O novo crime de Invasão de Dispositivo Informático

A Lei 12.737, de 30 de novembro de 2012 trouxe para o ordenamento jurídico-penal brasileiro o novo crime de Invasão de Dispositivo Informático, consistente na conduta de invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.

A pena prevista para o crime simples (há forma qualificada e aumentos de pena) é de detenção de 3 meses a um ano e multa.

É interessante notar que a legislação sob comento acabou ganhando o epíteto de Lei Carolina Dieckmann, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, é agora solucionada pela Lei 12.737/12.

Bem jurídico

O bem jurídico tutelado é a liberdade individual, eis que o tipo penal está exatamente inserido no capítulo que regula os crimes contra a liberdade individual (artigos 146 154, CP), em sua Seção IV Dos Crimes contra a inviolabilidade dos Segredos (artigos 153 a 154 B, CP). Pode-se afirmar também que é tutelada a privacidade das pessoas (intimidade e vida privada), bem jurídico albergado pela Constituição Federal em seu artigo 5º, X.

Percebe-se, portanto, que a tutela é individual, envolvendo os interesses das pessoas (físicas e/ou jurídicas) implicadas, nada tendo a ver com a proteção à rede mundial de computadores e seu regular funcionamento.

Há muito que se discute sobre a necessidade ou não de erigir normas penais especiais relativas aos delitos informáticos. Seria isso mesmo necessário ou o recurso aos tipos penais tradicionais seria suficiente? Entende-se que o fenômeno informático está a exigir regulamentação especial devido às suas características que divergem de tudo quanto sempre foi usual. Isso se faz sentir claramente em outros ramos do direito como na área civil, processual, comercial, consumerista, trabalhista, cartorial etc. Por que seria diferente na seara penal?

Agiu, portanto, com correção o legislador ao criar o tipo penal ora em estudo, especialmente considerando o fato de que há tutela de bem jurídico constitucionalmente previsto, como já se explicitou acima.

Sujeitos ativo e passivo

O crime é comum, de modo que pode ser sujeito ativo qualquer pessoa. O mesmo se pode dizer com relação ao sujeito passivo. O funcionário público também pode ser sujeito ativo dessa infração, mas a lei não prevê nenhuma causa de aumento de pena. Pode-se recorrer nesse caso às agravantes genéricas previstas no artigo 61, II, f ou g, CP, a depender do caso. Também pode ser sujeito passivo a pessoa jurídica. É óbvio que as pessoas jurídicas também podem ter dados ou informações sigilosos abrigados em dispositivos informáticos ligados ou não à rede mundial de computadores, os quais podem ser devassados, adulterados, alterados ou destruídos à revelia da empresa ou do órgão responsável.

Isso se torna mais que patente quando se constata previsão de qualificadora para a violação de segredos comerciais ou industriais e informações sigilosas definidas em lei (artigo 154 A, § 3º., CP), o que deixa claro que podem ser vítimas pessoas jurídicas de direito privado ou público. Entende-se que melhor andaria o legislador se houvesse previsto um aumento de pena para a atuação do funcionário público no exercício das funções, bem como para os casos de violação de dados ou informações ligados a órgãos públicos em geral (administração direta ou indireta).

Também será sujeito passivo do crime qualificado, nos termos do § 3º. do dispositivo, o titular do conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais ou informações sigilosas, assim definidas em lei. Percebe-se, como já dito alhures, que as pessoas jurídicas podem ser vítimas, inclusive a administração pública direta ou indireta de qualquer dos entes federativos (União, Estados, Municípios ou Distrito Federal). Podem ainda ser sujeitos passivos empresas privadas concessionárias ou permissionárias de serviços públicos também com relação a qualquer dos entes federativos.

O sujeito passivo da infração é, portanto, qualquer pessoa passível de sofrer dano moral ou material decorrente da ilícita obtenção, adulteração ou destruição de dados ou informações devido à invasão ou violação de seu sistema informático, mediante vulneração de mecanismo de segurança. Assim também é sujeito passivo aquele que sofre a instalação indevida de vulnerabilidades em seu sistema para o fim de obtenção de vantagens ilícitas. São exemplos as atuações em que indivíduos inserem vírus espiões para obter, adulterar ou destruir dados em sistemas informáticos. Importa ressaltar que a vítima não precisa ser a proprietária ou titular do sistema informático ou do hardware ou software invadido pelo criminoso.

