----- Original Message -----
From: Helio Rosa
To: Celld-group@yahoogrupos.com.br ; wirelessbr@yahoogrupos.com.br
Sent: Sunday, December 28, 2008 11:01 PM
Subject: "PL Magno Malta" sobre "obrigações dos provedores" : Comentários de José Smolka sobre a "Justificação" do Projeto"

Olá, ComUnidade WirelessBRASIL!

01.
Há um mês estamos estudando o texto do "Projeto de lei sobre crimes cibernéticos" conhecido como "Substitutivo do senador Azeredo" (vide BLOCO).

02.
A "CPI da Pedofilia" patrocinou um "Termo de Mútua Cooperação" entre vários órgãos governamentais, empresas e entidades da sociedade civil.
Já transcrevemos este Termo e o nosso José Smoka comentou todo o texto.

03.
O presidente da CPI da Pedofilia, senador Magno Malta, elaborou também um novo PLS - Projeto de Lei do Senado sobre obrigações do provedores e que "disciplina a forma, os prazos e os meios de preservação e transferência de dados informáticos mantidos por fornecedores de serviço a autoridades públicas, para fins de investigação de crimes praticados contra crianças e adolescentes, e dá outras providências"
Já transcrevemos o texto deste PLS que contém uma "Justificação".

Nesta mensagem, o engenheiro José Smolka, em mais um trabalho minucioso, tece comentários sobre esta "Justificação" (transcrição mais abaixo, seguida do texto do PLS, não comentado)
Obrigado, Smolka, por mais esta preciosa colaboração!

Ufa? :-)
Ainda não...tem mais...  :-)

04.
Numa próxima mensagem vamos transcrever um novo PLC - Projeto de Lei da Câmara, do deputado Nelson Goetten que cria um Estatuto da Internet no Brasil e "aborda a questão de segurança da informação digital de forma ampla e sintonizada com os mais avançados dispositivos legais em vigência no mundo".
Agradecemos novamente ao José Henrique Portugal a gentileza da remessa de mais este texto de Projeto para nosso estudo.

Smolka, vá aquecendo os filamentos... (sorry pela recaída jurássica, fui radioamador na era da "válvula lascada")   :-))

Brincadeiras à parte, diante de tantos projetos, repito este "sentimento":
Salvo melhor juízo, pela importância e pela repercussão, urge a criação, no Congresso, de uma "entidade interna" que coordene todos estes esforços legislativos sobre crimes digitais e o uso da internet, se possível, com a participação da sociedade civil.

Lembramos que nossas mensagens, além de publicadas no BLOCO, estão sendo remetidas à diversos jornalistas e parlamentares.
Assim, é preciso manter o debate em bom nível de cordialidade e cavalheirismo, com respeito às opiniões, visando sempre o estudo técnico, independente de pessoas e partidos políticos.

Recebemos - e agradecemos - um retorno do advogado Renato Opice Blum colocando-se à disposição da ComUnidade.
Na ComUnidade cultivamos a cordialidade e a informalidade...  :-)
Renato, somos mais de 4400, na maioria técnicos em TI e Telecom, preocupados com todos os dispositivos legais que possam influir em nossas atividades.
Assim, é possível que ainda nem saibamos fazer as perguntas necessárias ao melhor entendimento.  :-)
Por favor, se tiver qualquer observação ou orientação proativa, ficaremos muitos agradecidos! 

O mesmo é válido para todos participantes e leitores externos, especialistas em leis, que queiram participar e colaborar.
Obrigado!!!

Ao debate!  :-)

Boa leitura!
Ótimo 2009!
Um abraço cordial
Helio Rosa
 

"PLS Magno Malta"

PLS - Projeto de Lei do Senado sobre obrigações do provedores e que "disciplina a forma, os prazos e os meios de preservação e transferência de dados informáticos mantidos por fornecedores de serviço a autoridades públicas, para fins de investigação de crimes praticados contra crianças e adolescentes, e dá outras providências"

em vermelho, os comentários de José Smolka, intercalados ao texto original da JUstificação

JUSTIFICAÇÃO

Os trabalhos da Comissão Parlamentar de Inquérito (CPI) – Pedofilia, do Senado Federal, têm revelado à sociedade a extensão e a natureza dos crimes sexuais cometidos contra crianças e adolescentes. Em especial, evidencia-se o crescente uso de serviços de Internet para disseminação de conteúdo de pornografia infantil. Nesse contexto, o trabalho das autoridades de combate ao crime passa a depender cada vez mais dos dados relativos às comunicações eletrônicas realizadas por esses criminosos. 

