/essay-155.html>. Acesso em: 10 de Abril de 2009. 
Ele destaca que mesmo que os campos da economia comportamental e da 
psicologia, incluindo-se aí a questão da "racionalidade limitada", não tenham 
relação direta com segurança da informação eles tem relação direta com o risco: 
"behavioral economics more in relation to economic risk, and the psychology of 
decision-making more generally in terms of security risks. But both fields go a 
long way to explain the divergence between the feeling and the reality of 
security and, more importantly, where that divergence comes from." 
Ainda sobre a relação específica entre economia e segurança da informação e o 
tratamento específico da racionalidade limitada como um limitador da 
capacidade de buscar a melhor alternativa para um problema ver ACQUISTI, 
Alessandro; GROSSKLAG, Jens. What Can Behavioral Economics Teach Us 
about Privacy? In: ACQUISTI, Alessandro. et. al (ed.) Digital Privacy: Theory, 
Technologies, and Practices. Boca Raton: Auerbach Publications, 2008. Cap. 18. 
 
[11] THIERER, Adam. Against Techno-Panics. Disponível em: 
<http://techliberation.com/2009/07/15/against-techno-panics>. Acesso em 14 
de Janeiro de 2013. 
 
[12] Embora esteja pronto para ser enviado ao Congresso conforme pode ser 
visto em GOMES, Helton Simões. Governo finaliza projeto que regula a 
exploração de dados pessoais. Folha de São Paulo. 4 de Fevereiro de 2013. 
Disponível em: <http://www1.folha.uol.com.br/tec/1224492-governo-finaliza-
projeto-que-regula-a-exploracao-de-dados-pessoais.shtml>. 
 
[13] Ver PASSARINHO, Natalia. Votação do Marco Civil da Internet é adiada 
pela sexta vez na Câmara. G1. 5 de Dezembro de 2012. Disponível em: 
<http://g1.globo.com/politica/noticia/2012/12/votacao-do-marco-civil-da-
internet-e-adiada-pela-sexta-vez-na-camara.html> 
 
[14] Lei Uruguaia n. 18.331. Disponível em: 
<http://www.parlamento.gub.uy/leyes/AccesoTextoLey.asp?Ley=18331&Anc
hor=> 
 
[15] Lei Argentina n. 25.326. Disponível em: 
<http://www.protecciondedatos.com.ar/ley25326.htm> 
 
[16] Gran paso: Uruguay logra adecuación en Protección de datos. Disponível 
em: 
<http://www.agesic.gub.uy/innovaportal/v/2303/1/agesic/gran_paso:_urug
uay_logra_adecuacion_en_proteccion_de_datos.html>. Acesso em: 12 de 
Setembro de 2012.