Este módulo é um recurso para professores 

 

O papel da legislação sobre cibercrime

 

A legislação sobre crimes cibernéticos identifica padrões aceitáveis de comportamento para usuários das tecnologias da informação e da comunicação (TIC); estabelece sanções sócio-jurídicas para o cibercrime; protege os usuários das TIC, em geral, e mitiga ou evita os danos a pessoas, dados, sistemas, serviços e infraestrutura, em particular; protege os direitos humanos; permite a investigação e o julgamento de crimes cometidos on-line (fora das configurações tradicionais do mundo desconectado); e facilita a cooperação entre países em questões de cibercriminalidade (UNODC, 2013, p. 52). A legislação cibercriminal institui regras de conduta e padrões de comportamento para o uso da Internet, de computadores e de tecnologias digitais relacionadas, além de regular as condutas da sociedade, da Administração Pública e de instituições privadas; estabelece regras de prova e de processo criminal e sobre outros assuntos de justiça criminal no ciberespaço; e regulamenta a redução de riscos ou a mitigação de danos causados a indivíduos, organizações e infraestrutura, caso ocorra um crime cibernético. Consequentemente, tal legislação inclui dispositivos de direito penal, de direito processual e de prevenção.

 

Direito penal

Uma conduta ilegal precisa ser claramente descrita e proibida por lei. De acordo com o princípio geral nullum crimen sine lege (em latim: “não há crime sem lei”), uma pessoa não pode ser punida por um ato que não esteja proibido por lei no momento da sua prática (UNODC, 2013, p. 53). O direito materialdefine os direitos e responsabilidades de sujeitos de direitos, que incluem pessoas físicas, jurídicas e Estados. As fontes do direito substantivo são as leis e atos infralegais promulgados pelas legislaturas municipais, estaduais e federais (direito legislado), as constituições federais e estaduais e as decisões de tribunais.

Você sabia?

Alguns países, em vez de desenvolver novas leis especiais contra os cibercrimes, alteraram sua legislação ou códigos nacionais, adicionando parágrafos específicos para tratar de cibercrimes. Com essa prática, uma consequência interessante a ser considerada é que alguns países decidiram criminalizar separadamente o uso indevido de tecnologias da informação e da comunicação para o cometimento de um crime qualquer. Assim, se o autor valer-se de acesso ilegal para cometer falsificação ou fraude, cometerá dois crimes ao mesmo tempo.

O direito penal informático compreende leis que tipificam certos crimes cibernéticos (descritos no Módulo 2 sobre espécies gerais de cibercrimes) e punem o seu descumprimento. A cibercriminalidade inclui crimes tradicionais do mundo real (offline) (por exemplo, fraude, falsificação, crime organizado, lavagem de dinheiro e roubo) perpetrados no ciberespaço que são crimes 'híbridos' ou propiciados pela tecnologia, além de “novos” delitos ou infrações ciberdependentes, que passaram a ser possíveis com o advento da Internet e das tecnologias digitais ativadas pela Internet (Wall, 2007; Maras 2014; Maras, 2016). Por esses motivos, muitos países têm aprovado leis projetadas especificamente para lidar com os cibercrimes. Alemanha, Japão e China, por exemplo, alteraram os dispositivos relevantes de seus códigos penais para combater os cibercrimes. Os países também têm usado leis já existentes, projetadas para lidar com crimes do mundo real (offline), para enfrentar certos cibercrimes e seus autores. Como outro exemplo, no Iraque, o código civil existente (Código Civil iraquiano, Lei nº 40, de 1951) e o código penal (Código Penal iraquiano, Lei nº 111, de 1969) têm sido usados para a persecução de crimes do mundo real (por exemplo, fraude, extorsão e falsa identidade) perpetrados pela Internet e por meio de tecnologias digitais.

Sistemas jurídicos

Cada país tem seu próprio sistema jurídico, o que afeta a criação de leis penais substantivas sobre crimes cibernéticos. Esses sistemas incluem (Maras, 2020): 

1) Direito comum (common law): sistemas nos quais as normas derivam de precedentes jurídicos. Adecisão em um caso vincula a corte que o proferiu e os tribunais inferiores e pelos costumes estabelecidos. Essas normas existem como leis e como jurisprudência, isto é, na forma de lei que se desenvolve a partir de decisões judiciais ou na forma de precedentes. 

