Autor: Diego Souza Barreto[1]
Orientadora: Fernanda Ivo Pires[2]
Resumo: O ransomware é um programa de computador mal intencionado, responsável pelo sequestro e inutilização de dados virtuais, requisitando um valor econômico a título de resgate. A responsabilização civil nos casos de ataques virtuais através do ransomware tem amparo legal pátrio, principalmente, no Marco Civil da Internet, no Código Civil e no Código de Defesa do Consumidor. Quanto aos agentes do dano, são responsáveis tanto o agente direto, criador ou disseminador do programa malicioso, quanto os indiretos, mesmo que, de forma excepcional, quais sejam, os provedores de conteúdo ou de aplicação, os quais responderão de forma subjetiva, podendo haver possibilidade de não-responsabilização ou de responsabilização solidária; os provedores de e-mail, nos casos de invasão por hackers. A aplicação dos institutos da responsabilidade civil nas hipóteses de ataques por ransomware é perfeitamente cabível.
Palavras-chave: Direito Digital. Responsabilidade Civil. Ransomware. Provedores de internet. Responsabilidade de terceiros.
Abstract: Ransomware is a malicious computer program, responsible for the hijacking and destruction of virtual data, requesting an economic value as a ransom. Civil liability in cases of virtual attacks using ransomware is supported by the country’s legal framework, mainly in the Civil Framework of the Internet, in the Civil Code and in the Consumer Protection Code. As for damage agents, they are responsible both for direct agents, creators or disseminators of malicious programs, as well as indirect ones, even if, exceptionally, which are the content or application providers, which are the problematic respondents, used the possibility non- liability or joint and several liability, and; the email providers, in cases of hacking. The application of civil liability institutes in the event of attacks by ransomware is perfectly reasonable.
Keywords: Digital Law; Civil Liability; Ransomware; Internet providers; Third party liability.
Sumário: Introdução. 1. Direito Digital e Noções Preliminares. 2. Conceito de Ransomware. 2.1. Hardware e Software. 2.2. Malware. 2.3. Conceito de Ransomware. 3. O Marco Civil da Internet e a Lei Geral de Proteção de Dados. 4. Os Bens Jurídicos Tutelados e o Dano Reflexo. 5. Os Sujeitos da Responsabilização. 5.1. Os Agentes Diretos: Os Criadores ou Disseminadores do Ransomware. 5.2. Os Agentes Indiretos: Os Provedores de Internet. Considerações Finais. Referências.
Introdução
Segundo o site de notícias sobre tecnologia, Tecmundo, a companhia de segurança e informação eslovaca, ESET, constatou em seus dados que o Brasil é, atualmente, o quarto país da América Latina mais afetado pelo ransomware (PAYÃO, 2019), programa mal intencionado capaz de criptografar arquivos, inutilizando-os para o acesso do usuário e cobrando uma determinada quantia em criptomoedas para desbloqueá-los.
Uma das principais e mais perigosas famílias de ransomware, conhecida pelo codinome Crysis, se utiliza de e-mails falsos de cobrança de dívidas, muitas vezes se passando por empresas contratadas pela vítima, induzindo a pessoa clicar em links infectados. Mas não apenas os computadores pessoais são atacados, servidores de redes privadas de empresas e instituições públicas não estão longe de sofrerem tal mal. No ano de 2017, tivera o emblemático caso do Hospital de Câncer de Barretos que, por quase uma semana, teve dificuldade em efetuar seus atendimentos após ter sofrido um ataque por ransomware, atrasando tratamentos e pondo em perigo a vida de várias pessoas (JORNAL DA EPTV 1ª EDIÇÃO, 2019). Situações como essa, fazem as pessoas perderem a confiança em navegarem com tranquilidade na internet, seja para acessar as redes sociais, ler e-mails, dentre outros.
O assunto tem relevância social pelo medo que gera em quem guarda seus arquivos na rede. Não só pessoas naturais, mas, também, pessoas jurídicas podem ser vítimas e terem prejuízos severos em caso de sequestro de dados, o que levará à discussão acadêmica, no âmbito da Responsabilidade Civil, trazendo à tona a nova área de discussão do Direito ligados aos temas que ocorrem no meio virtual e que tem relevância jurídica: o Direito Digital.
Este trabalho, portanto, cuida-se da indagação referente a tal tema, se propondo a interrogar: tendo em vista o risco ou a efetiva lesão aos diversos bens jurídicos tutelados pelo ordenamento jurídico brasileiro, existe a possibilidade de aplicação da responsabilidade civil nos casos de ataques de ransomware, podendo, inclusive, terceiros serem responsabilizados por tal?
Claro que, como será visto no decorrer desta pesquisa, poderá existir a possibilidade de a aplicação dos institutos da responsabilidade civil nos ataques por ransomware possa servir para responsabilizar ataques promovidos por diversos outros malwares. A escolha deste, portanto, se dá em razão de seu agravante danoso e da repercussão social o qual vem ganhando destaque nos últimos anos.
Além disso, como se trata de objeto de estudo relativamente novo, inicialmente a pesquisa se dará de forma exploratória, buscando identificar conceitos e aprofundar um pouco mais o conhecimento acerca do objeto a ser pesquisado. Com isso, será importante distinguir hardware de software e, a partir dessa distinção, definir o que é o malware, para chegar ao ponto de estudo principal, qual seja o ransomware. Após, partirá para uma pesquisa bibliográfica, interpretando as tangentes que ajudará a construir nosso raciocínio teórico, especialmente na identificação dos possíveis sujeitos responsáveis, bem como os fundamentos para com a mesma, descrevendo, também, junto à análise de fatos, a possibilidade de responsabilização à luz do ordenamento jurídico brasileiro.
Diante disso, para chegar à possível resposta será necessário, de forma específica, conceituar tanto os elementos de informática, quanto os tipos de malware e, por fim, o próprio ransomware. Em seguida, interpretar-se-á a possibilidade de aplicação das principais legislações pátrias a respeito das diretrizes de acesso seguro à internet em nosso país, bem como de proteção de dados. Após, serão elencados os possíveis bens jurídicos tutelados pela responsabilização civil face ao ataque do ransomware e, por fim, será investigado quais os prováveis agentes que poderiam ser responsabilizados pelo dano proveniente do mesmo. Estudados todos esses pontos, o objetivo final será alcançado, qual seja, investigar se é possível ou não a aplicação da responsabilidade civil aos ataques de ransomware à computadores e servidores e, sendo o caso, atribuí-la a terceiros, como veremos a seguir.
- Direito Digital e Noções Preliminares
Assuntos ligados ao Direito Digital são relativamente novos, não havendo normas suficientes que tratem de diversos problemas ligados a esse ou entendimento jurisprudencial para cada situação determinada que venha acontecer no meio virtual. A sociedade, por muitas vezes, tem uma sensação de que a conduta que enseja reparação cível ou, ainda, possível até de reparação penal, no meio virtual, passa desapercebida pela justiça, de forma impune, como se a internet fosse uma “terra sem lei”, sendo o hacker, aclamado mais como um “herói superinteligente” do que como um malfeitor. Claro que, situações de manifestações e defesa de interesses gerais são importantes, mas, também é de suma importância saber que, não adianta prejudicar uns para os interesses de outros.
Para entender como um dano causado em meio virtual pode ser reparado judicialmente, é necessário entender como funciona o Direito Digital, atualmente.
Com o advento do que muitos autores chamam da “Era Digital”, as relações pessoais passaram a se modificar de forma drástica. Se antes as pessoas comunicavam-se por cartas escritas à mão e encaminhadas para o Correio e, posteriormente, falavam por telefones fixos, até atingir-se à era dos aparelhos de telefonia móvel, agora simplesmente trocam-se mensagens instantâneas a todo tempo. E não é só isso, trocam-se músicas, imagens, vídeos, documentos, dentre outros.
Se o Direito, até chegar à produção de provas por ligações telefônicas, passou por um extenso estudo que perdurou por muitos anos, imagine acompanhar as inúmeras atualizações que o “WhatsApp” distribui por mês. Justamente por isso, diz Leonardo Zanatta (2019, p. 7) que, a legislação não consegue acompanhar o exponencial crescimento tecnológico, afinal, ainda que a lei venha a tratar de determinado assunto da área da tecnologia da informação, por exemplo, ela deve ser a mais genérica possível, a fim de abarcar outros assuntos, derivados desse, que venham a existir futuramente.
Portanto, não é a Lei Carolina Dieckman (Lei nº. 12.737/2012), o Marco Civil da Internet (Lei nº. 12.965/2014) ou a Lei Geral de Proteção de Dados (Lei nº. 13.709/2018), que vão solucionar todos os problemas que surgirem no meio virtual (afinal, nenhuma norma jurídica será capaz de alcançar a resposta para todos os casos concretos), mas, sim, são bases para interpretação de casos que, muitas vezes, não terão uma disciplina explícita nessas, devendo o advogado, na tentativa de convencer o magistrado ou o colegiado julgador, construir novas interpretações com estes a fim de se formarem novos entendimentos que sirvam de norte para a solução de outras demandas semelhantes.
Ainda dirá Leonardo Zanatta que, o Direito Digital é constitucionalmente abarcado pelo art. 220 da Constituição Federal, o qual versa sobre a vedação a qualquer restrição quanto a manifestação de pensamento, criação, expressão e informação, sob qualquer forma, processo ou veículo, sendo, portanto “[…] fundado na liberdade de acesso ao meio e à forma da comunicação. […].” (Id. Ibid., p. 7/8).
