Em 2021, a Convenção de Budapeste sobre o Cibercrime de 2001 ganhou os holofotes do debate nacional sobre direitos digitais, impulsionada em grande medida pelos esforços legislativos para acelerar a ratificação desse tratado no Brasil. O processo de adesão brasileira, no entanto, tem sido bastante controverso e vem suscitando críticas de acadêmicos e ativistas dos direitos humanos na área digital. No post de hoje do blog do IRIS, o debate sobre a convenção é apresentado juntamente com os riscos e impactos que uma adesão apressada pode ter sobre o sistema jurídico brasileiro.

A Convenção de Budapeste e a pressão pela rapidez da adesão brasileira

A Convenção de Budapeste sobre o Cibercrime de 2001 é um tratado internacional de direito processual penal e direito penal instituído originalmente no âmbito do Conselho da Europa e que atualmente conta com mais de 60 países signatários. Seu conteúdo trata tanto da criminalização de condutas específicas quanto da definição de procedimentos para investigação e produção probatória. Além disso, essa norma delineia mecanismos de cooperação jurídica internacional, de modo a estimular a ação coordenada e harmoniosa entre os países em matéria de enfrentamento aos cibercrimes.

Nos últimos meses, o debate sobre a adesão brasileira à convenção foi impulsionado pela tramitação do Projeto de Decreto Legislativo nº 255/2021, que pretende ratificar a íntegra do tratado no ordenamento jurídico nacional. Apresentado em junho e aprovado em outubro no plenário da Câmara dos Deputados, o texto tramita atualmente no Senado Federal, onde alterações ainda podem ser propostas na forma de emendas apresentadas ao plenário da casa.

A extrema celeridade do processo legislativo referente ao PDL tem levantado enormes controvérsias entre os diferentes setores envolvidos no debate sobre o tema. Por um lado, as autoridades criminais pressionam o poder legislativo por uma adesão rápida sob o argumento de que a aprovação do texto traria ganhos à efetividade no combate ao cibercrime, problema social que adquiriu proporções expressivas nos últimos anos.  Por outro lado, organizações acadêmicas e de direitos humanos na rede alertam para os perigos de uma adesão total ao texto da convenção e pedem maior aprofundamento do debate. Esse é o posicionamento da Coalizão Direitos na Rede, por exemplo, articulação nacional de mais de 48 entidades – entre elas o IRIS – dedicadas à luta pela proteção dos direitos fundamentais na área digital no Brasil.

Um dos pontos de questionamento levantados pelo segundo grupo diz respeito ao caráter pouco participativo e aberto do debate. Uma vez que o PDL pode gerar enormes repercussões sobre o ecossistema nacional de proteção aos direitos digitais, seria esperado que sua tramitação mobilizasse um debate amplo, aberto e democrático. No entanto, o processo tem sido bastante acelerado e, de modo geral, pouco participativo. É impossível não contrastar as pouquíssimas audiências públicas e os meros quatro meses que marcaram sua tramitação na Câmara com as diversas rodadas de debates e os anos durante os quais outras normas de importância similar foram debatidas, a exemplo do Marco Civil da Internet e da Lei Geral de Proteção de Dados.

Como explorarei na seção seguinte, tamanha aceleração não representa apenas um problema de forma, mas também de conteúdo, uma vez que uma adesão acelerada e total à convenção pode ocasionar danos significativos ao ambiente nacional de proteção dos direitos digitais.

O Brasil não precisa ou deve aderir de forma total e irrestrita ao texto da convenção

Um dos aspectos mais questionados da adesão proposta pelo PDL 255/2021 é seu caráter total e irrestrito. Isso porque dada a enorme variedade que caracteriza os sistemas jurídicos dos signatários potenciais e a soberania da qual os Estados dispõem para legislar em suas respectivas jurisdições, certas adaptações podem ser necessárias para compatibilizar os sistemas nacionais e alguns dispositivos do tratado. Nesse sentido, a própria convenção expressa preocupação com o alinhamento entre seu conteúdo e as normas internas dos signatários e com instrumentos internacionais de direitos humanos (art 15º), além de prever mecanismos para facilitar tal conformidade doméstica – as chamadas declarações (art. 40º) e reservas (art. 42º). Eles são instrumentos para o exercício da soberania de cada país que integra a Convenção.

