domingo, 20 de julho de 2008

Pingue Pongue na Lei do Big Brother: Vigilância e Censura no PLC 89/2003 do Senador Azeredo

Propus-me a contrapor alguns argumentos que vem sendo colocados em favor do projeto de lei que supostamente vem para combater os Crimes Eletrônicos.

Caso Maria Claudia Del'Isolo e vazamento de fotos na Internet


Anda-se dizendo por ai um punhado de coisas para as quais vai se servir a o PLC 89/2003, dentre elas o Senador Azeredo gosta de chamar atenção para o caso Maria Claudia Del'isolo, jovem assassinada brutalmente em Brasília, cujas fotos do cadáver circularam na Internet. (vide noticias aqui e aqui).
Em síntese, ocorreu, como noticia o G1:

"A polícia concluiu nesta sexta-feira (4) a investigação sobre quem teria divulgado na internet fotos do processo de Maria Cláudia Del'Isola, jovem brutalmente assassinada em 2004. Segundo a polícia, a responsável é uma estudante de Direito que fazia parte do Tribunal do Júri do caso." (...) "Segundo o delegado Antônio Cavallero, a estudante de Direito responsável pela divulgação teria levado as fotos ao estágio, onde dois colegas de trabalho escanearam as imagens e as colocaram na internet. "


Assim, veja que, no caso, não houve qualquer violação de segurança, se quer, transferência dos dados da rede da Policia Civil para a Internet.
Logo, como o PLC 89/2003 pode atuar neste caso? Não ha qualquer outro artigo aplicável ao caso se não os art 285-A e 285-B (vide texto do PLC 89/2003 na integra), os quais, são tão aplicáveis às fotos quanto a qualquer outro conteúdo possível de ser armazenado em uma rede protegida.
Veja bem, as fotos, e qualquer outro conteúdo de um Processo Penal são necessariamente públicos, só podendo ser sigiloso em casos muito específicos quando o segredo de justiça é decretado pelo juiz. Não era esse o caso de Maria Cláudia.

A insistência do Senador Azeredo em vincular o PLC ao caso Maria Claudia só reforça o maior temor da Blogosfera, ou seja, de que a Lei já é elaborada com a intenção de estabelecer um estado de terror na rede de forma a permitir um controle arbitrário tanto por parte do Estado quanto de empresas sobre todo e qualquer conteúdo ali trocado. Veja que se o artigo é aplicável a uma pessoa que foi membro do Tribunal do Juri que julgou os assassinos, será muito mais aplicável a jornalista que "vazam" gravações ou páginas de processos e investigações contra grandes banqueiros ou membros das altas esferas do Estado Brasileiro.

Criação do Órgão de Registro e "Auditoria" do Comportamento dos Usuários na Internet

Outro ponto que pessoalmente, muito me preocupa, é a redação do parágrafo 1 do Artigo 22 da lei que afirma:
"§ 1º Os dados de que cuida o inciso I deste artigo [logs de toda a atividade de todos os IP's do provedor de acesso, incluindo data, hora, portas, origem e destino das conexões], as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento."

Não precisa ser Jurista, muito menos Advogado, pra concluir que toda essa montanha de dados colhidos pelos provedores, a respeito da vida e comportamento de seus usuários, será acessada INDEPENDENTE DE ORDEM JUDICIAL por uma entidade ainda indefinida [Abin, PF, um novo departamento de segurança doméstica] que terá a responsabilidade de "auditar" esses dados.
Auditoria, segundo a Wikipedia é: "um exame cuidadoso, sistemático e independente, cujo objetivo seja averiguar se as atividades desenvolvidas em determinada empresa ou setor estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se estas foram implementadas com eficácia e se estão adequadas (em conformidade) à consecução dos objetivos."
O que me parece uma brutal violação de direitos individuais à privacidade e à intimidade. É como se ficasse instituído um "grampo preventivo" contra todos os usuários de Internet.