O Direito Digital seria um ramo, portanto, constitucionalmente abarcado. Ademais, ele existirá enquanto estudo do controle das normas jurídicas no meio virtual, pois, não é por conta de o sujeito se encontrar neste que não será passível de responder por suas condutas na rede. Inclusive, para a atuação estatal, “Os sites devem, de alguma forma, deixar claro a que legislação está submetido o indivíduo, seja por aceite a Termos de Serviço, seja por Contrato de Adesão. A presença virtual representa a responsabilidade de poder ser acessado por indivíduos de qualquer parte do mundo.”. (Id. Ibid., p. 10).
- Conceito de Ransomware
O que muito se chama de vírus, na verdade, se trata apenas de uma das espécies de programas mal-intencionados, conhecidos por malwares, que detém de diversos métodos e finalidades para prejudicar, de alguma forma, o usuário da rede mundial de computadores. A utilização da espécie ransomware neste trabalho se justifica pela relevância social que essa vem conquistando nos últimos anos, seja pela audácia dos malfeitores ou pelos danos, que podem ser catastróficos, a depender da finalidade do agente. Para entender como tal espécie funciona, passa-se a estudar os conceitos a seguir.
2.1. Hardware e Software
O uso de aparelhos eletrônicos como computadores, smartphones, tablets, smartwatches, dentre outros, em grande escala, tem sido uma realidade incontestável nos dias de hoje, em todas as classes sociais e em quase todo o território mundial. Apesar de ser um assunto ainda considerado “novo”, o uso da informática pelo grande público começou a surgir em 1977 com o notável sucesso da Apple II (ZAMBARDA, 2016) e seu sucessor, o Macintosh (1984), computadores domésticos da Apple, que levariam a, até então, tecnologia utilizada por empresas e por militares, para dentro dos lares familiares.
Computador doméstico, computador pessoal ou, simplesmente, PC (personal computer), tornou-se cada vez mais um item comum nas residências familiares, chegando no Brasil na década de 70, mas, ganhando maior popularidade nos anos 90. O computador, a grosso modo chamado, constitui uma interação entre dois elementos: a parte física, chamada de hardware, e a parte virtual, denominada software.
O hardware, que é um objeto material, tangível, sendo um bem corpóreo, se trata de um conjunto de peças fundamentais para o funcionamento do computador, armazenadas dentro de uma caixa a qual chama-se de “gabinete”. Esse, portanto, comporta, a CPU (central processing unit), do inglês “unidade central de processamento”, ou, simplesmente, “processador”, o qual é intimamente conhecido como “o coração do computador”, pois, se refere a um “[…] circuito integrado que controla todas as operações e o funcionamento do computador, responsável pela execução de cálculos, decisões lógicas e instruções que resultam em todas as tarefas que um computador pode fazer. […]” (KARAS, 2008), ou seja, esse executa todas as programações em tela que permite o usuário a ler, digitar, ver vídeos, ouvir músicas, jogar videogames, dentre outros, na máquina.
Além da CPU, comporta, também, a RAM (random access memory), do inglês “memória de acesso randômico”, ou, simplesmente, “memória RAM”, a qual armazena os dados das programações enquanto executadas, mas não de forma permanente, como quando armazena fotos no seu HD ou SSD, mas, temporariamente (Ib. Ibid.), ao executar um programa, como ao abrir o navegador, ou um player de música. Também, o próprio HD (hard drive), do inglês “disco rígido”, sendo, provavelmente, o hardware mais conhecido pelo público em geral, responsável por armazenar, de forma permanente, todos os dados inseridos no computador, desde o sistema operacional, programas e aplicativos, até vídeos, fotos, músicas, documentos, dentre outros. Tudo estará armazenado no HD.
Entretanto, diferentemente das peças acima tratadas, que são essenciais, existem alternativas ao HD, podendo ser o computador utilizado através de cartões de memória e pen drivers ou por SSD (solid-state drive), do inglês “unidade de estado sólido”, o qual é conhecido por ser uma evolução do HD, já que não utiliza partes móveis (o HD é composto por diversos discos dentro do mesmo, como se fossem CDs que guardam os arquivos), que torna sua taxa de transferência, e, portanto, sua velocidade na leitura e armazenamento de arquivos, muito mais rápida que a de um HD.
Por fim, todos os elementos necessários para o computador listados acima são integrados a uma grande peça chamada “placa mãe” ou “motherboard”, que liga, além delas, à fonte de energia, constituindo, assim, o computador pessoal. Existem outros elementos além desses que não se fazem relevantes serem tratados no momento, podendo, posteriormente, serem mencionados para fins de entendimento.
O hardware se enquadra, portanto, conforme os ensinamentos de Cristiano Chaves de Farias e Nelson Rosenvald, como bens corpóreos, ou seja, são aqueles “[…] que têm existência material, perceptível pelos sentidos humanos, como uma casa, um livro, um relógio. […]” (2017, p. 531).
A importância conceitual tanto do hardware, quanto do software, serve para, didaticamente, identificar onde o programa malfeitor irá atacar e o que se deve pleitear a respeito do ataque: o dano referente a máquina física em si ou o seu conteúdo virtual. O programa infectado encontrar-se-á armazenado tanto no HD, quanto na memória RAM, enquanto a máquina estiver em atividade. É importante, neste momento, dizer que, o dano causado pelo agente não interfere fisicamente na máquina. Não será a parte física do HD ou memória RAM a serem afetados, mas, sim, seu conteúdo virtual, o que melhor passará a ser entendido abaixo. O dano, portanto, da responsabilidade civil a respeito do ransomware não estará ligado aos danos causados na máquina em si, mas, naquilo que ela guarda e nos bens externos afetados por sua inutilização.
Em relação ao software, ele poderá ser entendido, a grosso modo, como “tudo aquilo que se vê em tela”. Seria como um conjunto de direcionamentos que servem para dizer o que o computador deve fazer (GOMES FILHO; FERREIRA; MACEDO; IGARASHI; TODESCO, 2008, p. 6), ou, ainda, um conjunto de linguagens ou códigos que formam a programação de uma determinada tarefa, seja de meio ou de fim, através de puro raciocínio lógico, de verdadeiro ou falso, de sim ou não, de 0 ou 1.
O software seria, portanto, um bem incorpóreo. Cristiano Chaves de Farias e Nelson Rosenvald definirão os bens incorpóreos como aqueles que, “[…] não têm existência materializável, sendo abstratos, de visualização ideal. Estes existem fictamente, através de disciplina jurídica […]”. (op. cit., p. 531) Portanto, não são palpáveis, não são físicos, lembrando a diferenciação anteriormente descrita entre o hardware e o software, sendo o primeiro a parte física e o segundo, a virtual. Sabe-se que existe simplesmente por aquilo que se vê.
Interessante notar que a Lei nº. 9.609, de 1998, a qual dispõe sobre a proteção da propriedade intelectual do software, bem como sua comercialização em âmbito nacional, conceitua, em seu art. 1º, de certa forma, a noção do que seria, como diz a legislação nacional, o “programa de computador”, in verbis:
“Programa de computador é a expressão de um conjunto organizado de instruções em linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo e para fins determinados.”.
Com isso, demonstra-se que o conceito legal abarca tudo o que já foi discutido anteriormente, porém, de forma mais detalhada: trata-se de um “conjunto organizado de instruções em linguagem natural ou codificada”, ou seja, as instruções são ligadas a uma linguagem de programação (ex.: Java, Phyton, C, etc.), podendo ser essa linguagem, natural ou codificada, afinal, linguagens como a C, utilizam-se, literalmente, de palavras naturais que determinam condições as quais, se executadas de uma ou outra forma, tem resultados diferentes (ex.: se uma soma for maior que 10, mostre na tela o resultado “a”; caso, menor de 10, mostre na tela ou resultado “b”), ou também utilizam-se de códigos, como a linguagem binária (0 e 1).
A segunda parte do artigo associa a interação entre o software e o hardware, ou seja, a parte virtual à parte física, o que é completamente lógico, momento em que o primeiro diz respeito justamente ao conjunto de instruções as quais são remetidas ao segundo para que o mesmo as execute (GOMES FILHO; FERREIRA; MACEDO; IGARASHI; TODESCO, op. cit., p. 7).
Outro ponto a destacar é que existem dois tipos de software: os de meio, também chamados de “softwares básicos” (Id. Ibid. p. 7) e os de fim, também chamados de “softwares aplicativos” (Id. Ibid. p. 7). Os de meio seriam àqueles que irão proporcionar os recursos os quais os de fim utilizarão para ser executados. São os programas-base para funcionamento dos demais, sendo, portanto, os sistemas operacionais (S.O.), a exemplo do Windows, o MacOS e o Linux, e os drivers, que dão suporte para o funcionamento de toda a estrutura de hardware do computador, desde o processador até a impressora, o mouse e teclado, dentre outros. Os de fim, por outro lado, são justamente os aplicativos que o usuário vai utilizar no computador, seja ele o navegador de internet, os editores de texto, os videojogos, os reprodutores de música, os visualizadores de fotos, dentre outros.
