Baixe o app para aproveitar ainda mais
Prévia do material em texto
''Lei Carolina Dieckmann'' sobre crimes na internet entra em vigor A Lei 12.737/2012 sobre crimes na internet entra em vigência nesta terça feira (2). Apelidada de "Lei Carolina Dieckmann", ela altera o Código Penal para tipificar como infrações uma série de condutas no ambiente digital, principalmente em relação à invasão de computadores, além de estabelecer punições específicas, algo inédito até então. Proposta pelo deputado Paulo Teixeira (PT-SP), a lei ganhou o nome "extraoficial" porque, na época em que o projeto tramitava na Câmara de Deputados, a atriz teve fotos pessoais divulgadas sem autorização. A nova leiclassifica como crime justamente casos como esse, em que há a invasão de computadores, tablets ou smartphones, conectados ou não à internet, "com o fim de obter, adulterar ou destruir dados ou informações". O advogado Antonio Carlos de Almeida Castro (conhecido como Kakay), que defende a atriz, classificou a atitude dela como um marco. "É o marco de uma pessoa que agiu com dignidade e coragem. Ela foi muito firme, queria provar que alguém cometeu um crime contra ela, que ela não havia feito nada de errado e que tinha o direito de manter sua privacidade", afirmou ao UOL Tecnologia. O Direito da Tecnologia da Informação: noções essenciais Marcelo Xavier de Freitas Crespo Mais do que nunca os termos “digital”, “eletrônico”, “informático”, “cibernético", “tecnologia da informação” são mencionados em explícita vinculação ao Direito. Somado isso ao fato de que faltam profissionais com estudo e preparo para atender adequadamente as demandas da sociedade envolta na tecnologia, obviamente surgem questionamentos, muitas vezes elementares, sobre o real posicionamento do Direito ante a modernidade tecnológica. Eis que neste texto aponta-se, resumidamente, sobre isso. O Direito nada mais é que conjunto de regras que ditam os parâmetros de comportamento social. Em assim sendo, trata-se de unidade essencial de ditames a serem socialmente seguidos. Didaticamente é dividido em ramos, como o penal, tributário, empresarial, civil, processual, todavia, é uno, sendo a divisão mera técnica metodológica para facilitar a explicação das suas minúcias. O Direito se produz a partir de fatos considerados importantes, a que se atribui um valor especial, merecendo, portanto, a proteção por meio de uma norma jurídica. Sendo um fenômeno cultural, deve estar preparado para acompanhar a realidade temporal e geográfica em que se desenvolve, uma vez que a tecnologia revoluciona aspectos sociais, políticos e econômicos, tendo importantes conseqüências jurídicas. Paralelamente a isso, é preciso considerar que principalmente a informática transformou-se em importantíssimo instrumento de informação. E este se tornou valioso bem econômico. Naturalmente, por conta disso, indagações quanto a leis que regulam as novidades trazidas pelo desenvolvimento tecnológico. Desta forma, o Direito da Tecnologia da Informação, também chamado de Direito da Informática e de Direito Digital, é uma realidade incontestável. Mas é preciso deixar claro algumas coisas. Vejamos: Como dito acima, o Direito é uno, apenas dividido em ramos para fins metodológicos. Mas o que se passa com a Tecnologia da Informação é um tanto quanto diferente dos ramos tradicionais da ciência jurídica. Eis que o Direito da Tecnologia da Informação não é e não deve ser considerado ramo jurídico. Devo, pois, ser tratado como novo olhar sobre questões já reguladas pelo Direito e, ainda, como prospecção de novas regulamentações sobre institutos modernos e ferramentas de última geração. O Direito da Tecnologia da Informação deve ser considerado verdadeira evolução no estudo e trato do Direito. Não se pode entendê-lo como criação de ramo próprio, com leis e princípios próprios porque seria humanamente impossível acompanhar o passo da evolução tecnológica. Tanto o Direito posto quanto as discussões legislativas não tem condições seguir simultaneamente o surgimento das novas tecnologias. Sempre estaremos um passo (ou muitos deles) atrás. O que não significa dizer que não se pode dar tratamento jurídico adequado às novidades tecnológicas, até porque o atraso legislativo no país parece ser a regra, nunca a exceção. Em outras palavras, é desejável entender que o Direito da Tecnologia da Informação esteja suscetível às mudanças culturais e, conseqüentemente, aos comportamentais vividas socialmente. Nem por isso trata-se de “novidade”, já que muitos dos assuntos tratados pelo Direito necessitam apenas de roupagem de vanguarda, mas sua essência é a já existente. É o que ocorre, por exemplo com o Direito Civil, mais