Na verdade, qualquer pessoa que tenha sua privacidade violada pelo invasor é sujeito passivo da infração. Por exemplo: um amigo usa o computador de outro para conversas particulares via internet, cujo conteúdo é ali armazenado por meio de senha. Alguém invade o sistema informático daquele computador e viola a privacidade, não do dono do computador, mas do seu amigo. Ora, este segundo também é vítima do crime. O mesmo se pode afirmar quanto aos usuários das chamadas Lans Houses que sofram o mesmo tipo de violação indevida.

Tipo subjetivo

O tipo subjetivo do ilícito é informado somente pelo dolo. Não há previsão de figura culposa. O dolo é específico, pois exige a lei que a violação se dê com o especial fim de obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidades para obter vantagem ilícita. Note-se que há duas especificidades independentes para o dolo do agente: primeiro o fim especial de obter, adulterar ou destruir dados ou informações, sem a exigência de que se pretenda com isso obter vantagem ilícita. Ou seja, nessa parte o tipo penal não requer do agente outra vontade senão aquela de vulnerar o sistema e suas informações ou dados, podendo agir inclusive por mera curiosidade ou bisbilhotice.

Já na instalação de vulnerabilidades, o intento tem de ser a obtenção de vantagem ilícita. Como o legislador não foi restritivo, entende-se que a vantagem intencionada pode ser econômicofinanceira ou de qualquer outra espécie. Por exemplo, se instalo num computar uma via de acesso a informações para obter senhas bancárias e me locupletar ou se instalo uma vulnerabilidade num computador para saber dos hábitos e preferências de uma mulher desejada para poder conquistá-la o tipo penal está perfeito.

Tipo objetivo

O crime do artigo 154 A, do Código Penal constitui tipo misto alternativo, crime de ação múltipla ou de conteúdo variado, pois que apresenta dois núcleos de conduta (verbos invadir ou instalar), podendo o agente incidir em ambos, desde que num mesmo contexto, e responder por crime único.

Não exige o tipo penal que o dispositivo informático esteja ligado à rede mundial de computadores ou mesmo rede interna empresarial ou institucional (internet ou intranet). Dessa forma estão protegidos os dados e informações constantes de dispositivos de informática e/ou telemática.

A invasão, conforme manda a lei, deve ser de dispositivo informático alheio e mediante violação indevida de mecanismo de segurança (elementos normativos do tipo). É claro que não se poderia incriminar alguém que ingressasse no próprio dispositivo informático; seria como incriminar alguém que subtraísse coisa própria no caso do furto. Além disso, a violação deve ser indevida, ou seja, desautorizada e sem justa causa. Obviamente que o técnico informático que supera mecanismo protetor para consertar aparelhagem não comete crime, inclusive porque tem a autorização expressa ou no mínimo tácita do cliente. Também não comete o crime a Autoridade Policial que apreende mediante ordem judicial aparelhos informáticos e manda periciar seus conteúdos para apuração criminal.

Anote-se, porém, que essa justa causa ou autorização deve existir do início ao fim da conduta do agente e este deve se ater aos seus estritos limites razoáveis. Por exemplo, se um técnico de informática tem a autorização para violar as chaves de acesso a um sistema de alguém para fins de conserto e o faz, mas depois coleta fotos particulares ali armazenadas, corrompe dolosamente informações ou dados extrapolando os limites de seu trabalho sem autorização do titular, passa a cometer infração penal. É importante ressaltar que, como não existe figura culposa, o erro muito comum em que o técnico em informática, ao realizar um reparo, formata o computador e acaba destruindo conteúdos importantes para a pessoa sem dolo, mas por negligência ou imperícia, não constitui crime. Pode haver, contudo, infração civil passível de indenização por danos morais e/ou materiais.

Tanto na conduta de invadir o sistema como de instalar vulnerabilidades o crime é formal. Isso porque a eventual obtenção de dados ou informações, adulteração ou destruição, bem como a obtenção de vantagem ilícita constituirão mero exaurimento. O crime estará consumado com a simples invasão ou instalação.

O objeto material da conduta é o dispositivo informático alheio. Estes são os computadores pessoais, industriais, comerciais ou institucionais. Além disso, hoje há uma infinidade de dispositivos informáticos, inclusive móveis, tais como os notebooks, tablets, netbooks, celulares com recursos de informática e telemática, Iphones, Smartphones ou quaisquer outros aparelhos que tenham capacidade de armazenar dados ou informações passíveis da violação prevista no tipo penal...