2.2. Malware
Feita a distinção entre o hardware e o software, passa-se a identificar um gênero de softwares, portanto, de programas / aplicativos virtuais, que age de forma maliciosa em um computador. Os malwares são softwares de fim que têm sua programação voltada a afetar a parte virtual do computador. Como diz Jônatas Araújo, são programas maliciosos ou, ainda, programas mal-intencionados (2018), que utilizam diversos métodos para atacar um usuário. Funcionam desde a executar propagandas indesejadas, fora do navegador de internet, até deixar o computador inutilizável.
Como dito acima, o malware é um gênero de programas maliciosos. Portanto, diferentemente do que se pensa o senso comum, não se fala aqui de “vírus”, afinal, o vírus é uma das espécies de malware. Para melhor entendimento, passa-se a elencar algumas das principais espécies de malware:
(a) Vírus: trabalha como um “paparazzi de dados”. Ao ser executado no computador, o mesmo se encarrega de enviar informações sobre o que usuário costuma acessar na internet, quais suas redes de amigos, quem são sua família, até mesmo suas transações bancárias. Hackers que se utilizam dos vírus, costumam vendem tais informações para empresas de publicidade (Id. Ibid.);
(b) Cavalo de Tróia: como o próprio nome diz, descende da famosa história de Tróia, quando os troianos, achando-se vitoriosos da guerra, ganham de seus inimigos uma escultura gigante de madeira em formato de um cavalo, a qual, na verdade, escondia guerreiros inimigos, os quais, à noite, saíram do cavalo e atacaram os troianos por dentro de sua fortaleza. O malware, em questão, atua da mesma forma. Ao ser executado num computador, o mesmo cria arquivos disfarçados de arquivos de programas que qualquer usuário tem em seu computador e, após, abre uma porta traseira de acesso no mesmo (Id. Ibid.) (como se concordasse que certo endereço da internet pudesse executar uma tarefa, o que é normal quando usado para a segurança dos usuários, a exemplo de programas pagos, como o Adobe Photoshop, quando verifica se sua licença é verdadeira), que se conecta a locais remotos, os quais, a partir daí, podem agir maliciosamente, momento em que tem acesso remoto ao computador;
(c) Worm: em tradução literal do inglês “minhoca”, é um tipo de malware que envia cópias de si mesmo à vários computadores (Id. Ibid.), e, quando chega no mesmo, passa a multiplicar-se automaticamente. O problema é que, ao multiplicar-se o tempo inteiro, acaba consumindo cada vez mais recursos do computador, enchendo a memória RAM e dificultando o trabalho do processador, causando lentidões e até travamentos na máquina até deixa-la inutilizável, fazendo com que o usuário reinicie a máquina, entretanto, todo o processo é iniciado novamente a nova inutilização;
(d) Spyware: Também como o próprio nome insinua, se trata de um verdadeiro espião. Diferencia-se dos vírus por conta da profundidade das informações que podem ser obtidas pelo spyware, enquanto os vírus buscam informações mais superficiais. Os setores de Tecnologia da Informação de diversas empresas utilizam-se de programas parecidos para espionar suas próprias máquinas, o que é permitido, afinal, são suas próprias máquinas e, portanto, eles têm autorização para tal. O spyware se torna um programa malicioso no momento em que o usuário do computador infectado não dá qualquer autorização para ser espionado (Id. Ibid.), além disso, ele nem sabe que está sendo espionado.
Portanto, verifica-se que o malware se expressa em diversas espécies as quais têm suas finalidades e modus operandi. O ransomware, o qual será tratado a seguir, e é objeto deste trabalho é um tipo de malware que também têm suas particularidades.
2.3. Conceito de Ransomware
Todas as informações trazidas até o momento serviram para delimitar o objeto desta pesquisa, o ransomware, como, também, o bem jurídico tutelado que o mesmo atingirá, ao qual será estudado mais para frente. Foi preciso entender toda a estrutura para saber como o mesmo atua e por que poderá ser um agente causador de dano passível de responsabilidade civil.
Baseando-se no que foi visto até o momento, tem-se que ransomware é um software e, portanto, é um conjunto de códigos, de programações, que forma um aplicativo que será executado em tela, utilizando-se dos recursos de hardware do computador (CPU, memória RAM, HD / SSD) para seu funcionamento. É um software de fim, ou seja, necessitará de um sistema operacional instalado na máquina para executá-lo em tela. Ademais, o ransomware é uma espécie de malware. Portanto, é um software malicioso / mal intencionado, utilizado para atacar um computador, seja ele um computador pessoal, um servidor ou até uma rede compartilhada, atacando diversos computadores ao mesmo tempo. Mas, afinal, como atua o ransomware?
Fazendo analogia à vida real, pode-se dizer que o ransomware é um “sequestrador”. Não um sequestrador de pessoas, mas, sim, de dados. Executado no computador, o mesmo criptografa todos os arquivos contidos na máquina, deixando-os inutilizáveis e, após, apresentará uma tela informando o que está acontecendo com a máquina e que o usuário somente poderá ter seus documentos de volta caso pague uma certa quantia (geralmente em criptomoedas) e informar sobre o pagamento através de um e-mail (supostamente impossível de rastrear) fornecido pelo(s) malfeitor(es). (Id. Ibid.).
Apesar de ser um malware relativamente novo, o ransomware já existia há um considerável tempo, porém, somente criptografando arquivos. Todavia, com a popularidade das moedas digitais, entre elas, a bitcoin, passou-se a pedir um resgate para que a máquina voltasse ao seu status quo. Surgiu, então, a mais conhecida espécie de ransomware, que é a Ransomware Petya.
Segundo Jônatas Siqueira de Araujo, o Petya passou a surgir em meados de 2017 na Europa, tendo o seu primeiro ataque na Ucrânia, com mais de 12.500 máquinas infectadas, espalhando-se por mais de 64 países. (Id. Ibid.) O malware chegou no Brasil no mesmo ano, sendo o ataque mais famoso ocorrido no Hospital do Câncer de Barretos, interior de São Paulo, interrompendo alguns processos assistenciais por quase uma semana, provocando dificuldades nos atendimentos aos pacientes após ter sofrido um ataque de ransomware e ter perdido importantes dados que promoviam sua operação. (COSSETTI, 2017)
Além desse, existem diversos outros tipos de ransomware a serem listados: Locky, WannaCry, Bad Rabbit, Ryuk, Troldesh, Jigsaw, CryptoLocker, GoldenEye, GrandCrab, dentre outros já existentes ou ainda que virão a existir futuramente. Todavia, o que cabe falar neste trabalho é sobre o ransomware de forma geral.
Claro que existem precauções a serem tomadas, como manter o sistema operacional sempre atualizado, ter um bom software antimalware instalado no computador e fazer a limpeza virtual da máquina regularmente, mas, o mais importante, é o usuário estar sempre atento ao que acessa na web, bem como os dados que baixa através dela. Às vezes, uma simples imagem baixada, poderá conter um ransomware escondido em seus metadados e, se a máquina for conectada a outras, em rede, ou, em se tratando de um servidor de uma empresa, por exemplo, poderá infectar todas as outras máquinas em cadeia.
- O Marco Civil da Internet e a Lei Geral de Proteção de Dados
Dois dos diplomas mais discutidos atualmente acerca do tema são o Marco Civil da Internet, Lei nº. 12.965/14, e a Lei Geral de Proteção de Dados, Lei nº. 13.709/2018, normas consideravelmente novas que tentam acompanhar o desenvolvimento da tecnologia da informação.
Promulgada em 23 de abril de 2014, o Marco Civil da Internet traz consigo diversos princípios e fundamentos em seus artigos 2º e 3º. No caput do art. 2º, o diploma faz menção ao princípio constitucional à liberdade de expressão.
É cediço e pacificado que, basicamente, toda norma referente à tecnologia da informação tem por fundamento o princípio constitucional da liberdade de expressão, essa positivada no art. 5º, inciso IV, da Constituição Federal, base, por óbvio, de um regime democrático, e na rede não seria diferente, ainda mais numa era globalizada. Entretanto, principalmente na internet, deve-se ter o cuidado para não extrapolar os limites da liberdade de expressão, afinal, atrás de uma tela, as pessoas se sentem mais tentadas a dizerem e fazerem o que querem, questão que é muito discutida e tem muitas divergências no Judiciário brasileiro. Mas uma coisa é certa, como ensina Augusto Marcacini, tal princípio visualiza tanto a extensão do que é dito ou feito, quanto os limites dessas ações, quando elas são realizadas de forma que não causem censura, sanção ou punição, que não ultrapasse direitos alheios. Respeitando tal limite e extensão, mesmo que o atingido se sinta ofendido, não seria caso de repressão por parte do Estado. (MARCACINI, 2016)
O reconhecimento da escala mundial da rede (art. 2º, I) já diz o óbvio, entretanto, o legislador fez questão de positiva-lo na referida norma, nada mais dizendo que o Estado brasileiro reconhece a escala global da rede como um todo, afinal, as interações on-line não ocorrerão somente em território nacional, mas, também, em território estrangeiro, o que delimitará, mais tarde, de quem seria a competência territorial caso um ilícito acontecesse virtualmente, respeitando a soberania de cada Estado de Direito.