enfaticamente no que diz respeito às obrigações e contratos; com o Direito do Consumidor no que tange à toda sua estrutura, mas especialmente nas relações de consumo, hipossuficiência, direito de arrependimento; com o Direito Tributário, peculiarmente nas questões que envolvem as imunidades (o que é considerado livro, por exemplo); com o direito penal, relativamente aos crimes. Vê-se que o Direito já atende, ao menos com alguma base regulamentadora, as inovações da tecnologia, embora devamos ter justamente a consciência da necessidade de se possibilitar roupagem mais moderna a certos institutos e regras jurídicas. Outra menção que deve ser feita é sobre o Direito da Tecnologia da Informação não ser exclusivamente relacionado à internet. Embora essa seja uma ferramenta de extraordinárias funcionalidades, deve-se considerá-lo vinculado a quaisquer inovações tecnológicas. http://direitodatecnologia.blogspot.com.br/ Estatísticas de fraudes, proteção de dados pessoais e “pânico moral” Guilherme Damasio Goulart O CIFAS (organização sem fins lucrativos de prevenção de fraudes da Inglaterra) reportou que em 2012 houve o registro de 38.428 fraudes1 envolvendo o acesso não autorizado a contas. De acordo com esta pesquisa, em 65% das fraudes foi necessário que os agentes tivessem que ter acesso a dados pessoais dos usuários para o cometimento dos crimes. Esta aquisição de dados pessoais envolve desde ações de hacking, engenharia social e também interceptação de correspondência e e-mails. Os números ingleses mostram que houve um aumento de 53% das fraudes envolvendo o acesso não autorizado a contas, de 2011 para 2012. Porém estes números vistos isoladamente podem não signifcar muito. Seria necessário verificar também o crescimento do número de usuários e do número de serviços e contas (sabe-se que os usuários cadastram-se em novos serviços com uma frequência bastante grande). Além do mais, seria importante verificar a diminuição da frequência de outras atividades criminosas. Dependendo da situação, o criminoso migra de atividade, partindo para ações de menos risco ou de maior custo-benefício (aumentando assim o seu benefício marginal)2. Destaca-se, inicialmente, a grande diferença de números de fraudes envolvendo a Inglaterra e o Brasil. É evidente que se tratam de países diferentes, com realidades absolutamente distintas (inclusive em relação à educação e à tecnologia) e também com números de habitantes diferentes. Mesmo assim, a natureza das estatísticas - e a sensação que sua divulgação causa - deve ser destacada. A Serasa reportou recentemente a notícia de que a cada 15 segundos uma pessoa seria vítima de “tentativa de fraude” no Brasil e ainda que, de janeiro a setembro de 2012, houve 1.565.028 tentativas de fraude3. Infelizmente, a Serasa não reportou a quantidade de fraudes concretizadas (o que ainda assim é relativo pois uma fraude pode ocorrer e ser reportada - ou não - para outro órgão que não a Serasa) e ainda utilizou, em minha opinião, um método questionável para chegar a estes resultados (o que será objeto de artigo futuro sobre o assunto). De qualquer forma, na Inglaterra, ao contrário, trabalha-se com o número de fraudes concretizadase reportadas, o que parece estar muito mais próximo da realidade (bastando comparar os números). Além do mais, o conceito do que venha a ser “tentativa de fraude” pode ser bastante amplo, questionável e envolver até mesmo ações que não podem ser consideradas uma tentativa. É verdade que a violação da privacidade e a ocorrência das referidas fraudes é um grande problema que deve ser considerado pelos profissionais do Direito da Tecnologia e da Segurança da Informação. O objetivo deste pequeno artigo não é retirar a importância do tema, mas sim estabelecer uma análise crítica sobre como o assunto é geralmente tratado. Insuflar números de segurança da informação ou tentar formar cenários irreais de risco cria o que Bruce Schneier chamou de “Teatro de Segurança”4. Esta situação pode fazer com que os agentes invistam muito mais recursos do que o necessário para controles de segurança da informação - e, por consequência, transfiram mais recursos às empresas de segurança da informação. Por outro lado, pode criar também o chamado “pânico moral” (assim visto como uma reação social), que se caracteriza por situações envolvendo uma falsa e intensa sensação de medo acerca de um assunto. Stanley Cohen5 define o pânico moral como uma condição, episódio, pessoa ou grupo de pessoas que emergem e passam a ser definidos como uma “ameaça aos valores e interesses da sociedade”; geralmente sua natureza é apresentada de maneira “estilizada” e “estereotipada” pela grande mídia. O “pânico” é