Os limites dos delitos virtuais

Quando se fala em crimes digitais, é fácil pensar em pedofilia, fraudes, criação e disseminação de vírus. Mas devem passar longe da idéia atitudes aparentemente inocentes como comentários maldosos por e-mail ou a divulgação de mensagens falsas que imploram por ajuda a qualquer causa ?nobre?. Afinal, que mal há em fazer umas ?fofoquinhas? com os colegas por e-mail ou em tentar ajudar as vítimas do Katrina?

As duas práticas, no entanto, podem se enquadrar como delitos digitais. No primeiro caso, dependendo da gravidade da situação, a infração pode ser entendida como calúnia e quem a comete tem a possibilidade, inclusive, de ficar recluso. No segundo, se a mensagem caracteriza-se como spam e você resolver espalhá-la ainda mais, a atitude pode ser configurada como ?exercício arbitrário das próprias razões?, passível de pena de 15 dias a um mês ou multa, além da pena correspondente a violência.

Não se trata de uma caça às bruxas, de sair prendendo todo mundo que, com as melhores das intenções, eventualmente, dissemine um vírus ? mesmo porque a configuração de delito e o estabelecimento de penas correspondentes dependem do caso. Mas os exemplos mostram que, muitas vezes, as pessoas cometem erros graves sem se dar conta disto. Ruim para a pessoa que o fez, pois está sujeita à acusação sem, às vezes, ter a intenção de fazer algo errado. E pior para a empresa na qual ela trabalha se tais ações forem realizadas com a utilização da infra-estrutura corporativa. Afinal, de acordo com o advogado especializado em crimes digitais, Renato Ópice Blum, ?a companhia é co-responsável pelos atos dos empregados?.

Linha tênue

Os crimes digitais caracterizam-se de duas maneiras. A primeira é quando se utiliza o meio eletrônico para cometer um delito que já existe de outro modo, como por exemplo, a ofensa a alguém por mensagem digital. A outra é quando o delito é feito contra o meio digital, como a invasão dos sistemas. São considerados delitos atividades como o uso não-autorizado de imagens, plágio, pirataria, assédio digital e pedofilia, ofensa à honra e à reputação, fraudes eletrônicas, uso indevido de senha por colaborador, vazamento de informações confidenciais, quebra de sigilo profissional por e-mail ou na internet, furto de dados, concorrência desleal, uso não-autorizado da marca na internet (como no Orkut), responsabilidade civil por mau uso da ferramenta de trabalho, download de softwares e arquivos não-autorizados ou não-homologados (MP3 piratas, por exemplo).

A lista é longa e, para Ópice Blum, grande parte desses delitos acontece porque o funcionário acredita que não será descoberto ou tem a expectativa de privacidade. Mas o advogado alerta que a companhia ?pode e deve? monitorar as ações realizadas em seu parque para assegurar a segurança das informações e devido à co-responsabilidade da companhia. Mas o monitoramento não deve ser feito indiscriminadamente. O advogado alerta que é importante que isto seja deixado claro ? de preferência por escrito ? para que, em um eventual processo no futuro, o empregado não possa alegar que desconhecia as regras.

Isto ocorre, porque, cada vez mais, as pessoas realizam ações da vida pessoal em ambiente profissional. Assim, o conhecimento ou a divulgação por terceiros de conteúdo de um e-mail pessoal pode gerar constrangimento ao funcionário e um processo por dano moral ou material para a empresa. A advogada especializada em direito digital, Patricia Peck, enfatiza que, mesmo que o ambiente seja corporativo, o conteúdo é particular. ?Mas, se há o aviso prévio, a empresa está protegida, pois o funcionário optou por praticar a conduta, mesmo sabendo que alguém estava monitorando.? Quanto mais clara estiver a informação de que os ambientes da empresa são monitorados, menor o risco para a empresa, pois evita a conduta e gera a prova que protege a empresa em caso de contingência.

O monitoramento mais comum é feito com uso de softwares de filtro de palavras-chave (para e-mail e internet) e com uso de câmeras (ambientes físicos). Para evitar crimes, delitos ou condutas erradas, as empresas também evitam deixar portas USB disponíveis nas máquinas dos funcionários e fazem inspeções físicas em estações de trabalho por amostragem. Outro ponto importante a ser trabalhado são os processos que fazem com que uma determinada conduta de risco para a empresa seja realizada com segregação de funções. ?Por exemplo, fazendo com que a aprovação de um pagamento seja aprovada por uma segunda pessoa além da que realizou o cadastro?, diz a advogada. E ainda há a questão de pessoas, que envolve a conscientização, o treinamento a respeito das boas práticas e a atualização dos funcionários sobre as regras. ?Nem sempre está claro para o funcionário que sua senha da rede e login de usuário são provas de autoria e que, se ele emprestá-los para um colega que fizer algo errado, ele será o primeiro suspeito?, adverte.

