A Obrigação do Provedor de identificar o usuário que acessa a Internet
Um bombardeio de críticas provenientes de vários setores do Governo, de parlamentares e de segmentos da sociedade civil organizada provocou, na semana passada, o adiamento da votação, na Comissão de Constituição e Justiça do Senado, do substitutivo do Senador Eduardo Azeredo (PSDB-MG) para três projetos de lei que tramitam em conjunto no Congresso Nacional (PLC n. 89, de 2003, do Dep. Luiz Piauhylino (1); PLS n. 76, de 2000, do Sen. Renan Calheiros; e PLS n. 137, de 2000, do Sen. Leomar Quintanilha), que tratam da regulamentação e repressão aos crimes de informática no Brasil (2). O texto estava previsto para ser votado na quarta-feira dia 08 de novembro e, se passasse, seria votado em plenário e, em seguida, enviado de volta à Câmara, também para votação, mas a enxurrada de críticas foi tão grande que não deixou alternativa para o presidente da Comissão, Senador Antônio Carlos Magalhães (PFL-BA), que decidiu retirar a proposta da pauta de votação.
O ponto polêmico do substitutivo é a obrigação que cria, para os provedores de acesso à Internet (ou qualquer rede de computadores), de identificar os usuários de seus serviços, mediante cadastramento prévio. Nos termos exatos do substitutivo, «todo aquele que desejar acessar uma rede de computadores…deverá identificar-se e cadastrar-se naquele que torne disponível este acesso» (art. 13). Essa regra vem complementada pelo artigo seguinte (art. 14), segundo o qual «todo aquele que torna disponível o acesso a uma rede de computadores somente admitirá como usuário pessoa….que for autenticado conforme validação positiva dos dados cadastrais previamente fornecidos pelo contratante de serviços». O parágrafo 1o. desse último dispositivo elenca os tipos de dados do usuário que devem fazer parte do cadastro aberto pelo provedor (nome, senha, endereço, número de identidade, número de CPF ou similar). O substitutivo cria ainda a obrigação do provedor manter, pelo prazo de três anos, os dados de conexões e comunicações realizados pelos seus usuários. A omissão do provedor em identificar os seus usuários, mediante cadastro prévio, e conservar os dados de tráfego na Internet é considerada crime, punido com detenção e multa (art. 2º, que acrescenta os arts. 154-E e 154-F ao Código Penal). (3)
Para os críticos do substitutivo do relator Eduardo Azeredo, essas regras vão afetar as garantias democráticas e o ambiente de liberdade que caracteriza a Internet. A revista Veja desta semana reproduz frase de autoria do Dep. Aldo Rebelo, Presidente da Câmara dos Deputados, manifestando-se contrário ao substitutivo (4). Na mesma seção, a revista traz uma pequena reportagem onde aponta que a exigência de cadastro e de identificação do usuário trará como resultado a perda da privacidade e a restrição de acesso à rede mundial. A reportagem destaca que somente em países autoritários como a China, Coréia do Norte, Irã e Cuba o Governo controla o acesso à Internet. As críticas não pararam por aí. Para muitos outros advogados e pessoas ligadas a Ongs ouvidas sobre o assunto ao longo da semana, a exigência de identificação do usuário é ineficaz para combater a prática de crimes na Internet, pela razão de que, acaso o substitutivo venha a se transformar em lei, os criminosos podem simplesmente abrir conta em provedores de outros países, onde não seja feito esse tipo de exigência. Apareceram, ainda, pessoas dispostas a criticar o substitutivo com argumentos de ordem econômica, no sentido de que as exigências de identificação levariam à quebra dos pequenos provedores de Internet (5) e que só favoreceriam o lobby das empresas de certificação digital.
Em entrevista concedida à Agência Senado (6), o Sen. Eduardo Azeredo defendeu seu substitutivo e negou que afete garantias fundamentais do indivíduo, como a liberdade de expressão e o direito à privacidade. «É uma proposta abrangente e necessária para punir crimes pela Internet. Não há cerceamento à liberdade de expressão e nem perseguição de internauta. Aliás, o projeto busca proteger os nossos internautas contra os criminosos» – sustentou o senador.