O respeito aos direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais (art. 2º, II), é outra afirmação óbvia do legislador, momento em que, reafirmando o que Augusto Marcacini diz, não existe norma no ordenamento jurídico brasileiro que seja contrária aos direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania, momento em que já estaria implícito o disposto no referido inciso. (Ib. Ibid.) Há concordância com o referido autor de os direitos inerentes à pessoa humana estarem implícitos, entretanto, sabe-se que tais direitos não são absolutos, podendo sofrer flexibilizações em face de outros direitos de mesma proteção jurídica.
A pluralidade e a diversidade (art. 2º, III) se encaixam nas mesmas críticas já apresentadas, ou seja, baseado nos direitos humanos, não seria a lei quem limitaria o acesso à informação, podendo a internet ser usufruída por homens, mulheres, brancos, negros, ricos, pobres, deficientes, idosos, crianças etc.
A abertura e a colaboração (art. 2º, IV) remetem-se à “democracia participativa”. O legislador deu a entender que, tanto o Estado quanto seus governados trabalhariam de forma que torne a rede mais seguro e de qualidade (ABDET, 2010?), seja pelo conteúdo ou pela prestação do serviço de internet.
A livre iniciativa, a livre concorrência e a defesa do consumidor (art. 2º, V) trazem à tona tanto questões empresariais, quanto de consumo. Todavia, pode-se dizer, sem necessidade atual de aprofundamento no assunto, que, existem discussões acerca de uma possível concorrência desleal das empresas de vendas on-line, momento em que, em tese, não há uma limitação física quanto ao estabelecimento dessas. Quanto às questões de consumo, voltar-se-á mais à frente quando forem tratados os sujeitos da responsabilização.
Por fim, o último inciso do art. 2º (VI) do Marco Civil da Internet, fala sobre a finalidade social da rede. Sabe-se que a Carta de 1988 passou a dar foco na chamada “função social”, seja ela da propriedade, da empresa e, agora também, da rede. Baseado no art. 5º, inciso XXIII, do diploma máximo nacional, a finalidade social da rede diz respeito à sua utilização de forma a trazer benefícios à sociedade como um todo, promovendo todos os direitos inerentes a essa, bem como pode ser utilizada pelo setor público para abranger sua atuação, através de serviços públicos mais eficientes. (Id. Ibid.)
Quanto ao art. 3º, da Lei em comento, o primeiro inciso repete o que já foi disposto no caput do art. 2º, quanto à liberdade de expressão. Já no segundo inciso, traz algo que interessa a esta pesquisa: a proteção dos dados pessoais. Observe que, somente ao conceituar, anteriormente, o método e o objetivo do ransomware, de cara já se pode dizer que ele fere uma das primeiras disposições do Marco Civil da Internet, bem como a própria Constituição Federal, se for levar em conta a inviolabilidade do sigilo de dados, conforme o seu art. 5º, inciso XII. Questão essa que ainda encontra discussões a respeito de dados publicados pelo próprio usuário. (Id. Ibid.)
A preservação e garantia da neutralidade da rede (art. 3º, III) foi um dos pontos mais fortes da legislação em comento. O Marco Civil da Internet trouxe em tela o chamado “princípio da neutralidade de rede”. Para ele, não importa a informação fornecida na web, ela deve ser processada a todos, na mesma velocidade, impedindo que provedores passem a cobrar conforme o conteúdo acessado pelos consumidores. (ABDET, op. cit.)
A preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas (art. 3º, IV), diz respeito, justamente, à prestação do serviço de rede, que deve ser contínuo e sem interrupções sem fundamentos, sendo possível quando para manutenção ou migração de serviços. (Id. Ibid.)
A responsabilização dos agentes de acordo com suas atividades, nos termos da lei (art. 3º, V) insiste em deixar claro que a rede não é “terra-sem-dono”, o que é fundamental para a proposta de discussão acerca da responsabilidade civil aos ataques de ransomware, momento em que a lei, mesmo que de forma genérica, já abarca tal responsabilidade.
A preservação da natureza participativa da rede (art. 3º, VI), que basicamente repete os incisos III e IV, do art. 2º, bem como a liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos naquela norma (art. 3º, VII), que reafirma a livre concorrência e a livre iniciativa do inciso VI, do mesmo artigo e ambos do referido diploma. Por fim, dá margem à aplicação de outros diplomas normativos, bem como tratados internacionais ratificados pelo Brasil (art. 3º, parágrafo único).
O art. 4º fala sobre os objetivos da Lei, os quais se remetem ao direito de acesso à internet; ao acesso à informação; à ampliação de novas tecnologias, e; a adesão a padrões tecnológicos abertos facilitadores.
Por fim, o art. 5º traz diversos conceitos relativos a conexão à rede, sendo importante citar aqui os incisos III, referente a conceituação legal de endereço IP (internet protocol), o qual seria, in verbis, “[…] o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais; […]”, ou seja, cada usuário na internet, tem seu respectivo endereço IP, para identifica-lo, seja de onde acessa até quem é proprietário / possuidor daquele endereço; V, quanto a conexão à internet, a qual a lei conceitua como “[…] a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP; […]”, portanto, é inerente ter um endereço IP para o acesso à internet, é preciso dar sua identificação para navegar na rede. O que muitos malfeitores como os disseminadores de ransomware podem fazer é mascarar o endereço IP (isso na chamada “surface”, a internet que é, normalmente, navegada por todos, pois, na “deep web” a história poderá ser outra), atualmente através da VPN (“virtual private network” ou “rede privada virtual”). Mascarar quer dizer “se esconder”, “se fantasiar”, afinal, não seria possível adentrar à web sem o endereço IP, e, por fim; VI, quanto ao registro de conexão, a lei define como “[…] o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados; […]”. Com isso, o provedor de acesso ou de conexão contratado pelo usuário terá acesso ao registro de conexão deste último, podendo identificar o horário que a conexão foi utilizada, duração do uso, bem como o endereço IP utilizado pelo mesmo para o acesso de forma passiva e ativa na web.
Além do Marco Civil da Internet, outra norma bastante discutida e de conteúdo novo no ordenamento jurídico brasileiro é a chamada Lei Geral de Proteção de Dados Pessoais ou, simplesmente, LGPD, Lei nº. 13.709/18.[3] Trata-se de uma norma consideravelmente mais extensa que a anterior tratada e que dispõe sobre o tratamento dos dados pessoais, inclusive em meio digital (ou seja, não só nele), tendo por objetivo a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. Apesar de muito parecida com o Marco Civil da Internet, a diferença entre as duas é que a anterior tinha um foco mais específico no acesso à internet em si, enquanto esta tem um foco maior na proteção de dados pessoais.
Portanto, o ponto principal dessa norma, se liga mais ao próprio objeto da responsabilização, como nos casos de divulgação de dados por empresas, a exemplo do escândalo envolvendo o Facebook em 2018, e, não, a questão do sequestro e inutilização de dados. Com isso, a mesma não se adequa ao foco maior deste trabalho, momento em que este tem sua atenção voltada à própria responsabilização em face dos ataques do malware mencionado.
- Os Bens Jurídicos Tutelados e o Dano Reflexo
A discussão acerca dos avanços tecnológicos no meio da tecnologia da informação traz cada vez mais maior abrangência quanto aos bens juridicamente tutelados pela responsabilização civil de um malware. Como visto anteriormente, o ransomware opera em computadores pessoais e servidores de rede, seja numa empresa privada ou num órgão público, como foi citado, anteriormente, o caso do Hospital do Câncer de Barretos, no Estado de São Paulo. Como, muitas vezes, o trabalho ou até a vida de uma pessoa se encontra armazenada em computadores e servidores, seria possível distinguir o dano pela responsabilização em imediatos e mediatos.
Cristiano Chaves de Farias, Nelson Rosenvald e Felipe Peixoto Braga Netto (2017, p. 275) entendem tal nomenclatura, também, como dano reflexo ou em ricochete. Para esses,
“A imediatidade, como elemento do dano, possui íntima conexão com o nexo causal, pois os prejuízos indenizáveis são aqueles que decorrem direta e imediatamente do fato gerador (art. 403/CC). Estabelecida a indenizabilidade dos prejuízos que forem consequência direta e imediata do evento danoso, passa-se a discutir a extensão da obrigação de indenizar no que concerne a outros prejuízos mediatos ou indiretos. Busca-se estabelecer um limite para os prejuízos indenizáveis, pois uma aplicação irrestrita do princípio da reparação integral poderia gerar uma situação absurda. […].”
Portanto, no caso do ataque por ransomware, o dano imediato seria aquele que afetasse a máquina e os arquivos do usuário, que acabaram por ficarem inutilizados pela criptografia desses. O dano mediato, portanto, seria aquele intimamente ligado ao dano imediato, como uma consequência desse. Mas, devendo ser observado com certa razoabilidade o limite dessa extensão, por exemplo, o arquivo de um exame médico afetado pela criptografia do ransomware, pode trazer consequências jurídicas acerca da falta daquele documento, ou, do mesmo modo, a criptografia de um projeto ou um contrato empresarial, também trarão consequências que gerem prejuízos ao usuário.