caracterizado pelo súbito e excessivo sentimento de alarme ou medo, conforme David Garland6. A desproporção entre a reação ao fato que a desencadeia também caracteriza o pânico moral. Garland ainda menciona algumas condições que quase sempre estão em situações de pânico moral, e que podem ser relacionadas com situações envolvendo a tecnologia da informação, entre elas: a existência de uma mídia de massa sensacionalista envolvida (defendo, há muito, que existe uma verdadeira mídia sensacionalista acerca da segurança da informação e da medição de risco que insufla resultados de segurança com pesquisas sem base científica ou estatística); a descoberta de uma nova forma de desvio que veio a causar a situação (situação que se encaixa muito bem com o espanto diante de novas vulnerabilidades e formas de exploração envolvendo a violação de dados); a existência de grupos marginalizados que passam a ser caracterizados como "folk devils"7 (no nosso ambiente, representado pelos hackers e crackers, e que geralmente também envolvem a existência de comportamentos hostis pela sociedade em relação àquele que foi classificado como um “folk devil”) e, por último, uma audiência já sensibilizada8 (aqui representada por pessoas envolvidas nas atividades de TI que, nem sempre, possuem meios de avaliar o risco e reagem de maneira inadequada e desproporcional diante de situações de risco). Situações que ameaçam hierarquias, que impactam em mudanças sociais ou que levam estruturas já existentes ao colapso também são fontes de pânico moral9. É verdade que situações de “pânico moral” podem levar um determinado assunto (e aqui falamos sobre a relação entre proteção de dados e pânico moral) a ser discutido e enfrentado pelas pessoas e pelas autoridades. Porém, e essa é a questão central, tomar decisões baseado em situações de “pânico” é muito perigoso; a racionalidade e a visão técnica não deve ser abandonada em troca de reações emocionais e apaixonadas (no caso da segurança da informação, a paixão por tecnologias, soluções, marcas ou empresas). Neste sentido, situações de “pânico moral” podem ser utilizadas e voluntariamente organizadas e direcionadas para o aumento de lucro de uma organização, principalmente ao se aproveitar da assimetria informacional entre as empresas e os responsáveis e também aquilo que os economistas chamam de bounded rationality (ou racionalidade limitada)10. A relação entre o "pânico moral" aplicado à tecnologia da informação já foi analisada, sendo chamada por Adam Thierer de "tecnopânico"11. Destaca-se, portanto, a importância de legislações e ações gerais dos Estados para a proteção de dados pessoais e sensíveis. É muito perigoso o descontrole e a insegurança jurídica, principalmente no Brasil, que envolve o uso e processamento de dados pessoais. Se o recolhimento e uso de dados pessoais é o primeiro passo para esse tipo de crime é imperioso que o país possua uma regulação sobre a atividade de aquisição e processamento de dados pessoais. O Brasil possui um anteprojeto (que pode ser visto aqui http://culturadigital.br/dadospessoais/) mas que, no entanto, não possui previsão para ser votado12. Os recentes acontecimentos envolvendo a demora e a falta de consenso no Congresso Nacional sobre o Marco Civil da Internet13 parecem revelar um futuro incerto acerca da aprovação de ambos os projetos. Ao contrário do Brasil, a União Europeia possui uma série de diretivas sobre o assunto que orientam os países membros. A França, por exemplo, possui inclusive um órgão específico de proteção, a CNIL - Commission Nationale de l'Informatique et des Libertés - nos moldes do Conselho Nacional de Proteção de Dados Pessoais, proposto no projeto brasileiro. Também não é necessário ir muito longe. Há exemplos próximos, na América Latina, de países com legislações de proteção de dados, como o Uruguai14 e a Argentina15. A experiência uruguaia é tão positiva que a União Europeia reconheceu, em agosto de 2012, que aquele país possui status de proteção adequada, de acordo com as diretivas europeias, principalmente a Diretiva 95/46/CE16. De qualquer forma, o aumento (ou migração) deste tipo de fraude atinge não apenas o usuário final como também as empresas. É necessária não apenas a adoção de um padrão regulatório para a matéria como também o incremento da segurança inclusive nos métodos de autenticação (principalmente com o uso de múltiplos fatores de autenticação) e também a conscientização dos usuários acerca do chamado “over sharing” (situações em que as pessoas abusam de publicações na Internet que envolvem a consciente informação de detalhes sobre sua vida pessoa). Por fim os tomadores de decisões, os técnicos de