BLOCO - BLOg dos COordenadores ou BLOg COmunitário da ComUnidade WirelessBRASIL

Fonte: Decision Report
[01/12/08] CSOs debatem efeitos da lei na segurança corporativa por Ceila Santos
Recorte:
(...) Não só o custo do armazenamento de logs deu o tom no debate promovido pela Decision Report, na sexta-feira, 28/11, sobre Crimes Digitais. Na discussão sobre os dispositivos do Projeto de Lei 84/99 houve quem comparasse seus efeitos para a segurança corporativa com os da Sarbanes Oxley sobre os processos financeiros. "A lei contribuirá muito para avanço da política de segurança empresarial", afirmou Sérgio Ricupero, CSO do Grupo Abril, durante o evento em que compunha a mesa dos 30 executivos do Decision Report Meeting. (...)

Fonte: Decision Report
[28/11/08] Custo de log divide debate sobre Lei de Crimes Digitais por Ceila Santos
Recortes:
(...) Motivos não faltam pela busca da regulamentação. O principal deles, segundo Renato Opice Blum, advogado especialista na área, é de que a legislação atual contempla cerca de 70% dos delitos identificados na rede, mas o restante não há como ser penalizado. “As penas são desproporcionais às práticas da web”, reforça Opice Blum. (...)
(...) O encontro também trouxe à tona o quanto as empresas deverão controlar cada vez mais os ambientes de informática porque são responsáveis por qualquer conteúdo que utiliza dos meios disponíveis dentro da empresa. Ou seja, a responsabilidade da empresa é de controlar seu próprio ambiente e caso ela não saiba do ocorrido pode até se defender de um suposto crime digital, mas é bom lembrar que haverá sempre a questão da responsabilidade empresarial. (...)

Fonte: Movimento Internet Segura
[26/11/08] Crimes Digitais: É possível um consenso?
Recortes:
(...) Decision Report apurou que não há um posicionamento totalmente contrário à lei. “Iniciativa louvável” uma das expressões mais usadas pêlos entrevistados, porém, com ressalvas. Há reivindicações de mais discussões para a elaboração de leis que complementem o texto em tramitação. A proposta é avançar em relação ao texto atual, suprimindo os pontos em desacordo - com base em estudos e argumentações - e, após a lei entrar em vigor, continuar o debate. (...)
(..) A Convenção de Budapeste é uma diretriz internacional para o combate aos crimes cibernéticos e prevê alguns parâmetros para que os países criem legislação própria. Nesse sentido, cada país tem liberdade para elaborar seu ordenamento, guiando-se pela Convenção.
O Brasil, ao ter uma legislação específica sobre crimes informáticos e tornar-se signatário desta Convenção, passa a colaborar nas investigações internacionais contra o cibercrime. (...)

03.
Temos um pedido:
Se você tomou conhecimento ou se interessou pelo tema recentemente, está convidado para o debate mas, por favor, recomendamos a leituras dos "posts" anteriores para não retornarmos à pontos já debatidos e "transitados em julgado". :-)

04.
Na matéria Crimes Digitais: É possível um consenso? grifamos o nome dos entrevistados.
E destacamos os advogados Gilberto Martins de Almeida e Patrícia Peck Pinheiro, com os quais já tivemos oportunidade de interagir há alguns anos para montagem de uma Seção Direito Digital, hoje bastante desatualizada. Os dois já estão recebendo cópias de nossas mensagens.

Gilberto e Patrícia, é um enorme prazer este reencontro! Parabéns pelo enorme trabalho de divulgação de conhecimento!