É verdade, mas não somente esta espécie de criminosos.

Por essa razão, torna-se necessária a atuação deste Parlamento para assegurar o acesso a essas informações de forma rápida e segura, a fim de permitir o adequado desenvolvimento das atividades de investigação criminal. Não obstante, é necessário ter em mente que tais questões devem ser tratadas com as devidas cautelas, a fim de que não haja desrespeito aos valores constitucionalmente protegidos da intimidade, da vida privada e do sigilo das comunicações. Tais valores, entretanto, devem ser sopesados com a prioridade absoluta que a Lei Maior concede à proteção de crianças e adolescentes, ao declarar, em seu art. 227, ser dever da família, da sociedade e do Estado garantir-lhes o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de protegê-los de toda e qualquer forma de negligência, discriminação, exploração, violência, crueldade e opressão. 

Lindo... Mas não concordo com o ilustre Senador que o direito à privacidade, especialmente o direito a que esta privacidade não seja objeto de invasão por parte do Estado, seja relativizável em função da necessidade de cumprir com os deveres para as crianças e adolescentes. 

Este é um caso, em minha opinião, onde uma situação altamente emocional (afinal, quem é a favor da pedofilia ou da pornografia infantil?) está sendo explorada para criar meios de contornar o direito à privacidade.

Sob a inspiração desses valores, a CPI – Pedofilia conclamou as autoridades de combate ao crime e representantes dos setores de telecomunicações e de serviços de Internet a estabelecerem um marco normativo que busca disciplinar a guarda e a transferência de dados de comunicações telemáticas para fins de investigação criminal ou instrução processual penal. Após exaustivas reuniões, em que foram consideradas tanto as necessidades das autoridades como as possibilidades e limites dos prestadores de serviço, foi possível chegar ao presente texto, que resulta de um amplo e satisfatório acordo. 

Amplo, certamente. Mas... satisfatório para quem, cara pálida?

Consoante a natureza das atividades desenvolvidas pela CPI, a proposição tem alcance limitado aos crimes cometidos contra crianças e adolescentes, o que não impossibilita sua eventual extensão a outras hipóteses, mediante inovação legislativa posterior. Em outra vertente, o projeto busca ser abrangente quanto à aplicação da lei brasileira em casos que envolvam fornecimento de serviços por empresas estrangeiras. Nesse mister, explicita que se sujeita à legislação e à jurisdição nacionais não apenas o fornecimento de serviços derivado de conexão originada no território brasileiro, mas também o prestado por fornecedor que, mesmo sediado em outro país, tenha filial ou representação no Brasil. Tais esclarecimentos se mostram relevantes na proposição, tendo em vista que as comunicações por meio da Internet soem envolver, em um ou vários de seus elementos, fornecedores de serviços estrangeiros. 

Não acho correto dividir os temas e ficar com projetos de lei potencialmente inconsistentes tramitando ao mesmo tempo na Câmara e no Senado. E não acredito que deva haver esta separação de projetos de lei: um para pedofilia e outro para o resto. Creio que o correto é reconhecer que existem diversos tipos de ilícito penal que, para a devida instrução do inquérito policial, necessitam que as autoridades tenham acesso ao histórico de navegação do suspeito na Internet. Quem ele é (dados cadastrais), onde e quando ele esteve conectado (dados de conexão), que sites e que serviços ele utilizou (dados de navegação) e qual o conteúdo físico do tráfego gerado por ele, upstream e downstream (dados de tráfego). 

O melhor é uma lei única disciplinando todos os casos que envolvam a liberação destes dados – e, de quebra, também a forma como os provedores de acesso e/ou conteúdo possam utilizá-los para seus objetivos de negócio. Acredito que a liberação de qualquer um destes dados deve estar sujeita à avaliação prévia de um juiz. Transigir com isto é, para mim, abrir uma brecha muito grande para o arbítrio do Estado. 