Falácia do Combate à Pedofilia como desculpa para o PLC 89/2008

Outro argumento que se gosta de utilizar é de que o Projeto de Lei do Azeredo vem para evitar a pornografia na Internet. Balela. O que o PLC se propõe a fazer é adicionar os verbos "armazenar" e ao, já existente art. 240 do Estatuto da Criança e do Adolescente.
Ocorre que especialmente a conduta de "armazenar" é imprescindível para que Ongs e Conselhos Tutelares possam denunciar pedófilos às autoridades policiais.
Tanto é que o Projeto de Lei do Senado 250/2008 (aprovado no mesmo dia do PLC 89/2003) o qual é produto de longo trabalho de elaboração da CPI da Pedofilia e criado exclusivamente para combater a Pedofilia em todos os espaços da sociedade, vem explicitar que "§ 2º Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei (..)"
Assim, o que a emenda eminentemente "propagandistica" do PLC 89/2003 vem fazer é alterar ,de forma irresponsável, uma lei, prejudicando todo um sistema muito bem estabelecido de denuncia e investigação de crimes de pedofilia e pornografia infantil em prejuízo da sociedade como um todo.

Do combate à pirataria

Um dos argumento é que apenas os "piratas" seriam vitimados pela aprovação de tal lei. Neste argumento a pergunta é: e a quem prejudicam os eventuais "piratas"? Ora, veja que a maior produtora de cinema e vídeo do mundo é a Nigéria e lá, não ha qualquer problema quanto à pirataria pois os conteúdos são vendidos à preços razoáveis....
Não me estenderei neste ponto que também gera um longo debate, apenas ficam aqui duas considerações para reflexão do leitor: 1) se a pirataria fosse prejudicial ao cinema e à Industria Fonográfica, Tropa de Elite não teria sido um dos maiores sucessos de bilheteria da história do cinema Brasileiro. e; 2) se pirataria de software fizesse mal a alguém, o Windows não teria sido o sistema operacional gráfico mais utilizado no país [pois certamente foi o mais pirateado].
Quanto à questão da pirataria de entretenimento e software, o que acontece é que o modelo de negócio tornou-se insustentável e as empresas passaram a adotar atitudes anti-capitalistas para tentar impor esse modelo falido... (isso rende algumas aulas e não pretendo detalhar o tema agora de forma que fico por aqui).

Consequências Sociais da aprovação do PLC 89/2003
ou
A quem se aplica uma lei que não se explica

E a pergunta seria: qual o problema então de se aprovar uma lei como essas? Bem, além de se tratar de uma atrocidade aos direitos individuais mais básicos do cidadão, a consequência prática seria que todos os usuários "médios" da Internet se tornariam em maior ou menor grau, criminosos aos olhos da Lei.
Certamente nosso sistema penal não tem capacidade de processar a tudo e a todos, de forma que, uma Lei como essa seria utilizada contra aqueles que se opõe ao "sistema" atual, bem como, contra aqueles que já se encontram parcialmente excluídos ou à margem da sociedade.
A aprovação de uma normativa tão vaga como essa passa a exigir, para que alguém acesse a Internet, um nível social muito mais elevado (com capacidade financeira de adquirir todas as licenças de todos os conteúdos que venham a ser acessados, bem como, com nível educacional suficiente para ler e interpretar todos os contratos de uso dos respectivos conteúdos) e um aparato advocatício a disposição para eventuais explicações. Também engessa a capacidade criativa e produtiva de conteúdos digitais, já que, eventuais violações que seriam objeto de debate civil, passam a ser agora matéria criminal (e veja que praticamente não se tem notícia de ações cíveis no Brasil decorrentes de "remix", "samplers" ou outros tipos de produção eminentemente digital, ou seja, mesmo podendo, os atuais detentores de direitos sobre esse conteúdo raramente exercitam esse direito de maneira formal).
Também há um grave risco de que a ferocidade do Estado se volte a seus questionadores e opositores políticos e ideológicos (se o Dociê da Dilma versava apenas sobre os vinhos do ex-Presidente FHC, imagina, por exemplo, se à atual Casa Civil estivesse disponível para auditoria, 3 anos de logs de uso da Internet da residência oficial do Presidente... agora imagina se por mera obra do acaso, o um dos computadores de uso pessoal do ex-Presidente tivesse sido contaminado com um AdWare que faz popUp de propaganda de sites pornográfico....), visto que existe um histórico recente que demonstra que nosso Estado Brasileiro, não é dos mais eficazes no que diz respeito à guarda de dados sigilosos e privados dos seus cidadãos, é o que ocorreu no caso do CD da Base da Receita Federal, e do caseiro do ex-Ministro da Fazenda.
Assim, estaremos adentrando em uma era de absoluta insegurança jurídica, decorrente de uma Lei Penal completamente vaga e mal elaborada, cujo preço, como é de costume no sistema criminal brasileiro, será pago exatamente por aqueles que não tem dinheiro para pagar.