Aqui estão os "resumos biográficos" coletados nas web:

Patrícia Peck Pinheiro
Advogada especialista em Direito Digital, sócia fundadora da Patricia Peck Pinheiro Advogados (PPP Advogados), com mais de 127 clientes no Brasil e no exterior. Formada pela Universidade de São Paulo, com especialização em negócios pela Harvard Business School e MBA em marketing pela Madia Marketing School. É autora do livro “Direito Digital” pela Editora Saraiva, além de participação nos livros "Direito e Internet II", "e-Dicas" e "Internet Legal". É colunista do IDG Now e articulista da Gazeta Mercantil, Valor Econômico, entre outros. Possui experiência internacional nos EUA, Portugal, Coréia, começou a trabalhar com tecnologia aos 13 anos, como programadora de games para o computador Atari. Já treinou mais de 10.500 profissionais nos temas relacionados a Conscientização de Segurança da Informação e Boas Práticas de Direito Digital. Ministra aulas na pós-graduação do Senac-SP, Impacta, IBTA, Fatec-SP, assim como realiza treinamentos in company para diversas empresas. Inglês e Espanhol fluentes.

Gilberto Martins de Almeida
Mestre em direito pela USP, Professor de Direito da PUC/RJ, FGV, ESA-OAB/SP, EMERJ, e do NCE/UFJR, com cursos em Harvard e no M.I.T. É Sócio de Martins de Almeida - Advogados e Árbitro aceito pela Organização Mundial da Propriedade Intelectual; é Membro do Conselho Consultivo da Associação Brasileira de Direito da Informática e Ex-Gerente Jurídico da IBM onde trabalhou por 11 anos, no Brasil e nos EUA. Em 2005 publicou o livro "Informática & Direito: Coletânea de Artigos na Internet e na Imprensa".

-----------------------------------

Fonte: Decision Report
[01/12/08] CSOs debatem efeitos da lei na segurança corporativa por Ceila Santos

Não só o custo do armazenamento de logs deu o tom no debate promovido pela Decision Report, na sexta-feira, 28/11, sobre Crimes Digitais. Na discussão sobre os dispositivos do Projeto de Lei 84/99 houve quem comparasse seus efeitos para a segurança corporativa com os da Sarbanes Oxley sobre os processos financeiros. "A lei contribuirá muito para avanço da política de segurança empresarial", afirmou Sérgio Ricupero, CSO do Grupo Abril, durante o evento em que compunha a mesa dos 30 executivos do Decision Report Meeting.

A partir da obrigação de armazenar o endereçamento eletrônico, que implica registrar a origem, hora, data e referência GMT da conexão efetuada das máquinas e guardar esses dados no período de três anos, muitos executivos que participaram do Decision Report Meeting acreditam que as empresas vão ser obrigadas a rever a postura empresarial em relação aos funcionários. O delegado de polícia, José Mariano de Araújo Filho, da Secretaria de Segurança Pública de São Paulo, também comentou que o atual projeto de lei traz uma série de normas que proporcionam segurança para empresas e usuários. "O projeto permite que as empresas adotem políticas claras de segurança porque podem ser responsáveis pela atitude dos funcionários", observou o delegado.

A crença é de que a responsabilidade pelo acesso seguro passe a ser de cada usuário. Ou seja, com a nova lei, as empresas investirão em treinamento e evangelização para que cada funcionário tenha consciência de que é responsável pelo seu ato a partir do momento que não utiliza a senha de acesso ao entrar na rede corporativa da empresa. Se a ferramenta está disponível e o usuário não usa, ele poderá ser responsável caso tal ato resulte em uma ação ilícita. Esse é um desafio cultural muito complicado de ser superado, mas que poderá reverter em benefícios para as empresas.

Outra mudança que a lei deve provocar é a profissionalziação de pequenos provedores como as lan-houses, que terão controle maior na hora de cadastrar os usuários. Por outro lado, é bom lembrar que a lei não obriga nenhuma empresa a identificar o culpado por um crime digital, mas apenas a identificar a máquina que passará a ser alvo de investigação da Polícia Federal. É justamente a ausência das informações sobre quem usou a máquina no PL 84/99 que coloca em xeque a necessidade do armazenamento de logs já que ele não identifica o hacker ou a pessoa que cometeu um crime digital.