Quanto à questão da aplicabilidade da (futura) lei brasileira aos provedores de conteúdo localizados fora do Brasil, me parece que tem uma certa dose de megalomania. Sou leigo na questão de Direito Internacional, mas qual a possibilidade de obrigar, digamos o Google, a liberar o conteúdo de algum de seus sites fora do Brasil caso ele não queira? Ou alegue que, de acordo com a legislação vigente na sua sede, as solicitações das autoridades brasileiras não estejam corretamente fundamentadas para justificar a quebra da privacidade do assinante? Porque a lei brasileira seria, neste caso, melhor ou de aplicabilidade mais obrigatória que qualquer outra legislação nacional?

Para o tratamento do tema, tendo por base os trabalhos de investigação já realizados no âmbito da CPI, considerou-se que o processo de investigação de um ilícito praticado com uso da Internet passa por três momentos básicos.
Primeiramente, tem-se a identificação de um conteúdo que revele ou constitua a prática de um crime.
Em seguida, as autoridades partem em busca do endereço de Protocolo Internet (endereço IP) que originou ou que teve acesso àquele conteúdo.
O procedimento é então fechado com a obtenção dos dados cadastrais do usuário a quem aquele endereço foi atribuído no momento em que o conteúdo foi criado ou acessado. 

Isto é uma super-simplificacão. Na prática cada investigação é um caso à parte (sei disso porque já participei de algumas – na esfera corporativa, não criminal). Mas vamos seguir com estas etapas genéricas. Pergunto: 

1.   Quais critérios de identificação de material ilícito são consideradas válidas? Honeypots montados pelas autoridades? Bisbilhotagem indiscriminada (mesmo que feita de forma aleatória) pelos provedores de conteúdo e/ou autoridades? Bisbilhotagem seletiva com base em denúncias? Tudo isto junto? E qual o critério para considerar uma denúncia como idônea o suficiente para justificar o início de uma investigação? 

2.   A identificação da autoria dos uploads e downloads do material ilícito, ou da participação em salas de chat onde crimes foram planejados ou comentados, depende de poder associar inequivocamente os recursos de rede (ex.: o endereço IP) e os recursos físicos utilizados naquela conexão (ex.: o número do assinante de uma linha DSL) com a pessoa que os utilizou. Neste ponto as definições do acordo são melhores (embora ainda não perfeitas) do que o “PL Azeredo”. Mas ainda ficam em aberto as questões de redes de acesso público; as redes residenciais onde o proprietário/administrador não sabe, ou não quer, configurar restrições de segurança de acesso; e redes corporativas onde, pelo uso de NAT, o real endereço IP (e identificação do terminal físico) do perpetrador não é obtido diretamente. Por último, resta provar que aquela pessoa é que estava realmente de posse daquele recurso físico no momento em que o ilícito foi cometido. 

3.   A atividade criminosa está sujeita a um grau bastante elevado de “darwinismo social”. Criminosos mal adaptados sucumbem primeiro, e deixam no mercado somente aqueles espertos o suficiente para sobreviver. Então prevejo que, com ou sem o auxílio destes dados, a quantidade de pedófilos (ou outros criminosos) identificados e presos vai decrescer com o tempo, embora o nível geral de atividade criminosa mantenha-se constante ou em crescimento. 

O percurso ora descrito envolve duas categorias de prestadores de serviços de Internet.
O fornecedor de serviços interativos ou de conteúdo é utilizado pelo criminoso para armazenar, transmitir ou compartilhar o material ilícito.
Para poder acessá-lo, contudo, é necessário estar conectado à Internet, o que só é possível mediante a contratação de um fornecedor de serviços de conexão.

Tendo em vista as diferenças na natureza da atividade desempenhada por essas duas categorias, além de sensíveis disparidades de porte empresarial, o projeto cuida de estabelecer tratamento diferenciado entre elas.

Tratamento diferenciado entre as categorias dos provedores de conteúdo e dos provedores de acesso eu vi. E ainda, pela peculiaridade da legislação (o Rogério Gonçalves já comentou, e ainda vai falar muito disso), os provedores de serviços de Telecom – que, na prática, são provedores de acesso, sim, mas os concessionários do STFC tem problemas com a admissão deste fato. 

O que eu não vi foi diferenciação devido a porte empresarial, que acontece tanto no segmento de provimento de conteúdo quanto no de provimento de acesso.