Os delitos cometidos por funcionários, geralmente, são descobertos por meio de monitoramento, por denúncias anônimas, pela observação do chefe imediato em relação a comportamentos ou até pela própria internet, quando a informação é divulgada em comunidades ou blogs. A partir daí, a companhia pode utilizar como prova sua política de segurança da informação, a cláusula de contrato ou o rodapé de e-mail que façam menção ao monitoramento. Também são aceitos como prova os alertas no login da rede.

Rony Vainzof, sócio da Opice Blum Advogados e especialista em direito digital, diz que os delitos mais comuns reportados pelas empresas são de violação de segredo e concorrência desleal utilizando o sistema informático da companhia. Patricia Peck cita três casos como exemplos. No primeiro, o sistema de monitoramento de e-mails em uma empresa no segmento de prestação de serviços identificou que um funcionário passou informações sigilosas para o concorrente. Como a companhia havia feito o aviso de que vigiaria os sistemas, a pessoa foi demitida por justa causa. Na segunda ocorrência, o empregado estava utilizando login e senha privilegiados, ao qual ele tinha acesso em um cargo anterior para fraudar a companhia, criando um fornecedor fantasma e realizando pagamentos mensais a ele. O chefe imediato começou a suspeitar, avisou a área de TI e a pessoa passou a ser monitorada até ser identificado o delito.

O terceiro caso envolveu uma companhia grande, com ações na bolsa de Nova York e, por isso, sujeita a leis como a Sarbanes Oxley. Por conta disto, os funcionários da tesouraria tinham suas funções segregadas e determinadas ações não poderiam ser executadas por uma única pessoa. Identificaram-se transações estranhas e a companhia passou a rastrear os três empregados, verificando que os três logins e senhas muitas vezes estavam ativos em momentos que nem todos os três crachás haviam passado pela catraca. Os três foram chamados, um deles assumiu a culpa, mas os três foram demitidos, pois tinham consciência de que seus dados de acesso eram pessoais e intransferíveis.

Seguindo os rastros

Os três casos, embora tenham tido um final relativamente feliz para a empresa, demonstram que nem sempre elas agem proativamente, não sabem os riscos que estão correndo ou sabem e não se previnem. ?As organizações ainda estão caminhando para um nível maior em segurança da informação?, afirma Vainzof. ?É importante também elas saberem como fazer a preservação adequada das provas?, complementa. Patrícia Peck afirma que as pegadas digitais são mais facilmente rastreáveis do que as do mundo físico. Afinal, as ?testemunhas? são máquinas que registram dentro delas todas as operações efetuadas pelo seu sistema.

Mas o Direito não tem conseguido acompanhar a rapidez com a qual o meio eletrônico se desenvolve, o que dificulta o tratamento de alguns casos. Em grande parte, os crimes digitais são tipificados com base na Constituição e nas leis já existentes para o mundo físico. Algumas situações, no entanto, ainda não são cobertas pela legislação. É o caso da disseminação de vírus via computador. São estas brechas que os criminosos utilizam para cometer delitos. ?Eles medem o risco e, quando acham que vale a pena, realizam o ato?, afirma Ópice Blum.

Um exemplo é o suposto caso de alguém que queira ofender outra pessoa por mensagens eletrônicas. Como pena, existe a possibilidade de a vítima solicitar uma indenização ou imputar uma queixa-crime. Mas, se o acusado não tiver bens, não vai pagar a multa. E, se for processado, como a pena é muito baixa e existem dispositivos para abrandá-la ? por exemplo, o fato de o acusado ser réu primário ?, a pessoa acaba não cumprindo a pena.

Nesse sentido, o especialista se diz a favor do polêmico Requerimento de Informação de autoria do senador Eduardo Azeredo, alegando que isto resolveria alguns casos. Se aprovado, o requerimento exige que o responsável pelo provimento de acesso a uma rede guarde os dados que permitam identificar seus usuários bem como as conexões realizadas por ele. ?Também é possível solicitar a prisão preventiva, o que não acontece neste momento?, relata ele, que defende que, como as novas tecnologias oferecem um potencial de dano muito maior, ? em segundos é possível espalhar um spam ou um phishing para milhões de pessoas ? a proteção também deveria ser maior.

Na visão de Patricia Peck, a identificação dos internautas deveria ser legalizada, mesmo com as acusações de que a medida minaria a liberdade de expressão. ?A Constituição Federal protege a liberdade de expressão, mas proíbe o anonimato?, justifica ela. Por isso, hoje, muitos juízes estão concedendo liminar para solicitar, por exemplo, a retirada de um conteúdo do ar. ?O provedor tem um termo de uso que serve como contrato entre ele e os usuários?, diz a advogada. ?É deste documento que nos valemos para garantir o cumprimento das leis.? Depois de tudo isso, é para pensar duas vezes antes de mandar um comentário maldoso pelo e-mail corporativo. Ou por qualquer e-mail.

InformationWeek Brasil