domingo, 13 de julho de 2008

Manifesto: O PL de crime eletrônico e Peer2peer ponto a ponto - Entanda o Projeto Azeredo

Decidi fazer uma análise detalhada do texto aprovado no Senado do substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003. O texto é longo mas acho que da pra dar uma idéia mais clara da qualidade do esmerado serviço público prestado pelo nosso Congesso Nacional.

Crime de Acesso não Autorizado.

Este primeiro tipo penal é talvez o mais ideológico de todos. Estabelece como crime

"Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado. Pena - reclusão, de 1 a 3 anos, e multa.".


Se por um lado existe uma pressão para criminalizar a invasão de sistemas, por outro lado, existe todo uma história conceitual da Internet que se contrapõe a própria idéia de "Acesso não autorizado".
Do ponto de vista técnico, é complicado que uma lei fale de "violação de segurança" já que, no Direito, a idéia de segurança esta ligada com a idéia de risco à integridade física dos indivíduos. Ao estabelecer como elemento do tipo a "violação de segurança" o que se faz é trazer para realidade uma metáfora utilizada em informática que nada tem a ver com o mundo do direito. Essa mistura de realidade e ficção ficará mais clara mais adiante. Por hora cabe dizer apenas que um "ataque" a um sistema não é juridicamente um ataque, apenas um fluxo de dados e informações.
Do ponto de vista da cultura da Internet (não pretendo me estender já que esse ponto rende um post inteiro) a Internet foi concebida para ser uma rede de natureza pública onde o privado era exceção (sempre presente, mas sempre tratada como exceto). Assim, estabelecer áreas privadas de acesso restrito deveria ocorrer por responsabilidade daqueles que a definiam como tal. Essa lógica explicitava o fato de que não há espaço 100% seguro, bem como, a idéia de que a rede é para ser construída por todos... estabelecer o Acesso não Autorizado como um crime inverte essa lógica... é a mesma coisa que dizer que na rede, a propriedade privada passa a ser a regra, e qualquer violação desta regra será vista como punível. É dizer que uma pessoa (física ou jurídica) tem direito de deixar seus dados privados expostos sem a devida segurança pois qualquer espaço, por mais mal protegido que seja, é privado e a sociedade punirá os que nele adentrarem escusando de responsabilidade qualquer "vítima" de tal intrusão independente de eventual negligência em configurar ou assegurar devidamente o dado ou informação.

Transferência não autorizada de dado

"Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa."


Aqui afogar-se-ía o Peer-to-peer... na verdade os relatores do PL no Senado afirmam que a idéia aqui não era criminalizar a transmissão de Mp3 ou outros arquivos protegidos por direitos autorais por meio da Internet sem a devida autorização... sinceramente, só me lembro dos marcianos em Marte Ataca dizendo "Nos viemos em paz!" com a rizadinha característica no fundo.
Aqui há, no mínimo, uma redação infeliz. De fato, nada me garante que um determinado atravessador de informação não utilizará este tipo penal para estabelecer uma rede própria com um certo arquivo e depois alegar que, se alguém está transmitindo-o pela rede, esta fazendo sem sua autorização, incorrendo em crime.
Além do mais, o texto do artigo é excessivamente genérico o que é "dado", meu endereço de e-mail é um dado? meu número de cpf seria um dado? um trecho de uma reportagem não deixa de ser um dado... um resultado de uma pesquisa, um percentual de um infográfico qualquer é um dado... divulgar isso, "transferindo-o" seria crime! Um eventual estado autoritário (não que o nosso seja) poderia usar isso como forma de perseguir jornalistas que conseguissem informações não públicas e as publicassem... pessoalmente acho o conceito de "dado" algo abstrato de mais para estar escrito numa Lei... Leis são feitas para serem interpretadas, para dar "segurança jurídica" à toda a sociedade... que segurança se tem quando a letra da lei permite leituras amplamente distintas?