2) Direito civil (civil law): sistemas jurídicos que têm regras legais codificados, consolidados e abrangentes que delimitam direitos, deveres, responsabilidades e o dever-ser. Baseiam-se principalmente em constituições e conjuntos de leis. 

3) Direito consuetudinário: sistemas jurídicos que abrangem práticas arraigadas e aceitas por uma determinada cultura e que são percebidas como vinculantes (opinio juris). No direito internacional, o direito consuetudinário rege as relações entre os Estados e é considerado vinculante. 

4) Direito religioso: sistemas jurídicos que contêm regras derivadas da religião ou que  se valem de documentos religiosos como fonte do direito. 

5) Pluralismo jurídico: nesse tipo de sistema jurídico, dois ou mais dos sistemas  antes mencionados podem coexistir.

O direito substantivo concentra-se no conteúdo da condutailícita, como os elementos de um crime que incluem uma conduta proibida (actus reus – ação ou omissão antijurídica) e o elemento subjetivo (mens rea – dolo ou culpa). Os países podem optar por tipificar diferentes condutas escolhendo diferentes elementos constitutivos do crime. Alternativamente, os países podem tipificar uma mesma conduta, mas suas leis ainda podem diferir quanto ao "estado de espírito" que torna os réus culpados por tal conduta, no que se refere à responsabilidade criminal. Para esse fim, as leis que criminalizam, por exemplo, o acesso não autorizado a sistemas e dados informáticos variam entre as jurisdições, dependendo do grau de dolo do suposto criminoso (consulte a caixa “A intenção do agente e sua responsabilização criminal" abaixo).

A intenção do agente e sua responsabilização criminal

Existem diferentes modos de aferir a responsabilidade criminal do agente tendo em conta o elemento subjetivo (ou tipo subjetivo), isto é, a vontade do agente no tocante à prática da infração penal. A conduta pode ser cometida intencionalmente (por dolo direto ou indireto) ou de maneira não intencional (de forma imprudente, negligente ou por imperícia). Tais elementos  variam de acordo com os sistemas jurídicos (Simons, 2003; Dubber, 2011; Maras, 2020): 

  • dolo direto: o agente comete um crime dolosamentequando age com a vontade livre e consciente de causar dano a um determinado bem jurídico. O agente quer o resultado. Como exemplo, pode-se citar a Lei de Uso Indevido de Computadores, de 1990, do Reino Unido, que criminaliza, entre outras coisas, o acesso não autorizado a sistemas e dados informáticos com a intenção de alterá-los, danificá-los, interrompê-los ou modificá-los. 
  • dolo eventual. o agente comete um crime por dolo eventualquando não quer o resultado, mas assume o risco de produzi-lo. O autor sabe que causará lesão ao bem jurídico, mas, ainda assim, age. Viola a Lei dos EUA contra a Fraude e o Uso Indevido de Computadores, de 1986, especificamente seu 18 USC § 1030 (a) (1), quem

(…) acessa conscientemente um computador sem autorização ou excede a autorização concedida e, por meio de tal conduta, obtém informações classificadas pelo governo dos Estados Unidos, com base em lei ou decreto, como confidenciais por motivo de segurança nacional ou de relações exteriores, ou quaisquer dados restritos, conforme definido no parágrafo y do Artigo 11 da Lei de Energia Atômica de 1954, devendo saber que as informações assim obtidas podem ser usadas contra os Estados Unidos ou em proveito de Estado estrangeiro, e mesmo assim comunica, entrega ou transmite tais informações e dados ou faz com que sejam comunicados, entregues ou transmitidos, ou tenta comunicar, entregar, transmitir ou fazer com que sejam comunicados, entregues ou transmitidos a pessoa não autorizada a recebê-los, ou voluntariamente os retém e deixa de entregá-los à autoridade ou servidor dos Estados Unidos competente para recebê-los.

