Reflexões sobre Cibersegurança

No dia 25 de abril último participei do painel “Os crimes cibernéticos no Ordenamento Jurídico Mundial e a necessidade de uma legislação específica”, no evento organizado pelas Forças Armadas Brasileiras – Brazil Cyber Defense Summit & Expo, dividi a mesa, que foi dirigida pela Miriam Wimmer do Ministério da Ciência, Tecnologia, Inovação e Comunicações, com Sergio Fava – delegado da polícia federal, Patricia Peck – advogada especialista em direito digital, Coronel Sabbat - O diretor do Departamento de Segurança da Informação e Comunicação da Presidência da República e Saul Tourinho – especialista em direito constitucional.

Segue aqui o link de matéria sobre o debate na Isto é on line:

Apesar do nome do painel, minha fala foi no sentido de que não é necessária uma legislação específica de cibersegurança e que a ideia de crime cibernético pode não ser a melhor saída para tratar de ilícitos ocorridos na Internet.

Encontrei no Relatório Especial para Liberdade de Expressão da Comissão Interamericana de Direitos Humanos da OEA, publicado em 2013, diretrizes que considero relevantes para enfrentar os crimes cometidos na Internet, sem por em risco direitos fundamentais, ou a afirmação de que, quanto mais mecanismos de defesa da privacidade, mais segurança teremos. Conversei também com meu amigo Diogo Canabarro, que é cientista politico e especialista em segurança internacional.

E tive uma grata e divertida surpresa ao me deparar com a fala do Demi Getschko que palestrou como Key Note sobre a Internet, cibercrimes e cibersegurança no painel depois do meu. Maior especialista em metáforas que já conheci, Demi soltou mais uma sobre os chamados cibercrimes: é inapropriado falar em cibercrime; crime é crime, assassinato é assassinato .... independente de como ele ocorra. “Supondo que alguém mate outro alguém afogado, vamos falar que se trata de um crime hidráulico”?

Concordo em gênero, número e grau, especialmente porque sou contra esse impulso de uma neo-inquisição e pelas razões resumidas e transcritas abaixo, que apresentei no evento.

Os crimes cibernéticos no Ordenamento Jurídico Mundial e a necessidade de uma legislação específica

O conceito de cibersegurança

  1. Quero iniciar destacando referências do Relatório Especial para Liberdade de Expressão da Comissão Interamericana de Direitos Humanos da OEA, publicado em 2013, quando trata de cibersegurança, especialmente quando reforça o entendimento de que “o direito à liberdade de expressão é favorecido quando os Estados protegem a privacidade das comunicações digitais, bem como a confidencialidade, a integridade a disponibilidade dos dados e sistemas de informática”.

  2. O relatório informa também que o conceito de cibersegurança costuma ser usado de forma ampla contemplando desde a segurança da infraestrutura nacional e das redes sobre as quais os serviços de internet são prestados, até a segurança ou integridade dos usuários.

  3. Entretanto, as circunstâncias sobre esta abordagem vêm indicando a necessidade de se limitar o conceito de cibersegurança à proteção dos sistemas e dados de informática, devendo ser aplicado com base nos princípios da estrita legalidade, da proporcionalidade e transparência, de acordo com parâmetros internacionais, de modo a evitar a criminalização do uso da Internet, ou a militarização, garantindo-se a preservação de direitos fundamentais como a liberdade de expressão e privacidade e evitando-se o vigilantismo arbitrário e, ainda, evitando-se inibir a inovação.

Precisamos de uma Lei de Proteção de Dados Pessoais

  1. Vale notar ainda o resultado do estudo realizado em 2017 – Mapa da Fraude, pela Clearsale (empresa especializada em segurança digital) revelando que de 2016 a 2017 as fraudes na Internet cresceram 14% e que o tipo mais comum de fraude é feita pelo roubo de dados, o que indica a necessidade urgente de aprovarmos uma Lei de Proteção de Dados Pessoais, como se posicionou no último dia 9 de março o CGI.br.

  2. Nessa direção, defendemos que a lei de proteção de dados pessoais traga disposições alinhadas com o conceito de privacy by design, a fim de que produtos e sistemas operacionais evitem vulnerabilidades significativas como por exemplo as backdoors. Essa preocupação se justifica ainda mais no cenário de desenvolvimento crescente da Internet das Coisas. É fundamental também que o setor público esteja contemplado por esta lei, pois é o agente que mais coleta dados e dados sensíveis, e ainda, que tenhamos uma autoridade com poderes regulatórios e fiscalizatório para dar concretude aos direitos que ela vier a estabelecer. ão de Dados Pessoais

Segurança Pública e a Constituição Federal

  1. Aspecto importante ao se tratar de segurança pública, é entender os limites expressos na (art. 144 e seguintes) Constituição Federal, no sentido de que esta atividade deve ser exercida pelas polícias federais, polícia civil e militar, sem prejuízo da integração cabível e dentro dos limites legais entre as Forças Armadas e as polícias.