O encontro também trouxe à tona o quanto as empresas deverão controlar cada vez mais os ambientes de informática porque são responsáveis por qualquer conteúdo que utiliza dos meios disponíveis dentro da empresa. Ou seja, a responsabilidade da empresa é de controlar seu próprio ambiente e caso ela não saiba do ocorrido pode até se defender de um suposto crime digital, mas é bom lembrar que haverá sempre a questão da responsabilidade empresarial.

------------------------------------------

Fonte: Decision Report
[28/11/08] Custo de log divide debate sobre Lei de Crimes Digitais por Ceila Santos

Ninguém é contra punir os crimes virtuais a não ser aqueles que se beneficiam deles. Mas não há punição para um ato que não seja considerado crime pelo sistema judiciário. É por essa razão que há um consenso entre empresas, grande parte da sociedade e governo sobre a importância de regulamentar o uso dos meios de informática no País. Essa constatação deu força aos impactos da proposta de lei do legislativo, durante a segunda edição do Decision Report Meeting, promovido nesta sexta-feira pela Conteúdo Editorial. O tema já tinha sido colocado, durante o debate realizado em setembro, sobre Crimes Digitais.

O custo do armazenamento dos dados de endereçamento eletrônico, tratado entre os executivos de logs, é a principal polêmica. Eduardo Parajo, presidente do conselho diretor executivo da Abranet (Associação Brasileira de Provedores de Internet), conta que o custo anual seria de R$ 14 milhões/ano, em 2007, para os provedores de internet, responsáveis em guardar por três anos tais dados dos usuários. "Participei de uma reunião com segmento das operadoras que estima que o gasto anual seria ainda maior, por volta de R$ 100 milhões/ano", acrescenta.

José Henrique Santos Portugal, assessor parlamentar do senador Eduardo Azeredo, mostra um caminho totalmente inverso a casa dos milhões para quantificar o custo dos logs, cujo cálculo envolve apenas a compra de três DVDs de 4,7 Gigabyte, por volta de R$ 1,00 cada.

Sérgio Ricupero, CSO do Grupo Abril, concorda que os dispositivos realmente podem ser utilizados por pequenas e médias empresas, que não tenham condições de investir em segurança da informação como as grandes organizações. Marlon Borba, da área técnica do Tribunal Regional, considera a sugestão dos três DVDs bastante simplista porque depende de diversos fatores como porte da empresa, volume de dados gerados, além da garantia da integralidade dos dados.

Essas questões farão parte do regulamento específico, que ainda não foi escrito, conforme informa o texto do PL 84/99. O receio, entretanto, é que o princípio estabelecido na atual proposta não contemple o principal objetivo: punir os culpados. Um dos executivos que participou do debate ressaltou que a gravação do endereçamento eletrônico implica apenas na definição do número do IP, que não poderá ser responsabilizado pelo crime já que trata-se apenas de uma máquina.

Portugal ensina que essa é a responsabilidade da empresa, informar exatamente o endereçamento eletrônico da origem, hora, data e referência GMT da conexão efetuada, o identificar o culpado é responsabilidade da polícia. José Mariano de Araújo Filho, delegado de polícia da Secretaria de Segurança Pública de São Paulo, acrescenta que o dever da investigação judicial é a busca pela verdade real.

Regulamentar pra quê?
Motivos não faltam pela busca da regulamentação. O principal deles, segundo Renato Opice Blum, advogado especialista na área, é de que a legislação atual contempla cerca de 70% dos delitos identificados na rede, mas o restante não há como ser penalizado. “As penas são desproporcionais às práticas da web”, reforça Opice Blum. O reflexo disso é retratado no discurso de Carlos Eduardo da Fonseca, consultor que teve uma longa experiência nas principais instituições financeiras do País: “não adianta identificar os culpados porque basta três dias para que eles sejam soltos”. Motivo? “Não existe especificação do crime”.

