MainHistoryDiscussion

Republicado (e democratizado) após envio para PSL-Brasil.
http://listas.softwarelivre.org/pipermail/psl-brasil/2008-July/023864.html

Pois ontem sentei pra ler a versão do projeto do Azeredo anexada ao parecer da CCJ, publicada no site da Safernet, antes de escrever o artigo que publiquei ontem e mencionei aqui há pouco.
2008-07-01-do-celular-direto-pra-cela

Fiquei contente de ver que várias das ponderações que nós havíamos apontado antes foram acatadas e integradas ao projeto. Não é mau sinal.

Hoje li a mensagem do espanhol Roberto Santos, repassada por Marcelo Branco, e tive a impressão de que esta última versão do projeto já contemplava, pelo menos em grande parte, aquelas sugestões.
http://listas.softwarelivre.org/pipermail/psl-brasil/2008-July/023846.html

Então resolvi dar uma nova passada no projeto de lei, tentando não carregar idéias presentes em versões anteriores do projeto.
http://www.safernet.org.br/tmp/PLS-Azeredo-aprovado-CCJ-18jun2008.pdf

Não vou dizer que o projeto me agrade como um todo, mas tenho a impressão de que há mais alarde e pânico a respeito do que ele merece. Deixa eu tentar substanciar minha posição, ponderando sobre:


Primeiro, não há mais aquela exigência de cadastro de documentos de identificação junto a provedores. Isso foi retirado. Cabe ainda ao provedor registrar e armazenar de forma segura logs de conexões de seus clientes, fornecê-los a autoridades investigatórios após requisição judicial, e *repassar* denúncias de que tome conhecimento de possíveis crimes cometidos utilizando suas redes às autoridades competentes. Não vejo nada que obrigue o provedor a tomar a iniciativa de denunciar com base em informação dos logs, ao contrário do que li por aí.

Não vou dizer que essas obrigações sejam boas. Não são. Obrigar o provedor a manter essa informação, na ausência de qualquer investigação em curso, tem custos e riscos para a privacidade, pois a informação pode passar a ser um alvo valioso, inclusive pelas exigências de segurança e as multas previstas para os casos de a informação vazar. De um jeito de outro, esses custos e multas serão, de um jeito ou de outro, incorporados aos valores pagos por consumidores aos provedores, aumentando o nosso grand canion digital e os preços já elevados que pagamos por acesso à informação.

Por outro lado, não é de se imaginar que provedores já não façam coisa parecida, não só como parte de procedimentos de medição de serviço, mas também como forma de defesa no caso de receberem acusações de prática de crimes. Tendo os logs, podem comprovar que a origem dos crimes não é sua própria rede interna, mas sim a de um cliente, ou mesmo algum agente externo. Qualquer um que mantenha uma rede que permita acesso a outros, seja ela aberta ou não, deveria manter esse tipo de log, para sua própria segurança jurídica. De preferência, critografados com uma chave assimétrica, cujo par necessário para decodificar seja mantido fora da rede.

Quer dizer, a informação dos logs de conexões provavelmente já é coletada, da mesma forma que a companhia telefônica coleta informação sobre as ligações, e não há regulamentação hoje sobre as penalidades no caso de essa informação sobre conexões de rede vazar, nem sobre critérios de segurança para proteção da privacidade do consumidor, nem sobre quem e como pode exigir essa informação. Essa regulamentação é bem-vinda.

Além do mais, a lei não especifica o que é "conexão". Parece que tem gente lendo isso como sessão TCP, o que seria muita informação e deixaria de fora qualquer comunicação SCTP, UDP, ICMP, etc. Tenho a impressão de que a letra da proposta dá margem a uma leitura diferente, já que se exige o registro apenas do endereço de origem, que pode muito bem ser o IP do cliente, no momento em que estabelece conexão com a rede do provedor, isto é, no momento em que o provedor do acesso à rede lhe oferece, para uso exclusivo, o tal endereço IP.

É claro que IPs podem ser forjados, logs podem ser falsificados e corrompidos (por isso mesmo o projeto de lei exige auditoria), etc. Mas, da mesma forma que o acúmulo dessa informação que já está lá poderia ser usada contra o cidadão, pode também ser usada em favor do cidadão. Remeto ao cenário que apresentei no meu artigo citado acima: se o cidadão não tem no seu celular o registro de que recebeu o vírus da rede, e o provedor não manteve esse registro pra ele, ele pode muito bem ser considerado culpado de injetar o vírus na rede, sem ter de fato culpa alguma. Já se o provedor pode documentar que houve determinado tráfego compatível com a entrada do vírus através da rede, a defesa do consumidor pode ser beneficiada por essa informação. Lamentavelmente, o projeto de lei não prevê a possibilidade de o próprio cliente obter acesso aos logs mantidos a seu respeito. Isso poderia e deveria ser melhorado.


Pedro Rezende levantou outro cenário alarmista, em que o projeto de lei poderia ser usado para usurpar e exceder direitos autorais de terceiros. Embora o cenário proposto tenha me parecido genial numa primeira leitura, após leitura cuidadosa do projeto de lei não mais me parece adequado; talvez reflita receios sobre uma versão anterior do projeto.
http://www.cic.unb.br/~rezende/trabs/prioridades.html#decimoandar

No caso, ele se intitulou "dono" da tabuada e passou a exigir licenciamento para sua publicação, alegando poder utilizar o novo projeto de lei para exigir o licenciamento. É certo que a letra da proposta dá margem a abusos, mas não me parece que sejam abusos desse tipo. O artigo em questão proposto para o código penal diz:

Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização do legítimo titular, quando exigida:

Vejo dois elementos que invalidam o cenário proposto.