Precisamos mesmo de leis específicas para enfrentar os chamados crimes cibernéticos?

  1. Outro aspecto a ser destacado, e que também está alinhado com o Relatório da OEA sobre liberdade de expressão na Internet, é o reconhecimento de que os delitos já estão tipificados nas legislações penais dos países. Ou seja, é desnecessário criar-se legislação específica para ilícitos online.

  2. O que é necessário é uma atuação do Estado baseada em princípios e na adaptação dos direitos fundamentais dos cidadãos para que as atividades tradicionais de investigação criminal, do processo penal e da segurança nacional se desenvolvam com o objetivo de proteção dos valores que preservem direitos individuais e coletivos, reforçando os direitos conquistados com o Marco Civil da Internet, na direção de estruturar e privilegiar os mecanismos e as instituições para fortalecimento da democracia.

  3. Destaco, inclusive, que já há adaptações em leis que tratam da atividade delitiva, contemplando o uso das novas tecnologias. É o caso por exemplo da alteração da Lei Maria da Penha, da alteração em 2012 do Código Penal, que foi alterado pela Lei 12.737, que dispõe sobre a tipificação criminal de delitos informáticos – a famosa lei Carolina Dickman, ou diversas outras alterações inseridas no Estatuto da Criança e do Adolescente desde 2009.

  4. Mais importante do que desenvolver-se uma legislação específica para delitos cometidos na Internet é a realização de investimentos robustos e adequados à dinâmica de crescimento do uso da Internet e dos delitos cometidos neste ambiente, para a implementação e desenvolvimento de ferramentas tecnológicas específicas, com vistas a reforçar a capacitação e o aparelhamento do Ministério Público e da polícia para enfrentamento dos crimes cibernéticos.

Colaboração entre países para superar as dificuldades resultante do caráter transfronteiriço da Internet

  1. É igualmente fundamental o envolvimento dos países no esforço conjunto de desenvolver fóruns e mecanismos internacionais que reconheçam o caráter transfronteiriço da Internet e que operem no sentido de superar as limitações de jurisdição para o desenvolvimento da atividade investigativa, da aplicação das leis e da penalização dos criminosos.

  2. Os desafios relativos à jurisdição e soberania nos demandam cada vez mais. Por exemplo, no dia 23.03.2018, o presidente dos EUA sancionou a lei Clarifying Lawful Overseas Use of Data (CLOUD), que propõe modificações nas regras de acesso transfronteiriço de dados – prevendo alterações nas leis Stored Communications Act (SCA) e Electronic Communications Privacy Act (ECPA) de 1986.

  3. Resumidamente, pela nova lei, as empresas que atuam nos EUA serão obrigadas a entregar dados para as autoridades estadunidenses quando “em posse, custódia ou controle” desses dados, independente do local em que tais dados estão armazenados.

  4. A aprovação desta lei pelos EUA já nos põe na posição de repensar qual o alcance da Convenção de Budapeste e do MLAT, a nível internacional, bem como nos reposicionarmos quanto a temas que ocupam hoje o STF em ações de constitucionalidade, como a ADPF 403, a ADC 51, de modo que passemos a afirmar as regras de jurisdição já existentes no art. 11, do Marco Civil da Internet.

  5. Vale mencionar, nesse sentido, o Projeto Internet & Jurisdiction, existente desde 2012, contando com o apoio e participação do CGI.br, que tem envolvido cada vez mais países com a representação de agentes diplomáticos e de segurança pública.

Multissetorialismo para endereçar caminhos e soluções multidisciplinares e colaborativos

  1. Por fim, defendemos que estas questões sejam discutidas e definidas como resultado de um processo multissetorial. E nesse sentido devemos reconhecer o CGI.br como um espaço que pode congregar as mais diversas posições a respeito da cibersegurança, o que viabiliza a abertura do espectro de questões a serem endereçadas de acordo com diretrizes técnicas e estratégicas a serem definidas pelo CGI.br, no exercício das atribuições que recebeu do Marco Civil da Internet e de seu Decreto regulamentador, especialmente no que diz respeito à segurança.