O polêmico Projeto de Lei sobre crimes digitais (PL 84/99), mais conhecido pelo PL do Azeredo, em alusão ao senador Eduardo Azeredo (PSDB-MG), autor de um substitutivo que tornou a tipificação de uma série de crimes no mundo virtual ainda mais rigorosa durante a passagem pelo Senado, voltou a tramitar na Câmara dos deputados. Desde agosto, duas comissões _ a de Segurança Pública e Combate ao Crime Organizado (CSPCCO) e de Constituição e Justiça e de Cidadania (CCJC) _ já votaram a favor de sua aprovação. Mas na CCJC, o relator, deputado Regis de Oliveira (PSC-SP), acrescentou novo substitutivo modificando a redação de muitos dos 21 artigos do Capítulo IV, que trata do Código Penal e em vários artigos polêmicos do capítulo V, entre outros.

Entre as principais modificações estão alterações significativas no artigo 22 do capítulo V, que trata da responsabilidade dos provedores de acesso no fornecimento de informações para apuração de crimes, que passa a responsabilizar também os prestadores de serviço de conteúdo (servidor webmail, homepage, etc) e a sugestão de que a obrigatoriedade da que a requisição judicial se aplique somente para dados sensíveis – a própria informação, e não quanto aos cadastros.

No texto do substitutivo, o deputado Regis de Oliveira justifica as modificações como forma do texto do projeto passar a "estar na mais perfeita consonância com o ordenamento jurídico vigente, proporcionando assim os meios necessários a criação da legislação necessária para o combate dos delitos perpetrados por meios eletrônicos", diante de novas condutas, como phishing scam e hoax, muito utilizados em ações de engenharia social relacionadas às fraudes bancárias e financeiras.

"Hoje são inúmeras as possibilidades de 'ganho fácil' para os criminosos digitais, principalmente porque, a maior parte de suas vítimas não são afetas ao uso adequado dos recursos computacionais que diariamente utilizam, tornando-se assim presa fácil numa batalha feroz travada numa arena digital", diz o texto do substitutivo

O deputado lembra ainda que as estatísticas revelam que o Brasil é o País com o maior número de “crackers” especialistas no mundo, sendo relevante o fato da imprensa anunciar que o Brasil é o país onde se dá o maior número de ataques a páginas Web, e isto acontece porque a sensação de impunidade leva o infrator à certeza que mesmo que seja apanhado, dificilmente será condenado, pois, não havendo leis específicas, a analogia não pode ser empregada no campo do direito penal.

E recomenda que o Brasil subscreva a Convenção de Budapeste, abarcando todas as hipóteses do que lá se contém (acesso ilegal, atentado à integridade dos dados, atentado à integridade do sistema, abuso de dispositivos, falsificação informática, fraude informática, pornografia infantil e infrações à propriedade intelectual e aos direitos conexos), incondicionalmente, inserindo-se imediatamente no sistema legal brasileiro as regras procedimentais lá previstas, com a possibilidade da busca e apreensão de dados informáticos, salvaguarda de informações etc..

Dessa forma, o deputado inclui no Capítulo IV o artigo 285-A, que trata do acesso mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, crime este punido com pena de reclusão, de 1 (um) a 3 (três) anos, e multa. Se o autor do crime se valer de nome falso ou da utilização de identidade de terceiros para a prática do crime, terá a pena é aumentada de sexta parte.

Segundo Regis de Oliveira, a redação deste artigo preenche lacuna e harmoniza-se com a Convenção de Budapeste. É a ‘invasão de domicílio eletrônico’ que o Direito Italiano contempla. Só que lá se inseriu um singelo parágrafo no artigo referente à invasão, equiparando o sistema informático a casa.

No artigo 22 do capítulo V, também em função da Convenção de Busdapeste, o deputado propõe que se atribua responsabilidade apenas aos provedores de acesso a um sistema informático, mas também aos prestadores de serviço de conteúdo (servidor webmail, homepage, etc). "Seria extremamente prejudicial às investigações de crimes cibernéticos tal lacuna em nosso ordenamento jurídico, pois na maioria dos casos investigados somente alcançamos os “dados de acesso” (tráfego) após as informações prestadas por fornecedores de serviço de conteúdo. (..)Deve ficar claro na legislação que os prestadores de serviço (acesso e conteúdo) devem adotar todos os esforços para possuírem os meios tecnológicos conhecidos para cumprimento das obrigações previstas no artigo 22, sob pena de esvaziamento desta disposição", diz o texto.

Significa que além do provedores, prestadores de serviço de conteúdo passariam a ser obrigados a manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, destino, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória e o Ministério Público mediante requisição.

Na justificativa Regis de Oliveira alega que "A requisição de informações cadastrais somente mediante requisição judicial é muito radical. A ordem judicial deve contemplar o próprio conteúdo da informação – o dado sensível e não a informação cadastral, como corolário do disposto no art.5º, XI, da CF. Na vida prática, fora a rede, quando um ônibus atropela alguém e a respectiva placa é anotada, a Autoridade Policial não necessita solicitar ao Juiz de Direito que determine a remessa do dado cadastral (de quem dirigia o coletivo etc.).

Por isso o deputado sugere que a requisição judicial seja exigida somente quanto ao dado sensível – a própria informação, e não quanto aos cadastros. E, no artigo seguinte, recomenda que a informação sensível somente é entregue mediante
requisição judicial, mas que a sua manutenção possa ser feita pela Autoridade Policial e pelo Ministério Público, a fim de não se dilua, dada a volatilidade do dado informático.