Diante desse cenário, houve um consenso sobre a necessidade da lei entre os 30 executivos presentes, no debate sobre Crimes Digitais, que foi transmitido online para mais de 1,2 mil internautas e pode ser acessado em breve neste link aqui.

O desafio é conciliar as diferentes expectativas na lei. Enquanto os mais puristas defendem a cautela em esclarecer os mínimos detalhes, outros preferem dar o primeiro passo institucional. “Não vai ter lei perfeita, mas depois vem a jurisprudência”, reforça Fonseca, que defende a aprovação do Projeto de Lei 84/99, de autoria do senador Eduardo Azeredo, que tramita em caráter de urgência no legislativo.

Portugal diz que o primeiro passo já foi dado há cinco anos, quando o PL foi elaborado e a discussão pode acontecer até dia 23 de dezembro, quando se espera que a pauta da reforma tributária seja resolvida para tratar dos crimes virtuais.

Com a concordância dos líderes partidários, tudo indica que a votação do PLC (originado na Câmara dos Deputados sob o número 84, de 1999, e que não mais aceita alterações no texto, somente supressões) ocorra até dezembro próximo, conforme previsto.
Aí então o País terá uma Lei. Fim da história? Longe disso.

Após oito versões, o projeto continua recebendo inúmeras críticas.
Os principais argumentos: determinadas ações corriqueiras não têm relevância para serem enquadradas no Direito Penal e há pontos em que a redação não está clara, deixando brechas na futura lei.
Esses dois fatores fizeram com que setores da sociedade passassem a debater e a propor mudanças no projeto de lei, que conta com 22 artigos.
Desses, pelo menos cinco provocam insegurança em usuários, provedores de acesso e especialistas em Direito e tecnologia.

Decision Report apurou que não há um posicionamento totalmente contrário à lei. “Iniciativa louvável” uma das expressões mais usadas pêlos entrevistados, porém, com ressalvas.
Há reivindicações de mais discussões para a elaboração de leis que complementem o texto em tramitação.
A proposta é avançar em relação ao texto atual, suprimindo os pontos em desacordo - com base em estudos e argumentações - e, após a lei entrar em vigor, continuar o debate.

PINGO NOS IS.
A partir daí a sociedade deve elaborar e propor novas leis. “Como a criminalidade online já atingiu patamares dramáticos, atrasar a aprovação do projeto de lei em detrimento de itens remanescentes que podem ser supridos pêlos tribunais não é a melhor opção”, acredita Gilberto Martins de Almeida, sócio de Martins de Almeida Advogados e professor de Direito da Informática.

O receio é que haja uma criminalização em massa. “A intenção é combater os hackers, só que a redação enquadra outras ações cotidianas”, afirma Luiz Fernando Moncau, professor do Centro de Tecnologia e Sociedade da Escola de Direito da Fundação Getúlio Vargas do Rio de Janeiro.
Entretanto, o artigo que trata de pedofilia é consenso.

Por outro lado, os defensores do texto atual argumentam que as reações negativas podem ter sido geradas por interpretações equivocadas do projeto aprovado pelo Senado.
A intenção do PLC é preencher lacunas ao garantir que dados sejam protegidos criminalmente (evitando absolvições baseadas na tese de que o Código Penal não pune ilícitos virtuais); atribuir aos provedores de acesso comerciais ou públicos o dever de guarda de informações, evitando-se que as investigações sejam frustradas pela falta de preservação de dados e formalizar a cooperação policial do Brasil com outros países, encerrando a fase de colaboração informal, de legalidade duvidosa.
Para o senador e relator do Projeto de Lei de crimes digitais 89/03, Eduardo Azeredo (PSDB-MG), todos os pontos críticos já estão esclarecidos e somente os usuários mal-intencionados devem temer a lei e suas penalidades. “Baixar arquivos e desbloquear celulares não serão motivo para punição do usuário, porque estas práticas não estão previstas no projeto de lei”, defende Azeredo.