  • Por imprudência: o agente comete o crime de forma imprudente quando realiza a conduta, mesmo sabendo haver risco substancial e injustificável de causar lesão a um bem jurídico, mas demonstra desconsideração ou indiferença a tal risco. A imprudência é a prática de um fato perigoso. Na Austrália, uma pessoa pode ser acusada com base no Artigo 477.2 (1) (c) da Lei de Crimes Cibernéticos, de 2001 (No. 161, 2001), se for imprudente quanto à possibilidade de uma modificação não autorizada de dados prejudicar: “(i) o acesso a esses dados ou a quaisquer outros mantidos em qualquer computador; ou (ii) a confiabilidade, segurança ou operação de tais dados.” (Nota do Tradutor: em alguns ordenamentos jurídicos, esta conduta seria culposa por imperícia).
  • Por negligência: quem pratica um fato por negligência age sem precaução ou por desleixo. No Senegal, “[quem], mesmo por negligência, processar ou providenciar o processamento de dados pessoais sem cumprir as formalidades previstas na Lei de Dados Pessoais antes do uso desses dados, será punido” (Artigo 431-17 da Lei nº 2008-11 sobre crimes cibernéticos).

Nota: a classificação da culpabilidade criminal não é universal (Fletcher, 2000, p. 445-446, citado em Ohlin, 2013, p. 82). Nota do Tradutor: os crimes culposos podem ser praticados por imprudência, negligência ou imperícia.

É importante notar duas coisas. Em primeiro lugar, a aplicação do direito interno mediante persecução só ocorrerá quando houver interesse público para processar o agente, mas muitos crimes cibernéticos que são cometidos em massa, como pequenas fraudes na Internet, são insignificantes (de minimis non curat praetor), pois isoladamente são considerados de menor potencial para serem investigados pela polícia e submetidos a processo penal. No entanto, coletivamente tais crimes podem ter um impacto internacional considerável, razão pela qual devem submeter-se ao direito internacional. Em segundo lugar, “se não houver forte justificativa para a tipificação de certa conduta, há um risco de supercriminalização moral ou cultural. A esse respeito, o direito internacional dos direitos humanos serve como ferramenta importante para a avaliação do direito penal em relação ao padrão internacional” (UNODC, 2013, p. 54) (consulte a seção sobre direito internacional dos direitos humanos e direito penal informático neste Módulo).

 

Direito processual penal

A legislação processual delimita os ritos e procedimentos a serem seguidos para a aplicação do direito material e os meios para assegurar sua execução. Uma parte importante do direito processual é o processo penal, que contém as regras e disposições gerais sobre a maneira como suspeitos, acusados e condenados devem ser tratados e processados pelo sistema de justiça criminal e seus agentes (Maras, 2020; para informações gerais sobre processo penal, ver LaFave et al., 2015; para informações sobre processo penal internacional, ver Boas, et al., 2011). Por fim, a legislação processual sobre crimes cibernéticos terá dispositivos sobre jurisdição, competência para a investigação, direito probatório e procedimentos relacionados à obtenção de dados, escutas telefônicas, busca e apreensão, preservação e retenção de dados (que são discutidas em mais detalhes no Módulo 4 de introdução à computação forense, no Módulo 5 sobre investigação de crimes cibernéticos, no Módulo 6 sobre aspectos práticos de investigações de cibercrimes e computação forense, e no Módulo 10 sobre privacidade e proteção de dados; ver também UNODC, 2013, p. xxii-xxiii). A cibercriminalidade apresenta desafios específicos em relação ao procedimento, especialmente no que diz respeito à jurisdição, investigações e provas digitais. 

Jurisdição. Investigações de crimes cibernéticos e a imposição da lei penal pelos tribunais nacionais nesses casos só podem ocorrer se o Estado interessado tiver jurisdição. A jurisdição é o poder ou a autoridade de um Estado de fazer cumprir suas leis e punir quem as descumprir (este tópico é discutido em mais detalhes no Módulo 7 sobre cooperação internacional contra os cibercrimes). A jurisdição vincula-se à soberania do Estado, que é o direito estatal de exercer autoridade sobre seu próprio território (UNODC, 2013, p. 55). A jurisdição é comumente associada ao território geográfico ou locus commissi deliciti (o local onde o crime foi cometido), permitindo aos Estados reivindicar jurisdição e processar os crimes cometidos em seu território (princípio de territorialidade). Como não há fronteiras e territórios geográficos no ciberespaço, o local não pode ser usado para determinar a jurisdição (NT : em alguns países adota-se a teoria da ação, a teoria do resultado ou a teoria mista, da ubiquidade, para definir o lugar do crime, mesmo para cibercrimes). Por esse motivo, os Estados valem-se de uma infinidade de outras premissas para determinar sua jurisdição (Brenner e Koops, 2004; Rahman 2012; Maras, 2020): um desses requisitos é a nacionalidade do agente (princípio da nacionalidade; princípio da personalidade ativa). Este princípio sustenta que os Estados podem processar seus nacionais, mesmo que estejam fora do seu território. Em menor grau (em seu emprego), a nacionalidade da vítima também pode ser usada para determinar a jurisdição sobre um crime (princípio da nacionalidade; princípio da personalidade passiva). Um Estado pode ainda estabelecer sua jurisdição se o crime cometido no exterior (traição ou espionagem, por exemplo) impactar em seus interesses ou na segurança nacional (princípio de proteção). Finalmente, qualquer Estado pode reclamar jurisdição sobre certos crimes transnacionais, como atrocidades em massa (como o genocídio), que são vistos como capazes de afetar todos os seres humanos, independentemente da localização geográfica, quando o Estado no qual o crime foi cometido não está disposto ou não pode processar o infrator (princípio da jurisdição universal). 