Pessoalmente, acredito que algumas das críticas feitas ao substitutivo são equivocadas. A exigência de identificação dos usuários dos serviços de conexão à Internet é uma medida positiva, uma vez que possibilita investigar, detectar e promover a persecução de pessoas que eventualmente cometam crimes utilizando a rede mundial de comunicação. Em essência, o que o substitutivo pretende é que, ao início da contratação da prestação dos serviços, o provedor cheque a veracidade das informações pessoais fornecidas pelo usuário. O que se almeja é evitar que o provedor permita que um usuário acesse a rede, através de seu sistema, sem identificação prévia.
Nesse sentido, a simples obrigação de que o provedor, ao contratar com o consumidor (usuário), colete as informações necessárias à sua identificação, não constitui medida desarrazoada. Não leva, por si só, à violação da privacidade dos usuários nem restringe a liberdade de expressão deles. Os dados coletados vão ser utilizados com a finalidade exclusiva de identificar a pessoa registrada como subscritor dos serviços de conexão à Internet junto a um determinado provedor. Como atualmente os provedores não têm a obrigação de checar a veracidade das informações dos usuários, qualquer pessoa pode contratar o serviço de conexão à Internet utilizando documento ou dados falsos. Daí a obrigação que o substitutivo cria, para que o preposto da empresa de serviços de conexão à Internet confira a identidade do contratante (novo usuário) mediante a exigência de documentos originais ou, se a contratação não se fizer de forma presencial mas on line, que a identificação seja feita mediante ferramentas de certificação digital. Dados como o nome do contratante, endereço, identidade e CPF devem ser requeridos no momento do cadastramento.
Não se trata, portanto, de criar mecanismos de «controle de acesso à Internet», como alguns têm erroneamente apregoado, mas de adotar medidas que possam identificar o usuário de um sistema de comunicação específico (que é o serviço de conexão à Internet, fornecido pelos provedores de acesso). É o mesmo processo que se faz, por exemplo, quando uma pessoa se dirige a uma operadora de telefonia e contrata a utilização de um aparelho telefônico (fixo ou celular). Nesse momento da contratação, a pessoa (usuário) é identificada, apresenta documentos que atestam a sua identidade e é feito um cadastro com os seus dados pessoais. A mesma coisa se pretende seja feita na contratação do serviço de conexão à Internet. Não se estará jamais, com esse tipo de medida, autorizando o próprio provedor ou o Estado ou quem quer que seja a monitorar o conteúdo de nossas mensagens eletrônicas, a bloquear o acesso de cidadãos à rede, a censurar o teor de websites ou de qualquer forma violar o sigilo das comunicações eletrônicas. O que se quer apenas é garantir que, no caso da eventualidade da prática de um crime na Internet, a investigação criminal ou instrução processual possa ser viabilizada mediante requisição judicial (como prevê a Constituição) ao provedor, para identificação do usuário suspeito.
Não adianta de nada o provedor identificar o número IP que estava sendo usado por um determinado usuário, se não checou antes se aquele usuário é realmente quem disse ser. Por isso que o processo prévio de identificação, através de coleta de dados pessoais para cadastro do usuário e checagem da veracidade desses dados é tão importante. Não se pode deixar que pessoas, sem identificação assegurada, naveguem livremente pela rede e assim possam praticar toda série de crimes. Liberdade pressupõe responsabilidade. Todo cidadão deve ter o direito de acesso à Internet, mediante abertura de uma conta junto a um provedor, e participar do livre discurso na rede, expressando suas idéias e pensamentos, mas com a contrapartida de que, vindo a lesar direitos de terceiros, sofrerá a respectiva responsabilização.
Por outro lado, não é sensato o argumento de que a obrigação de identificação prévia do usuário não terá eficácia, já que os criminosos podem acessar a rede mediante provedores situados em outros países, onde não exista essa obrigação. Deve ser observado que a maioria dos países desenvolvidos já adotou ou está em processo de adotar medida semelhante. No âmbito da União Européia já existe inclusive Diretiva prevendo não apenas a identificação mas até a retenção dos dados de tráfego do internauta (7). Ademais, a não exigência de identificação favorece o anonimato e este, por sua vez, o aumento do número de crimes na Internet.
Quanto à alegação de que a identificação prévia obrigatória criará apenas um «cartório» das empresas de certificação digital, também não merece crédito. Essas empresas vão crescer de todo jeito, na mesma proporção do aumento das transações on line. Segurança é uma necessidade vital para a própria sobrevivência e desenvolvimento dos negócios na rede e para o estabelecimento da confiança dos usuários. As empresas de certificação digital não precisam dessa ajuda para criar um nicho que já têm. Além disso, o projeto (substitutivo) prevê que a identificação dos usuários pode ser presencial ou que os provedores possam se valer de convênio de cooperação ou colaboração com órgão ou entidade que já disponha de cadastro constituído.