CRIMINAL X CIVIL.
“Um ponto que foi retirado, mas exige reflexão, tamanha sua importância, é o da identidade digital obrigatória já que, inclusive no Brasil, a Constituição Federal de 1988 proíbe o anonimato em seu artigo 5°, inciso IV”, aponta Patrícia Peck, advogada especializada em Direito Digital e sócia do escritório Patrícia Peck Pinheiro Advogadas.
A maior discordância diz respeito ao tratamento de todas as condutas na esfera criminal, e não na civil. “Na lógica da regulamentação, segue-se primeiro o marco civil.
O criminal entra como última medida”, argumenta Moncau, da faculdade de Direito da FGV. Vale reforçar que condutas do cotidiano são irrelevantes para o Direito; algumas são reguladas pelo Direito Civil e outras, extremamente relevantes como atentados à vida, à honra, à integridade, são tratadas pelo Criminal. “Para roubo de senha, de valores, invasão a uma instituição financeira, por exemplo,cabem punições criminais mais severas”, diz.

Já o item 285 A (acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso) apresenta uma redação muito ampla. De acordo com o texto, um CD ou DVD encaixam-se na definição de “dispositivo” e, ao serem desbloqueados, podem caracterizar uma violação.
Esses são exemplos extremos para ajudar a entender, mas podem ocorrer casos mais sutis. As penas são elevadas e desproporcionais, afastando qualquer tipo de pena alternativa, como serviços comunitários.

O 285 B (obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegido por expressa restrição de acesso,dado ou informação neles disponível) é ainda mais problemático por abrir uma lacuna maior e não definir “expressa restrição de acesso. “O âmbito pode ser autoral, tecnológico ou contratual”, detalha o professor da FGV- RJ. Os itens 285 A e B têm pena de reclusão de um a três anos e multa.
Já o artigo 163 trata dos vírus: Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores ou sistema informatizado tem pena de reclusão, de um a três anos, e multa. Para quem envia vírus seguido de dano pode ter prisão de dois a quatro anos e multa.

Enviar e-mail com vírus, de forma intencional, é crime. Como provar a intenção quando se analisam máquinas?
É difícil legislar nesta matéria, pois há muitos aspectos técnicos que precisam ser considerados. Por este motivo, a tentativa de padronização de alguns termos do projeto é deficiente.
Para Ademir Milton Piccoli, vice-presidente da Procergs o custo de um sistema antivírus exclui as classes C e D. “É um fator de inibição de uso e as iniciativas para a inclusão digital serão prejudicadas”, avalia.

MÁQUINAS TESTEMUNHAS.
Para Eduardo Parajo, presidente da Associação Brasileira dos Provedores de Acesso, Serviços e Informações da Rede Internet (Abranet), a preocupação se fixa, principalmente, no inciso III do artigo 22: “o responsável pelo provimento de acesso à rede de computadores mundial, comercial ou do setor público é obrigado a informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade”.
Com isso, segundo ele, os provedores passam a ter uma responsabilidade que não lhes compete, correm o risco de se tornarem uma central de denúncias e ficam sujeitos à multa de R$ 2 mil a R$ 100 mil.
Há temor quanto à privacidade das pessoas. “Seria preciso fazer uma avaliação prévia de toda e qualquer acusação para informar aos órgãos competentes”, ressalta Parajo.
Quem reforça o coro é Piccoli: “Essa exigência faria mais sentido para provedores de conteúdo”.

Na redação atual toda e qualquer rede precisa guardar os logs de acesso, A legislação brasileira estabelece a guarda por três anos dos dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada, sendo que na Convenção de Budapeste esse período é de 90 dias, e somente para provedores. “Todo mundo tem de cumprir a Lei, mas não se pode dar remédio de elefante para formiga”, compara Parajo.
No âmbito corporativo haverá impactos, tendo em vista que todas as empresas terão de manter e custear uma infra-estrutura para identificar usuários, guardar provas eletrônicas, orientar os colaboradores sobre as ações consideradas crime.