Medidas e poderes de investigação. A prova digital de crimes cibernéticos traz desafios específicos, tanto em termos de manuseio quanto de sua utilização em juízos ou tribunais (consulte o Módulo 5 sobre investigação de cibercrimes e o Módulo 6 sobre os aspectos práticos das investigações de cibercrimes e computação forense). De acordo com o Estudo Abrangente sobre Cibercrime (esboço), do UNODC, de 2013, “(…) apesar de algumas dessas diligências investigativas poderem ser realizadas com as atribuições tradicionais, muitas disposições processuais não transitam bem da abordagem espacial, orientada a coisas, para uma que envolva o armazenamento de dados e seu fluxo em tempo real” (p. 122), exigindo, portanto,   poderes específicos para a investigação (UNODC, 2013, p. 54). Tais poderes devem estar previstos em lei e abranger não apenas o acesso às informações necessárias, mas também salvaguardas para garantir que os dados sejam obtidos de acordo com as disposições legais apropriadas e acessados apenas na extensão necessária e autorizada por lei (este tópico é mais explorado no Módulo 5 sobre investigação de cibercrimes). A Lei de Comunicações Armazenadas dos EUA (Título 18 do Código dos EUA, seção 2701-2712), que corresponde ao Título II da Lei de Privacidade de Comunicações Eletrônicas de 1986, contém garantias deste tipo. Por exemplo, de acordo com o a seção 2703 (a) do Título 18 do US Code: 

Um órgão governamental pode exigir a entrega, por um provedor de serviços de comunicação eletrônica, do conteúdo de uma comunicação eletrônica ou por cabo, que armazenada eletronicamente em um sistema de comunicações eletrônicas por cento e oitenta dias ou menos, somente por força de um mandado emitido com base nos procedimentos descritos no Regulamento Federal de Processo Penal (ou, no caso de um tribunal estadual, com um mandado emitido com base na lei estadual) por um juízo ou tribunal competente. 

Tais requisitos (isto é, a exigência de mandado expedido conforme a lei), no entanto, não são exigidos em todos os países. Em 2014, a Turquia alterou a Lei n. 5651 – Lei da Internet para exigir que os provedores de serviços da Internet retenham dados do usuário e os disponibilizem às autoridades mediante solicitação, sem exigir que antes obtenham uma ordem apropriada (uma ordem judicial ou mandado de busca, por exemplo) para obtê-los. Esses poderes de investigação vão além da mera coleta de provas, incluindo a possibilidade de obter assistência de outros órgãos da justiça criminal em casos de crimes cibernéticos e operar com eles. Neste passo, na Tanzânia, a Lei de Crimes Cibernéticos de 2015 concedeu à polícia poderes de investigação excessivos e irrestritos em crimes cibernéticos. Particularmente, uma autorização policial é o único requisito para permitir a busca e apreensão de provas e obrigar a entrega de dados. Consequentemente, buscas e apreensões e o emprego de outros poderes de investigação podem ocorrer sem os mandados apropriados. Além dessa preocupação, existe o perigo de desvio de finalidade (mission creep) ou "desvio de função" (function creep), que são expressões usadas para descrever a extensão de regra ou de outras medidas para fins além do seu escopo original, quando leis e poderes de investigação introduzidos para atingir um certo objetivo acabam sendo usados para alcançar formas menos graves de cibercrimes. (NT: situação semelhante à da analogia). Por fim, os poderes e procedimentos vigentes para a realização de investigações e procedimentos quanto a crimes cibernéticos devem estar de acordo com a legalidade e os direitos humanos (ver, por exemplo, o Artigo 15.º da Convenção do Conselho da Europa sobre o Cibercrime de 2001). 

