João Rodrigo Stinghen
Bruno Zampier
1. Contexto e ordenamento brasileiro
Muito antes da Lei Geral de Proteção de Dados nº 13.709/2018 (LGPD) e mesmo antes da General Data Protection Regulation (GDPR), os cybercrimes já despertavam a atenção não só do mundo jurídico, mas da sociedade em geral, pois, desde a consolidação da sociedade de informação contemporânea, os criminosos vem encontrando aí uma nova oportunidade para a prática de diversas infrações.
O desenvolvimento tecnológico exponencial das últimas décadas – que fez surgir novos meios de interação, como a Internet das Coisas, o Big Data e a Inteligência Artificial – também causa uma exposição virtual mais acentuada.
Nesse contexto, que se convencionou denominar 4ª Revolução Industrial, as pessoas são impelidas ao mundo virtual, cujas “fronteiras” são cada vez mais largas e tênues, em que se fundem as realidades física, biológica e digital. Nesse ambiente virtual cada vez mais amplo, as realidades humanas da vida “real” são replicadas e expandidas, o que inclui, infelizmente, as práticas criminosas.
No ordenamento jurídico brasileiro, diversos diplomas legislativos tratam do assunto. A começar pela lei maior, a Constituição Federal de 1988 estabelece a proteção do direito à privacidade e de diversas formas de sigilo (sigilos fiscal, bancário, postal, telemático[1], médico, comercial, profissional, industrial, etc.). Além da CF, tem-se todos o CDC, o Código Civil, a Lei de Acesso Informação, dentre outros.
No tocante ao Direito Penal, há muito a violação de sigilo bancário caracteriza crime contra o sistema financeiro nacional, previsto na Lei nº 7.492/1986. Um dos reflexos da evolução tecnológica nessa área foi a promulgação da Lei 12.737/2012, conhecida como “Lei Carolina Dieckman” – assim nomeada porque a atriz teve seus dispositivos pessoais invadidos, com publicização não autorizada de conteúdo íntimo, o que suscitou um debate que culminou na elaboração e publicação da lei.
Com efeito, a Lei nº 12.737/2012 dispõe sobre a tipificação criminal de delitos informáticos, modificando o Código Penal. Primeiramente, a lei criou o tipo de Invasão de dispositivo informático (art. 154-A), com a seguinte redação:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
Nota-se que o referido delito consuma-se com a invasão não autorizada, isto é, basta que fique provada a intenção de obter, adulterar ou destruir informações, ainda que o agente não atinja seu objetivo.
Assim, o tipo trata de espécie de incidente de segurança da informação passível de violar a confidencialidade (obter dados ou informações), a integridade (adulterar dados ou informações) e a disponibilidade (destruir dados ou informações) das informações da vítima.
Também caracteriza o crime a instalação, para obter vantagem ilícita, de vulnerabilidades no dispositivo alheio, como spams, vírus e programas “cavalo de tróia”, possibilitando ou causando incidentes indesejados[2].
A Lei Carolina Dieckman também alterou a redação de outros tipos para adaptá-los à nova realidade tecnológica: (i) o tipo Interrupção ou perturbação de serviço telegráfico ou telefônico (art. 266 do CP) passou a prever também como crime a conduta de interromper serviço “informático, telemático ou de informação de utilidade pública”; (ii) o crime de falsificar documento particular (art. 298 do CP) passou a contemplar, também, a adulteração de cartões bancários (art. 298).
Como se percebe, não apenas a proteção de dados em si, mas também a segurança da informação passou a ser integrada na tutela jurídico-penal. Esta tendência também fica evidente no Decreto nº 10.332/2020, que institui a Estratégia de Governo Digital para o biênio 2020-2022:
Objetivo 11: Garantia da segurança das plataformas de governo digital e de missão crítica (…)
Iniciativa 11.3. Definir padrão mínimo de segurança cibernética a ser aplicado nos canais e serviços digitais.
Objetivo 12 – Identidade digital ao cidadão (…)
Iniciativa 12.5. Incentivar o uso de assinaturas digitais com alto nível de segurança.
Assim, o governo compromete-se a adaptar procedimentos, diretrizes e normativas para a prestação dos serviços públicos com estabilidade e respeito aos direitos do titulares de dados pessoais.
2. Reflexos da principiologia da LGPD
Desde logo, é preciso esclarecer que a LGPD não previu nenhuma norma específica de direito penal material ou processual. Houve debates sobre a possível criação de mecanismos de responsabilização criminal, mas não foi a posição que prevaleceu[3].
No entanto, seus princípios necessariamente trazem reflexos em todas as áreas do ordenamento, e não seria diferente naquela que, por definição, tem a função precípua de tutelar aos bens jurídicos mais caros à sociedade: o Direito Penal. Nesse sentido,
Não se pode ignorar que a criminalidade digital tem aumentado de maneira considerável, e utilizar-se da prevenção é a maneira mais eficaz de evitar desgastes para o administrador, de forma que são necessárias uma visão técnica e uma assessoria especializada sobre o tema.
