A evolução tecnológica transformou a maneira do ser humano de armazenar e compartilhar dados e informações, ampliando de forma exponencial o volume de dados disponibilizados na rede.
De acordo com a pesquisa realizada pelo We are Social e Hootsuite[1], são criados mais de 2,5 bilhões de gigabytes (GB) de dados por dia, o que demonstra o potencial de exposição e violação dos direitos e liberdades individuais através do vazamento de dados pessoais.
Essa violação de dados se trata de um incidente de segurança no qual dados sensíveis, que deveriam ser protegidos, são copiados, transmitidos, visualizados, furtados ou usados por indivíduo não autorizado para tal.
Dessa forma, fez-se necessário estabelecer regulamentação para mitigar os perigos dessa violação da privacidade, eis que surge a Lei Geral de Proteção de Dados (LGPD)[2], regulamentando todas as atividades que envolvem a utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica.
Com o intuito de proteger os direitos fundamentais de liberdade e privacidade, a LGPD dispõe sobre a possibilidade de responsabilização dos agentes que violarem qualquer norma prevista em lei, estando sujeitos a sanções administrativas aplicáveis pela autoridade nacional.
Desse modo, aqueles que forem condenados administrativamente poderão receber qualquer das sanções elencadas no artigo 52 da LGPD[3], podendo se dar desde uma advertência até a suspensão parcial do funcionamento do banco de dados.
Outrossim, os incisos V a VIII do artigo 5º da referida Lei[4] identificam os quatro possíveis sujeitos diretamente vinculados aos dados pessoais, sendo eles: a) o titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento; b) o controlador: aquele que compete as decisões relativas ao tratamento de dados; c) o operador: aquele que realiza o tratamento de dados em nome do controlador e d) o encarregado: pessoa indicada pelo controlador que atua como canal de comunicação entre o titular, o controlador e a autoridade nacional de proteção de dados.
Porém, considerando que a LGPD prevê apenas as sanções administrativas, precisaremos nos amparar no Código Penal para imputar os respectivos crimes às condutas delituosas praticadas no âmbito do acesso, tratamento e manipulação indevida de dados pessoais.
Dependendo da conduta do agente que utilizou os dados de forma inadequada, poderá ser imputado à ele desde crimes patrimoniais até crimes contra a honra.
Imaginemos que um funcionário de uma empresa, aproveitando do descuido de seu superior hierárquico, extrai informações de um computador de trabalho para si. Nesse caso, sua conduta poderia se enquadrar no crime de furto, previsto no artigo 155 do Código Penal[5], em que o agente subtrai para si, coisa alheia móvel.
No entanto, existe uma discussão na doutrina se de fato os dados pessoais podem ser considerados de valor econômico para caracterizarem bens móveis, o que dificulta a imputação dos sujeitos nos respectivos crimes praticados.
Assim, não obstante a possibilidade de aplicação do Código Penal nos casos que envolvam infrações previstas na LGPD, o fato de a Lei não ter trazido em seu texto previsões de tipificação de crimes, pode gerar impunidade ao agente infrator e possível insegurança jurídica no Ordenamento.
Isto porque, o Código foi promulgado em 1940, época em que o mundo virtual não era uma realidade e, portanto, não previu disposições neste sentido, o que poderia gerar alegação de atipicidade de crime e consequente impunidade.
Tendo em vista esse cenário, foi promulgada a Lei nº 14.155/21[6], trazendo algumas alterações para o Código Penal e para o Código de Processo Penal.
Dentre essas mudanças, destaca-se a alteração feita no tipo penal do artigo 154-A do Código Penal[7], que dispõe sobre a possibilidade de responsabilização penal dos sujeitos que invadirem dispositivo informático de uso alheio com a finalidade de obter, alterar ou destruir dados ou informações, ou ainda àqueles que instalarem vulnerabilidades a fim de obter vantagem ilícita.
A referida previsão tipifica o crime conhecido como Phishing, que vem do verbo inglês “fish” e significa “pescar”, em que o agente engana as pessoas para que compartilhem suas informações pessoais.
