A ampliação do tipo penal de divulgação de material pedófilo

Em uma semana em que o senado promete endurecer nossa legislação contra os adquirentes de pedofilia na internet, cabem algumas considerações sobre o assunto. Nossa legislação estabelece a punição pela divulgação de material pedófilo no artigo 241 do Estatuto da Criança e do Adolescente:

"Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:
Pena - reclusão de 2 (dois) a 6 (seis) anos, e multa."

O grande problema desse artigo é que não se enquadram nesse tipo penal as condutas de “acessar” e “comprar”. A conduta de comprar, estaria de certa forma abrangida pela conduta de acessar. É nessa esteira que o projeto do senador Marcelo Crivela foi aprovado na Comissão de Constituição e Justiça do Senado. Este projeto de lei visa a punição também de quem acessa além de quem transmite o material pedófilo na internet.

Como nossos tribunais ainda não se manifestaram sobre a questão do acesso, recorremos ao Direito Comparado para a análise dessa situação. Nos EUA, no estado da Pennsylvania (Anthony Diodoro vs Commonwealth of Pennsylvania), decidiu-se que o acesso ao material pedófilo sem o ato intencional de gravar as fotos acessadas não constitui crime, pelas leis americanas. Tal decisão analisada sob a égide de nossa lei também não constitui crime. O crime ocorreria (pela lei da Pennsylvania) apenas se alguém salvasse intencionalmente as mensagens e não pelo simples acesso. A referida decisão tratou a questão entendendo que :

“State law says that a person must have "knowing possession" of child pornography in order for it to be a crime. A panel of three judges in the Pennsylvania Superior Court concluded that Diodoro (nome do acusado) could not be convicted of knowingly possessing the images because there was no evidence that Diodoro knew that his computer was storing the images in its internet cache file.”

Ademais também discutiu-se a questão da ambiguidade da lei, no sentido de que em havendo dúvida, o réu deve ser absolvido. Algo como o princípio do “in dubio pro reo”. Isso uma vez que a lei americana considera crime apenas o “knowingly possesses” do material. A dubiedade do sentido de “knowingly possesses” é que garantiu a absolvição do réu. Cabe trazer o texto específico desse tipo penal:

“Any person who knowingly possesses or controls any book, magazine, pamphlet, slide, photograph, film, videotape, computer depiction or other material depicting a child under the age of 18 years engaging in a prohibited sexual act or in the simulation of such acts commits an offense.”

Isso significa que deveria haver, no caso da lei do referido estado, uma intenção prévia de salvar as imagens, não bastando que elas ficassem armazenadas nos arquivos temporários do computador para a tipificação do crime de acesso ilegal.

Torna-se importante essa discussão, uma vez que aquele tribunal entendeu que o armazenamento automático nos arquivos temporários do browser não configuraria a “intenção de armazenamento”. Isso, pois não se conseguiu provar que o acusado teria a intenção de salvar as mensagens ou que sabia que tais imagens ficariam guardadas nos arquivos temporários de seu navegador, circunstância que pesou na hora de sua absolvição.

Tais reflexões, mesmo que baseadas em casos fora da jurisdição nacional são importantes para o esclarecimento de nossos legisladores no momento em que se visa a ampliação do tipo penal de divulgação de material pedófilo. A especifidade do tipo penal deve ser muito bem observada sob pena de não abranger condutas reprováveis, como no caso da decisão americana.

A decisão integral pode ser lida em http://www.superior.court.state.pa.us/opinions/a23036_06.PDF

