(considerada a versão II, de 11/04/2016)

Aos deputados relatores da Comissão Parlamentar de Inquérito de Crimes Cibernéticos ‒ CPICIBER.

Em cada proposta, devidamente numerada, indicamos inicialmente o trecho do relatório final ao qual ela se refere, seguido de um quadro resumo da sugestão de modificação e, por fim, as justificativas correspondentes, pormenorizadas conforme a complexidade das questões.

Objetivamente, oferecemos a seguir nove propostas de mudanças, especialmente modificações e supressões nos novos projetos de lei, mas também alterações quanto às indicações e recomendações constantes do texto do relatório final.

Uma pesquisa por termos, feita a partir das notas taquigráficas de todas as reuniões até o Seminário do dia 29 de março, permitiu elaborar a seguinte tabela, em que se comparam os termos sem definição e aqueles constantes da lista de conceitos do Relatório Final:

Ressalte-se, como já dito, que esse termo ficará vago e impreciso se não vier acompanhado de todas as delimitações atualmente presentes no texto do Código Penal.

Defendemos a manutenção da maior parte do art. 154-A atualmente vigente. Concordamos, porém, que se substitua “invadir” por “acessar indevidamente”, termo mais adequado do ponto de vista da redação técnico-jurídica, pois não se trata de coibir a invasão, tomada como a entrada presencial de alguém em algum lugar, mas apenas de vedar um acesso virtual.

O dolo e o real risco de dano se demonstram mais concreta e adequadamente na delimitação de que o crime ocorre quando o acesso ocorre “sem a autorização expressa ou tácita do titular do dispositivo”. A menção ao titular é um elemento do tipo fundamental, presente também na expressão vigente “dispositivo informático alheio”.

A alteração proposta pelo relator na segunda versão do projeto de lei, com vistas a superar as críticas de que a redação seria muito vaga, não resolve o problema. A expressão “acesso indevido”, combinada ao restante do tipo penal proposto, mantém o caráter genérico, podendo abarcar uma variedade de condutas não necessariamente ilícitas ou prejudiciais. Por exemplo, legítimas investigações de segurança, que não ocorreriam em um ambiente de exigência de autorização, seriam criminalizadas no texto proposto pelo relator, mas não na nossa sugestão.

Quais condutas exatamente se buscam tipificar e que já não estejam previstas no atual art. 154-A do Código Penal, que trata da finalidade de “obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”?

Art. 154-A. Acessar indevidamente dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou com o fim de instalar vulnerabilidades para obter vantagem ilícita:

Art. 2º O artigo 154-A do Decreto-Lei no 2.848, de 7 de dezembro de 1940, passa a vigorar com a seguinte redação:

(PARTE III ‒ Proposições e Recomendações > 1 ‒ Projetos de Lei > 1.2 Projeto de Lei para alterar a redação do art. 154-a do Decreto-Lei no 2.848, de 7 de dezembro de 1940, para ampliar a abrangência do crime de invasão de dispositivo informático)

Sugestões de que o dinheiro destinado a conectar mais brasileiros seja realocado para fundos de policiamento da rede são iniciativas difíceis de se entender, ainda mais quando quase metade do país ainda não pode se beneficiar de um acesso à Internet com frequência.

Logo, mesmo que se considere a possibilidade real de usos da Internet que não observem a legalidade, o propósito dos maiores investimentos nesse momento deve estar voltado para o fomento do uso da Internet, a partir de sua finalidade social. Investimentos em redes de banda larga podem contribuir e muito para a qualidade dos serviços de telecomunicações. Também por isso o governo federal vem trabalhando com a possibilidade de aplicar o FISTEL no financiamento de suas políticas de acesso à banda larga, o que novamente não pode ser desprezado na análise desse projeto de lei. Como disse Tim Berners-Lee, inventor da Web, em sua Carta Aberta aos Legisladores Brasileiros:

Nesse cenário, não se mostra justificável transferir parte do FISTEL para equipar a polícia no combate a crimes cibernéticos por meio de uma falaciosa “fiscalização” dos usuários. Não há problema em equipar mais e melhor a polícia, mas os recursos devem vir de fontes adequadas, já existentes, como o citado FNSP, sem prejudicar outras finalidades.