Primeiro, a tabuada certamente já é de domínio público, portanto o "quando exigida" já invalida a situação proposta: ninguém precisa de autorização para publicar a tabuada. Se bem que a lei poderia esclarecer que não é qualquer coisa que o titular exija, mas sim nos casos em que a lei exija autorização do titular.

Segundo, ele não é o legítimo titular daquela expressão. Que eu saiba, nada impede que alguém tente cobrar de outros pela concessão de licenças sobre o que não tem autonomia para permitir. Pode caracterizar estelionato, plágio, extorsão, etc, mas se alguém anuncia "se você me pagar R$10, eu prometo não processar você se você publicar esse livro que contém a tabuada", me parece enganoso, mas não criminoso.

O risco real do projeto de lei, me parece, é para quem se fia numa licença enganosa e publica material sem autorização do legítimo titular. Vamos dizer que eu colocasse num site tipo theorasea.org um filme que violasse o direito autoral de terceiros, mas eu digo que tenho permissão para distribuí-lo e autonomia para conceder ao site e a qualquer outro permissão para distribuí-lo. Pois bem... Neste caso, quem se fia em minha permissão e redistribui o filme pode muito bem ir pra cadeia. Mais conflitos entre Google (Youtube) e a justiça brasileira à frente?

Quero crer que a justiça veria com bons olhos quem se fiou na permissão ilegitimamente concedida por outro, assim como quem teve seu computador transformado num zumbi infrator, e consideraria quem ilegitimamente concedeu a permissão e quem controla o zumbi como os reais culpados dos crimes.

Porém, é assustador que a lei aparentemente tipifique como crime o "obter" dado disponível na rede de computadores. De novo, o "quando exigida" parece reverter possíveis riscos relacionados a direito autoral do lado de quem recebe a informação, mas a letra da proposta é suficientemente ambígua para dar margem a uma leitura bem mais perigosa, em que sequer acessar uma página qualquer na Internet passe a constituir crime, caso a página contenha um texto ou imagem distribuído sem autorização de seu legítimo titular. Não vejo situação em que o "obter" se justifique. Alguém ajuda a entender o que ele está fazendo ali?


Uma melhoria ao artigo que trata de inserção e difusão de código malicioso seria exigir intenção ao ao menos ciência da difusão para caracterizar crime. Códigos maliciosos freqüentemente se difundem sem intenção ou mesmo conhecimento dos donos dos computadores que invadiram. Embora haja muitos casos de negligência na manutenção da segurança de computadores contra invasões por código malicioso, não me parece adequado criminalizar a vítima de uma invasão. Não existem sistemas invulneráveis.


Outros detalhes que o projeto de lei poderia aproveitar para melhorar, na proposta de alteração do artigo sobre pornografia infantil, do estatuto da criança e do adolescente, são a redação ambígua e a preservação de provas. Por exemplo, a proposta criminaliza a receptação e a posse de material pedofílico, em adição ao que já era criminalizado anteriormente:

Apresentar, produzir, vender, {+receptar,+} fornecer, divulgar, {-ou-} publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias{+,+} {-ou-} imagens com pornografia ou cenas de sexo explicíto envolvendo criança ou adolescente:

Seria adequado prever exceções no projeto de lei para fins de denúncia, investigação e prova judicial. Por exemplo, um promotor de justiça ou um juiz não só não poderão apresentar ao juri as imagens encontradas no computador de um acusado de pedofilia, nem mesmo poderão mantê-las em poder da promotoria ou do tribunal, de acordo com a proposta da lei. Todo pedófilo terá de ser julgado inocente por falta de provas, à exceção daqueles acusados por promotores e juízes que aceitem para si as penas de 3 a 8 anos de reclusão por cometer o crime de armazenar consigo, no exercício de seu cargo ou função, conforme §2º inciso II, as tais imagens proibidas.

Fora isso, a leitura do artigo conforme alterado pela lei 10764 já é ambígua. Por certo, a leitura pretendida é de fotografia ou imagem que contenham pornografia, ou que contenham cenas de sexo explícito, em que a pornografia ou as cenas envolvam criança ou adolescente. Porém, a redação antiga dá margem para outra leitura, em que se criminalizariam atos relacionados a pornografia na forma de fotografias ou imagens (independentemente de qualquer presença infantil ou adolescente), bem como cenas de sexo explícito envolvendo criança ou adolescente.

A proposta do projeto de lei, ao trocar o "ou" por vírgula, parece conduzir à leitura não pretendida, dando margem inclusive a outra interpretação, que criminaliza (i) quaisquer fotografias, (ii) imagens pornográficas, e (iii) cenas de sexo explícito infanto-juvenil. Para os que mantêm álbuns de fotos da família na Internet, e para os que publicam e/ou recebem revistas, filmes, etc de conteúdo adulto erótico, uma redação mais clara que não desse margem a terrorismo moralista ou à criminalização de álbuns de memória fotografia seria adequada.


Parece-me que grande parte dos problemas que apresentei são relativamente fáceis de corrigir. Mas não me parece que eles justifiquem o furor de oposição que esse projeto tem recebido. Será que estou deixando de ver alguma coisa, ou dando-lhe menos importância do que algo merece?

Comentários são bem-vindos.

Atualizado 2008-07-05

Leia também:
2008-07-05-surpresa,-sou-contra

Até blogo...

Loading... Vote up Vote down Discussion

Last update: 2008-07-14 (Rev 3907)

svnwiki $Rev: 15576 $