PL da proteção de dados e Segurança Digital Coletiva

O Estado democrático é destinado constitucionalmente a garantir a segurança.

Nesse contexto, a segurança pública é dever do Estado, direito e responsabilidade de todos e é fundamental para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio (CF/88, art. 144, caput).

Com o advento da rede, a Cibersegurança surgiu e, com ela, alterações parciais na legislação penal para ajustá-la, minimamente, à realidade digital - Lei 12.737/12 e Lei 13.185, Carolina Dieckman e do Cyberbullying, respectivamente. Ainda na seara eletrônica, o Marco Civil, em seu artigo 3º, inciso V, consolidou a Segurança como um dos princípios do uso da internet¹.

O Projeto de Lei 5.276/2016 (PL 5.276/16), sobre tutela de dados pessoais e privacidade, estabeleceu que as atividades de tratamento de dados pessoais serão informadas pelo Princípio da Segurança (art. 6º, VII) e que, em razão disto, deverão ser "...utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas(...)".

Evidentemente que um projeto de lei destinado à proteção de dados pessoais e privacidade não poderia tratar a Segurança levianamente e o tema volta a ser abordado diversas vezes ao longo do texto até receber uma seção própria no Capítulo VII.

Chama-se a atenção, entretanto, para o fato de a Segurança ser citada como princípio de uso da internet (Marco Civil) e informador do tratamento de dados pessoais (PL 5.276/16), pelo que se pergunta: não lhe caberia um papel de maior destaque na legislação especializada? Não estaria sendo tratada, a Segurança, mais como um meio do que como um fim no direito eletrônico?

Da interpretação sistemática do direito digital, a partir de suas conexões constitucionais, surgiu a ideia de fundir "conceitualmente" Segurança Pública² e Cibersegurança para garantir, também no ambiente conectado, que o cidadão desfrute do estado de normalidade que lhe permita exercer seus direitos e cumprir seus deveres.

Acontece que, por bom senso ou realismo, é preciso admitir que o exercício de direitos e cumprimento de deveres em uma conjuntura atual e, sobretudo com vistas ao futuro, pressupõe o acesso protegido e amplo à internet e aos recursos disponíveis por meio dela; de modo que a segurança digital pública, isto é, no ecossistema virtual, é tão indispensável quanto o é nas ruas.

A perturbação da paz eletrônica é um ato de violência que produz inquietação no espaço digital; a impunidade, neste cenário, incentiva o aumento da criminalidade online. Portanto, no bojo do PL 5.276/16, parece que seria pertinente inserir a segurança (digital coletiva) tanto como garantia, quanto como fundamento da lei (adicionando-a ao artigo 2º como inciso VI).

Vai-se além: o projeto afirma ter por escopo "tratar da proteção da privacidade e dos dados pessoais de cada cidadão", mas deveria, antes, tratar da segurança do ambiente digital comum como forma de asseverar a salvaguarda da privacidade e dos dados pessoais de cada cidadão.

SEGURANÇA DIGITAL COLETIVA, DADOS PESSOAIS E PRIVACIDADE

O já mencionado PL 5.276/16, que versa sobre a proteção (segurança) da privacidade e dos dados pessoais, tramitava em regime de urgência até o início do mês de julho (2016), quando o Governo do presidente em exercício, Michel Temer, suspendeu a medida para - disse-se - privilegiar outras de maior interesse do Executivo no momento.

A justificativa oficial seria de que há projetos distintos que demandariam maior atenção, como, por exemplo, a alteração das regras para exploração do pré-sal. Especula-se, contudo, se o anúncio, posterior à terceira ordem judicial de bloqueio do WhatsApp não assumiria porquês mais complexos e obscuros.