A responsabilidade pelo armazenamento de logs

Recentemente, li uma notícia sobre um caso americano (Easton Sports, Inc. v. Warrior LaCrosse, Inc.) onde era discutida a questão de se uma empresa deveria ser responsabilizada pelo apagamento de logs ou evidências que potencialmente poderiam servir de prova em um processo futuro.
O caso era de um funcionário de uma empresa que foi instigado por outra empresa a transferir informações sigilosas através de e-mail e outros meios.
A empresa instigadora desse ato, posteriormente contratou o funcionário da primeira empresa e após, esta processou a segunda por esta violação. Com isso a empresa processada, apagou logs e o funcionário cancelou sua conta no Yahoo, com a intensão de destruir as evidências digitais pertinentes.
Entre outras coisas a decisão afirmava "Under Michigan law, “[a] trial court has the authority, derived from its inherent powers to sanction a party for failing to preserve evidence that it knows or should know is relevant before litigation is commenced. MASB-SEG Prop./Cas. Pool, Inc. v. Metalux, 231 Mich.App. 393, 400 (1998). A sanction may be appropriate “regardless of whether the evidence is lost as the result of a deliberate act or simple negligence, [as] the other party is unfairly prejudiced....” Brenner v. Colk, 226 Mich.App. 149, 161 (1997)."
Em que pese as notáveis diferenças entre o sistema jurídico americano e o nosso, podemos fazer algumas considerações sobre os possíveis efeitos de um hipotético caso semelhante ocorrido no Brasil.
Em princípio podemos trazer à baila a questão de ninguém ser obrigado a produzir prova contra si mesmo. Aliado a isso, não há em nossa legislação nenhuma regra obrigado um provedor ou uma empresa a guardar logs sobre sua atividade. Também temos o inc. II do art. 5º da CF que diz: "ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei".
A priori, não haveria nenhuma obrigação nesse sentido e a empresa não poderia ser responsabilizada por não armazenar os logs.
Por outro lado, o nosso código civil prega o princípio da boa-fé objetiva, que em alguns casos é caracterizado pela existência de deveres laterais ao cumprimento de uma obrigação. Ora, a atividade de TI tem como um dever lateral, o armazenamento de logs para a correta medição de uso de seus recursos, bem como o monitoramento preventivo além de evitar o anonimato da expressão proibido pela CF. É uma conclusão extraída das regras de experiência técnica da atividade.
Nesse tom, sentimos que um apagamento intencional de dados que potencialmente possam servir como prova e, este ato impeça uma investigação sobre um crime que saiba ter-se cometido naquela estrutura, pode fundamentar uma ação indenizatória contra a empresa ou pessoa autora do ato. Claro que deve haver um dano por este apagamento. A ação indenizatória se fundamentaria no desrespeito ao dever geral de boa-fé objetiva que deve orientar toda a atividade de tecnologia traduzido pela obrigação lateral de guarda de logs.
Há também o tempo de guarda de logs que poderia ser discutido em uma possível ação dessa natureza. No caso americano, dados foram destruídos logo depois que se verificou a movimentaçõa para o início da ação judicial.
Não devemos esquecer, por fim, que se já há um processo judicial iniciado e há uma destruição de provas digitais, temos a tipificação do delito de Fraude Processual, art. 347 do CP.

O que a lei protege: Dados ou Comunicação de Dados?