Identificação, coleta, compartilhamento, uso e admissibilidade de provas digitais. A legislação processual sobre crimes cibernéticos abrange a identificação, coleta, armazenamento, análise e compartilhamento de provas digitais. Prova eletrônica (ou digital) é "qualquer tipo de informação que pode ser extraída de sistemas informáticos ou de outros dispositivos digitais e que pode ser usada para provar ou refutar uma acusação criminal" (Maras, 2014). As provas digitais (discutidas mais adiante no Módulo 4 sobre introdução à computação forense) podem ratificar ou desmentir depoimentos de vítimas, testemunhas e suspeitos, ou a veracidade de uma alegação; identificar o motivo do crime, a intenção e o paradeiro do agente, elucidar o seu comportamento (conduta passada) e determinar a sua culpabilidade (Maras 2014; Maras, 2016). 

As regras probatórias e de procedimento criminal estabelecem os critérios usados para determinar se determinada prova digital é admissível em juízo (Maras, 2014). Essas regras prescrevem a maneira pela qual a prova digital deve ser coletada, documentada, preservada, transmitida, analisada, armazenada e protegida para garantir sua admissibilidade pelos tribunais nacionais. Para ser admissível, a prova digital deve ser identificada e sua integridade estabelecida. Os procedimentos periciais envolvem a identificação da fonte da prova digital e de seu autor (informações de identidade da fonte) e a verificação da integridade da prova (se o dado não foi alterado, manipulado ou danificado de qualquer forma). A manutenção da cadeia de custódia, um registro detalhado sobre a prova, suas condições, forma de coleta e  armazenamento, acesso e transferência e os motivos para acesso a elas e transferência, são essenciais para garantir sua admissibilidade na maioria dos tribunais (UNODC, 2013, p. 54; Maras, 2014). As regras probatórias e de processo penal não são padronizados entre os países. Regras semelhantes de prova em processo penal são necessárias para o enfrentamento dos cibercrimes, porque essa forma de criminalidade transcende fronteiras e afeta dispositivos e sistemas digitais em qualquer parte do mundo onde exista uma conexão à Internet.

 

Legislação de prevenção e proteção

A legislação de prevenção se concentra na regulamentação e mitigação de riscos. No contexto da cibercriminalidade, a legislação preventiva procura impedir o cibercrime ou, pelo menos, mitigar os danos resultantes da prática de um cibercrime (UNODC, 2013, 55). Leis de proteção de dados (o Regulamento Geral de Protecção de Dados da União Europeia, de 2016, e a Convenção da União Africana sobre Cibersegurança e Proteção de Dados Pessoais, de 2014, por exemplo, discutidas no Módulo 10 sobre privacidade e proteção de dados) e leis de segurança cibernética (por exemplo, a Lei da Ucrânia sobre Princípios Básicos para Garantia da Cibersegurança, de 2017) são projetadas para reduzir os danos materiais de uma violação ilegal de dados pessoais, se ocorrer um cibercrime, ou minimizar a vulnerabilidade de indivíduos em relação a cibercrimes. Outras leis criam as condições para que os órgãos de justiça criminal identifiquem, investiguem e processem crimes cibernéticos, garantindo que as ferramentas, medidas e procedimentos necessários estejam em vigor para facilitar tais providências. Por exemplo, a infraestrutura dos provedores de serviços de telecomunicações e comunicações eletrônicas é tal que permite a realização de escutas telefônicas e a preservação de dados. Nos Estados Unidos, a Lei de  Assistência aos Órgãos de Persecução Criminal em Comunicações (CALEA), de 1994 (codificada no título 47, seção § 1001-1010, do US Code) exigia que os provedores de serviços de telecomunicações e fabricantes de equipamentos garantissem que seus serviços e produtos permitissem aos órgãos governamentais, com a devida autorização legal (por exemplo, com um mandado apropriado), o acesso às comunicações por eles realizadas.

Você sabia?

O Repositório de Crimes Cibernéticos do Escritório das Nações Unidas sobre Drogas e Crime (UNODC), que faz parte do portal de gestão do conhecimento SHERLOC, contém um banco de dados de leis e jurisprudência de vários países sobre crimes cibernéticos.
 
Seguinte: Harmonização legislativa
Regressar ao início