Atente-se que, por esses exemplos, já se demonstra a possibilidade de ocorrer um dano reflexo / em ricochete, justamente por não atingir somente o usuário, mas, também, terceiros. Inicialmente, quando se pensa em dano reflexo, lembra-se a hipótese do homicídio no art. 948, do Código Civil. Entretanto, conforme o Enunciado nº. 560, do Conselho de Justiça Federal, sua manifestação não se restringe somente a essa hipótese, tendo em vista diversos casos em que o mesmo poderá ocorrer. (Id. Ibid., p. 281)
Com isso, pode-se concluir que o dano atingirá bens jurídicos, seja de forma imediata ou mediata, desde que, para esse último, haja uma interligação com o dano imediato e que sua extensão seja razoável, não havendo um limite legal que o determine, mas que pode ser levado em consideração o art. 948, do CC, que trata do dano reflexo em caso de homicídio, bem como a situação de cada caso concreto.
- Os Sujeitos da Responsabilização
Apesar de o ataque por ransomware se dar através do âmbito virtual, muitas vezes pelos inúmeros compartilhamentos de arquivos até chegar ao usuário atingido, o referido programa foi desenvolvido e postado através de uma ação humana e, portanto, o agente que o criou ou disseminou torna-se responsável pelos danos aos bens jurídicos de outrem. Entretanto, na prática, existe certa dificuldade em identificar e responsabilizar os malfeitores. Por conta disso, além desses, deve-se identificar se existem terceiros a serem responsabilizados, de forma indireta por tal ato.
5.1. Os Agentes Diretos: Os Criadores ou Disseminadores do Ransomware
Quanto a responsabilidade civil no ordenamento jurídico brasileiro, será responsabilizado civilmente o sujeito que, por ato ilícito, causar dano a outrem, ficando obrigado a repará-lo. É justamente o que diz o art. 927, do Código Civil, que, ao falar de “ato ilícito” faz explícita referência aos arts. 186 e 187, do mesmo diploma.
O art. 186 fala sobre dano causado por ação ou omissão voluntária, negligência ou imprudência, enquanto que, no art. 187, fala sobre o abuso de um direito. Não seria preciso fazer muito esforço para compreender que a edição e divulgação de um programa malicioso de computador, como é o ransomware, capaz de sequestrar dados para obter valores econômicos e que, caso o usuário não cumpra o demandado pelo malfeitor, o mesmo os perderá, ou, ainda, poderá ter tais dados divulgados publicamente, tem por trás, uma ação voluntária, nos termos do art. 186, do Código Civil.
Com isso, falar da responsabilidade civil do criador ou do usuário transmissor do ransomware pode parecer óbvio para muitos, porém, o óbvio pode ser extremamente custoso, momento em que encontrar os referidos responsáveis por criar e disseminar o programa malicioso é uma tarefa árdua e onerosa para o sujeito lesado, momento em que se torna mais fácil buscar a responsabilização em terceiros que tenham o dever de proporcionar segurança na navegação on-line do que nos culpados diretos, simplesmente pelos mesmos não deixarem quaisquer vestígios.
Claro que uma conduta ilícita não deve sair impune de responsabilização, cabendo ao Estado investir na inteligência dos órgãos de segurança pública para identificação dos malfeitores. Mas, o que faz ser tão difícil encontrar os agentes diretos dos ataques?
Em primeiro lugar, apesar de os ataques acontecerem na internet comumente acessada, a chamada surface, a qual os usuários podem pesquisar inúmeros sites através dos indexadores de busca, a exemplos do Google e do Bing, existe outra, conhecida como “a parte da geleira que não é vista”, ou, simplesmente, a deep web.
Conforme Jack Jones (2010?), a deep web é acessada através do navegador “Tor”, o qual foi desenvolvido, inicialmente, para fins militares. Todavia, passou a ser distribuído publicamente, podendo ser utilizado por qualquer pessoa com acesso à rede. Se trata de um sistema constituído por diversos roteadores privados, responsáveis pelo tráfego de informações, e que criam lotes de servidores, de forma aleatória, tornando cada vez mais difícil detectar páginas ou pessoas, permitindo ao usuário do sistema, uma quase infalível proteção anônima.
A deep web também não conta com indexadores de busca, já que o anonimato é justamente a proposta da mesma, momento em que não se pode simplesmente pesquisar por “compras no mercado negro”, por exemplo, e achar diversos sites. Seria um prato cheio para qualquer investigação policial ou perícia judicial.
Quanto a VPN, segundo informações da Kaspersky (2010?), ela atua de forma semelhante à deep web, mas, aqui, não são criados domínios numa rede privada, e, sim, mascara as atividades do usuário na surface, momento em que os dados de acesso são transferidos a outro servidor e criptografados, fazendo com que o sujeito navegue no Google, por exemplo, de forma anônima, inclusive podendo ser acessado em países que proíbem o site exemplificado. Felizmente, o uso massivo da VPN se dá por serviços contratados a empresas, como a própria Kaspersky, que poderia ser chamada a ser ouvida num caso de um ataque feito por um suposto cliente.
Portanto, num processo judicial sobre a responsabilização civil de um ataque de ransomware, debruçar-se na perseguição do responsável direto pelo dano pode gerar custos e tempos que ultrapassariam à própria demanda, podendo estar o agente localizado no outro lado do mundo, escondido atrás da deep web ou, mesmo que mascarado por VPN, uma cansativa burocracia internacional seria eminente. Mas isso não quer dizer que, no final das contas, o dano não será reparado.
5.2. Os Agentes Indiretos: Os Provedores de Internet
Quando se fala de provedores, esses se referem a todos os provedores de internet, ou seja, gênero do qual comporta espécies. Seria o mesmo conceituado, conforme Nancy Andrighi, como “[…] a pessoa natural ou jurídica que fornece serviços relacionados ao funcionamento da internet, ou por meio dela”. (apud COLAÇO, 2015, p. 3)
Não estamos aqui falando do responsável direto, ou seja, aquele que efetuou diretamente o dano por meio de ato ilícito, com intenção de prejudicar o outro, mas, sim, daquele que deveria prover a segurança na navegação do usuário de boa-fé e não o fez.
Hian Silva Colaço ainda identifica a relação entre provedor e usuário como uma relação de consumo, na categoria “fornecedor de serviços”, independentemente de a prestação ser gratuita ou onerosa, tendo em vista os inúmeros e invasivos “ad senses”, ou, simplesmente, propagandas (Ib. Ibid., p. 3). Também confirmarão Claudomiro Batista de Oliveira Júnior e Dayane Karla Barros de Farias (OLIVEIRA JÚNIOR; FARIAS, 2000?) que, mesmo sendo oferecido o serviço de forma gratuita, a exemplo do Facebook ou do Instagram, não exime essas de responder pelo art. 927, do Código Civil.
São diversos os provedores de internet, sendo os principais listados a seguir, com suas particularidades e formas de responsabilização ou da ausência dessa.
O primeiro deles é intitulado como provedor de backbone. Conhecida como a “espinha dorsal” da internet (COLAÇO, op. cit., p. 6), ela justamente atua como uma mediadora entre tudo o que pode ser acessado em determinado local. O usuário, ao tentar acessar determinado site, utiliza-se do endereço do mesmo, do qual é enviado à backbone e essa o localizará e analisará se deve dar o acesso ou não, porque alguns conteúdos podem ser bloqueados em determinados países. É como pensar, por exemplo, o porquê de o YouTube ou a Netflix não deixarem usuários brasileiros ter acesso a determinados conteúdos estrangeiros, ou determinados sites não funcionarem especificamente aqui no Brasil. O acesso em si é controlado pela backbone.
No Brasil, pode-se exemplificar como provedores de backbone a Brasil Telecom, a Rede Nacional de Ensino e Pesquisa (RNP), dentre outros. Mas, é importante repetir, somente o acesso em si é controlado pela backbone, o que faz entender com isso que, não se refere ao seu conteúdo. A mesma não é responsável pelo o que é emitido em tela para o usuário, não tem ideia de como funciona os termos de uso dos sites, não controla seus servidores e muito menos o que é ou não postado pelos usuários, é simplesmente uma ferramenta que busca e dá (ou não) o acesso aos diversos domínios.
Laíss Targino Casullo de Araújo e Sérgio Cabral dos Reis afirmam que os provedores de backbone não são passíveis de responsabilização pelas postagens de terceiros, momento em que esses não fiscalizam, nem mesmo têm acesso a tais conteúdos. (ARAÚJO; REIS, 2011)
Portanto, como em nada a backbone interfere na relação concreta na própria internet, não há o que se falar em responsabilidade civil da mesma caso o usuário seja infectado por uma ransomware, respondendo, somente, por falhas na prestação de seu serviço.
Outra espécie de provedor, refere-se ao provedor de acesso, prestador de serviço que se relaciona diretamente com o usuário final. O mesmo utiliza-se da estrutura do provedor de backbone, fornecendo ao usuário o endereço de IP, com o respectivo acesso à internet. Ademais, tais provedores advêm de sites famosos que, além do referido serviço prestado, também fornece e-mail, antivírus e outros produtos em seu pacote. Estamos falando, aqui no Brasil, de empresas ligadas ao IG, Terra, UOL, ou até a própria Oi, Vivo, dentre outros. Quem chegou a utilizar a saudosa internet “discada”, acessava a mesma por meio dos “discadores”. Esses geralmente tinham as respectivas logos e propagandas do provedor de acesso.