Divulgação ou utilização indevida de informações e dados pessoais

"Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal.
Pena – detenção, de 1 (um) a 2 (dois) anos, e multa."

Aqui o nome do crime vai bem... mas novamente aparece a palavra "dado" de uma forma que abre à interpretação.... citamos: "disponibilizar dados e informações pessoais contidas em sistema informatizado". Ora, pode-se entender que é crime disponibilizar "dados pessoais" e "informações pessoais" mas também é perfeitamente possível entender-se que é crime disponibilizar "dados" (mesmo que públicos) e "informações pessoais". E novamente vem a possibilidade do divulgador de informações de interesse público, como, por exemplo, um grande desvio de verbas, ser criminalizado por estar "divulgando um dado contido em um sistema informatizado".... alias... qual é a informação que, nos dias de hoje, não consta como um dado em algum sistema informatizado?

Dano à coisa eletrônica

"Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Pena - detenção, de um a seis meses, ou multa"

Aqui a palavra "dado" seria dispensável (talvez "coisa eletrônica" fosse melhor)... Ora, os técnicos de informática que me respondam, qual é a operação ou interação possível com um sistema informático que, necessariamente, não implique em deteriorar algum dado eletrônico para produzir-se outros? Quais dados, num sistema, são considerados alheios? Um ping, um acesso a memória, uma cópia de arquivo... não ha ai a deterioração de pequenas porções de dados? Quem define o quanto de dado deteriorado é relevante para o direito? o Juiz? o Perito? o contexto? E os administradores ao intervirem em contas de usuários que violam os Termos de Uso do Serviço não estariam deteriorando dados alheios? (lembrem-se que não ha contrato civil que possa se sobrepor à lei penal).

Inserção ou difusão de código malicioso

"Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa."

Ok... a pergunta é: Oq é um "código malicioso"? A lei define como algo "desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida".... Então posso dizer que um sistema operacional que se auto-degrada a cada 6 meses é um código malicioso? ou um update que causa instabilidade no sistema seria um código malicioso? Por outro lado, se alguém desenvolvesse um keylogger - ou até mesmo um vírus - apenas para demonstrar uma falha num sistema e o instalasse, não se trataria de código malicioso pq não foi "desenvolvido para executar uma ação danosa" mas sim para demonstrar uma falha de segurança? A quem cabe constatar se uma determinada linha de código foi desenvolvida "para o bem" ou "para o mal"? Com base em que critérios? Enviar Spam é uma ação danosa?[é mais provavel que não seja] Criar uma botnet para enviar Spam é uma ação danosa? [lembre-se que dano é definido no crime anterior e com base nisso, que tipo de código não é desenvolvido para, em algum grau, deteriorar um dado eletrônico...].

Estelionato Eletrônico

"Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:
Pena - reclusão, de um a cinco anos, e multa.
§ 2º - Nas mesmas penas incorre quem:
VI - difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado:"

Aqui a redação não possui erros propriamente ditos, apenas ignora o próprio conceito de estelionato que a Lei penal sempre utilizou. Para o crime de estelionato se consumar, é necessário que haja a obtenção de vantagem para um em prejuízo do outro. A forma como se redige o "estelionato eletrônico" é tudo, menos estelionato. Já que não trata, se quer, de obtenção de vantagem mas apenas da instalação de código.
Por conta deste "detalhe esquecido" basta que um estudioso de segurança de rede "transfira" para um colega, em arquivo zipado e de forma completamente "inócula" um spyware que tenha sido desenvolvido "com intuito de facilitar ou permitir acesso indevido à rede de computadores" para haver crime. Veja que sem a exigência da obtenção de vantagem, o crime se consuma mesmo que o "código malicioso" não seja executado e independente do intuito da pessoa (é o que se chama, em direito, de crime de mera conduta).