Também não prospera a afirmação de que o cadastro de usuários pode servir como instrumento de invasão à privacidade, pois os dados podem ser utilizados para outros fins. Ora, cadastro nós fazemos hoje a todo e qualquer tempo e em todo e qualquer lugar no dia-a-dia das nossas vidas. Se nos internamos em um hospital, fazemos cadastro; se nos matriculamos em uma escola, fazemos cadastro; se compramos um carro, fazemos cadastro; se queremos ter acesso à financiamento, fazemos cadastro. Impedir que se coletem dados pessoais nossos na nova sociedade da informação é quase uma utopia. O que se tem que fazer é definir responsabilidades legais a controladores de bancos de dados. Nesse sentido, o próprio projeto tratou de penalizar a utilização ou divulgação para outros fins das informações de terceiros que são depositas em seu banco de dados (8).
O meu receio, por essas razões, é que algumas pessoas que se precipitaram em criticar de forma acerba o substitutivo do Sen. Eduardo Azeredo não tenham tido o devido conhecimento do assunto, ou que estejam apenas sendo usadas para fazer o discurso das empresas que atuam disponibilizando acesso à Internet. A adoção do projeto implicará em aumento de custos para os provedores, que necessitarão estruturar ou readaptar seus sistemas informáticos para atender as exigências legais. Não tenho dados estatísticos e econômicos para fazer uma análise do impacto dessas exigências sobre as atividades desse segmento, mas desconfio que está havendo um exagero quando se alega que vai haver uma quebra em massa das empresas que atuam nesse segmento ou que vai ocorrer uma debandada delas, que buscarão se instalar em outros países – se os empresários daqui correrem para o lado da Europa vão quebrar a cara, pois lá já existem obrigações de identificação e retenção dos dados de tráfego na Internet.
É preciso tomar cuidado para não fazer o discurso dos provedores, como se disse, que podem simplesmente estar querendo fugir dos custos que as mudanças legais podem impingir-lhes. Também desconfio da afirmação de que os custos com a implantação de sistemas e métodos de cadastramento e identificação prévios sejam repassados ao consumidor, em termos de aumento do preço dos serviços de conexão. A competitividade no setor de serviços na Internet é tão grande que o próprio mercado funcionaria impedindo, na prática, que o aumento de custos terminasse onerando os consumidores. De qualquer maneira, esses aspectos podem e devem ser analisados com mais vagar pelos nossos parlamentares.
A única restrição imediata que faço ao cadastramento prévio dos usuários dos serviços de conexão à Internet é quanto à forma de imposição dessa obrigação. O projeto de lei (substitutivo) transforma a falha ou omissão do provedor na identificação e cadastramento prévios do seu usuário em tipo penal, estabelecendo pena prisional (detenção) para esses casos (9). Talvez a obrigação de identificação, cadastro e respectiva autenticação do usuário pudesse ser veiculada com sanções exclusivamente administrativas ou apenas com pena de multa. Ao invés de se colocar essa obrigação em lei, poderia ser perfeitamente imposta através de regulamento de uma agência do Governo, o que proporcionaria melhor oportunidade de verificar se a medida traz qualquer tipo de restrição ao comércio ou constitui um obstáculo ao desenvolvimento do mercado nacional das comunicações eletrônicas. Num primeiro momento, talvez sanções administrativas se mostrassem mais proporcionais, eficazes e dissuasivas. O Governo teria condições de fazer uma avaliação das medidas assim impostas, ao término de algum tempo depois da implantação (digamos, um ano depois), quanto ao impacto na economia dos provedores e consumidores, com os dados estatísticos que teria condições de levantar.
Os projetos originais que tratam dos crimes informáticos não previam essa obrigação para os provedores. Talvez o mais acertado fosse deixá-los com a missão de tipificar apenas crimes praticados por hackers, como eram as propostas originais (10), e, num texto à parte, cuidar das obrigações de identificação dos usuários dos serviços de conexão à Internet, por meio do qual se pudesse tratar mais detalhadamente dessa matéria, inclusive estabelecendo outras obrigações de segurança para os provedores.