Quanto à responsabilidade civil do provedor de acesso, entendia-se, inicialmente, que esse poderia responder por seus atos próprios, bem como por atos de terceiro. Ou seja, enquanto a responsabilidade por seus atos próprios se daria de forma objetiva (a exemplo de lesões decorrentes da falha na prestação de seus serviços, nos termos do art. 12, do CDC, serviços esses, como dito, que não englobam somente a disponibilização do acesso à internet), a responsabilidade por atos de terceiros, se daria de forma subjetiva, em razão, evidentemente, de não ser o mesmo o responsável direto pela lesão, momento em que deveria provar sua culpa caso houvesse omissão em identificar e minimizar os danos causados pelo terceiro. (ARAÚJO, op. cit.)
Entretanto, tal entendimento foi superado com a promulgação do Marco Civil da Internet, o qual, em seu art. 18, o mesmo preceitua que, o provedor de acesso não poderá mais ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
E, ainda, em seu art. 13, afirma que o provedor de acesso tem a responsabilidade de manter o registro de acesso do usuário sob sigilo, pelo prazo de 1 (um) ano, podendo ser prorrogado por tempo superior, sem especificar um limite, mediante requerimento de autoridade policial ou administrativa, ou, ainda, pelo Ministério Público (§ 2º). Ademais, a responsabilidade do provedor de acesso é personalíssima, ou seja, não poderá delegar a terceiros, conforme § 1º, do mesmo artigo. Todavia, não podendo guardar em sigilo o registro de acesso do provedor de aplicações de internet (art. 14), tendo este último, também, dever de sigilo aos demais, porém em prazo inferior aos dos provedores de acesso, 6 (seis) meses.
Também há os provedores de conteúdo ou de aplicações que, nas palavras de Scavone e Bergamaschi, “[…] são empresas que fornecem tecnologia de informação para distribuição on-line. […].”. (SCAVONE; BERGAMASCHI, 2011) Ou seja, remetem-se à sites ou grupos de sites que fornecem conteúdo e informação. Pode-se citar, dentre eles, as redes sociais, como Facebook, Instagram, Linkedin, entre outras, além de sites de notícias, como G1 e R7, no Brasil, de conteúdo diverso, como o Terra e UOL e inúmeros outros.
Conforme Carlos Roberto Gonçalves, a responsabilidade civil do provedor de conteúdo seria objetiva, uma vez que, ao permitir postagens em seu site, estaria assumindo o risco de, em algum momento, lesar direito de outrem, referindo-se tanto às postagens próprias, quanto as postagens feitas por terceiros. (apud KAZMIERCZAK, 2007)
Portanto, Carlos Roberto Gonçalves evidencia aqui a aplicação da teoria do risco, a qual, para ele, a responsabilização se daria por conta do exercício de atividade que possa causar algum perigo, algum risco de dano a direito de outrem, sendo obrigado a assumir a responsabilidade caso o dano advenha do mesmo . (GONÇALVES, 2017, p. 21) A teoria do risco se encontra positivada no art. 927, parágrafo único, do Código Civil, in verbis: “Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”.
Kazmierczak, ainda, diz que, em relação aos conteúdos próprios, tais provedores respondem diretamente, ainda que contratem profissionais que alimentarão seu acervo de conteúdo, a exemplo de sites jornalísticos ou que, apesarem de não serem jornalísticos, fornecem notícias. O Judiciário brasileiro faz analogia com a área da imprensa, aplicando a Lei nº. 5.250/67 a tais casos, assemelhando os provedores de conteúdo aos editores de jornais, momento em que, em tais casos, poderá até ser aplicada a Súmula nº. 221, do Superior Tribunal de Justiça, a qual responsabiliza civilmente, tanto o autor quanto o proprietário do veículo de informação, acerca do dano decorrente de publicação pela imprensa. Entretanto, teria que se verificar se houve controle editorial por parte do provedor. Se sim, o mesmo responde diretamente. Caso não, responde solidariamente com o criador do conteúdo. (KAZMIERCZAK, op. cit.)
Entretanto, conforme o referido autor, caso se trate de conteúdo postado por terceiro na página inicial do site, como ocorre em fóruns, por exemplo, em regra não haverá controle prévio de conteúdo por parte do próprio provedor, o que retira a possibilidade de responsabilização do mesmo, já que acontece em tempo real. Todavia, havendo diferença no tempo entre a postagem e a visualização da mesma na página inicial do site, haverá a possibilidade de responsabilização solidária (Id. Ibid.), somente se, após ordem judicial, não tomar quaisquer providências a fim de retirar o conteúdo malicioso da rede (art. 19, do Marco Civil da Internet). Tal entendimento é evidenciado no Recurso Especial nº. 1.641.133-MG (STJ, 2017), do qual segue ementa abaixo:
“EMENTA. CIVIL E PROCESSUAL CIVIL. RECURSO ESPECIAL. GOOGLE. YOUTUBE. AÇÃO DE REPARAÇÃO POR DANOS MORAIS. CONTEÚDO REPUTADO OFENSIVO. DANO MORAL. RESPONSABILIDADE SUBJETIVA DO PROVEDOR. NOTIFICAÇÃO JUDICIAL. DESCUMPRIMENTO. RESPONSABILIDADE SOLIDÁRIA COM OFENSOR. REDUÇÃO DO VALOR DA MULTA PELO DESCUMPRIMENTO DE ORDEM JUDICIAL.”
Quanto aos provedores de correio eletrônico ou e-mail, se referem, por óbvio, aos prestadores de serviços de correio eletrônico, podendo ser elencados o Gmail, da Google, o Yahoo Mail, o Outlook, da Microsoft, dentre outros. É um dos principais meios de ataques de malwares. Não é incomum ouvir falar que algum parente ou conhecido, ao abrir um suposto e-mail, prometendo um bônus, acabou infectando o computador ou smartphone com um Cavalo de Tróia ou até mesmo um ransomware.
É cediço que se fala de e-mails suspeitos, mas a atuação dos malfeitores estão cada vez mais inteligentes. Atualmente, os mesmos conseguem clonar as mensagens originais de diversas empresas. Então, ao usuário que recebe mensagens quando chega a fatura de sua conta telefônica, pode dar de cara com uma tela exatamente igual, mas que, na verdade, é falsa, com o objetivo de fazer algum mal. Importante que o usuário verifique o endereço eletrônico do destinatário, pois, às vezes, um ponto entre “[email protected]”, pode fazer toda a diferença. Mas, como esse confia num serviço de boa-fé ali prestado, muitas vezes não se atentará.
Assim como o provedor de acesso, a responsabilidade civil dos provedores de e-mail por atos próprios, é objetiva, não se respondendo somente nos casos em que provar: “[…] I – que, tendo prestado o serviço, o defeito inexiste; II – a culpa exclusiva do consumidor ou de terceiro. […]” (art. 14, § 3º, do CDC). (COLAÇO, op. cit., p. 9)
Se podemos utilizar da Constituição para responsabilizar, também podemos interpretá-la para que essa responsabilização não ocorra. Portanto, entende-se que não responderá o provedor de e-mail por ato praticado por terceiro, momento em que, pelo próprio respeito ao sigilo da correspondência eletrônica, teoricamente o mesmo não tem controle do conteúdo das mensagens, apenas serve como um intermediador entre elas. Todavia, em casos de spams, Tartuce, “[…] considera tal prática hipótese de abuso de direito, suscetível de reparação civil. Isso porque exterioriza conduta contrária à boa-fé objetiva, na medida em que o usuário sequer solicitou envio nem forneceu endereço de e-mail.”. (apud COLAÇO, op. cit., p. 9) Alguns provedores de e-mail já têm mecanismos que evitam o spam, como é o caso do Gmail, que os remete à uma “caixa” específica, somente acessada se o usuário assim queira. Não havendo controle de spam e o usuário assim seja infectado, o entendimento é de que houve abuso de direito, respondendo o provedor por isso.
Interessante que Hian Silva Colaço, em citação acima, traz um ponto importante que é o caso de a conta do usuário ser invadida por hacker. O usuário, confiando na prestação do serviço, cria uma conta naquele site, utilizando de diversas credenciais e gerando um endereço e uma senha, sendo, posteriormente, invadido por um terceiro. O referido autor menciona a interpretação constitucional hoje reconhecida que o sigilo de correspondência (art. 5º, XII, da Constituição Federal), estende-se à correspondência eletrônica. Portanto, seria como se alguém, dentro do prédio dos Correios, violasse todas as suas correspondências ou fizesse algum mal em seu nome, tendo em vista que as diversas contas criadas em sites pela internet (redes sociais, bancos, shoppings, etc.), têm seu ponto de restauração através de seu e-mail.
Neste caso, não se falaria culpa exclusiva do consumidor ou de terceiro, momento em que, se o servidor pertencente àquela empresa foi violado, a mesma deverá responder, de forma objetiva, por má prestação em seu serviço, de forma que, como dito anteriormente, os servidores de rede carecem de uma maior proteção, nos quais se investem bastante em suas manutenções. O fundamento de que o provedor não é responsável porque teve seu servidor violado, é inadmissível.
Outra hipótese trata dos provedores de hospedagem ou hospedeiros ou, ainda, provedores de hosting. os quais se tratam de pessoas jurídicas que fornecem serviços de armazenamento de sites à outras pessoas jurídicas ou naturais. Portanto, quando a Coca-Cola contrata um serviço de hosting à HostGator ou à UOL Host, por exemplo, as quais são provedores de hospedagem, ela visa armazenar o seu site na internet através desses.