A propósito, o Ministro da Justiça, Alexandre de Morais, teria afirmado que pretende elaborar um projeto de lei que contenha uma estrutura própria para a requisição de conteúdo de mensagens trocadas via WhatsApp (nas entrelinhas: restringindo a encriptação) - é o que declarou a Canaltech em matéria de 19.07.16 (Governo quer repasse de informações do Whatsapp para autoridades³) - e, neste sentido, aprovar prematuramente uma lei de preservação de dados (que incentiva espontaneamente a encriptação) poderia provocar um clash legislativo.

Enquanto isso, o PL 5.276/16 conta com o apoio, talvez unânime, das entidades e empresas do setor - o que é, reconhecidamente, um feito. Em carta assinada por 38 representantes da área, explica-se que embora o projeto date de 2016, é fruto da colaboração e do amplo engajamento entre as subscritoras desde 2010; resultado de mais de 10 meses de debate público e produto de mais de 10 mil contribuições advindas dos meios empresarial, científico, acadêmico e civil.

Dizer, portanto, que o projeto não está bom seria, no mínimo, descortês. Afirmar poder aperfeiçoá-lo, seria empáfia. Não se pretende aqui nem uma coisa nem outra. Falta conhecimento técnico e vivência profissional para tanto.

De outro lado, por experiência pessoal recente, ousa-se afirmar que caberia enfatizar no PL 5.276/16 um aspecto que se propôs chamar desde a abertura do texto (por ora, experimentalmente), Segurança Digital Coletiva e que concerne a incumbência de todos (CF/88, art. 144, caput), especialmente dos responsáveis (terminologia adotada no PL) de garantir a integridade do ambiente digital.

Impedir o acesso e o abuso dos dados pessoais por terceiros (mal-intencionados ou não), certamente é a meta principal do PL; mas se este anteparo falhar quanto a isto (prevenção protetiva), e eventualmente irá, a unidade da internet se manterá contanto que as providências a serem tomadas (para contenção e reparação da falha de segurança) sejam precisas e eficazes e desde que os usuários não se sintam desamparados e as empresas não se entreguem à prostração - por conveniência ou ignorância.

NA PELE: EXPOSIÇÃO

Por experiência pessoal, refere-se a episódio de hackeamento cadastral e utilização de dados pessoais junto a empresa de milhagem aérea, concomitantemente ao "sequestro" de linha móvel para concreção de golpe que culminou na emissão de bilhetes aéreos que consumiram 104.000 milhas e na ausência de serviço do celular por cinco dias.

Dentre as várias consequências deste acontecimento, uma das mais sérias, talvez a mais marcante, foi a constatação de que a legislação atual e também a porvir (PL 5.276/16) pouco ou nada fazem em benefício dos que se encontram em situações como esta: nas quais a prevenção falhou e é preciso tomar atitudes, fazer emendas e punir responsáveis penal, civil e administrativamente.

A partir daí, deu-se a percepção de que a invasão (remota) de cadastro de dados pessoais pode ser realizada para cometer crimes/viabilizar ilícitos (estelionato, furto eletrônicos, por exemplo), mas há hipóteses CINZENTAS onde o ato ilícito é (apenas) a invasão em si.

Em primeiro lugar, é interessante observar que não existe, atualmente, um caminho claro a ser trilhado pela vítima de intrusão do cadastro de dados pessoais quando este esteja armazenado em um servidor (nuvem, provedor, dispositivo alheio) porque o art. 154-A do CP (acrescentado com a Lei Carolina Dieckman) fala da incursão em "dispositivos físicos" e os cadastros não se encaixam exatamente nesta descrição; salvo se o juiz entender que a lei aplica-se por analogia - caso contrário, apenas o provedor/responsável cujos servidores foram invadidos têm legitimidade para o art. 154-A (o dono do local onde estavam os dados), a vítima cujo cadastro foi invadido não.

Se alguém invade seu computador ou smartphone, você tem respaldo legal para explicar que sofreu uma violação de direito. Se alguém invade seu e-mail e não causa nenhum prejuízo perceptível ou passível de comprovação - mesmo com 100% de certeza da invasão - é mais complicado se fazer entender no sentido de que a intrusão, per si, é ofensa ao patrimônio jurídico pessoal.

