Resumo: Este trabalho aborda os conceitos e aplicabilidade dos bancos de dados e sistemas de informações eletrônicos, em especial a influência destes sistemas no âmbito governamental. A Internet possibilitou a integração e manipulação de informações, criando um novo panorama ao Direito Penal, tendo em vista o risco da adulteração ilícita dos bancos de dados governamentais. A Lei 9.983/00 introduziu no sistema jurídico criminal dois delitos que visam resguardar a integralidade dos sistemas e bases de dados governamentais – arts 313-A e 313-B. Deste modo, o trabalho tratará das questões relativas à eficácia e aplicabilidade destas normas, à luz da teoria do crime, no sistema penal brasileiro. A pesquisa foi realizada por meio de revisão bibliográfica do tema, realizando uma análise indutiva à luz da teoria do crime. Ao final, foram encontradas diversas lacunas na criminalização das violações aos bancos de dados informáticos, que fragilizam a tutela penal, havendo necessidade de um aprimoramento legislativo no tema.
Palavras-chave: Banco de dados; Sistemas de Informações; Violação; Crime; Internet.
Abstract: This work approaches the concepts and applicability of electronic databases and information systems, in particular the influence of these systems in the governmental context. The Internet enabled the integration and manipulation of information, creating a new perspective to the criminal law, in view of the risk of illicit adulteration of government databases. The Law 9.983/00 introduced in the legal system two criminal offenses aiming at safeguarding the integrity of the systems and government databases – Articles 313-A and 313-B. Thus, the work will deal with the issues relating to the effectiveness and applicability of these rules, in light of the theory of the crime, in Brazilian’s criminal justice system. The research was conducted through a bibliographical review of the subject, performing an inductive analysis in the light of the theory of the crime. At the end, several gaps were found in the criminalization of violations of computer databases, which undermine the criminal oversight, requiring a legislative improvement in the subject.
Keywords: Database; Information systems; Violation; Crime; Internet.
Sumário: Introdução. 1. Banco de dados; 2. Sistemas de informações; 3. Inserção de dados falsos em sistema de informações. 4. Modificação ou alteração não autorizada de sistema de informações. Conclusão
INTRODUÇÃO
Torna-se imprescindível, na administração pública contemporânea de qualquer Estado moderno o uso de sistemas de informações, alimentados por bancos de dados com infindável conteúdo de utilidade governamental. Estes sistemas encontram-se cada vez mais integrados e dotados de interoperabilidade, através de conexões fechadas ou por meio da rede mundial de computadores.
Tanto a esfera pública quanto a privada, valem-se da irreversível informatização de dados e informações em quase todas suas atividades. A integração de sistemas, através da Internet, rompe os paradigmas das barreiras físicas da distância e permite a consulta, ou modificação de informações tais como qualificação pessoal, solicitação de serviços, declaração de bens, preferências de consumo, registro de armas e outros objetos de uso restrito.
Em conjunto com a facilidade proporcionada através do avanço da tecnologia da informática, constata-se também o alastre de novos problemas, a saber, a permeabilidade de tais sistemas e a potencialização do dano emergente da manipulação ilícita dos dados neles contidos.
No ano de 2000 entrou em vigência no Brasil a Lei 9.983, que promoveu a atualização no Código Penal brasileiro, inserindo novos crimes que inscrevem sob a égide da legislação criminal, a proteção aos bancos de dados e sistemas de informações governamentais. Os artigos 313-A e 313-B passaram a vigorar no contexto da criminalização das condutas encetadas por funcionários da própria Administração Pública que violem as informações contidas em suas bases de dados.
Dentro deste panorama, surge a problemática quanto à real eficácia e aplicabilidade de tais normas incriminadoras no judiciário brasileiro. Tendo como premissa a teoria geral do crime e o princípio da legalidade, que vedam interpretações analógicas ou extensivas incriminadoras (in malam partem), urge-se o questionamento acerca da subsunção típica e a previsão abstrata da lei, no sentido de elucidar se todas as condutas passíveis de violar o bem jurídico tutelado estariam suficientemente aportadas pela Lei incriminadora.
A pesquisa do presente tema dar-se-á por meio da exegese jurídica à luz da teoria do crime contemporânea no Direito brasileiro, valendo-se para tanto de comparações doutrinárias e teóricas, em revisões bibliográficas e legislativas, tendo por objetivo geral o aprimoramento legislativo da tutela penal dos crimes informáticos, especialmente na proteção de bancos de dados e sistemas de informações eletrônicos.
