Muito se tem falado sobre a Lei de Crimes praticados na Internet (Lei nº 12.737/2012), projeto do deputado federal Paulo Teixeira (PT-SP), mais conhecida como “Lei Dieckmann”. Alguns criticaram a rapidez com que o projeto caminhou depois que a atriz Carolina Dieckmann teve suas fotos íntimas arquivadas em seu computador pessoal divulgadas na internet, afirmando tratar-se de um “casuísmo”; outros louvam a iniciativa.
A verdade é que antes da Lei 12.737/2012, os especialistas da área de direito penal eletrônico afirmavam que 95% dos crimes ocorridos no meio informático já estavam previstos, havendo necessidade de se preencher essa lacuna de 5%. Só o tempo dirá se a lei atingiu seu objetivo.
Mas o que diz a lei? Quais são as polêmicas sobre os seus artigos? Quais as consequências da edição dessa lei no mundo corporativo? Veremos tudo isso a seguir.
A lei altera alguns dispositivos do Código Penal Brasileiro. A primeira alteração se dá no art. 154, que descreve: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.
O texto é claro, mas já há polêmicas instauradas: alguns juristas entendem que o verbo “invasão” requer medida violenta para que o crime se configure; outros ainda questionam a necessidade da existência de “mecanismo de segurança”.
Segundo alguns especialistas, em não havendo senha, tela de bloqueio ou antivírus, não há ocorrência do crime previsto no art. 154-A. Somado a isso, na vida corporativa, esse artigo pode causar transtornos entre os profissionais especializados em procurar vulnerabilidades em sistemas alheios visando solucionar ou evitar falhas de segurança, a depender de como se dá o trabalho do profissional e de como esteja redigido o contrato de prestação de serviços, prevendo a exclusão de eventual incidência criminosa nessas atividades.
Outro ponto relevante levantado por especialistas, ainda com referência ao artigo 154-A seria a sua segunda parte: “com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”. “Adulterar ou destruir” não causam problemas de interpretação; já o verbo “obter” pode dar margem a dúvidas: a mera “espiadinha” em um sistema, entrando e saindo dele configuraria a obtenção de dados ou não? Há quem diga que sim e quem diga que não; na verdade somente a jurisprudência (conjunto de decisões dos Tribunais que formam a orientação na forma de interpretar a lei) irá solucionar essa dúvida com o passar do tempo.
Importante frisar que os parágrafos do art. 154-B também tipificam como conduta criminosa aquele que “produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”, ou seja, a depender do programa e de seu uso é de suma importância atualizar as políticas de uso.
Em suma, com a alteração do art. 154, fica muito clara a importância da segurança de informação para as empresas, pois a existência ou não de políticas adequadas poderá significar a diferença entre condenação ou absolvição daquele que praticou um ato ilícito.
Passando agora a artigo 3º da Lei, este menciona a “interrupção ou perturbação” de serviços e também a falsificação de documento particular, alterando os artigos 266 e 298 do Código Penal. A questão que se coloca quando falamos em “interrupção” ou perturbação de serviço informático ou telemático é: os ataques conhecidos como “negação de serviço” (DoS) estariam abrangidos pelo dispositivo legal? A maioria dos especialistas afirma que não, pois o artigo fala apenas em serviços de utilidade pública. Desta maneira, os ataques de negação de serviço feitos a particulares não estariam abrangidos pelo dispositivo legal ora em vigor.
Por fim, a Lei 12.737/12 equipara a documento particular o cartão de crédito ou débito, visando criminalizar a clonagem de cartão de crédito. Importante frisar que não há necessidade de se efetuar compras com os cartões: o simples ato de clonagem já configura a ilicitude.
Como se vê, a lei ora em vigor, trouxe várias dúvidas. Certeza mesmo só temos de um fato: cada vez mais a segurança da informação passa a ter importância na vida corporativa e haverá necessidade de atualização de inúmeros contratos de prestação de serviços, bem como revisão das políticas de uso de alguns programas. O restante, só a evolução da jurisprudência é que poderá nos orientar.