Quer dizer, se Beltrano (criminoso) invade o cadastro de Fulano (vítima) por meio de um site (responsável pela guarda) para apagá-lo ou alterá-lo, mas NÃO tira proveito econômico (conhecido) nem causa prejuízo econômico - pior: se apenas copia os dados, sem deixar vestígios de tê-los ao menos utilizado - Fulano não tem muito o que fazer (senão contar que o magistrado cível, caso ele tenha ânimo de perseguir a questão judicialmente, entenda cabível dano moral pelo aborrecimento causado para restaurar o cadastro ou pelo fato de ele ter sido copiado ou pela "mera" invasão).

O Marco Civil da Internet dispõe no art. 22 que o interessado poderá requerer ao magistrado dados de acesso para ajuizamento posterior de ação cível ou penal, desde que demonstre fundados indícios de ilícito, justifique a utilidade das informações e indique um período específico para a coleta.

Inicialmente, dessarte, seria crucial o êxito de Fulano (interessado) no pedido de informação com base no art. 22 do Marco Civil - sendo que quando não há um crime convencional (furto eletrônico, calúnia, estelionato, etc.), tão somente o acesso indevido aos dados pessoais privados sem prejuízo patrimonial para a vítima, o ilícito penal a ser demonstrado seria a invasão em si. O Juiz, pois, precisa entender como ilícito civil invadir cadastro de dados pessoais alheio, mesmo que daí não se comprove nenhum prejuízo extrapatrimonial. De todo modo, qual a utilidade para a vítima (2º requisito do art. 22) saber o nome do invasor? Cobrança de danos morais? Não; e o porquê estará explicado adiante.

Imagine-se que seja obtida a informação (IP e, posteriormente, identidade do invasor) e, para isso, seria necessário investir em honorários de advogado e aguardar o trâmite processual. Se da invasão não resultou prejuízo econômico ou dano patrimonial reparável, resta apenas a responsabilidade civil.

Acontece que no que tange à responsabilidade civil extrapatrimonial, a recomendação de qualquer advogado (via de regra, a não ser que um Mark Zuckerberg da vida fosse o cracker envolvido) seria ir contra a empresa objetivamente responsável (provedor) pela vulnerabilidade na segurança dos dados pessoais violados e isso independeria de saber a identidade do terceiro violador. Destarte, a ação de informação seria irrelevante.

Os dados colhidos com a ação cível (IP, etc, etc,) poderiam ir para o lixo, juntamente com o tempo e os honorários investidos. Nos casos, pois, em que há somente a invasão de cadastro sem prejuízo comprovado ou comprovável, basta ajuizar diretamente a ação de responsabilidade civil objetiva.

Conclusão: o sistema no qual se inclui o art. 22 do marco civil só funcionaria de modo palpável para quem é vítima de um crime OUTRO, além da invasão cadastral em si e, mesmo assim, com ressalvas, como se verá adiante.

Seria oportuno o PL 5.276/16 instituir que comprovado o acesso indevido a dados pessoais sob responsabilidade de provedor para guarda, armazenamento ou tratamento, ainda que dele não advenha benefício patrimonial ao invasor ou prejuízo patrimonial ao invadido, existe dano moral e responsabilidade objetiva do provedor. Com isso, evitar-se-ia a multiplicidade de entendimento doutrinários e jurisprudenciais, estes, decorrentes de o Judiciário ser obrigado a "legislar" sobre o tema.

Outra alternativa seria modificar o art. 154-A do Código Penal para incluir como novo tipo a invasão de cadastros eletrônicos, nuvens e depósitos remotos de dados pessoais, equiparando-os, para fins de proteção, aos dispositivos físicos.