Para tanto, antes se enfrentar os crimes propostos, necessário se torna enfrentar o conceito de banco de dados e suas especificidades. Ademais, mostra-se relevante a análise da sistematização padrão dos processos envolvendo os bancos de dados e sistemas de informações, em especial os eletrônicos. Em segundo plano, tem-se como objetivo enfrentar as questões referentes a real dosimetria da influência dos bancos de dados e sistemas de informações na administração do Estado brasileiro, bem como a potencialidade do dano, em caso de eventual desnaturação destes sistemas. Por fim, tem-se como escopo a análise individualizada dos tipos penais previstos nos artigos 313-A e 313-B do Código Penal, categorizando suas elementares e características próprias, para o melhor entendimento da problemática principal.
Por fim, serão confrontados questionamentos sobre as consequências jurídicas decorrentes da aplicabilidade dos tipos incriminadores que tutelam os sistemas de informações governamentais ante à real e efetiva tutela do bem jurídico, o que se fará a seguir.
1. BANCO DE DADOS
A evolução tecnológica levou à transformações exponenciais experimentadas pela sociedade atual. A informação transformou-se em bem de valor inestimável, ao passo que sua captação e sistematização desembocam na criação de uma ceara de informação que pode ser recuperada de acordo com parâmetros desejados, com incontáveis possibilidades de uso. Martínez e Pardillo (2012, p. 23) discorrem sobre a mudança no paradigma social e a importância da proteção destas informações armazenadas:
“Na última década o número de usuários de internet, a proliferação de computadores e smartphones, a extensão da banda larga móvel, assim como o uso de serviços de computação em nuvem, e-commerce, redes sociais e outros serviços da internet, têm experimentado um crescimento exponencial. Estes elementos têm gerado benefícios econômicos e sociais significativos, incorporando-se como uma parte fundamental da vida cotidiana dos cidadãos e permitindo uma maior capacidade de comunicação, colaboração e compartilhamento.
Ao mesmo tempo, os avanços tecnológicos têm aumentado a capacidade de reconhecimento, uso e armazenamento de dados pessoais por razões de eficiência comercial ou de segurança por diversos agentes públicos e privados”[1](tradução nossa).
Contemporaneamente, as informações existentes no âmbito virtual encontram-se armazenadas em dispositivos eletrônicos próprios para sua tutela, denominados servidores. Por sua vez, os servidores que proporcionam o acesso à informação armazenada em seu sistema, o fazem por meio de um banco de dados, alimentado por um ou mais banco de dados; também denominado de base de dados.
Um banco de dados constitui-se como sendo um reservatório comum de dados e informações, que poderá ser utilizado por certos usuários e diversas aplicações, precipuamente com a finalidade de possibilitar a recuperação correta e adequada da informação para resolver um problema erigido em uma consulta (DAVARA RODRIGUEZ, 2007).
Nucci (2005, p. 982) esclarece que os bancos de dados são criação antiga, não sendo exclusivos do âmbito eletrônico e: “ […] podem ter como base, arquivos, fichas e papéis não relacionados à informática”.
As diversas bases de dados armazenadas junto à um servidor eletrônico geram o conjunto de informações passíveis de recuperação e consulta para um determinado usuário do sistema. Por meio de um programa de informática, o usuário realiza uma solicitação ao banco de dados visando a obtenção de certo resultado dentro dos parâmetros de pesquisa preteritamente definidos por este. O conteúdo armazenado é diversificado e pode abranger uma gama de informações, de acordo com a destinação específica da base de dados. Informações pessoais como nome, fotografia, RG, CPF, CNH, endereço; bem como outras espécies de dados diversos como preferências de consumo fazem parte do conjunto de armazenamento destas bases.
A variabilidade do conteúdo do banco de dados está intimamente relacionada à dois aspectos: 1) a natureza jurídica pública ou privada do administrador; 2) a destinação de uso específico dos dados e informações.
De fato, contemporaneamente é impossível dissociar qualquer atividade social do efetivo uso da base de dados. Exemplificando: para a compra de qualquer produto ou contratação de serviço, via de regra, é indispensável o preenchimento de um cadastro junto ao fornecedor, no qual serão inseridos os dados pessoais do consumidor, bem como o bem adquirido. Este cadastro será atualizado a cada nova contratação, assim traçando o perfil de consumo do mesmo.