Atentado à segurança de serviço de utilidade pública
e
Interromper ou perturbar serviço telefônico, informático e etc...

"Art. 265. Atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicação, ou qualquer outro de utilidade pública:
Pena - reclusão, de um a cinco anos, e multa.

Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico, telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação, assim como impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa."


Aqui deve-se analisar ambos os artigos porque o legislador, no afã de responder desesperadamente pela demanda "social" e de criar crimes de todos os tipos, esqueceu-se da própria letra da lei, e, porque não, da lógica básica.
No direito penal a premissa é que os crimes mais reprováveis devem receber punição maior, lembrem-se disso.

O atual artigo do Código Penal, que trata do atentado à segurança de serviço de utilidade pública, visa, essencialmente, os serviços de agua, luz, calor [leia-se gás], serviços que, se levados a um mal funcionamento, poderiam oferecer risco à segurança física e corpórea de pessoas.... assim que, atentar contra a segurança do serviço de água, por exemplo, significa colocar uma barragem em risco de se romper, ou atentar contra a segurança do serviço de luz implicaria em expor pessoas a um risco potencial de eletrochoque.
Por outro lado, os serviços de telefonia [aqui creio que deve ser incluir acertadamente a transmissão de dados], são fisicamente inóculos, razão pela qual, no atual artigo do Código Penal, não se fala, em atentar à segurança de tais serviços, também de utilidade pública, mas sim de interromper-lhes ou perturbar-lhes.
Porém, a reforma prevista no Projeto aprovado pelo nosso fantástico Senado Federal, pretende inserir a metáfora da "segurança de redes" no mundo da realidade fática... criando o crime de "Atentado à segurança de serviço de telecomunicação". Ora, veja só... primeiramente entramos no debate do que vem a ser, ao certo, um atentado à segurança de um sistema de informação... (com quantos pings se faz um ataque de negação de serviço? =D ) mas se isso por si só não fosse suficiente, veja que, se alguém atentar à segurança de um serviço de telecomunicação, poderá receber uma pena de Reclusão de 1 a 5 anos.... mas... por outro lado, se esse atentado à segurança for um meio para se derrubar o servidor e interromper-lhe o serviço, ai tudo bem, ai a pena é só de Detenção de 1 a 3 anos.... alguém me explica qual é a lógica que coloca a segurança do serviço de telecomunicação acima de sua manutenção e estabilidade?! Ou será que o legislador esqueceu de ler o resto da lei com o tamanho da pena? Ou será que não advertiram, os assessores, que a idéia de "segurança de sistemas" é uma metáfora e que a lei deve falar de realidade e não de ficção? Por que da forma como vai, em breve alguém vai passar a dar poder de polícia a agentes inteligentes em segurança de rede! Ou, quem sabe, aspirina pra rede neural... ou até um teste de Touring para se tornar cidadão.

Falsificar dado eletrônico ou documento público
e
Falsificar dado eletrônico ou documento particular

"Art. 297. Falsificar, no todo ou em parte, dado eletrônico ou documento público, ou alterar documento publico verdadeiro:
Pena - reclusão, de dois a seis anos, e multa.

Art. 298. Falsificar, no todo ou em parte, dado eletrônico ou documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa."

Bem... novamente, dada a lacuna semântica que pessoalmente atribuo ao termo "dado"... pergunto: o que é exatamente um "dado eletrônico falso"? Uma cópia perfeita de um arquivo é um arquivo falso, ou tem-se dois arquivos verdadeiros? Uma chave válida vinda de uma origem não autentica é uma chave falsa?
A idéia do primeiro tipo penal era punir aqueles que se utilizassem de formas ilícitas para falsificar documentos públicos eletrônicos, mas, ao invés disso, me parece que criou uma letra morta... a final... dado é dado, a reprodução está na sua essência... gostaria de ouvir comentários sobre a possibilidade de uma cópia falsa de um dado verdadeiro pois minha limitada criatividade jurídica não me permitiu.
No caso do documento eletrônico público talvez fosse melhor abandonar a redação do artigo do Código Penal e criar um tipo penal próprio que tratasse de eventuais formas de se ludibriar a infraestrutura de chaves públicas oficial do Brasil, ou as autoridades certificadoras oficiais (já que a idéia de documento público eletrônico, na nossa lei atual, está intimamente ligada à idéia de assinatura digital)... o mesmo se aplíca ao particular, apesar de que, se a idéia de dado público falso já me parece difícil, a idéia de dado particular falso me parece muito mais... mas, como foi dito, pode ser que me falte a necessária criatividade...