A primeira distinção é observada quando se trata da preservação dos dados de conexão e cadastrais dos usuários. O armazenamento dessas informações por prazo razoável é de suma importância para a condução das investigações, tendo em vista que sua indisponibilidade pode comprometer a identificação de culpados. Por essa razão, os fornecedores de serviços de conexão estão obrigados a preservar esses dados, em ambiente controlado, pelo prazo de três anos. Já para os fornecedores de serviços interativos ou de conteúdo, o período foi reduzido para seis meses. 

Isto é a diferenciação por classe de serviço prestado.

Essas informações podem, todavia, mostrar-se inócuas caso não seja possível identificar a que usuário ou prestador de serviço foi atribuído o endereço IP utilizado na comunicação objeto de investigação. Lamentavelmente, a experiência da CPI – Pedofilia mostra que, em muitos casos, as entidades que atribuem endereços IP e mesmo os fornecedores de serviços não mantêm cadastro de seus usuários e clientes. Para evitar que tais situações possam comprometer trabalhos de investigação, o projeto cria a obrigação de que sejam exigidos dados mínimos de identificação de todo destinatário de um endereço IP.

Certo. O Senador propõe então o fim do chamado “acesso anônimo”. Isto vai ter reflexos grandes nos projetos de acessos públicos gratuitos, como nos saguões de aeroportos e hotéis, ou na praia de Copacabana no Rio de Janeiro (e outros tantos semelhantes). 

Também vai pesar sobre as redes residenciais (que, em sua maioria, não são seguras).

Mas, passada a fase de “seleção natural” dos delinqüentes, quais deles dariam os seus dados reais ao fazer uma conexão com propósito ilícito? No acordo (ainda não li o PL) existe previsão explícita que os provedores de acesso e/ou conteúdo não são responsáveis pela veracidade destes dados. Então, para que eles servirão? A não ser em um número reduzido de casos de burrice galopante do delinqüente ou nos casos onde um acesso lícito é usado por alguém de má fé sem o conhecimento/aprovação do proprietário?

Outro ponto relevante na investigação criminal é a presteza no fornecimento das informações solicitadas aos prestadores de serviços. Por essa razão, o projeto estabelece prazos máximos para a resposta a esses requerimentos, fixados de acordo com prioridades que levam em consideração a existência de risco à vida de criança ou adolescente.

Dentro dessas prioridades, esclarece a proposição, as solicitações deverão ser atendidas em ordem cronológica. Além disso, o projeto também contempla hipóteses excepcionais em que deverá haver flexibilidade na exigência de cumprimento desses prazos, como os casos de acúmulo de elevado número de solicitações simultâneas e de elevação repentina da quantidade de solicitações, entre outros.

Matéria operacional.

Outro ponto importante para dar maior agilidade às transferências de dados às autoridades solicitantes consiste na diminuição da burocracia envolvida, desde que respeitados os valores fundamentais da intimidade, da vida privada e do sigilo das comunicações.

Diante dessas considerações, o projeto determina que os dados de conexão e cadastrais dos usuários sejam fornecidos mediante requisição da autoridade, dispensada autorização judicial prévia.

Já quanto aos dados de conteúdo, mostra-se inafastável, por razões constitucionais, o prévio recurso ao Judiciário. 

Não sei porque um tipo de dado, e não o outro, diferenciam-se do ponto de vista da proteção à privacidade do indivíduo. Para mim, é necessário autorização judicial prévia para tudo.

Sempre com o objetivo de maximizar a proteção dos valores considerados no projeto, busca-se introduzir medidas inovadoras no ordenamento jurídico brasileiro. A primeira delas é a obrigação, especialmente dos fornecedores de serviços interativos ou de conteúdo, de notificarem as autoridades de todo crime cometido contra criança ou adolescente de que venham a ter conhecimento em virtude de sua atividade. A medida é ainda acompanhada da exigência de preservação das provas pelo prazo de até cento e oitenta dias.  

E como, pelo amor de Deus, os provedores ficarão sabendo da existência destes crimes sem, eles próprios, incorrerem em crime de invasão de privacidade?

Outra inovação relevante é a preservação imediata de dados armazenados, atualmente prevista no art. 16 da Convenção de Budapeste contra o Cybercrime do Conselho da Europa.
Trata-se da possibilidade de a autoridade policial ou o membro do Ministério Público requisitar, a um fornecedor de serviço, a preservação de dados armazenados em seus servidores relativos a um usuário ou a um grupo de usuários, pelo prazo de noventa dias, renovável por igual período. A transferência desse conteúdo à autoridade solicitante, nos termos do projeto, só poderá ser feita mediante autorização judicial. 