Sendo esses, provedores de armazenamento de sites, duvidoso compreender que o mesmo seria responsável pelo conteúdo dos mesmos. Armazenar, significa guardar. Guardar, entretanto, não pressupõe que o provedor tenha acesso ao conteúdo armazenado. Seria, praticamente, a mesma analogia dos provedores de e-mail, os quais transmitem as mensagens enviadas, mas não têm acesso ao conteúdo das mesmas.
Uma excelente analogia acerca do tema foi feita por Sebastião de Oliveira Castro Filho, que diz que “[…] O site é como um cofre no qual seu proprietário guarda o que lhe for conveniente ou útil; o provedor de hospedagem apenas o armazena. Como não tem acesso ao conteúdo do cofre, por ele não pode responsabilizar-se. […]”. (CASTRO FILHO apud SANTOS, 2012)
Érica Barbagalo, confirma que não se poderia presumir a fiscalização por parte do provedor de hospedagem acerca das postagens de seus clientes, os provedores de conteúdo, afinal, necessitariam da autorização dos mesmos e, mesmo que houvesse, a quantidade de sites que os mesmos hospedam, impossibilita tal atividade. (apud SANTOS, op. cit.)
Por fim, existem os provedores de busca, os quais se tratam de indexadores de sites que facilitam a busca dos mesmos, ou seja, sem eles, se haveria que digitar o endereço completo de um site toda vez que quiséssemos entrar no mesmo, ex.: “www.unijorge.edu.br”. Com os provedores de busca, basta-se digitar “Unijorge” no campo de busca, que os resultados serão voltados àquele site, dando maior praticidade de conectá-lo a um clique. Podemos citar como os exemplos mais famosos, o Google e o Bing.
Segundo a Ministra do Superior Tribunal de Justiça, Nancy Andrighi, no julgamento do REsp 1.067.738/GO, a natureza da atividade é que determinará a dimensão do risco proveniente dessa. Para a mesma, “[…] o risco que dá margem à responsabilidade objetiva não é aquele habitual, inerente a qualquer atividade. Exige-se a exposição a um risco excepcional, próprio de atividades com elevado potencial ofensivo”. (ANDRIGHI, 2012, p. 5)
Conforme o Enunciado nº. 38, da I Jornada de Direito Civil (BRASIL, 2000?),
“A responsabilidade fundada no risco da atividade, como prevista na segunda parte do parágrafo único do art. 927 do novo Código Civil, configura-se quando a atividade normalmente desenvolvida pelo autor do dano causar a pessoa determinada um ônus maior do que aos demais membros da coletividade.”
Portanto, no meio virtual, não poderia, numa ação de dano moral, por exemplo, ser alegada a teoria do risco para as atividades exercidas pelos provedores de busca, momento que não se tratam de atividades de risco. (BARBAGALO apud ANDRIGHI, op. cit., p. 5)
Visualizando isso, estuda a supramencionada ministra que, existem precedentes de casos análogos, referentes aos provedores de conteúdo, nos quais o Superior Tribunal de Justiça vem firmando entendimento de que, ao ser disseminado conteúdo ofensivo ou perigoso e o provedor é devidamente comunicado a respeito, o mesmo deverá agir de forma imediata a fim de retirar o conteúdo do ar. Todavia, para os provedores de busca, a situação é diferente, momento em que, diferentemente do provedor de conteúdo que tem o poder de fiscalizar as postagens em seus sites, os de busca indexam e listam sites de terceiros, sendo, literalmente, milhões deles, não havendo uma central de denúncias da Google, por exemplo, para que retire determinado conteúdo de sua listagem. Com isso, mesmo que o ofendido localize a URL (Universal Resource Locator ou, a grosso modo, o endereço do site), o qual se encontra o conteúdo malicioso, seria mais efetivo que pleiteasse ao Judiciário a retirada da página em si, do que demandar ao provedor de busca a retirada do mesmo de sua listagem. (Id. Ibid., p. 9/10)
Portanto, em síntese trazida pela Ministra, Nancy Andrighi (Id. Ibid., p. 9/10), os provedores de busca:
“(i) não respondem pelo conteúdo do resultado das buscas realizadas por seus usuários; (ii) não podem ser obrigados a exercer um controle prévio do conteúdo dos resultados das buscas feitas por cada usuário; e (iii) não podem ser obrigados a eliminar do seu sistema os resultados derivados da busca de determinado termo ou expressão, tampouco os resultados que apontem para uma foto ou texto específico, independentemente da indicação do URL da página em que este estiver inserido.”
Com isso, pode-se sintetizar, quanto à responsabilização dos provedores de internet, o seguinte: os provedores de backbone não poderiam ser responsabilizados; os provedores de acesso somente seriam responsabilizados por seus atos, e os de conteúdo seriam diretamente responsabilizados por seus atos e, subjetivamente, por atos de terceiros; os provedores de e-mail também respondem diretamente por seus atos, e, objetivamente, caso haja invasão hacker, não respondendo por atos de terceiros, tendo em vista ao sigilo nas comunicações, protegido constitucionalmente; os provedores de hospedagem não poderiam ser responsabilizados, tendo a vista a característica análoga a um cofre, cabendo aqui, também, o princípio relativo ao sigilo nas comunicações, e; por fim, os provedores de busca que, pelo caráter de indexadores e listadores de diversos sites ao mesmo tempo, com sua relevância administrada pelo algoritmo, tornando inviável a fiscalização e proteção deste aos usuários, não poderiam ser responsabilizados pelos ataques.
Considerações Finais
Diante de todo o exposto, o presente trabalho se propôs a evidenciar se há a possibilidade de responsabilização civil nos casos de ataques de ransomware, e se terceiros podem ser responsabilizados por tal, diante do risco ou da efetiva lesão aos diversos bens jurídicos tutelados pelo ordenamento jurídico pátrio. Ao longo desta pesquisa, foi cada vez mais esclarecido que sim, apesar de todas as limitações que a legislação pátria vigente ainda tem acerca do assunto, havendo uma atuação maior do Poder Judiciário na resolução de conflitos, não especificamente ligados ao ransomware, mas, semelhantes a esse, cabendo os entendimentos e as decisões aqui demonstrados.
Por intermédio dos objetivos específicos na produção deste trabalho, foram conceituados tantos os elementos de informática, quanto os tipos e malware e, por fim, o ransomware, que ajudaram a delimitar acerca do que se trata de fato este último para, após, saber suas consequências jurídicas. Ademais, procurou-se interpretar as atuais legislações ligadas ao tema, sendo estudados o Marco Civil da Internet – Lei nº. 12.965/14, e a Lei Geral de Proteção de Dados (LGPD) – Lei nº. 13.709/18 e, verificando que a primeira, apesar de não ter tratamento específico, traz normas abrangentes e princípios norteadores que geram um leque de possibilidades para interpretações jurídicas, em especial para magistrados que não utilizarão somente dos usos e costumes, mas, também, dos princípios dessa Lei, enquanto que o segundo diploma não tem um caráter específico para o tema aqui tratado, estando mais ligado ao próprio objeto da responsabilização, todavia, em casos de divulgação de dados por empresas, por exemplo, e, não, a questão do sequestro e inutilização de dados, como é o caso do malware tratado neste trabalho.
Entretanto, a mesma se mostra importantíssima para uma futura pesquisa acerca de um novo tipo de ransomware que foi tema de notícia nos últimos meses que antecedem à data deste trabalho, o chamado “Maze”, que, além de sequestrar e inutilizar os arquivos do usuário, divulgam os mesmos caso esse não o pague resgate. Um dos casos relatados pela Kaspersky, foi de uma empresa que se recusou a pagar os malfeitores, tendo vazado diversos dados da mesma, inclusive contratos, acordos de rescisão e certificados digitais. (RODRIGUES, 2020)
Estudada a atual legislação acerca do tema, foram definidos os possíveis bens jurídicos tutelados violados pelo ataque de ransomware, os quais dividimos em intrínsecos e extrínsecos. Os bens intrínsecos dizem respeito aos dados digitais em si, como arquivos de documentos, fotos, programas e outros de interesse pessoal ou profissional. Já os bens extrínsecos, seriam àqueles fora da tela, atingidos, de forma indireta, pelo ransomware, afinal, cada arquivo contido numa máquina, pode ter interesse no mundo físico, ainda mais se tratar de uma empresa ou um hospital, por exemplo, nos quais os prejuízos seriam maiores.
Por fim, foram elencados todos os possíveis agentes do dano, começando pelo criador ou usuário do malware que, de fato responderia com base no art. 927, do Código Civil, entretanto sua localização e consequente qualificação se torna tão difícil e custosa que foi preciso identificar cada um dos possíveis responsáveis indiretos, os provedores de internet. Dentre todos os elencados, os que, efetivamente responderiam civilmente pelos ataques promovidos por terceiros seriam os provedores de conteúdo e, excepcionalmente, os provedores de e-mail em casos de invasão por hackers.
Com tudo isso, chegou-se à conclusão geral de que, ainda que de forma restrita, há a possibilidade de ressarcimento do dano proveniente de ataque por ransomware, devendo o ofendido, a depender de cada caso isolado, demandar ao provedor de conteúdo ou de aplicação, além de, caso possível, o próprio agente direto do dano.