“As novas funcionalidades desenvolvidas a partir da Internet fizeram fomentar o comércio eletrônico e, por trás das relações consumeristas, potencializou o fluxo de informações e, acima de tudo, a necessidade de empresas manterem em bancos de dados informações sobre seus clientes, de suas preferências, bem como dados creditícios, como forma de sobrevivência em um mercado cada vez mais competitivo e exigente. A informação passou a ser protagonista da era do comércio eletrônico. Mas, se de um lado a informação passou a ser vital para a sobrevida da empresa, por outro lado o cidadão passou a ter a sua vida compartilhada através de bits, em uma verdadeira sociedade de vigilância, não só promovida pelos entes estatais, mas também por pessoas jurídicas de direito privado” (GARCIA; FURLANETO NETO, 2012, p. 2) .
No que tange ao setor público, a situação não é diferente. O Estado é detentor de uma série de informações pessoais, que encontram-se inseridas em seus bancos de dados, passíveis de consulta e recuperação. Qualificação pessoal completa, informações referentes à bens e rendimentos e situação jurídica são exemplos de informações de pessoas físicas e jurídicas e de seus respectivos bens, constantes de cadastro e armazenamento nas bases de dados governamentais.
Nas nações mais desenvolvidas na proteção de dados pessoais, principalmente aqueles contidos em de bancos de dados públicos ou privados, tende-se à garantir o equilíbrio jurídico que é, condição indispensável para a democracia em uma sociedade composta de cidadãos livres e iguais. Para tanto, demanda-se um adequado regramento legal informático com o condão de harmonizar as demandas de informação próprias de um Estado socialmente desenvolvido com a garantia plenamente eficaz e tangível dos cidadãos com relação à tais dados (PÉREZ LUÑO, 1992).
A intimidade e a privacidade estão tutelados pelo ordenamento jurídico brasileiro, nos termos do artigo 5º, inciso X da Constituição Federal: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Com a estrita dependência da sociedade contemporânea com relação às aplicações eletrônicas alimentadas por bancos de dados, a tutela do direito penal compreende importante função na proteção de tais informações. Em especial, os bancos de dados governamentais contêm potencialidade lesiva ainda maior, que transcende a própria intimidade privada. A manipulação indevida de informações armazenadas em bancos de dados públicos possibilita a ocorrência de graves prejuízos econômicos transindividuais ou locupletar ilicitamente o agente violador do banco de dados, visto a própria natureza das informações ali contidas.
James A. Lewis (2012, p. 47) distingue a mera privacidade do conceito de cibersegurança:
“A porosidade e vulnerabilidade das redes cibernéticas e a facilidade com que o agente com intenções maliciosas logra êxito em ter acesso à informação sem permissão do proprietário, supõe novos riscos para os indivíduos, empresas e nações, e ao mesmo tempo gera uma nova dimensão a qualquer esforço para preservar a privacidade individual.
A privacidade e a cibersegurança não são sinônimos. A cibersegurança é a proteção dos serviços e infra-estruturas essenciais contra qualquer invasão, bem como a proteção da informação contra acessos não autorizados. A privacidade é o direito que todo indivíduo tem no controle e acesso de sua informação pessoal e em seu uso”[2] (tradução nossa).
Deste modo, a tutela eficaz para garantir a proteção das informações contidas nos bancos de dados governamentais ou de uso do Estado é essencial para a garantia da própria segurança nacional. O Brasil vem enfrentando esta problemática na última década, e a Lei 9.983 de 14 de julho de 2000 vem ao encontro desta demanda, promovendo a alteração do Código Penal brasileiro, incluindo novos tipos penais referentes às bases de dados e sistemas de informações.
O acesso não autorizado à base dados armazenados nos servidores dos mais diversos órgãos da Administração Pública à exemplo da Receita Federal, Detran, e Tribunais de Justiça possibilita a vituperação de dados fundamentalmente essenciais à ordem nacional, e deverão ser tutelados de forma austera pela legislação pátria.
A constituição da natureza jurídica da base de dados governamental leva em consideração a efetiva administração estatal do sistema que a gerencie. O seu conteúdo deverá ser sempre de interesse público, enquanto que a titularidade dos dados poderá ser pública, privada, ou uma composição de ambas.