Em tempos modernos, em que todos os documentos não são mais redigidos em máquinas de escrever sem qualquer tecnologia para arquivo de dados, mas em computadores com enorme poder de memorizar os dados digitados, como ficam sob a ótica jurídica a questão do sigilo e a invasão da memória de computador?
O STF, em recentíssima decisão relatada pelo Ministro Sepúlveda Pertence, trouxe à tona esse tema de forma muito coerente e elucidativa, definindo conceitos até então nebulosos.
A discussão encontra respaldo na interpretação do art. 5º, inc. XII, da nossa Constituição Federal, que determina a inviolabilidade do sigilo das comunicações de dados, entre outras, salvo por ordem judicial dentro dos moldes previstos em lei.
O acórdão foi prolatado em caso no qual determinou-se a busca e apreensão de equipamentos de informática e disquetes na sede da empresa para apuração de eventuais crimes tributários pela análise dos registros armazenados digitalmente. O réu recorreu buscando a reforma da condenação, pois, supostamente, as provas teriam sido obtidas por meio ilícito, resultando na violação da proteção constitucional ao sigilo de comunicações de dados.
Nesse passo, o Tribunal entendeu que não houve quebra de tal sigilo, isto porque a expressão “dados” não deve ser entendida como o objeto da comunicação, mas sim uma modalidade tecnológica de comunicação resultante do desenvolvimento da informática. Desse modo, se o sigilo acoberta apenas a comunicação de dados, os dados estáticos, armazenados na máquina, não estariam acobertados pela inviolabilidade constitucional.
Na mesma trilha, a decisão esclarece que referida distinção é importantíssima, concluindo que o objeto protegido no direito à inviolabilidade do sigilo não são os dados em si, mas a sua comunicação restringida. A troca de informações privativa é que não pode ser violada por sujeito estranho à comunicação.
Assim, conclui-se que a infração ao direito constitucional ocorreria se alguém entrasse na comunicação alheia, interceptando os dados. Para facilitar o entendimento, trazemos o seguinte exemplo: o leitor envia um e-mail para os autores deste texto; se um terceiro não autorizado entrar nessa comunicação, tento acesso aos dados enviados, configuraria violação do preceito constitucinal.
Desse modo, o STF definiu acertadamente o conceito de interceptação de comunicação de dados, esclarecendo que este não se confunde com o conceito de dados estáticos.
Certamente, depois dessa decisão, novas discussões surgirão, pois se a justiça sugere que não há proteção aos dados estáticos, como ficaria a questão do sigilo quanto a estes? Será que no futuro haverá necessidade de quebra de sigilo judicial?
Continuaremos acompanhando e, quando vislumbrarmos o novo rumo adotado pelos Tribunais para questões tão peculiares como essa, traremos para os leitores essa interessante convergência entre direito e tecnologia.

Autores:Renato Opice Blum e Camilla do Vale Jimene

A reprodução deste texto foi autorizada diretamente pelo Dr. Renato Opice Blum e também segue ditames do Creative Commons. Gostaria de agradecer publicamente a gentileza do Dr. Renato Opice Blum em permitir a publicação do artigo.

O art. 46 da lei 9610/98 e a ISO/IEC NBR 17799

Com as recentes discussões acerca da nossa anacrônica lei de Direitos Autorais cabem algumas considerações sobre o art. 46 da referida lei. O art. 46 elenca os casos das condutas que não constituem ofensa aos direitos autorais. Entre os vários casos, quero destacar um que aplica-se a uma situação de possível ocorrência nos Tribunais.Alguns juristas, entre eles o Dr. Renato Opice Blum, dizem que a norma ISO/IEC NBR 17799, que trata das melhores práticas em Segurança da Informação, tem aplicabilidade obrigatória em face de nosso CDC. Explico: o CDC em seu art. 39 reza:

Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas:
VIII - colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro);

Isso significa que o CDC veda a colocação de um serviço ou produto em dissonância com as normas técnicas da ABNT. Ora, a referida norma, foi publicada no Brasil através da ABNT, sendo uma norma brasileira a balizar a atividade de segurança da informação.
Em sendo assim, a questão sobre os direitos autorais seria a seguinte: em um processo judicial em que se discute a aplicabilidade da norma ISO/IEC NBR 17799 para classificação de um serviço de TI como sendo prática abusiva pela inobservância do art. 39 do CDC, o advogado teria que obrigatoriamente trazer esta norma como prova. Isso porque dificilmente o juiz conheceria o teor da referida norma. Em sendo assim, seria uma violação de Direitos Autorais a utilização de uma cópia da norma para instruir o referido processo? Entedemos que não com base no art. 46 da lei 9610 especificamente em seu inciso VII:

Art. 46. Não constitui ofensa aos direitos autorais:
VII - a utilização de obras literárias, artísticas ou científicas para produzir prova judiciária ou administrativa;

Nesse caso, enxergamos a possibilidade da utilização da norma técnica para a instrução processual, através de uma cópia juntada ao processo sem que isso signifique a violação de direitos autorais.

Direito e Comércio Eletrônico

Artigo publicado no Jornal do Comércio de Porto Alegre
A singeleza do artigo justifica-se pelo pequeno espaço disponibilizado pelo jornal.