Por fim, cabe recomendar ao leitor um conhecido ditado popular que diz ser melhor ir pela prevenção do que pela remediação, ou seja, a tecnologia atual tem diversos mecanismos de prevenção aos ataques não só de ransomware, como, também de outros malwares. É importante sempre manter o computador, o smartphone, tablet, servidor, dentre outros máquinas, sempre atualizadas com a versão mais recente de seus respectivos sistemas operacionais. Além disso, também é importante sempre ter um antivírus e anti-malware instalados nas mesmas, fazer backups de seus dados, inclusive nos serviços de nuvem e sempre tomar um cuidado manual ao navegar nos mais diversos sites, inclusive naqueles tidos como “confiáveis”, não clicando em qualquer anúncio duvidoso que apareça ou abrindo e-mails e arquivos dos quais não tenha certeza se são ou não maliciosos.
Referências
ABDET, Academia Brasileira de Direito do Estado. Comentários ao Marco Civil da Internet. ABDET.com.br. Disponível em: <https://abdet.com.br/site/wp-content/uploads/2015/02/MCI-ABDET..pdf>. Acesso em: 06 abr. 2020.
ANDRIGHI, Fátima Nancy. A responsabilidade civil dos provedores de pesquisa via internet. Revista do Tribunal Superior do Trabalho, São Paulo, v. 78, n. 3, p. 64-75, jul./set. 2012. JusLaboris. Disponível em: <https://hdl.handle.net/20.500.12178/34301>. Acesso em: 10 mai. 2020. P. 5/11 (68/74).
ARAÚJO, Jônatas Siqueira de. Malware. 1ª ed. São Caetano do Sul: Perícia Digital. 2018. Ebook. ISBN: 978-85-921322-1-7. Disponibilizado pela Amazon Kindle Unlimited.
ARAÚJO, Laíss Targino Casullo de; REIS, Sérgio Cabral dos. Responsabilidade civil dos provedores de conteúdo de internet. Âmbito Jurídico, 2011. Disponível em: <https://ambitojuridico.com.br/edicoes/revista-93/responsabilidade-civil-dos-provedores-de-conteudo-de-internet/>. Acesso em: 08 jun. 2020.
CASTRO FILHO, Sebastião de Oliveira apud SANTOS, Sabrina Zamana dos. A responsabilidade civil dos provedores de hospedagem e conteúdo de Internet e a proteção dos direitos da personalidade. Âmbito Jurídico, 2012. Disponível em: <https://ambitojuridico.com.br/edicoes/revista-100/a-responsabilidade-civil-dos-provedores-de-hospedagem-e-conteudo-de-internet-e-a-protecao-dos-direitos-da-personalidade/>. Acesso em: 07 mai. 2020.
COLAÇO, Hian Silva. Responsabilidade civil dos provedores de internet: diálogo entre a jurisprudência e o marco civil da internet. Revista dos Tribunais, S.l., 2015. Disponível em: <http://www.mpsp.mp.br/portal/page/portal/documentacao_e_divulgacao/doc_biblioteca/bibli_servicos_pr dutos/bibli_boletim/bibli_bol_2006/RTrib_n.957.05.PDF >. Acesso em 25 abr. 2020. p. 3/9.
COSSETTI, Melissa Cruz. Petya já chegou ao Brasil, novo ramsonware lembra caos do WannaCry. TechTudo. 2017. Disponível em: <https://www.techtudo.com.br/noticias/2017/06/petya-ja-chegou-ao-brasil-novo-ramsonware-lembra-caos-do-wannacry.ghtml>. Acesso em: 05.04.2020.
FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; BRAGA NETTO, Felipe Peixoto. Curso de Direito Civil, Vol. 3: Responsabilidade Civil. 4ª ed. Salvador: JusPodivm, 2017. P. 275/281.
FARIAS, Cristiano Chaves de; ROSENVALD, Nelson. Curso de Direito Civil, Vol. 1: Parte Geral e LINDB. 15ª Ed. Salvador: JusPodivm, 2017, p. 531.
GOMES FILHO, Antônio Costa; FERREIRA, Marcus Vinícios; MACEDO, Michael Kramer Borges de; IGARASHI, Wagner; TODESCO, José Leomar. Importância do Hardware e Software em Organizações Ligadas ao Governo Eletrônico. Revista Capital Científico. Guarapuava – PR, v.6, n.1, 2008, p. 127-144. Disponível em: <https://revistas.unicentro.br/index.php/capitalcientifico/article/view/807>. Acesso em: 01 mar. 2020. P. 6/7 (131/132).
GONÇALVES, Carlos Roberto. Direito Civil Brasileiro, vol. 4: Responsabilidade Civil. 12ª ed. São Paulo: Saraiva, 2017. p. 21.
JONES, Jack. Hacking & Tor: The Complete Beginners Guide To Hacking, Tor, Accessing The Deep Web & Dark Web (How to Hack, Penetration Testing, Computer Hacking, Cracking, … Deep Web, Dark Web, Deep Net, Dark Net) S.l.: S.n. Ebook. ASIN: B077NDSP3L. Disponibilizado pela Amazon Kindle Unlimited.
JORNAL DA EPTV 1ª EDIÇÃO. Após ciberataque, Hospital de Câncer de Barretos estima 5 dias para normalizar atendimentos em todo o país. G1, S.l., 2017. Disponível em: < https://g1.globo.com/sp/ribeirao-preto-franca/noticia/apos-ciberataque-hospital-de-cancer-de-barretos-estima-5-dias-para-normalizar-atendimentos-em-todo-o-pais.ghtml>. Acesso no dia: 21. set. 2019.
KARAS, Felipe. Você sabe o que é uma CPU? TecMundo, 2008. Disponível em: <https://www.tecmundo.com.br/intel/209-voce-sabe-o-que-e-uma-cpu-.htm>. Acesso em: 07 mar. 2020.
KAZMIERCZAK, Luiz Fernando. Responsabilidade civil dos provedores de internet. Migalhas, 2007. Disponível em: <https://www.migalhas.com.br/depeso/38123/responsabilidade-civil-dos-provedores-de-internet>. Acesso em: 04 mai. 2020.
KASPERSKY. O que é uma rede virtual privada (VPN, Virtual Private Network): como ela funciona e por que você precisa de uma VPN. Kaspersky, Disponível em: <https://www.kaspersky.com.br/resource-center/definitions/what-is-vpn-why-use-vpn>. Acesso em: 24 abr. 2020.
MARCACINI, Augusto. Aspectos Fundamentais do Marco Civil da Internet. 1ª ed. São Paulo: Edição do Autor, 2016. E-book. Cap. 3.
OLIVEIRA JÚNIOR, Claudomiro Batista de; FARIAS, Dayane Karla Barros de. A responsabilidade civil em consequência dos atos ilícitos praticados nas redes digitais e o dever de reparação. Publica Direito, S.l. Disponível em: <http://www.publicadireito.com.br/artigos/?cod=f7f580e11d00a758>. Acesso em: 25 abr. 2020.
PAYÃO, Felipe. Brasil é um dos países mais afetados por ransomware na América Latina. Tecmundo, S.l., 2019. Disponível em: < https://www.tecmundo.com.br/seguranca/137884-brasil-paises-afetados-ransomware-america-latina.htm>. Acesso no dia: 21 set. 2019.
RODRIGUES, Renato. Quando chantagistas publicam dados roubados, backup não é solução. Kaspersky, 2020. Disponível em: <https://www.kaspersky.com.br/blog/ransomware-data-disclosure/14014/>. Acesso em: 11 mai. 2020.
SCAVONE, Luigi; BERGAMASCHI, Marcelo Pereira. Provedores de Conteúdo e as Informações em Redes Sociais Virtuais. Revista Ceciliana, Dez 3(2): 1-4, 2011. Unisanta. Disponível em: <https://sites.unisanta.br/revistaceciliana/edicao_06/1-2012-1-4.pdf>. Acesso em: 04 mai. 2020.
STJ. 3ª Turma. Recurso Especial nº. 1.641.133-MG. Relatora, Ministra Nancy Andrighi. Publicação (DJe): 01 ago. 2017. Jusbrasil. Disponível em: <https://stj.jusbrasil.com.br/jurisprudencia/484081854/recurso-especial-resp-1641133-mg-2016-0218229-7/inteiro-teor-484081873>. Acesso em: 09 jun. 2020.
ZAMBARDA, Pedro. Apple faz 37 anos; conheça a história da empresa criada por Steve Jobs. TechTudo, 2016. Disponível em: <https://www.techtudo.com.br/artigos/noticia/2013/04/apple-faz-37-anos-conheca-historia-da-empresa-criada-por-steve-jobs.html>. Acesso em: 07 mar. 2020.
ZANATTA, Leonardo. O direito digital e as implicações cíveis decorrentes das relações virtuais. EGOV-UFSC, Florianópolis, 2010. Disponível em: <https://egov.ufsc.br/portal/conteudo/o direitodigital-e-implica%C3%A7%C3%B5es-c%C3%ADveis-decorrentes-das rela%C3%A7%C3%B5es-virtuais-0>. Acesso em: 2 nov. 2019. P. 7/10.
[1] Acadêmico de Direito no Centro Universitário Jorge Amado – UNIJORGE. E-mail: [email protected].
[2] Advogada. Mestre e doutora em Direito Civil pela PUC/SP. Professora e autora de obras jurídicas. E-mail: [email protected].
[3] Em relação a sua vigência, nos termos de seu art. 65, tem alguns de seus artigos vigorando desde o dia 28 de dezembro de 2018, e os demais somente entrarão em vigor a partir do dia 3 de maio de 2021.