Um dos exemplos mais comuns da prática desse crime é através do envio de e-mails que imitam determinada organização de confiança para que as vítimas acessem e tenham seus dados furtados.
Desse modo, com a nova alteração, esses agentes estarão sujeitos às penas previstas no artigo 154-A do Código Penal.
Outrossim, a Lei nº 14.155/21 incluiu nova modalidade qualificada do crime de furto: o furto qualificado mediante fraude por meio eletrônico, previsto no artigo 155, § 4º-B, do Código Penal[8].
O referido dispositivo legal prevê a pena de 4 (quatro) a 8 (oito) anos, e multa, aos sujeitos que praticarem furto mediante fraude eletrônica, não sendo necessário que haja a violação de senha ou conexão à internet.
Não obstante esses importantes avanços de adequação da legislação para essa nova realidade virtual, ainda se faz necessário prever outras tipificações legais para abranger outros crimes cometidos no âmbito virtual.
Referências:
Lei nº 13.709, de 14 de agosto de 2018. Disponível em: < L13709 (planalto.gov.br) >. Acesso em 16 de jun. de 2021.
Decreto-lei nº 2.848 de 07 de dezembro de 1940. Disponível em: < DEL2848compilado (planalto.gov.br) >. Acesso em 16 de jun. de 2021.
KEMP, Simon. Digital in 2018: World´s internet users pass the 4 billion mark. We are social, 2018. Disponível em: < Digital in 2018: World’s internet users pass the 4 billion mark – We Are Social >. Acesso em: 16 de jun. de 2021.
SANDRIN, Pedro Junqueira Pimenta Barbosa e SILVA, Julia Xavier Rosa. Possíveis reflexos penais da Lei Geral de Proteção de Dados. Migalhas, 2020. Disponível em: < Possíveis reflexos penais da Lei Geral de Proteção de Dados – Migalhas >. Acesso em: 16 de jun. de 2021.
VALENTINI, Rafael e HADDAD, Laura. A lei geral de proteção de dados e os seus possíveis reflexos penais. Migalhas, 2019. Disponível em: < A lei geral de proteção de dados e os seus possíveis reflexos penais – Migalhas >. Acesso em: 16 de jun. de 2021.
PORTO, Viviane de Araújo, ARANTES, Patrícia e BEZERRA, Dyego. Os reflexos criminais da Lei Geral de Proteção de Dados. Tribunal de Contas, 2020. Disponível em: < Artigo: Os reflexos criminais da Lei Geral de Proteção de Dados – Tribunal de Contas dos Municípios do Estado de Goiás (tcmgo.tc.br) >. Acesso em: 16 de jun. de 2021.
CARVALHO, Rodrigo César Picon. O crime de subtração de dados pessoais. Canal Ciências Criminais, 2020. Acesso em: < O crime de subtração de dados pessoais | Canal Ciências Criminais (canalcienciascriminais.com.br) >. Acesso em: 16 de jun. de 2021.
PROCOPIO, Michael. Lei 14.155/2021: a fraude eletrônica e outras alterações no Código Penal, 2021. Acesso em:< Lei 14.155/2021: a fraude eletrônica e outras alterações no Código Penal (estrategiaconcursos.com.br) >. Acesso em: 21 de jun. de 2021.
[1] KEMP, Simon. Digital in 2018: World´s internet users pass the 4 billion mark. We are social, 2018. Disponível em: <Digital in 2018: World’s internet users pass the 4 billion mark – We Are Social>. Acesso em: 16 de jun. de 2021.
[2] Lei nº 13.709, de 14 de agosto de 2018. Disponível em: < L13709 (planalto.gov.br)>. Acesso em 16 de jun. de 2021.
[3] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
[…]
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
[4] Art. 5º Para os fins desta Lei, considera-se:
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
[5] Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:
Pena – reclusão, de um a quatro anos, e multa.
[6] Lei nº 14.155, de 27 de maio de 2021. Disponível em: < L14155 (planalto.gov.br) >. Acesso em 21 de jun. de 2021.
[7] Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico.
3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.
4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
[8] Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:
Pena – reclusão, de um a quatro anos, e multa.
4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.
Amanda Quiroga Ciamaroni