Agora, se ocorrer um prejuízo econômico (como a perda de milhas aéreas ou a compra de produtos online), as providências a serem tomadas pela vítima dependem de uma colcha de retalhos a ser costurada por entendimentos subjetivos dos Juízes; a partir da obtenção das informações, ordem judicial de advertência, multa, etc. para que o provedor tome medidas de segurança; condenação do responsável a restituir as milhas/dinheiro e perdas e danos (cabíveis); do interesse da polícia ou MP na persecução criminal do acusado (a depender da existência de recursos) - e todas estas variáveis geram uma tremenda insegurança jurídica no habitat digital.

Há, além destes fatores, uma gama de providências administrativas que dependem da vítima, como buscar uma solução amigável, tomar as atitudes de saneamento, lavrar o BO, contratar advogado, ajuizar ação para obter informações de acesso, propor ações cíveis, reclamar junto ao Ministério Público, etc.

Ressalte-se que a legislação em vigor (Marco Civil), na prática, estende a mesma proteção dos dados pessoais/de acesso dos titulares aos dados pessoais/de acesso dos criminosos porque, supostamente, não haveria como diferenciar dados de não-criminoso de dados de criminosos dentro de um mesmo cadastro - embora seja perfeitamente possível identificar a titularidade do cadastro(!).

Como está, hoje, se alguém emitir passagens com seu cadastro na empresa de milhagens e com suas milhas, ainda assim, a empresa não fornecerá nem o IP, nem os dados do cartão de crédito utilizado pela pessoa que se passou por você - ou qualquer outra informação referente à emissão a partir da sua conta - para você, você titular.

Suponha-se: um fraudador invade determinado cadastro e o adultera; o titular daquele cadastro pede o IP específico do criminoso ao provedor (em dado período); o que o provedor faz? O provedor negará porque os dados do infrator recebem a tutela do marco civil mesmo em se tratando de solicitação pelo próprio titular do cadastro, a quem restará lavrar um BO e entrar na justiça.

Conhecer um pouco mais a estrutura do Judiciário e os recursos do Sistema tornam possível tirar os melhores resultados possíveis de uma situação impossível, verbi gratia, requerendo ao Magistrado que aplique o artigo 12 do Marco Civil para advertir e multar os responsáveis como meios de coagi-los a tomar as ações necessárias a evitar outros incidentes, leia-se: novas vítimas.

SEGURANÇA DIGITAL COLETIVA

É fundamental, diante destas considerações, refletir a respeito de como acrescentar na futura lei as disposições não apenas preventivas, mas reativas, reparativas e punitivas nas hipóteses de hackeamento de cadastro de dados pessoais, independentemente dos reflexos econômicos do ilícito em relação aos envolvidos.

Espera-se, neste ínterim, que a legislação seja a oportunidade de consolidar um procedimento para restituir as vítimas que sofrerem a quebra na segurança de dados pessoais, privacidade e intimidade ao status quo ante.

De fato, o PL 5.276/16 está trazendo inovações louváveis e ideias revolucionárias neste sentido, especialmente no que concerne à criação de uma autoridade nacional, quando o obstáculo número um no Brasil é a burocracia, seguida pela inconsistência do sistema administrativo.

É inviável comunicar as autoridades competentes a respeito de incidentes quando ninguém consegue localizar ou entender quem são essas autoridades ou quando não há uniformidade nos mecanismos de comunicação. Algumas cidades, por exemplo, possuem delegacias do consumidor, outras não; algumas têm delegacias especializadas em crimes eletrônicos, outras não; algumas têm essas delegacias especializadas, mas elas não recebem o público e não registram ocorrências.

Uma instituição com atuação federal, poderia compilar um cadastro único de autoridades locais para a comunicação dos ilícitos (a depender da ocorrência, os boletins poderiam ser lavrados eletronicamente) e disponibilizar uma Ouvidoria para que a população tenha um canal aberto de reclamação interna.

Seria interessante instituir formulários eletrônicos obrigatórios nos sites dos responsáveis/provedores para que os usuários pudessem solicitar dados de acesso referentes a seus próprios cadastros (independentemente de terem sido deles os acessos) - dispensando a necessidade de intervenção judicial, desde que comprovadamente demonstrada a titularidade do cadastro.