No Código Penal Militar

Ali os crimes são basicamente a repetição do que consta no Código Penal comum apenas destacando o seguinte:

O dano também inclui a conduta de "fazer desaparecer dado eletrônico alheio" ou seja, se o soldado apagou o arquivo do computador do sargento sem que ele tenha feito backup, é prisão na certa... por outro lado, apagar e guardar uma cópia é o mesmo que "desaparecer"?
Ainda quanto ao dano, cria-se o crime militar de causar "dano a dado eletrônico de utilidade militar"... o que me leva a perguntar o que as forças armadas fazem com seus computadores que não seja de utilidade militar.... mas essa resposta eu prefiro deixar para a criatividade do leitor.

Das Definições Penais

Se não bastasse a generalidade dos tipos penais, ainda temos as belas definições que seguem abaixo:

Dispositivo de Comunicação: "qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia;"
Este conceito deveria fazer referências àquelas coisas que comunicam informações, certo? errado... aqui foi incluído não só o que comunica mas praticamente qualquer coisa q trate ou guarde dado eletrônico. Um pen drive, um cd, um K7, até um disco de vinil, um ábaco, papiro, uma daquelas plaquinhas de argila da escrita cuneiforme [não sei se é assim que se chama], tudo isso, para o Projeto de Lei, virou "dispositivo de comunicação", já que, segundo a definição, não é necessário, se quer, que se trate de algo digital ou mesmo eletrônico.

Sistema Informatizado: "qualquer sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente;"
Bem, aqui "sistema" não é definido, e o"informatizado" fica a cargo daquilo que faça a mesma coisa que um "dispositivo de comunicação" só que de forma eletrônica, digital ou equivalente... e a pergunta é, o que é "equivalente" à digital ou eletrônico? seria analógico? seria binário? da pra incluir telégrafo, código morse e sinal de fumaça? Não sei, mas pelo menos, aqui, a definição já é um pouco mais restrita do que a anterior...

Rede de Computadores: " o conjunto de computadores, dispositivos de comunicação e sistemas informatizados, que obedecem a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial através dos quais é possível trocar dados e informações;"
Esta sim uma definição acertada... exige-se um conjunto de computadores, protocolo, abrangência territorial e, troca de dados e informações!

Código Malicioso: "o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida;"
Nesta definição inclui-se não só os malwares como também boa parte das ferramentas de segurança e administração, bem como, dos trabalhos acadêmicos sobre segurança e fragilidade de sistemas, lembrando que na lei não há uma unica linha mencionando que a prática de qualquer das condutas para fins acadêmicos, experimentais ou administrativos seja isenta de pena (lembro do processo criminal em que atuo em que responde um administrador de rede por ter executado um analisador de protocolo na própria rede que administrava).
Também cabe destacar que nesta definição o foco não é a finalidade lícita ou autorizada (como é o caso, por exemplo, de um administrador de rede que roda um crack para verificar fragilidades em pacotes de senha), no caso, o foco é a "forma indevida", ou seja, um "método" tido como indevido (brute force) pode se enquadrar na definição da Lei, mesmo que feito para um fim que não seja errado.