QUANTO MAIS, MELHOR.
Depois de 13 anos de trajetória o projeto de lei que trata de crimes digitais teve tempo suficiente para que todos os setores interessados pudessem se manifestar, inclusive por meio de audiências públicas.
Pelo menos em tese. “Acho que houve oportunidade para o debate, mas a sociedade começou a se mobilizar tardiamente”, avalia o presidente da Abranet, envolvida com o tema desde 2005, ano em que a entidade assinou acordo com o Ministério Público Federal para o combate à pedofilia e ao racismo. “Nos comprometemos a colaborar.

Mas no caso desses crimes é fácil identificar, tirar do ar e encaminhar a denúncia”, detalha Parajo, para quem essa ação surtiu excelentes resultados.
Não se pode negar que houve um processo democrático e que vários aperfeiçoamentos importantes foram introduzidos em função das críticas ao projeto.
Uma lei dessa natureza e importância merece uma discussão mais ampla e sem pressa.
“Houve oportunidade para a discussão, mas não foi suficiente. Quanto mais reflexão, melhor”, pondera Piccoli.
Não existe uma lei que seja 100% completa, mas deve-se evitar ao máximo que dê margem a interpretações ou gere dúvidas. Com debate, reflexões e complementações constantes, será possível ao Brasil construir uma legislação de consenso.

Ainda que com parcimônia, a maioria dos especialistas conclui que o País avançou nessa questão. “É preciso estabelecer um momento de corte, mesmo que o ideal pudesse ser sempre aperfeiçoar mais e mais o projeto de lei, abranger mais itens ou regular mais situações. O ideal, porém, pode ser inimigo do ótimo”, diz Almeida. Todas as questões apontadas não são fáceis de resolver e as soluções têm de sair do consenso da sociedade. Portanto, é preciso continuar o debate. A tão citada e recorrida Convenção de Budapeste foi formulada em 1996, revista em 2001 e hoje está sendo rediscutida.

O Exemplo de fora
A Convenção de Budapeste é uma diretriz internacional para o combate aos crimes cibernéticos e prevê alguns parâmetros para que os países criem legislação própria. Nesse sentido, cada país tem liberdade para elaborar seu ordenamento, guiando-se pela Convenção.

O Brasil, ao ter uma legislação específica sobre crimes informáticos e tornar-se signatário desta Convenção, passa a colaborar nas investigações internacionais contra o cibercrime.
Há países que criaram regulamentações civis antes de elaborarem uma norma penal envolvendo o ambiente eletrônico, como o Chile, a Argentina, a Colômbia, Venezuela, Austrália, Holanda, EUA, a Rússia e a Comunidade Européia.
O caminho do Brasil também deverá ser o de formular uma lei civil que regule melhor o aspecto da privacidade, do limite de uso dos dados e da guarda das provas eletrônicas em situações que não envolvam crimes. “Outras normas penais também serão criadas. Estamos só no começo”, afirma a advogada. Para ela, não há como viver em um nível de liberdade absoluta, quando não existe educação, bom senso e respeito ao próximo.

O PL é uma iniciativa legislativa que visa a suprir algumas lacunas legais existentes, tipificando crimes informáticos que até então o Judiciário tinha dificuldade em enquadrá-los.
Há observações de que o projeto de lei, não irá violar a privacidade do usuário, tendo em vista que em ponto algum da redação atual há interferência nessa questão. “No momento que determina, inclusive, ordem judicial para apresentação de informações, atende ao que já está previsto na Constituição Federal”, lembra Patrícia.
Em última análise, o internauta que fizer o uso ético, seguro e legal das ferramentas tecnológicas não terá com o que se preocupar. Sem conscientização há aumento tanto das práticas criminosas como também do número de vítimas, seja por inocência ou negligência.
Mais do que fazer leis, talvez seja preciso educar.
Por que não implementar a disciplina de Cidadania e Ética Digital nas escolas?