Lei prevê pena leve para crimes cibernéticos como o do hacker de Moro

A legislação brasileira não é rigorosa para coibir crimes cibernéticos como os praticados pelo grupo de hackers que invadiu o celular do ministro Sergio Moro e de cerca de mil outras autoridades, segundo estimativa da Polícia Federal (PF). As leis que tratam desses crimes preveem pena de prisão de no máximo três anos – o que representa regime aberto de detenção (normalmente convertida em prestação de serviços comunitários ou pagamento de cestas básicas).

Apesar disso, os hackers de Moro poderão vir a sofrer punição mais duras, caso venham a ser condenados. Mas apenas se forem enquadrados na Lei de Segurança Nacional (se eventualmente tiveram divulgado informações sigilosas de Estado) ou se ficar caracterizada a prática de outros crimes – tal como a formação de quadrilha. No caso da Lei de Segurança Nacional, a pena pode chegar a 15 anos de prisão.

O que diz a Lei Carolina Dieckmann

A legislação brasileira trata casos de crimes e ilícitos cibernéticos em diversos dispositivos: a Lei Carolina Dieckmann, o Marco Civil da Internet e a recente Lei Geral de Proteção de Dados (LGPD).

Especialista em crimes digitais, privacidade e proteção de dados, o advogado José Gomes Colhado diz que a legislação no Brasil ainda não é suficiente para proteção contra crimes cibernéticos, apesar de modificações terem sido feitas no Código Penal em 2012.

Ele cita, por exemplo, a Lei Carolina Dieckmann, como ficou conhecida um alteração do Código Penal elaborada para punir casos como o do vazamento de fotos íntimas da atriz. O projeto alterou o artigo 154-A do Código Penal para tipificar crimes na internet tais como “invadir, adulterar ou destruir dados ou informações sem autorização”.

A mudança também prevê punição se a “invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido”. A pena máxima prevista na Lei Carolina Dieckmann é de três anos – já considerados as agravantes.

Além da pena baixa, o texto da lei exige muitas condições para que uma invasão cibernética seja considerada crime – tal como violação indevida do mecanismo de segurança. “Essa violação pode ser um tiro no pé [para punir o acusado]", diz Colhado. Segundo ele, se o equipamento eletrônico não tem um mecanismo de segurança, o acusado pode se ver livre dependendo do argumento de sua defesa.

O especialista cita como exemplo o caso de um computador deixado aberto ou de um celular sem senha, na qual não há violação do mecanismo apontado na lei. “O que mais chama a atenção são danos aos dados pessoais que não por invasão, que não pode ser punido criminalmente. Se tirar 'invasão' [do texto legal] e inserir ‘por qualquer outro meio’, já seria melhor”, opina.

Recentemente, o deputado Delegado Waldir (PSL-GO) apresentou um projeto de lei que altera o tempo de detenção previsto no artigo 154-A do Código Penal. A proposta é aumentar o tempo mínimo para um ano e a máxima para três anos de prisão. Na forma qualificada – quando torna o crime ainda mais grave –, a pena de reclusão passou a ser de até cinco anos.

O que diz o Marco Civil da Internet e a Lei Geral de Proteção de Dados

Já o Marco Civil da Internet, sancionado em 2014, prevê proteção da privacidade, proteção dos dados pessoais, inviolabilidade da intimidade e da vida privada, entre outros pontos da vida on-line regulamentados. Apesar disso, essa lei não prevê punições para quem viola os direitos dos usuários da internet.

Outra legislação que tende a reforçar a segurança contra crimes na internet é a Lei Geral de Proteção de Dados (LGDP), que entra em vigência em agosto de 2020 com o objetivo de aumentar a segurança para dados pessoais.

A advogada Natália Brotto, especialista na LGPD, explica que a lei traz uma mudança de paradigma para dar outros direitos aos donos de dados no Brasil. “Embora a Constituição já garantisse direitos e o Marco Civil a garantia da proteção de dados, não tinha lei geral que protegesse as pessoas físicas de compartilhamento de dados”, diz.

Segundo Natália Brotto, com a LGPD há uma mudança da titularidade dos dados – que deixa de ser das empresas, se viam como donas das informações, e passa a pertencer às pessoas físicas, dentro ou fora da internet.

A advogada avalia que a sensação de impunidade para crimes cibernéticos não está ligada à falta de legislação, mas à identificação dos autores. “A lei existe, protege. O problema é achar quem fez o crime, conseguir fazer prova que foi a pessoa que praticou a conduta. Não é a falta da lei, a insegurança jurídica na internet. Mas a dificuldade de persecução penal de provar e processar”, explica.

No entanto, Colhado avalia que a lei de proteção de dados incluiu apenas a parte civil e deixa de fora a previsão penal. “Não tem crime especifico na parte penal para vazamento de dados pessoais. Quando ocorre vazamento, tem previsão para ilícito civil. Mas ainda não existe o aspecto criminal a esse respeito”, questiona.

Ataques cibernéticos são ameaça global

Para o especialista em gestão de risco cibernético Marco Mendes, da Aon Brasil, a ausência de legislação de proteção de dados representa um risco grande e que os reflexos sobre a segurança serão sentidos nos próximos anos.

“Já tinha lei sobre proteção de dados, mas a falta de cultura no Brasil em discutir o tema fez com que esse assunto não fosse muito tocado antes. Somente com as mudanças da sociedade e a incorporação da tecnologia [no dia a dia], a percepção do risco foi aparecendo”, afirma.

De acordo com a Pesquisa Global de Gerenciamento de Risco de 2019 realizada pela Aon, os ataques cibernéticos e violações de dados ocupam a sexta posição entre os principais riscos para empresas e instituições. E a previsão é de que suba para o terceiro lugar até 2022.

“Hoje, os ataques cibernéticos já somam prejuízos de mais de US$ 3 trilhões mundialmente, que tendem a continuar aumentando se as empresas e governos não se prepararem”, explica.