Obs: Esta mensagem repercute esta matéria:
Crimes Digitais (40) - "Historinha" para entender o Art. 22 do PL sobre "provedores de acesso"

----- Original Message -----
From: José de Ribamar Smolka Ramos
To: wirelessbr@yahoogrupos.com.br
Sent: Monday, December 15, 2008 5:32 PM
Subject: [wireless.br] Re: Crimes Digitais (40) - "Historinha" para entender o Art. 22 do PL sobre "provedores de acesso".

Oi Hélio,
Vou destacar somente uma pequena parte da sua "historinha"...

Como "webmaster" ou nome equivalente, monitoro no "servidor de acesso", por alguns dias, a atividade do denunciado. Pelo meu conhecimento da lei, comprovo que há indícios de atividade ilegal e encaminho a denúncia sem identificar a origem.

Vou descartar, a princípio, a pergunta incômoda de como um ISP vai descobrir que uma determinada denúncia contém (ou não) indícios suficientes de que atividade ilícita está sendo efetuada através da sua infra-estrutura de serviços, e que ele deva (ou não) tomar alguma ação adicional a partir daí.

Supondo que o ISP vai investigar a denúncia para decidir se deve ou não comunicar algo às autoridades, como exatamente ele vai fazer esta monitoração sem invadir totalmente a privacidade do tráfego do assinante denunciado?

Referências cruzadas simples dos endereços IP visitados com o DNS serão de pouca ajuda. Afinal de contas, os sites com conteúdo ilícito ou não se anunciam como tal, ou não se anunciam de forma alguma (sempre dá pra navegar diretamente pelo endereço IP). Listas de endereços IP de sites suspeitos podem ser compilados para formar uma lista negra, mas quem será responsável pelo trabalho de compilação, análise, validação e distribuição destes dados? E quem fizer algo assim pode ou não ser processado por difamação caso um site lícito seja divulgado erradamente na lista negra?

Então o jeito é olhar mais fundo no conteúdo dos pacotes. Para os grandes ISPs não há nenhum problema para fazer isto, afinal a (cara) tecnologia de DPI (deep packet inspection) está aí pra isso mesmo. E os pequenos ISPs?

Mas, supondo que o lado técnico seja facilmente superado, fazer isto é ou não uma invasão da privacidade individual? Ler os e-mails recebidos e enviados, acompanhar a navegação, rastrear os downloads efetuados... Se o uso da Internet é equiparável a enviar/receber cartas e telegramas, então aplica-se a ela o sigilo das comunicações prvisto em Lei? Ou alguém vai querer "sair pela tangente" dizendo que as aplicações na internet não são serviços de telecomunicações, mas serviços de valor agregado (SVAs)?

E, mesmo para os grandes ISPs o problema não é fácil. Me lembro de um caso noticiado há vários anos atrás, quando estava no início a moda das grandes empresas monitorarem o tráfego de e-mail corporativo. A grande preocupação (como sempre) era a disseminação de material pornográfico. Então algum programador criativo inventou um algoritmo capaz de, analisando diretamente o conteúdo binário de arquivos de imagem (bitmaps, GIFs, JPEGs, etc.), determinar qual proporção da imagem estava preenchida com bits representando pele humana exposta. Daí era só estabelecer um critério (digamos, 20% no máximo) para definir se uma imagem era potencialmente pornográfica ou não, e chamar o remetente para se explicar.

Parecia tudo bem, até que, num dos primeiros dias de funcionamento deste novo esquema, um funcionário foi detido (com todo o aparato que estas coisas costumam ter) por, supostamente, distribuir material pornográfico. Feita a investigação preliminar, tiveram que liberar o sujeito e apresentar profusas e profundas desculpas (e rezar para que ele não os processasse por assédio moral), porque as fotos que ele mandou para os seus familiares apenas retratavam a sua filhinha recém-nascida tomando o primeiro banho, dado pela mãe, ainda na maternidade.

Cautela e caldo de galinha nunca fizeram mal a ninguém. Ainda estamos longe de saber todas as complicações práticas que a aplicação deste PL traria (se aprovado na forma em que está).

[ ]'s
J. R. Smolka