Em suma, as medidas de identificação, cadastramento e autenticação dos usuários dos serviços de conexão à Internet, e mesmo a retenção dos dados de tráfego (11), não são apenas desejáveis, mas necessárias para garantir a segurança dos serviços de comunicação eletrônica e viabilizar o combate, a investigação e punição de crimes informáticos. O que se pode discutir é apenas a forma de implantação dessas medidas. O que não pode mais ser tolerado é permitir que se prolongue a situação atual, em que qualquer pessoa pode, utilizando nome, documento ou dados falsos, acessar a Internet e praticar crimes com a maior facilidade. Vamos dificultar a ação dos criminosos.
Recife, 12.11.06.
(1) http://www.senado.gov.br/sf/atividade/Materia/detalhes.asp?p_cod_mate=63967
(2) O substitutivo, que cria a Lei de Crimes de Informática, já foi aprovado pela Comissão de Educação (CE) do Senado e tramita agora na Comissão de Constituição e Justiça (CCJ).
(3) Essa reprodução de artigos está sendo feita com base no substitutivo do Sen. Eduardo Azeredo apresentado ainda na Comissão de Educação do Senado, pois não tive acesso à versão apresentada perante a CCJ, onde pode ter havido emendas. Acredito, no entanto, que não deve ter havido qualquer mudança essencial no projeto, nesse ponto específico, pelo menos baseado no que a imprensa tem divulgado.
(4) «Eu sou favorável a permitir a liberdade e criar uma legislação que puna aquele que abuse dessa liberdade. O que não pode é que na expectativa de alcançar os criminosos se puna quem não tem culpa nenhuma» (frase atribuída pela revista Veja ao Dep. Aldo Rebelo).
(5) Em entrevista ao Terra, Antônio Tavares, Presidente da ABRANET (Associação Brasileira de Provedores de Acesso, Serviços e Informações da Rede Internet), afirmou que, caso aprovadas da forma que estão, as exigências podem levar os provedores a oferecer seus serviços no exterior, onde tais obrigações inexistem. Segundo ele, isso acarretaria perda de empregos diretos e indiretos, além de diminuição de investimentos no setor. Tavares afirma que a Abranet defende a auto-regulação e participação da sociedade e dos usuários, a exemplo do que há muitos anos se consolida em práticas internacionais. O presidente da entidade avalia que exigir co-responsabilidade dos provedores na veracidade das informações prestadas é exagerado. «Querem passar para os provedores uma responsabilidade que não é deles», diz.
http://noticias.terra.com.br/brasil/interna/0,,OI1231864-EI306,00.html
(6) http://www.senado.gov.br/agencia/verNoticia.aspx?codNoticia=59435&codAplicativo=2
(7) Ver, a respeito, artigo de nossa autoria intitulado «A DIRETIVA EUROPÉIA SOBRE RETENÇÃO DE DADOS DAS COMUNICAÇÕES ELETRÔNICAS», escrito em 16.03.06, em: http://www.infojus.com.br/webnews/noticia.php?id_noticia=2567&
(8) O projeto cria o tipo penal de «Divulgação de informações depositadas em banco de dados», com o acréscimo de um artigo ao CP:
«Art. 154-D. Divulgar, ou tornar disponíveis, para finalidade distinta daquela que motivou a estruturação do banco de dados, informações privadas referentes, direta ou indiretamente, a dados econômicos de pessoas físicas ou jurídicas, ou a dados de pessoas físicas referentes a raça, opinião política, religiosa, crença, ideologia, saúde física ou mental, orientação sexual, registros policiais, assuntos familiares ou profissionais, além de outras de caráter sigiloso, salvo por decisão da autoridade competente, ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal. Pena – detenção, de um a dois anos, e multa».
(9) O projeto inclui um novo artigo no Código Penal (art. 154-F), prevendo a pena de detenção de um a dois anos e multa, para os casos em que o provedor disponibiliza o acesso à rede sem a devida identificação e cadastramento do usuário.
(10) Os projetos de lei condensados no substitutivo visavam a criminalizar ações cometidas por meio de sistemas informáticos ou contra sistemas de computação, criando os alguns tipos penais como, p. ex., o crime de acesso indevido a meio eletrônico, a fraude eletrônica e a sabotagem eletrônica.
(11) Outro ponto questionado do projeto, que acrescenta um dispositivo (art. 154-E) ao Código Penal, estabelecendo a obrigação do provedor de conservar os dados de conexões e comunicações realizadas em seus equipamentos. De acordo com o Senador Azeredo, relator do projeto, inicialmente a manutenção dos dados aconteceria por dez anos. Em sucessivos acordos, o prazo baixou para cinco e agora é de três anos.