Em linhas gerais, as declarações e reservas são ressalvas das quais os signatários podem se valer, mediante manifestação expressa de intenção, na adesão a disposições específicas da convenção. Por exemplo, o artigo 4º do tratado prevê a criminalização do ato de “intencional e ilegitimamente danificar, apagar, deteriorar, alterar ou eliminar dados informáticos”. Ao aderir a esse artigo, portanto, os signatários se comprometem a introduzir tal tipo penal em seus respectivos sistemas legais. Como reserva, porém, o artigo permite que os Estados optem por adicionar outro elemento à caracterização da conduta tipificada: a ocorrência de dano grave resultante do ato. Desse modo, cada Estado pode avaliar se a introdução do tipo penal em sua legislação contemplará esse elemento ou não.

O recurso a declarações e reservas é uma ferramenta importante da qual os países dispõem para perseguir a harmonia entre seus arcabouços jurídicos nacionais e as inovações trazidas pelo tratado. Por essa razão, diversos signatários têm lançado mão desse instrumento, como se pode constatar com uma breve consulta ao site do Conselho da Europa. O Chile, por exemplo, exige a ocorrência de dano grave para a tipificação do artigo 4º. A Colômbia, por sua vez, condiciona a aplicação de certas medidas processuais previstas nos artigos 20º e 21º da convenção à observância de suas normas de proteção de dados pessoais. Dezenas de outros exemplos podem ser identificados no site.

A extrema celeridade da tramitação do PDL 255/2021 e a escassez de espaços de debate público aprofundado acerca de seu conteúdo vêm favorecendo a aprovação do PDL sem quaisquer emendas ao texto apresentado. Na ausência de condições adequadas para que os diferentes setores pudessem debater publicamente o texto da convenção e dialogar sobre as disposições em que o estabelecimento de declarações e reservas seria necessário e pertinente, o Congresso Nacional caminha para uma ratificação da íntegra do tratado, sem observar os instrumentos de afirmação da soberania brasileira perante os integrantes da convenção. 

Isso pode ocasionar consequências desastrosas para o ecossistema nacional de proteção de direitos digitais, uma vez que há risco de conflito entre disposições da convenção e outras previsões vigentes no direito brasileiro, risco esse passível de mitigação via declarações e reservas. Essas normas incluem a Lei de Interceptações, o Marco Civil da Internet, o Código Penal, a Lei de Direitos Autorais e a Lei n.º 11.829/2008. Ainda, propostas legislativas que ainda estão em tramitação podem ser impactadas, como o Projeto de Lei nº 2630/2020, a reforma do Código de Processo Penal e o Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução penal. Falta, portanto, um exercício de coerência entre o conteúdo da convenção, as normas do direito brasileiro e princípios que devem orientar as iniciativas relativas a investigações criminais.

Na próxima seção, examino algumas das previsões mais problemáticas no âmbito do documento.

Partes da convenção podem representar riscos a jornalistas e  pesquisadores de segurança 

No âmbito do mérito da convenção, um dos pontos mais preocupantes diz respeito à possibilidade de criminalização de atividades legítimas e rotineiras desenvolvidas por pesquisadores de segurança da informação e jornalistas. São especialmente preocupantes nesse sentido os conteúdos dos artigos 2º e 8º, os quais determinam que os signatários tomem medidas destinadas à criminalização das práticas de “acesso ilegítimo” e “burla informática”.