(…) a LGPD não cria tipos penais novos, mas servirá de valoração para a conduta dos administradores frente aos acontecimentos que envolvam proteção de dados
(…) Atualmente, a legislação penal que tutela a proteção de dados, fica a cargo de diversas normas, dentre elas, o Código Penal Brasileiro (Decreto-Lei n° 2.848, de 7 de dezembro de 1940), mas sem excluir a Lei que trata do Sistema Financeiro Nacional e o Código de Defesa do Consumidor, por exemplo.[4]
Primeiramente, a LGPD inova ao orientar na pessoa humana do titular o fundamento da proteção de dados pessoais.
Com efeito, “o Código Penal não determina medidas específicas em relação à proteção de dados, focando mais no sigilo e confidencialidade”[5]. Embora a criação do art. 154-A do CP tenha sido um inegável avanço, a norma protege o “titular do dispositivo” invadido, sem estipular de medidas preventivas.
Afinal, mesmo que os dados não estejam armazenados em dispositivos dos titulares – mas estejam alocados, por exemplo, em bancos de dados alheios –, ainda assim o titular têm direito sobre eles, na medida em que são considerados uma extensão de sua personalidade.
Portanto, o primeiro aspecto que se poderia ressaltar é a que a LGPD cria a necessidade de uma revisão de legislação penal no sentido de prever, também, a criminalização da violação de dados pessoais alocados em dispositivos que não sejam do titular.
Mais do que isso: é preciso tipificar a conduta do próprio agente de tratamento que, armazenando legitimamente os dados em seus próprios dispositivos, trata-os com desvio à finalidade originária, igualmente lesando o titular.
No tocante aos princípios da LGPD, o princípio da não discriminação veda tratamentos de dados para fins discriminatórios ilícitos ou abusivos (art. 6º, IX, LGPD).
Esse princípio cria uma necessidade de distinguir o tratamento de dados pessoais sensíveis e, por conseguinte, dos atos criminosos que se façam com esses dados.
Assim, é coerente com a nova sistemática da LGPD que a legislação penal contemple agravantes de pena para o caso de lesão a dados pessoais sensíveis.
Já o princípio da responsabilização e prestação de contas exige demonstração, pelo agente, da adoção de medidas eficazes para proteger dados pessoais por ele tratados (art. 6º, X, LGPD). A partir desse princípio, tem-se a responsabilização integral do agente de tratamento, que deve integrar a área criminal, mesmo que em dispositivos de outras leis.
Além disso, a partir do dever de accountability, é interessante que a lei penal preveja a demonstração de medidas de segurança e proteção de dados como atenuante para a culpabilidade de crimes relacionados a essa área; e, ao contrário, sua ausência como um agravante.
Sobre a questão da prestação de contas, o art. 50 da LGPD traça medidas concretas de boas práticas e de governança que possibilitam o tratamento de dados. É o chamado compliance digital ou compliance DLP (data loss prevention).
3. E nas serventias extrajudiciais?
A responsabilidade criminal dos agentes delegados é prevista na Lei nº 8.935/1994 e no Código Penal. Sem delongas nessa temática, é preciso recordar que: (i) a responsabilidade civil dos delegatários independe da criminal, sendo esta individualizada e delimitada a partir da legislação relativa aos crimes contra a Administração Pública, no que couber (arts. 23-24, Lei nº 8.935/1994); (ii) para fins da lei penal, os agentes delegados são classificados como funcionários públicos por equiparação (art. 327, § 1º, CP).
No tocante à proteção de dados, não existe propriamente um tipo penal referente aos agentes delegados. Todavia, afora a aplicação daqueles que são gerais, é possível inferir um princípio de responsabilidade penal a partir do Provimento nº 74/2018 do CNJ:
Art. 9º O descumprimento das disposições do presente provimento pelos serviços notariais e de registro ensejará a instauração de procedimento administrativo disciplinar, sem prejuízo de responsabilização cível e criminal.
Além do dispositivo acima, tem-se que o Provimento nº 100/2020 do CNJ instituiu o e-Notariado (Sistema de Atos Notariais Eletrônicos) e a Matrícula Notarial Eletrônica. Esse sistema é uma adaptação da função às necessidades atuais e contempla a proteção de dados desde sua concepção (privacy by design):
Art. 7º(…) §2º Os notários, pessoalmente ou por intermédio do e-Notariado, devem fornecer meios tecnológicos para o acesso das informações exclusivamente estatísticas e genéricas à Administração Pública Direta, sendo-lhes vedado o envio e o repasse de dados, salvo disposição legal ou judicial específica.
Art. 33. Os dados das partes poderão ser compartilhados somente entre notários e, exclusivamente, para a prática de atos notariais, em estrito cumprimento à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).