Os formulários também poderiam ser utilizados para reportar casos de acesso não reconhecido (potenciais security breaches) e serviriam como documentos de comprobação para a reclamação junto às autoridades locais.

A autoridade nacional a ser criada poderia estabelecer uma certificação (espécie de ISO) de segurança com benefícios (fiscais?); dispor sobre regras de comunicação obrigatória para as empresas cujos sistemas de segurança fossem comprometidos ou ameaçados; multar as empresas que se omitissem quanto à comunicação obrigatória (desenvolvendo melhor o que já está nos arts. 47 e 48 do PL 5.276/16); incentivar pesquisas, prêmios e estudos na área de TI.

Medidas simples assim evitariam que houvesse multiplicidade de vítimas de golpes já praticados, preveniria futuras fraudes, fortaleceria a segurança coletiva na internet e educaria as empresas e usuários sobre sua segurança e a dos demais no espaço eletrônico.

CONSIDERAÇÕES FINAIS

Não, o pré-sal não é mais importante do que este debate, Sr. Presidente.

Nada obstante, antes de o PL 5.276/16 ser aprovado, é essencial investir mais na Segurança Digital Coletiva como interesse comum, suscetibilidade geral e garantia necessária.

É preciso estabelecer um roteiro - integrado ao Marco Civil, evidentemente - de como proceder nos casos de fraude eletrônica nos quais a prevenção falhou, com ou sem benefício econômico para o fraudador, pensando na tríade: criminosos-provedores-vítimas.

Mais: é imprescindível que este roteiro seja pensado com muita cautela e sensibilidade porque, infelizmente, não é recomendável, por enquanto, deixar a critério exclusivamente do Judiciário, ponderar se a invasão cadastral e a perturbação dos dados pessoais são perdoáveis ou não. Se é preciso que haja um prejuízo palpável para condená-las. Em que situações é aceitável uma terceira pessoa (de intenções desconhecidas) meter o dedo nos dados pessoais alheios (em nenhuma!).

Felizmente, todavia, as cabeças pensantes do direito digital brasileiro - que estão na cúpula dos acontecimentos principais sobre a matéria - sabem disso antes e melhor que os demais e, por conseguinte, compreendem que apesar de o PL 5.276/16 precisar vir o quanto antes, só deverá fazê-lo quando estiver pronto.

Essa é a era de ouro da vigilância, da exposição e da vulnerabilidade.

A lei de proteção da privacidade e dos dados pessoais não servirá precipuamente aos mais frágeis, pelo contrário: virá para blindar os titãs - eles sabem que ninguém tem a garantia de permanecer indene nesta civilizada selva digital e compreendem, como gigantes que são, que quanto mais alto se está ao cair, maior será a queda.

_______________

1 Vai além: no artigo 13 determina que na provisão de conexão à internet o administrador de sistema tem o dever de manter os registros em segurança; e no artigo 15 dispõe que o provedor de aplicações de internet (PAI), pessoa jurídica que exerce atividade profissional e organizadamente com fins lucrativos, deve manter os registros de acesso em ambiente de segurança.

2 A (ciber)segurança pública, como dever do Estado, deverá ser tratada na lei que criar a autoridade nacional de que trata o PL 5.276/2016. Segurança Digital Pública, como "direito e responsabilidade de todos", diz respeito a um esforço comum no âmbito da iniciativa privada para garantir um habitat saudável na internet, considerando que uma rede segura pressupõe dados pessoais e privacidade protegidos. Entre Governo e iniciativa privada, segurança e privacidade podem ser conceitos colidentes, mas no seio da própria iniciativa privada, segurança e privacidade podem se tornar aliados, complementares e até indissociáveis.

3 In https://canaltech.com.br/noticia/whatsapp/governo-quer-repasse-de-informacoes-do-whatsapp-para-autoridades-73873/

_______________

*Eduarda Chacon é advogada do escritório Rosas Advogados.