A utilização do FISTEL por órgãos da polícia judiciária agravaria esses problemas, por insistir na alocação dos recursos em finalidade estranha aos objetivos do fundo, que já não vêm sendo cumpridos a contento. Ainda mais grave, a proposta do relatório da CPICIBER redireciona seus fundos para a vigilância dos usuários de Internet, majoritariamente ocupados em atividades lícitas e que, repita-se, não se enquadram sequer como serviço de telecomunicação.

Há tantos problemas na atuação das operadoras de telecomunicações, as quais sempre estão no topo das listas de reclamações dos consumidores, que não faz sentido redirecionar para outros propósitos os recursos de um fundo destinado a fiscalizar esses serviços e, por esse meio, contribuir ao aprimoramento de sua qualidade. Em especial quando os constantes contingenciamentos do fundo prejudicam a própria Anatel no exercício de sua função, como alerta a recomendação do Ministério Público Federal feita à Presidência da República e a Ministérios ao final de 2014.

Logo, o acesso a um serviço online é só um uso particular de um serviço de telecomunicação (telefonia fixa, móvel, TV por assinatura, redes de banda larga), mas não se confunde com ele. Portanto, não pode ser alvo de fiscalização apoiada em investimentos de recursos do FISTEL, o qual, repita-se, destina-se exclusivamente à fiscalização de serviços de telecomunicações.

Em primeiro lugar, mostra-se necessário esclarecer que conexão à Internet não é propriamente um serviço de telecomunicação, mas sim um serviço de valor adicionado , conforme definição vigente da Norma 04/1995 do Ministério da Comunicações , que regulamenta de forma específica “o uso de meios da Rede Pública de Telecomunicações para o provimento e utilização de Serviços de Conexão à Internet”. Por essa norma, a conexão à Internet é considerada juridicamente como um serviço que acrescenta a uma rede de telecomunicações preexistente os meios ou recursos que criam novas utilidades específicas, ou novas atividades produtivas, relacionadas com o acesso, armazenamento, movimentação e recuperação de informações.

d) no atendimento de outras despesas correntes e de capital por ela realizadas no exercício de sua competência. (Incluído pela Lei nº 9.472, de 1997)

Por sua vez, os recursos do FISTEL, disciplinados pela Lei nº 5.070/1966 (com redação dada pela Lei nº 9.472/1997), têm previsão clara de aplicação exclusiva para a fiscalização de serviços de telecomunicações.

Art. 1º Fica instituído, no âmbito do Ministério da Justiça, o Fundo Nacional de Segurança Pública – FNSP, com o objetivo de apoiar projetos na área de segurança pública e de prevenção à violência, enquadrados nas diretrizes do plano de segurança pública do Governo Federal. (Redação dada pela Lei nº 10.746, de 10.10.2003)

Especialmente quando existe o Fundo Nacional de Segurança Pública - FNSP (criado pela Lei nº 10.201/2001), com previsão legal específica para esse propósito, com a expressa exigência de compromisso com resultados, enumeração de órgãos que podem ter acesso aos recursos, definição de prazo de realização, e disciplina de forma e condições de aplicação:

Proposta nº 4: Regras para indisponibilização de conteúdo infringente idêntico¶

(PARTE III ‒ Proposições e Recomendações > 1 ‒ Projetos de Lei > 1.5 – Projeto de Lei determinando a indisponibilidade de cópia de conteúdo reconhecido como infringente, sem a necessidade de nova ordem judicial e dá outras providências)

NOSSA PROPOSTA Alterar a redação do Projeto de Lei proposto pelo Relatório, da seguinte maneira: Íntegra de nossa proposta do novo Art. 19 sem marcações de mudanças: Art. 1º Esta Lei modifica o Marco Civil da Internet, Lei n o 12.965, de 23 de abril de 2014, determinando a indisponibilidade de cópia de conteúdo reconhecido como infringente, sem a necessidade de nova ordem judicial e dá outras providências. Art. 2º A Lei nº 12.965, de 23 de abril de 2014 – Marco Civil da Internet, passa a vigorar acrescida dos seguintes dispositivos: Art. 19-A Quando se tratar de cópia de conteúdo infringente que já tenha sido objeto de ordem judicial determinando sua indisponibilização, o provedor de aplicação, no âmbito e nos limites técnicos de seu serviço, de forma diligente, deverá torná-la indisponível sempre que houver nova notificação que aponte a localização inequívoca da cópia e a decisão judicial que fundamenta a sua indisponibilização. Parágrafo único. Para os efeitos deste artigo, é considerada cópia o conteúdo idêntico ao original que continue a configurar a característica considerada como infringente;

Concordamos que não faz sentido exigir novas ordens judiciais e, portanto, a proposição de novas ações, a fim de que se indisponibilizem conteúdos já considerados infringentes pelo Poder Judiciário. Tratando-se de cópia de conteúdo já submetido ao crivo judicial e considerado ilícito, a indisponibilização pode se dar por meio de mera notificação do interessado, desde que a notificação permita a localização inequívoca do material (conforme exigência do art. 19, §1º, do Marco Civil da Internet ‒ Lei nº 12.965/2014) e aponte a decisão que o reputou infringente.