Trilhando tal juízo, a caracterização da base de dados como pública dependerá da administração e acesso ordinariamente realizados por funcionário público, vinculado a órgão da Administração.
Não há desnaturação da natureza pública no caso de empresa privada que desenvolva e operacionalize o sistema informático que armazene os bancos de dados públicos (o que ocorre na maior parte dos casos). Outrossim, contempla-se a possibilidade de que o particular, em determinadas situações, tenha acesso restrito à dados específicos da base de dados governamental.
Em sentido contrário, uma vez verificada a administração particular dos bancos de dados, que poderá conter ou não informações de interesse público, estes serão caracterizados como bases privadas.
Destarte, se os bancos de dados funcionam como verdadeiros depósitos de informações com a especificidade da recuperação destes dados segundo parâmetros previamente estabelecidos, há a necessidade de um dispositivo eletrônico que possibilite esta pesquisa. Neste sentido, faz-se mister a análise das diretivas basilares dos sistemas de informações, no que tangem às bases de dados.
2. SISTEMAS DE INFORMAÇÕES
As estruturas eletrônicas denominadas de sistemas de informações estão intimamente relacionadas aos bancos de dados, posto que operacionalizam o envio e compartilhamento dos dados por estes armazenados, de acordo com os parâmetros solicitados. Nucci (2005, p. 982) conceitua sistemas de informações como:
“O conjunto de elementos, materiais ou não, coordenados entre si, que funcionam como uma estrutura organizada, tendo a finalidade de armazenar e transmitir dados, através de computadores. Pode significar uma rede de computadores ligados entre si, por exemplo, que transmitem informações uns aos outros, permitindo que o funcionário de uma repartição tome conhecimento de um dado, levando-o a deferir o pagamento de um benefício ou eliminar algum que esteja pago. O sistema informatizado é peculiar de equipamentos de informática, podendo possuir um banco de dados de igual teor.”
Relacionando a programação de qualquer sistema, há a fixação de hierarquias de acesso. Neste parâmetro, estabelece-se quais usuários terão acesso ao sistema de informações (mediante protocolos de autorização como login/senha, certificação digital e outros) [3], bem como quais setores de informação encontrar-se-ão acessíveis ao usuário e, por fim, qual a espécie de manipulação do banco de dados atrelado ao sistema terá o usuário: para a inserção, modificação ou exclusão de arquivos. Em outras palavras, graus de acesso e hierarquia de funções.
Em linhas gerais, a pesquisa das informações pode ser balizada para a recuperação da própria informação em si ou de listas estatísticas que demonstrem as características de registro ou ocorrência da própria informação. Ao final, o sistema de informações consubstancia-se na operacionalização dos bancos de dados por meio de um programa informático, facilitando o acesso do usuário à informação derivada da pesquisa indexada em um banco de dados. Permite o armazenamento e o tratamento da informação, em cujo contexto se insere a indexação para viabilizar sua recuperação.
O Governo Federal brasileiro desde 2004 administra o sistema de informações denominado Rede INFOSEG, da Direção da Secretaria Nacional de Segurança Pública (SENASP) sendo instituído oficialmente por meio do Decreto 6.138/2007. Apresentando mais de 152 mil usuários cadastrados em aproximadamente 460 órgãos federais e estaduais, a Rede INFOSEG consubstancia-se em uma plataforma de integração dos bancos de dados de todas as secretarias de segurança públicas estaduais e do Distrito Federal, bem como a base de dados de controle de processos do Superior Tribunal de Justiça; do sistema de CPF e CNPJ da Receita Federal; do Registro Nacional de Carteira de Habilitação (RENACH) e Registro Nacional de Veículos Automotores (RENAVAM) ; do Departamento Nacional de Trânsito (DENATRAN); o Sistema de Gerenciamento Militar de Armas do Exército (SIGMA); do Sistema Nacional de Armas da Polícia Federal (SINARM); e também do SINIC, o Sistema Nacional de Informações Criminais da Polícia Federal (INFOSEG, 2013).
A Rede INFOSEG é responsável não só pela recuperação de dados, por meio da Internet, em diversos bancos de dados estaduais e federais no Brasil, mas também pela interoperabilidade de todos os sistemas de informações autônomos que regem tais bancos de dados.