Em 2005 o comércio eletrônico (B2C - Business to Consumers) movimentou aproximadamente R$ 2.5 Bilhões no Brasil. No mesmo ano tivemos 4 milhões de consumidores que realizaram compras pela Internet aqui no país. As grandes redes de lojas já aderiram totalmente ao comércio eletrônico e temos casos bem sucedidos de lojas brasileiras que funcionam apenas no meio eletrônico.
Os fornecedores virtuais devem sempre observar uma série de princípios com o fim de atender nosso Código de Defesa do Consumidor (CDC). Temos o Princípio da Informação (que faz com que os estabelecimentos comerciais virtuais devam informar os consumidores sobre as peculiaridades do comércio eletrônico, bem como os riscos gerais atinentes às transações on-line); o Princípio da Boa-Fé Objetiva pregando, entre outras coisas, o dever lateral de transparência no desempenho das funções de fornecedor. Além disso, há a responsabilidade objetiva dos estabelecimentos comerciais eletrônicos, onde em havendo um dano ao consumidor nessa relação, presume-se a culpa daquele.
Vê-se que o comércio eletrônico modifica o conceito de confiança, uma vez que o consumidor precisa confiar em um fornecedor que não vê fisicamente e que está em um ambiente hostil e público, que é a Internet. É a impessoalidade do comércio virtual. Isso motiva as empresas a investirem em Segurança da Informação para trazer mais integridade às transações eletrônicas, atendendo às expectativas de segurança dos clientes. Para amenizar essa impessoalidade, temos o direito de arrependimento nos contratos entre ausentes, estabelecido CDC.
Cabe aos gestores das empresas virtuais sempre observar tais peculiaridades para tentar mitigar o risco jurídico de sua atividade.

Monitoração do e-mail corporativo

A questão da possibilidade do e-mail utilizado no ambiente empresarial poder ser monitorado tem merecido muita atenção de advogados e profissionais de TI. No entanto, até mesmo nossos tribunais, têm tratado o assunto de maneira simplista, ignorando algumas regras que merecem ser observadas.
O e-mail com o domínio da empresa é de sua propriedade e esta tem o dever de monitorá-lo. Esse dever advém, dentre outras coisas, do fato da responsabilidade que e empresa tem sobre os atos de seus funcionários quando utilizam seus recursos. A empresa responde perante terceiros quando o funcionário usa o e-mail para envio de material ilegal, quando quebra de sigilo, viola de direitos autorais e até mesmo comete crimes entre outros atos decorrentes do mau uso da tecnologia. Quanto a isso não há dúvidas.
Mesmo assim deve se ressaltar que a privacidade é um bem do qual as pessoas não podem abrir mão integralmente. É um bem que tem proteção constitucional e é fundamentado nos valores da dignidade da pessoa humana, além de ser inalienável. Há, assim, expectativa de privacidade mesmo quando se usa o e-mail da empresa. Por isso é importante a criação, pela equipe de tecnologia e corpo jurídico, de uma política de uso dos recursos tecnológicos. Esta política deve ser amplamente divulgada entre todos os colaboradores. Nela estabelecem-se os limites de uso e as penalidades para seu descumprimento. Ao mesmo tempo, deve-se fazer um termo aditivo no contrato de trabalho, de todos os funcionários em que este dá o consentimento específico para a monitoração das mensagens. A inobservância dessas orientações podem fazer com que a empresa, ao monitorar as mensagens, violem indevidamente a privacidade dos colaboradores inviabilizando o produto da monitoração. Em casos específicos isso pode até gerar uma ação indenizatória pela invasão de privacidade. Por fim, quando a empresa não age assim, pode passar a idéia de que permite tacitamente que seus funcionários utilizem a estrutura de e-mails para fins particulares, comprometendo uma futura monitoração.