As hipóteses de responsabilização dos provedores de aplicações por descumprimento de mera notificação são excepcionais no Marco Civil da Internet. O objetivo dessa norma é equilibrar a garantia da liberdade de expressão e do acesso à informação com a proteção de outros direitos no ambiente online, entre eles a honra, a imagem, o nome etc.. A figura institucional competente para avaliar tal equilíbrio é o juiz, cuja imparcialidade e o saber jurídico são necessários para decidir o conflito de interesses nas controvérsias sobre indisponibilização de conteúdo online.

Esse papel não pode ser conferido ao provedor de aplicações, que em geral tenderá a seguir, por interesses econômicos, o caminho da segurança jurídica, retirando sempre os conteúdos, como forma de evitar processos judiciais e o pagamento de indenizações. Essa via abriria larga margem para a censura online. Por sua vez, a regra geral do Marco Civil é a responsabilização dos provedores de aplicações pelos conteúdos de terceiros apenas se aqueles intermediários descumprem ordem judicial que determinou a indisponibilização. Entretanto, a sugestão posta no relatório final insere no Marco Civil nova hipótese de notificação e retirada (“notice and takedown”), em lógica incompatível com a regra geral.

Cria, portanto, uma antinomia, por não observar a norma do § 1º do art. 19, que exige, para validade da ordem judicial, a “identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material”.

Além disso, a proposta do relatório, ao criar uma dinâmica de constante monitoramento dos conteúdos pelo provedor de aplicações, se mostra perigosa e complexa. Sendo possível desenvolver ferramentas automáticas de identificação de conteúdo, a medida poderia parecer de exigência razoável em relação às grandes aplicações online, como Facebook. Mas a maior parte dos sites e aplicativos, por sua estrutura reduzida, teria grande dificuldade para investir na operação de ferramentas desse tipo. A obrigatoriedade significaria uma relevante barreira à entrada, impactando negativamente na inovação na rede.

No entanto, as dificuldades não param aqui e podem atingir mesmo as grandes empresas. Conforme Pedro Markun, em audiência realizada por esta CPI, na identificação de “conteúdos repetidos”, é comum que vídeos bloqueados sejam relançados na rede com pequenas alterações como espelhar a imagem (flipar, como diz Markun), mudar a velocidade de reprodução ou mudar sutilmente as cores da imagem. Com a combinação de algumas destas modificações já é possível produzir exponencialmente variantes que são, no mínimo, um grande desafio para técnicas de identificação de conteúdo repetido como PhotoDNA e hashing, mencionadas na CPI. Mesmo que a aplicação disponha desses mecanismos de identificação, técnicas como as mencionadas acima podem fazer com que o mecanismo falhe nessa identificação e o provedor de aplicações seja responsabilizado sem que tenha havido de fato dolo, ou mesmo culpa, na manutenção de conteúdo já considerado infringente.

Por isso, apresentamos como sugestão a solução de indisponibilizar a cópia de conteúdo mediante mera notificação. Com isso, não queremos que o ônus de “procurar o conteúdo” passe à vítima, mas acreditamos que o usuário afetado, melhor do que qualquer outro agente, terá conhecimento dos links que o ofendem e poderá reportá-los sem grande burocracia ao provedor de aplicações, que deverá indisponibilizá-los o mais rápido possivel, no âmbito e nos limites técnicos de seu serviço, sem necessidade de ordem judicial. Do contrário, estaríamos colocando os sites e aplicativos na posição de eternos vigias de conteúdo na Internet, o que causaria sérios impactos à sua atividade e mesmo aos usuários de forma geral, mais monitorados em relação às suas postagens. Nossa proposta visa compatibilizar a preocupação do relator à proteção da livre iniciativa, da livre concorrência, da liberdade de expressão e do acesso à informação. Por fim, justificamos outros três pontos que merecem atenção: