Crimes eletrônicos - a nova lei é suficiente?

No início do mês de dezembro, foi finalmente publicada a lei 12.737/2012, que tipifica criminalmente os delitos informáticos. A nova legislação aborda questões importantes como invasão de dispositivo eletrônico, acesso remoto não autorizado, interrupção de serviços telemáticos, entre outros.

É inegável que todos estes assuntos há muito tempo já deveriam ter sido inseridos na legislação penal brasileira. A nocividade das condutas e a repulsa completa externalizada pela Sociedade com relação aos casos ocorridos eram notórias. Evidentemente, para completar a tridimensionalidade do Direito, só faltava a tão necessária norma.

Norma posta, ainda que tardia, cumpre-nos analisar alguns de seus elementos.

Com relação à invasão de dispositivo e formas derivadas, encontramos o primeiro ponto para reflexão: a lei restringiu a tipicidade da conduta aos casos em que há a violação indevida de mecanismos de segurança. Assim, podemos entender que todos os dispositivos informáticos não dotados de ferramenta de proteção estariam excluídos do âmbito desta aplicação legal. Além disso, vale pontuar que, como as expressões "mecanismo de segurança" e "dispositivo informático" (só hardwares? E os softwares?) não foram definidas na lei, pode restar dúvidas sobre o completo enquadramento penal de certos casos.

Para o esclarecimento do conceito de "mecanismos", talvez seja o caso de interpretação similar ao indicativo jurisprudencial de "obstáculo", utilizado para a configuração do furto qualificado. Seguindo este raciocínio, poderiam ser assim considerados os acessórios, não integrantes das funcionalidades regulares do bem protegido, cuja finalidade seja impedir o acesso ao bem tutelado. Esta seria uma das diversas possibilidades de interpretação.

Importa analisar, também, os pressupostos da conduta "invadir". Este verbo conceitualmente traz a ideia de entrada à força, ingresso hostil, violação de barreira. Portanto, casos de obtenção indevida de dados através de técnicas de engenharia social e outros meios (divulgação de senha pelo próprio titular do bem a terceiros, por exemplo) em tese não estariam enquadrados na tipificação recém-nascida. Isto porque não haveria qualquer violação, mas apenas o acesso não autorizado.

Infere-se, deste modo, que todas as hipóteses de aumento de pena relacionadas à prática invadir, previstas nos parágrafos do artigo 154-A (obtenção de comunicações privadas, divulgação dos dados...) devem ser precedidas pela violação do mecanismo de segurança. Não haverá crime, deste modo, nos casos de obtenção e divulgação indevida de dados, quando o agente tem livre acesso ao dispositivo eletrônico da vítima (técnico de TI da empresa, companheiro, colega de trabalho...).

É preciso mencionar também que, no tocante à penalização da divulgação de segredos industriais obtidos pela invasão (§§ 3º e 4º do art. 154-A) há aparente duplicidade de previsão legal, pois a divulgação indevida já era considerada crime autônomo pela lei de Proteção à Propriedade Industrial (inciso XII do art. 195, lei 9.279/96).

Ainda sobre o fecundo caput do art. 154-A, é possível antever farta discussão sobre quem seria o "titular do dispositivo" invadido. Será que o mero possuidor do dispositivo e o usuário eventual poderão figurar como sujeitos passivos deste delito? O texto da lei não esclarece, mas há a suave impressão de o tipo referir-se somente ao proprietário.

Relativamente à tipificação penal da conduta de interrupção dos serviços informáticos e telemáticos, a intenção óbvia do legislador foi inibir novas investidas, principalmente contra sites de governo. No entanto, parece-nos que as baixas penas aplicadas não têm potencial para atingir esta finalidade, ainda mais nos casos de prática, alegadamente, com fins ideológicos.

Aliás, em geral as penas cominadas pela nova lei são pouco inibidoras, já que permitem a aplicação das facilidades da lei 9.099/95 (procedimentos dos juizados especiais). De outra sorte, parece que a tendência internacional é justamente a oposta: recentemente se noticiou que a Justiça do Estado da Califórnia (EUA) condenou a 10 anos de prisão, além do pagamento do valor de indenização no valor de 76 mil dólares, um hacker acusado de subtrair fotos de celebridades pela Web.

Claro que não se defende aqui a multiplicação da população carcerária brasileira apenas para a punição de crimes de informáticas. Contudo, é difícil entender como a criação de uma lei, após tantos anos de discussão, pode estabelecer penas simbólicas e tão pouco desestimulantes ao infrator.

Comparemos: para o crime de furto de uma carteira, com rompimento de obstáculo (arrombamento de porta, etc.), a lei prevê reclusão de 2 a 8 anos. Já para o estelionato, a pena básica é de reclusão de 1 a 5 anos. Em ambos os casos, os prejuízos podem ser somente materiais, com probabilidade de o infrator ser preso e até mesmo de recuperação dos bens subtraídos. E, na maioria das vezes, estes bens são fungíveis.

Por outro lado, em boa parte dos crimes informáticos os prejuízos materiais são apenas uma pequena parcela do problema. Inclusive, este é justamente o grande diferencial dessas ocorrências: os danos podem versar sobre aspectos da intimidade e vida pessoal dos indivíduos, conquistas profissionais, informações empresariais sensíveis, etc. Ou seja: dados infungíveis e, naturalmente, de valor incalculável!

Por estas razões e diante de frequentes notícias sobre vidas arruinadas, empresas quebradas e empregos perdidos em decorrência da prática de delitos de informática, parece-nos tímida a punição penal de tais condutas - com tão gravosas consequências, através do pagamento de cestas básicas, prestação de serviços à comunidade e outros benefícios direcionados aos crimes de menor potencial ofensivo.

Neste sentido, se a tecnologia assumiu papel de alta relevância no cotidiano do cidadão brasileiro, a lei não poderia deixar de tratá-la igualmente, reconhecendo de forma prática seu gigantesco potencial de afetar a vida das pessoas - para o bem e, infelizmente, também para o mal.