TI e do Direito, as autoridades responsáveis pela tomada de decisões e por políticas públicas bem como as pessoas em geral devem estar cientes das implicações do chamado “pânico moral”. Deve haver uma certa isenção, por parte destes agentes, em relação aos comportamentos da sociedade que possam ser caracterizados como de “pânico moral”. Não parece ser adequada a tomada de decisões precipitadas baseadas nos anseios provenientes de situações de pânico, abandonando-se, assim, a racionalidade. Notas [1] Cf. Personal data theft behind 65% of all fraud cases, says UK Fraud Prevention Service - http://www.out- law.com/en/articles/2013/january/personal-data-theft-behind-65-of-all-fraud- cases-says-uk-fraud-prevention-service/ [2] Sobre isso ver COOTER, Robert; ULEN, Thomas. Law and Economics. 3ª ed. Addison Wesley Longman, 2000. Cap. 11. [3] Ver A cada 15 segundos uma pessoa é vítima de tentativa de fraude no Brasil, aponta indicador Serasa Experian. Disponíve em: <http://www.serasaexperian.com.br/release/noticias/2012/noticia_00998.ht m>. Acesso em: 09 de Novembro de 2012 [4] Ver SCHNEIER, Bruce. Em louvor ao Teatro da Segurança. Trad. GOULART, Guilherme Damasio; SERAFIM, Vinícius. Disponível em: <http://www.brownpipe.com.br/artigos/em-louvor-ao-teatro-da-seguranca>. Acesso em: 8 de Fev. de 2013. Ver também o podcast Segurança Legal onde o Prof. Dr. Pedro Rezende, da UNB, foi entrevistado sobre o mesmo assunto, disponível em: http://www.segurancalegal.com/2012/12/episodio-13-teatro- da-seguranca.html [5] COHEN, Stanley. Folk Devils and Moral Panics: The Creation of the Mods and Rockers. London: MacGibbon and Kee, 1972. [6] GARLAND, David. On the concept of moral panic. Crime, Media, Culture. V. 4, n. 1, Disponívelem: <http://cmc.sagepub.com/cgi/doi/10.1177/1741659007087270>. Acesso em: 29 dez. 2012. p. 10-11. [7] Ao que se sabe o termo “folk devil”, neste contexto de pânico moral, foi cunhado por Cohen. Ver também o verbete na WikiPedia em http://en.wikipedia.org/wiki/Folk_devil. [8] GARLAND, David. Ibid. p. 11. [9] Idem. Ibid. p. 14. [10] Sobre o conceito de racionalidade limitada ver FAURE, Michael G. Calabresi and Behavioural Tort Law and Economics. Erasmus Law Review. Vol. 1, n. 4, 2008. Bruce Schneier já tratou sobre a relação entre questões econômicas, comportamentais, cognitivas e sociais na segurança em SCHNEIER, Bruce. The Psychology of Security. Disponível em: <http://www.schneier.com/essay-155.html>. Acesso em: 10 de Abril de 2009. Ele destaca que mesmo que os campos da economia comportamental e da psicologia, incluindo-se aí a questão da "racionalidade limitada", não tenham relação direta com segurança da informação eles tem relação direta com o risco: "behavioral economics more in relation to economic risk, and the psychology of decision-making more generally in terms of security risks. But both fields go a long way to explain the divergence between the feeling and the reality of security and, more importantly, where that divergence comes from." Ainda sobre a relação específica entre economia e segurança da informação e o tratamento específico da racionalidade limitada como um limitador da capacidade de buscar a melhor alternativa para um problema ver ACQUISTI, Alessandro; GROSSKLAG, Jens. What Can Behavioral Economics Teach Us about Privacy? In: ACQUISTI, Alessandro. et. al (ed.) Digital Privacy: Theory, Technologies, and Practices. Boca Raton: Auerbach Publications, 2008. Cap. 18. [11] THIERER, Adam. Against Techno-Panics. Disponível em: <http://techliberation.com/2009/07/15/against-techno-panics>. Acesso em 14 de Janeiro de 2013. [12] Embora esteja pronto para ser enviado ao Congresso conforme pode ser visto em GOMES, Helton Simões. Governo finaliza projeto que regula a exploração de dados pessoais. Folha de São Paulo. 4 de Fevereiro de 2013. Disponível em: <http://www1.folha.uol.com.br/tec/1224492-governo-finaliza- projeto-que-regula-a-exploracao-de-dados-pessoais.shtml>. [13] Ver PASSARINHO, Natalia. Votação do Marco Civil da Internet é adiada pela sexta vez na Câmara. G1. 5 de Dezembro de 2012. Disponível em: <http://g1.globo.com/politica/noticia/2012/12/votacao-do-marco-civil-da- internet-e-adiada-pela-sexta-vez-na-camara.html> [14] Lei Uruguaia n. 18.331. Disponível em: <http://www.parlamento.gub.uy/leyes/AccesoTextoLey.asp?Ley=18331&Anc hor=> [15] Lei Argentina n. 25.326. Disponível em: <http://www.protecciondedatos.com.ar/ley25326.htm> [16] Gran paso: Uruguay logra adecuación en Protección de datos. Disponível em: <http://www.agesic.gub.uy/innovaportal/v/2303/1/agesic/gran_paso:_urug uay_logra_adecuacion_en_proteccion_de_datos.html>. Acesso em: 12 de Setembro de 2012.
Compartilhar