Dados informáticos: "qualquer representação de fatos, de informações ou de conceitos sob forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado;"
Ou seja, qualquer dado é informático já que a definição legal de "dispositivo de comunicação" inclui "qualquer outra tecnologia" capaz de "processar, armazenar, capturar ou transmitir dados", ou seja, é dado informático o cartão perfurado que alimenta um tear mecânico, as pedras em um ábaco, a disposição das peças em um tabuleiro de xadrez, a pedra de roseta e todos os papiros egípcios (representação de fatos armazenados em outras tecnologias).... e veja que a definição de dado informático é basilar, fundamental - é a essência - para todos os crimes que discutimos anteriormente!

Dados de tráfego: nem perderei muito tempo, aqui a definição não importa muito, o que importa é destacar que no copiar e colar do trabalho legislativo, definiram um conceito que a lei não utiliza... ou seja, define-se o que é dado de tráfego mas não se diz a que serve a definição já que os crimes não fazem diferença quanto ao tipo de dado a que se referem, logo, se referem a todos, independente de ser log ou arquivo de programa.

Pedofilia
"Apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:"

O crime de pedofilia me parece devidamente corrigido já que as condutas acrescentadas não mudam o espírito do tipo penal.

Crime Federal
A lei diz que os crimes praticados por meio da Internet podem ser investigados pela Polícia Federal quando houver "repercução interestadual ou internacional". Veja bem, primeiramente que o que "cai na rede" impreterivelmente repercute em escala nacional, ademais, a massiva maioria das queixas nas delegacias especializadas de crime eletrônico são referentes a crimes de injúria, difamação, calúnia e ameaça... ou seja, crimes eminentemente locais... porém, contra todo o senso comum, esses crimes eminentemente locais podem ser investigados pela Policia Federal... é como usar um canhão para matar uma mosca.... melhor seria restringir tal possibilidade a crimes praticados na Internet que sejam de maior gravidade como estelionatos, fraudes bancarias e coisas do gênero. De qualquer forma, me parece uma evolução da lei ter a Policia Federal como ente possível de atuar nos casos de crimes por Internet.

Da responsabilidade dos provedores

"I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial;"


Os provedores (leia-se, qualquer um que prove acesso, ou seja, a telecom, mas também, o dono do hub wi-fi, o tio da lan house, etc...) passam a ter a obrigação de armazenar todos os dados de todas as conexões realizadas por ele pelo período de 3 anos.... não seria preocupante se, no Brasil, tivéssemos um histórico confiável sobre os bancos de dados sigilosos... mas, não faltam casos na mídia de extratos bancários (alguem lembra do caseiro?), impostos de renda (a base de dados da Receita Federal TODA) dentre outros dados absolutamente sigilosos, veiculados por ai como se não importassem tanto assim... 3 anos de fluxo de dados de um grande provedor público, por exemplo, poderia ser de grande valia para criar factoides bem como, para ações contrárias aos interesses nacionais (alguem lembra dos grampos do Sivam?).

"§ 1º Os dados de que cuida o inciso I deste artigo, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento."

Não sendo suficiente, estes dados gravados por 3 anos serão auditados periodicamente por uma "autoridade competente responsável" ou seja, haverá uma autoridade ainda indefinida (Abin, PF, Kroll?) com poderes de vasculhar sistematicamente estes logs de TODOS os provedores de acesso de todo o país... isso me parece uma categórica renúncia a qualquer privacidade em favor do estado.

"III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade."

Os provedores também deverão receber e encaminha denúncias ao poder público de quaisquer crimes que possam ter ocorrido dentro da rede sob sua responsabilidade... aqui não ficou claro se a intenção do legislador era transformar todo o provedor em uma pequena delegacia de registro de ocorrências ou coloca-los para investigar a própria rede de forma preventiva (o que implicaria impreterivelmente na violação de privacidade em maior ou menor grau).

"III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade."

Acertado, porém, me parece a inclusão da obrigatoriedade dos provedores preservarem dados quando haja prévia ordem judicial para fins de investigação.

Bem, por hora é o que ha, com o tempo eu vou melhorando o texto. Comentários para melhorar a análise são bem vindos. [postagem pendente de revisão]

sábado, 12 de julho de 2008

Um blog sério (?)

Pois é, resolvi criar um blog aproximadamente sério... vejamos no que vai dar.... ajudas no template são bem vindas.