Pode até ser útil, mas como sou libertário, esta medida me é antipática por princípio.

Para garantir a eficácia das disposições ora consideradas, faz-se mister a estipulação de cláusulas sancionatórias. Com esse intuito, o projeto faz nova distinção entre os fornecedores que exercem atividades reguladas como prestadores de serviços de telecomunicações e os demais. No primeiro caso, há referência explícita à aplicação das sanções e regras de procedimentos previstas na Lei nº 9.472, de 16 de julho de 1997, sem prejuízo da competência legal e constitucional do Ministério Público. Já aqueles fornecedores que exercem atividades não sujeitas à regulação estatal serão fiscalizados diretamente pelo Ministério Público, nos termos das disposições especiais previstas no projeto e das regras gerais da Lei nº 7.347, de 24 de julho de 1985 (Lei de Ação Civil Pública). 

Voltamos à questão que estava rolando sobre que marco regulatório o Brasil precisa para um futuro onde a Internet será mais um dos meios (todos usando a tecnologia TCP/IP) usados para usufruir de serviços de telecomunicação. Será que, no futuro, não será o caso de considerar a Internet dentro da regulação de Telecom?

No decorrer das discussões de que resultou esse projeto, evidenciou-se que as obrigações nele previstas demandam investimentos e despesas adicionais por parte dos fornecedores de serviços. Com a finalidade de contornar essa dificuldade, o projeto busca compensação financeira, na forma de ressarcimento dos gastos efetivamente realizados, nos recursos arrecadados pelo Fundo de Fiscalização das Telecomunicações (FISTEL), disciplinado pela Lei nº 5.070, de 7 de julho de 1966. Suas principais fontes de receita são as taxas de fiscalização de instalação (TFI) e de funcionamento (TFF) de estações de telecomunicações. Trata-se de Fundo largamente superavitário, tendo em vista que a sua arrecadação, em 2007, chegou a R$ 2,7 bilhões, que  em muito superam as despesas liquidadas pela Agência Nacional de Telecomunicações (ANATEL), no mesmo exercício, de cerca de R$ 100 milhões, segundo o portal Transparência Pública. 

Recursos do Fistel para todo mundo ou só para as operadoras de Telecom? E, sendo para todo mundo, isto não é subsído cruzado?

Em outra vertente, a proposição reconhece a necessidade de que determinadas questões, por sua especificidade, venham a ser disciplinadas por meio de regulamento. É o caso dos padrões e formatos para as solicitações de dados e suas respectivas respostas. É necessário que sejam estabelecidos padrões uniformes para a requisição e o fornecimento dessas informações, não apenas para dar maior agilidade às investigações, mas também para evitar a ocorrência de erros em sua interpretação. Ademais, para maior celeridade, convém que essas comunicações ocorram por via eletrônica, o que requer a adoção de medidas de certificação e segurança a serem também esmiuçadas em decreto. 

Por derradeiro, as discussões em torno do presente projeto também revelaram a necessidade de se conceder prazo razoável para que os fornecedores de serviço envolvidos possam realizar os investimentos necessários e adaptar suas rotinas e estruturas gerenciais para o devido cumprimento das obrigações ora consideradas. Por essa razão, estabelece-se, na cláusula de vigência, que a norma entrará em vigor na data de sua publicação, mas só produzirá efeitos, posteriormente, em relação às obrigações que exijam adequações de maior porte. 

Matéria Operacional

Fruto do consenso e do acordo, a proposição que ora apresentamos a esta Casa busca tornar a Internet um lugar seguro para todos, especialmente crianças e adolescentes. Nesse sentido, preocupa-se, de um lado, com as demandas da investigação criminal e, de outro, com a proteção da intimidade e da vida privada das pessoas e, ainda, com a viabilidade dos modelos de negócios estabelecidos licitamente na Internet. No rol de seus objetivos, no entanto, sobressai, nos termos do art. 227 da Constituição, a absoluta prioridade para a proteção da infância e da juventude. 

De volta ao argumento inicial: o cumprimento do dever de proteção às crianças e adolescentes relativiza o direito à privacidade?

Fortes nessas razões, submetemos o projeto ao exame de nossos nobre Pares, certos de sua aprovação. 

Veremos, Senador... Veremos...