O crime de “acesso ilegítimo” consistiria na prática de “acesso intencional e ilegítimo à totalidade ou a parte de um sistema informático”. Ao estabelecer tal tipo penal, o artigo autoriza os países a condicionar sua aplicação à existência de intenção ilegítima ou outro elemento suplementar. A “burla informática”, por seu turno, seria caracterizada pelo “ato intencional e ilegítimo que origine a perda de bens de terceiros através: a) Da introdução, da alteração, da eliminação ou da supressão de dados informáticos; b) De qualquer intervenção no funcionamento de um sistema informático com a intenção de obter um benefício económico ilegítimo para si ou para terceiros”.

No campo da segurança da informação, pesquisadores independentes comumente se dedicam à pesquisa e análise de vulnerabilidades de segurança em sistemas públicos e privados sem qualquer objetivo malicioso. Além de contribuir para o avanço científico do campo em questão, essa prática gera o benefício social de dar ciência às instituições mantenedoras dos sistemas acerca das falhas encontradas, permitindo que ajam para corrigi-las antes de sua exploração por um atacante malicioso. No contexto de sistemas públicos, tal prática também favorece a transparência e o controle social sobre as infraestruturas e ações governamentais. Independentemente desses benefícios sociais dessas atividades, contudo, os pesquisadores e jornalistas são alvo de esforços jurídicos e midiáticos de intimidação e criminalização oriundos das organizações que tiveram seus sistemas expostos.

Por vezes, sequer é necessário que tenha ocorrido qualquer dano ou exploração de uma falha para que tais tentativas de criminalização ocorram. Basta recordar o escândalo envolvendo o aplicativo TrateCOV, do Ministério da Saúde, que receitava medicamentos ineficazes contra Covid até mesmo para grávidas e crianças. Ao falar sobre o aplicativo em seu depoimento à CPI da Pandemia, Mayra Pinheiro, representante do Ministério, acusou o jornalista de dados Rodrigo Menegat de “invasão” ao sistema e de “extração indevida de dados” para fins de “simulações indevidas”. Na realidade, o que o jornalista em questão fez foi simplesmente inspecionar o código-fonte da página – uma função que exigia menos de três cliques de qualquer usuário que a acessasse – e publicar uma análise de seu conteúdo. O fato de sua conduta ser legítima não impediu que o governo tentasse criminalizá-la.

Esse episódio ilustra os riscos materiais que a adesão irrefletida às regras penais contidas na convenção representam para grupos que já são alvo de ataques políticos, jurídicos e midiáticos. Nesse ambiente, há possibilidade de instrumentalização política do tratado para a manutenção e o aprofundamento da perseguição desses sujeitos. Além do dano evidente a seus direitos fundamentais, isso também resultaria em um dano social grave em razão da inibição que tal ambiente causaria nessas atividades, o que reduziria a segurança informacional e a transparência na sociedade. Tudo isso reforça a necessidade de aprofundamento do debate sobre a convenção, não apenas de uma adesão total e acrítica.

Conclusão

O Brasil é um país internacionalmente prestigiado em razão de seu ambiente regulatório relativo a direitos digitais. Normas como o Marco Civil da Internet e a LGPD são referência global não apenas em razão de seu conteúdo, que exibe enorme maturidade técnica, mas também em virtude de seus processos de construção democrática. Esses processos de construção foram amplos, multissetoriais e participativos. Esse legado deve ser preservado na medida em que o país avança rumo a outras inovações legislativas em matéria de direitos humanos na área digital.

Do modo como o debate vem sendo conduzido, contudo, a adesão brasileira à Convenção de Budapeste por meio do PDL 255/2021 parece sinalizar em sentido oposto: um processo desnecessariamente precipitado e visivelmente pouco participativo. Cabe recordar que o país ainda tem três anos para deliberar sobre sua adesão, período em que seria possível construir um debate amplo e verdadeiramente democrático. Na conjuntura atual, corremos um risco sério de impor retrocessos aos avanços conseguidos ao longo da última década no campo digital e abrir mão da soberania brasileira.

Caso você tenha ficado interessado em saber mais sobre a importância da harmonia na regulação da internet, confira nosso post sobre o assunto.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Artigo Original