Outsourcing e Direito Digital

Artigo originalmente publicado no Jornal do Comércio de Porto Alegre

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

No mundo negocial atual é muito freqüente as empresas terceirizarem setores ou atividades com o escopo de diminuir riscos, custos e aumentar a produtividade. Essa terceirização é conhecida por Outsourcing e encontra campo fértil nas atividades que envolvam a Tecnologia da Informação.
É possível realizar um contrato de Outsourcing em praticamente todas as áreas de Tecnologia da Informação, desde o suporte técnico mais básico até à Gerência de TI. No entanto, um fator determinante para utilizar o Outsourcing de forma segura é a questão contratual. Um contrato de Outsourcing mal redigido pode prejudicar não só a empresa prestadora de serviço como o contratante. Por ser um contrato específico alguns requisitos devem sempre ser observados: a exata definição pormenorizada do serviço a ser prestado; o que será feito e principalmente o que não será feito pela empresa prestadora; deve haver uma cláusula de confidencialidade que, entre outras coisas, proíba a divulgação de detalhes do contrato para evitar investidas dos concorrentes; responsabilidade de cada profissional; hipótese de descontinuidade do serviço e de não atendimento, etc.
Outro requisito fundamental é a caracterização do serviço de Outsourcing como obrigação de meio ou de resultado. Se a empresa prestadora do serviço prometer atingir um objetivo específico, trata-se de obrigação de resultado. Se a empresa comprometer-se a utilizar os meios tecnológicos existente para tentar chegar a um resultado sem no entanto prometer um objetivo, teremos obrigação de meio. Isso é importante para determinar o grau de responsabilidade da empresa em caso de não prestação de um serviço ou prestação inadequada ou incompleta.
Por fim é sempre importante utilizar um glossário ao final do contrato. Esse glossário visa normatizar as interpretações sobre termos que possam ser dúbios ou interpretados de várias maneiras. Com isso garante-se a segurança da prestação e evita-se a ocorrência do risco jurídico nessas atividades.

Direito Digital

Artigo publicado originalmente no Jornal do Comércio de Porto Alegre.

A singileza do artigo justifica-se pelo pequeno espaço fornecido pelo jornal

Apesar de não ser um ramo autônomo do Direito, as disposições de Direito Digital ou Direito da Informação têm sido cada vez mais pesquisadas e estudadas. A abrangência da matéria é ampla e envolve questões de: Direito Penal (crimes contra o sistema bancário, divulgação de material sexual infantil, crimes contra a honra, quebra de sigilo bancário e telemático, violação de sistemas da Administração Pública), Direito Civil (questões contratuais típicas ao ambiente da informação, acordos de confidencialidade, responsabilidade civil de empresas por atos de seus funcionários no âmbito da Internet, o prazo para o armazenamento de informações), Direito Trabalhista (com a análise de e-mails e conteúdo acessado para a possível classificação de uma despedida por justa causa), Direito Processual (com a análise de provas digitais, perícia – Computer Forensics), Direito do Consumidor (com contratos realizados por meio digital, Responsabilidade Civil dos provedores e empresas que trabalham com e-commerce), etc.

Talvez a área que mais exija atenção do Direito Digital seja a área de Segurança da Informação (S.I). Isso porque nesses casos é exercido um controle preventivo, conjuntamente com o setor de S.I visando garantir a segurança como um todo além de garantir a continuidade dos negócios e evitar perdas. Por isso digo que a Segurança da Informação é sinônimo de Segurança Jurídica. Um depende do outro e a inobservância de um pode inutilizar o trabalho do outro. A informação é um ativo das empresas, devendo ser vista não só como informação digital, mas sim em um sentido amplo. Com isso a segurança deve ser observada tanto em seu aspecto físico, digital, humano e jurídico.

Empresas que trabalham com o sigilo de informações e com o controle de Direitos Autorais devem estar munidas de contratos com disposições especiais além de Acordos de Confidencialidade seja com seus colaboradores, parceiros e fornecedores.

O empresariado gaúcho precisa atentar para as importantes disposições do Direito Digital para amenizar ou até mesmo evitar perdas futuras.