Lei Carolina Dieckmann, evolução tecnológica e LGPD: Necessidade de harmonização
Por Eduarda Chacon Rosas e Isadora Helena G. Cardoso
A Lei nº 12.737/2012, conhecida popularmente como Lei Carolina Dieckmann, completou essa semana, no dia 30 de novembro, nove anos da sua promulgação. Considerando a evolução tecnológica e normativa desde então, em especial a entrada em vigor da LGPD (Lei nº 13.709/2018), o convite para reflexão não apenas é bem-vindo, mas necessário. O presente artigo se propõe a responder esse convite a partir de três pontos de leitura: (i) resgatar a razão de ser do Diploma; (ii) a contextualização mais ampla do advento da “economia digital” e da “utilização de dados pessoais como mercadoria”; e, por fim, (iii) a necessidade de harmonização da Lei com a proteção à privacidade no contexto da LGPD.
Em primeiro lugar, a Lei nº 12.737/2012 inseriu no Código Penal o crime de invasão de dispositivo informático, em seu art. 154-A. A discussão sobre o tema iniciou como repercussão social de grave violência de gênero com figura pública brasileira: um hacker acessou indevidamente o celular da atriz Carolina Dieckmann e obteve acesso a suas fotos íntimas, requerendo o valor de R$10.000,00 para não as divulgar. Ao recusar o pagamento, a atriz teve suas imagens expostas na internet.
Respondendo à insuficiência normativa para lidar com esse tipo de ilícito, o Diploma criminalizou as condutas de (i) invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita; e de (ii) produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o intuito de permitir a prática da invasão.
Como se pode constatar até mesmo anedoticamente, ainda que a Lei tenha instaurado uma camada adicional de proteção ao bem jurídico “privacidade”, invasões de dispositivos informáticos estão longe de ser raridade. Como é sabido, até mesmo pela evolução tecnológica e sua maior interconexão em nosso dia a dia, crescem em igual proporção novos tipos de golpes e ilícitos cibernéticos. Que leitura os tempos em que vivemos nos convidam a fazer sobre o Diploma?
Daí porque, em segundo lugar, não podemos fechar os olhos para os debates que tem sido travado nacional e internacionalmente sobre a proteção dos dados pessoais, tema em franco crescimento considerando, por exemplo, a próxima fronteira a ser instaurada com a internet das coisas e novas tecnologias de acesso à rede, como o 5G.
Como já se falou, os dados pessoais tornam-se um dos ativos mais valiosos que se pode ter na economia digital, já tendo sido até mesmo chamados de o novo petróleo, mas também do novo plutônio. Essa mudança de paradigma mostra que não apenas pessoas e empresas legitimamente interessadas estão atuando nesse mercado, mas que, em igual medida, tem crescido o interesse de criminosos e fraudadores, que buscam obter ganhos financeiros ilegítimos.
Os exemplos são os mais variados, de técnicas e meios de ataque, que variam desde malwares, ou popularmente, vírus de computador, ransomwares, que impossibilitam o uso de dispositivos e bases de dados, mediante pedido de resgate, malvertising, ou publicidade enganosas, ataques de força bruta, ou mesmo técnicas as mais variadas de engenharia social.
Diante disso, é forçoso nos questionarmos, a proteção ao “dispositivo” basta? Para harmonizar a Lei Carolina Dieckmann com a sociedade de dados e a econômica de dados, não basta falar em “obter, adulterar ou destruir dados” e nem em “produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa” com o intuito de permitir invasão. De certo que a proteção deve ser estendida a qualquer tratamento ilegal ou irregular de dados de terceiros e que não importa se a “invasão” for feita ao dispositivo ou por qualquer dos diversos outros mecanismos possíveis.
Vive-se o ápice das nuvens. As informações, disseminadas pelos próprios titulares, podem ser colhidas e organizadas via inúmeras plataformas com o objetivo de permitir golpes com engenharia social. Provedores armazenam dados de milhões, bilhões de indivíduos. É preciso oferecer proteção aos dados, e não apenas ao local físico em que se encontram.
Não é outra razão pela qual recentemente, em maio de 2021, retirou-se do tipo penal a necessidade de que o ato ilícito ocorresse “mediante violação indevida de mecanismo de segurança”.
Daí porque, em terceiro lugar, faz-se necessário pensar em uma maior relação entre o Diploma e a importância da proteção de dados pessoais. De fato, como se intui, para que sejam harmonizadas, a LCD precisa ampliar as hipóteses de sua incidência a qualquer tratamento irregular ou indevido. Além disso, é preciso considerar as expectativas dos titulares quanto aos dados, armazenamento e segurança deles e penalizar a “violação” ou “invasão” não apenas a dispositivos portáteis (como computadores e smartphones), mas de servidores físicos e virtuais.
Outro ponto de reflexão seria o resultado da violação. Isso porque o art. 154-A tipifica a invasão de dispositivo a partir de violação da segurança” para obtenção de “vantagem ilícita”. Como se sabe, todavia, a proteção de dados é um fim em si mesmo. Deste modo, a “invasão” (no caso, o tratamento irregular de dados alheios por meio de acesso não autorizado) deve ser criminalizada como um objetivo próprio, a despeito de resultar em vantagem para o criminoso ou prejuízo material para o titular ou responsável pelo repositório.
Estas são reflexões válidas na semana do aniversário da Lei que representou um divisor de águas importante no momento histórico em que surgiu. Acontece que, como sói ocorrer com o Direito, é sempre preciso procurar (e encontrar), cada vez mais, sinergia entre as esferas cível, criminal e administrativa; só assim se construirá uma cultura robusta de privacidade e proteção de dados no Brasil.
