Publicado no Migalhas.
O Direito Eletrônico não pode ser analisado pela casuística
Não se passaram nem 24 horas desde a aprovação, pelo Senado Federal, do projeto de lei 35/2012 (já popularmente batizada de “Lei Carolina Dieckmann”) e no melhor estilo da internet – onde as informações se propagam com uma rapidez viral -, os principais meios de comunicação foram tomados por essa notícia e, o que é pior, tratando-a como se fosse a salvação de todos os problemas da internet. E não é!
De fato, muitas condutas atentatórias contra diversos bens jurídicos não possuem tipificação penal em nosso ordenamento e, por isso, não são passíveis de punição. Daí, de pronto, é bom deixar claro que não somos contra a elaboração de legislação específica visando a esse fim. O que colocamos em xeque é a produção de lei motivada pela casuística – aqui, o caso da atriz Carolina Dieckmann – e que, por assim ser, peca e muito na qualidade técnica de sua redação.
Como exemplo, vale mencionar o verbo nuclear da proposta ao artigo 154-A, qual seja: “invadir“. Segundo o dicionário Aurélio, o verbo “invadir”significa “entrar à força, apoderar-se violentamente”. Assim, a subsistir a redação do novel artigo 154-A, somente se poderia cogitar da ocorrência de crime se, e somente se, o agente acessasse o dispositivo de informática à força, violentamente, em especial porque, em matéria de Direito Penal, a interpretação deve sempre ser restritiva.
Ocorre que a prática desses atos atentatórios que o artigo 154-A visa a coibir, por excelência, nunca – ou quase nunca – ocorre unilateralmente, isto é, com o agente mal-intencionado tendo agido sozinho para acessar o sistema operacional. É que existem somente dois meios de acessar o banco de dados de um computador de modo indevido: 1) acessando fisicamente o próprio computador – o que é óbvio não se enquadra do tipo penal sob exame; ou 2) quando o usuário permite inadvertidamente que sejam instalados em seu computador os chamados malwares, que estão sorrateiramente ocultos em arquivos enviados por e-mails, em determinados links de internet ou em dispositivos móveis como pendrives.
Ou seja, em nenhum de acesso remoto se pode dizer que o agente mal-intencionado agiu de modo violento para obter os dados do usuário. O que houve foi o emprego de ardil. Para resumir o que se sucede nesses casos, acaba sendo o próprio usuário a permitir que seus dados sejam acessados.
Desta maneira, embora cotidianamente se noticiem invasões de determinado servidor e ou empresa por hackers que invadiram seus sistemas e acessaram informações indevidamente, o que se deve ter em mente é que isso só foi possível porque o próprio usuário assim o permitiu, ainda que por desconhecimento sobre o funcionamento do sistema computacional e por isso mesmo foi vítima de um ardil.
Essa figura do hacker que invade computadores à distância, “quebrando” mecanismos de criptografia etc., somente existe nos filmes de Hollywood. No mundo real, o que existe são, como já dito, pessoas mal-intencionadas que, valendo-se de ignorância alheia, conseguem que o usuário lhe propicie o acesso ao seu computador sem que o saiba. Ou seja, não existe acesso violento, com emprego de força.
Situação diversa são os chamados ataques DDoS (Denial of Service) praticados por hackers e que, embora os leigos definam como invasão, na realidade não são. Em resumo, não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Diversos computadores são malicionsamente acionados para acessar determinado site ou servidor, de modo a que a sobrecarga de tentativas de acesso obstrua o seu funcionamento.
Portanto, assim como na conduta descrita anteriormente, essa não se amolda à figura típica do pretenso artigo 154-A. Na realidade, segundo o referido projeto de lei, os ataques DDoS estariam tipificados no artigo 266, ao nosso entender, corretamente redigido.
Mas nem tudo estaria perdido se o verbo “invadir” fosse substituído por “acessar”. E se a conduta de disseminar os chamados malwares fosse tipificada, o impasse aqui descrito estaria resolvido.
Sem embargo, outro ponto que chama atenção e, repita-se, é típico de legislação de última hora, é o fato de o novel texto legislativo somente contemplar as figuras típicas, deixando de disciplinar os meios processuais que garantam a eficácia da norma.
Em razão dessa má qualidade técnica, a plena eficácia da lei fica mitigada e, como já diziam os adeptos do realismo jurídico, de nada presta uma lei que não seja eficaz, que não possa ser efetivamente aplicada pelos homens. É que, enquanto não se definirem certos limites e parâmetros, atualmente em discussão no texto do denominado “Marco Civil da Internet”, a comprovação das supostas práticas delitivas que se pretende criar com o PL 35/12 resta deveras inviabilizada.
Para assim se concluir, basta verificar que atualmente não existe qualquer obrigação por parte dos servidores e os provedores de aplicações de internet de manterem os registros (logs) de conexão.
Assim, embora uma vítima de acesso indevido tenha ciência disso por meio de dispositivo de informática, muito provavelmente, diante da não obrigatoriedade do registro de acessos a determinado computador, não será possível identificar o agente criminoso.
Para concluir, a verdade é que o tema Direito Eletrônico e suas subáreas, como o Direito Penal Eletrônico, não pode ser analisado pela casuística. Deve, sim, ser alvo de profunda e ampla análise.