Como se percebe, os agentes delegados devem instalar sistemas eletrônicos dotados de infraestrutura tecnológica necessária à prestação de serviços eletrônicos com segurança. Além disso, é vedado o compartilhamento de dados sem base legal.
Embora não exista um tipo penal específico para o agente delegado no ordenamento jurídico penal, fato é que a omissão imprópria[6] gera em tese um risco de imputação de qualquer delito, o que inclui, por exemplo, o artigo 154-A, comentado no início deste artigo.
Assim, caso fique ciente da prática ilícita de algum cliente, como vazamento de dados, uso dos dados de terceiro para prática de crimes (falsificações, extorsões, etc), deve o agente delegado tomar as providências cabíveis imediatamente, comunicando o COAF quando a situação envolver crimes contra o sistema financeiro ou mesmo comunicando as autoridades competentes e a própria vítima nos casos de crimes contra a honra, fé pública, administração pública, etc.
Isso porque a omissão imprópria depende tão somente de um dever legal de cuidado proteção e vigilância. No caso, se esse dever não é ainda imposto aos delegatórios por dispositivos penais específicos, encontra-se na legislação ordinária e nos regulamentos do Conselho Nacional de Justiça.
4. Conclusões
A legislação brasileira vem se adaptando à 4ª Revolução Industrial, com a criação de diversos mecanismos de proteção nas searas administrativa e civil. Também se observa a criação de tipos penais que punem as condutas mais lesivas aos direitos da personalidade relacionados à proteção de dados, como é o caso da Lei Carolina Dieckman.
No entanto, como é de se esperar, essa adaptação é muito mais lenta do que a própria evolução das tecnologias. O próprio art. 154-A do CP já está ultrapassado ante a necessidade de uma tutela dos dados pessoais centrada na pessoa humana de seu titular, não na propriedade de dispositivos.
Além disso, há ainda uma ampla área de relações carentes de regulamentação, sobretudo a partir da grande inovação principiológica provocada pela LGPD.
Quanto aos agentes delegados, ao menos na seara penal, ainda não existe um regramento específico. A aplicação da lei penal depende mais da cambiante interpretação dos tribunais superiores do que da lei strictu sensu.
Ao deixar margem para interpretação na conduta dos agentes delegados, abre-se a oportunidade para aplicação de teorias alienígenas cuja aplicabilidade no Brasil é frequentemente questionada pelos doutrinadores[7]. O efeito é uma insegurança jurídica que, ao que tudo indica, ainda persistirá por um longo tempo.
Bibliografia
BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
CATANNI, Frederico. Responsabilidade penal do administrador na LGPD. Disponível em: https://bit.ly/2ZPsnaL. Acesso em: 29 mai. 2020.
GONÇALVES, Victor Eduardo Rios. Direito Penal Esquematizado – Parte Especial. 7 ed. São Paulo: Saraiva, 2017.
GONDIM, Abnor. Deputados querem responsabilidade criminal na LGPD. Tele Síntese, 13 ago. 2019. Disponível em: https://bit.ly/2TUblnY. Acesso em: 29 mai. 2020.
MONTERO, Renato Leite [et al]. LGPD e Fintechs: um novo cenário para o compliance digital. Disponível em: https://bit.ly/2XWM26f. Acesso em: 29 mai. 2020.
VALENTINI, Rafael; HADDAD, Laura. A lei geral de proteção de dados e os seus possíveis reflexos penais. Disponível em: https://bit.ly/2WkXwQ8. Acesso em 03 mai. 2020.
[1] “Sistema Telemático” é termo empregado frequentemente na legislação brasileira. Designa qualquer aparelho resultante da junção das tecnologias de informática e telefonia, como smarthphones.
[2] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
[3] GONDIM, Abnor. Deputados querem responsabilidade criminal na LGPD. Tele Síntese, 13 ago. 2019. Disponível em: https://bit.ly/2TUblnY. Acesso em: 29 mai. 2020.
[4] CATANNI, Frederico. Responsabilidade penal do administrador na LGPD. Disponível em: https://bit.ly/2ZPsnaL. Acesso em: 29 mai. 2020.
[5] MONTERO, Renato Leite [et al]. LGPD e Fintechs: um novo cenário para o compliance digital. Disponível em: <https://bit.ly/2XWM26f>. Acesso em: 29 de maio de 2020.
[6] Código Penal: Art. 13 […] § 2º – A omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado. O dever de agir incumbe a quem: a) tenha por lei obrigação de cuidado, proteção ou vigilância; […]
[7] Como por exemplo a Teoria da Cegueira Deliberada, adotada pelo STF no julgamento da Ação Penal nº 470 (Mensalão) e que permite, em tese, a imputação de crimes de lavagem de dinheiro, difamação, injúria, etc., por omissão imprópria, a depender da interpretação do tribunal.