Desta forma, a Rede INFOSEG operando por meio da rede mundial de computadores, disponibiliza à seu usuário o acesso à informações diversas de um indivíduo. Esteado neste parâmetro, o usuário tem a possibilidade de detalhar informações sobre o investigado constantes das bases de dados estaduais e federais. Contudo, a Rede INFOSEG não possui gerência sobre os bancos de dados, não permitindo ao usuário a manipulação das informações, mantendo a autonomia e gerenciamento dos sistemas próprios de cada órgão (INFOSEG, 2013).
O exemplo acima citado evidencia a importância e essencialidade dos sistemas de informação e sua devida tutela jurídica. A violação da Rede INFOSEG potencializa a lesividade da conduta ilícita, pois garante o acesso à um arcabouço considerável de informações relevantes de um cidadão.
Os sistemas de informações computadorizados, analisados sob a perspectiva jurídica, despertam especial interesse social e intelectual. Os operadores do direito estão atentos à tal realidade, posto que não há um setor da economia que não se utilize de algum processo de automação ou de sistemas de informações. A complexidade de tal sistema, constituído por elementos díspares, não se adapta à uma proteção jurídica única e vigente no ordenamento atual (PAESANI, 2005).
A Administração Pública direta e indireta é dotada de um rol de sistemas de informações alimentados através das bases de dados governamentais, que viabilizam a governança do Estado brasileiro. De fato, os sistemas de informações estão indissociáveis da sociedade contemporânea, posto que a integração de dados e informações por meio da Internet, para os mais diversos serviços do Estado, é um avanço tecnológico do qual não se pode dispor.
Não obstante, ante à permeabilidade e consequente vulnerabilidade de tais sistemas, surgem novas problemáticas como o acesso não autorizado aos bancos de dados, assim como a subtração e manipulação de dados. Em linhas gerais, as vulnerabilidades nos sistemas de informação e bancos de dados podem ser classificadas em duas espécies: 1) internas e 2) externas.
1) A vulnerabilidade interna é aquela estabelecida por meio de fraude ocorrida de forma endógena nos protocolos de acesso, ou seja, o usuário autorizado ilicitamente extrapola suas funções ou um usuário não autorizado em sistemas fechados (como exemplo a Intranet) obtém fraudulentamente acesso ao sistema.
2) Por sua vez, a vulnerabilidade externa ocorre por meio do acesso não autorizado exógeno, geralmente em sistemas de informação disponibilizados na rede mundial de computadores. Para tanto, há a quebra do protocolo de acesso por meio de dois expedientes: interceptação de dados de acesso ao sistema de um usuário ou através de uma falha/lacuna de programação contida no próprio sistema de informação.
Ante a constatação inequívoca na necessidade da melhoria da tutela penal dos bancos de dados e sistemas de informações de uso governamental, foi editada a Lei 9.983 de 14 de julho de 2000 a qual, dentre outras providências, modificou o Código Penal acrescentando os crimes previstos nos artigos 313-A e 313-B que criminalizam as adulterações ilícitas em bancos de dados, sistemas de informações, programas de informática ou os dados neles contidos.
3. INSERÇÃO DE DADOS FALSOS EM SISTEMA DE INFORMAÇÕES
O tipo incriminador previsto no artigo 313-A encontra-se situado no Código Penal, Título IX – Dos Crimes Contra a Administração Pública, Capítulo I – Dos Crimes Praticados por Funcionário Público Contra a Administração em Geral, trazendo a seguinte redação: “Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa”.
Bitencourt (2009, p. 994) contextualiza a proposta original da norma incriminadora:
“O projeto da referida lei previa, originalmente, a mesma infração penal, limitada, porém, à previdência social, consoante se depreende do seguinte texto: Inserir o funcionário autorizado ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da previdência social com o fim de obter vantagem indevida para si ou para outrem ou para causar dano à essa instituição”.
Vislumbra-se que a conduta ilícita descrita pela norma penal dirige-se principalmente em face da Administração Pública, haja vista ser ela a proprietária dos bancos de dados ou sistemas de informações tutelados. Neste sentido, Greco (2010) sustenta que a própria Administração Pública é o bem jurídico tutelado.
Em interpretação semelhante, Franco e Stoco (2007, p. 1442) defendem ser a probidade administrativa o bem jurídico tutelado pela norma:
“A norma busca tutelar e proteger a Administração Pública e o resguardo da probidade administrativa, punindo e afastando o servidor público ímprobo que descura de seus deveres e obrigações com o objetivo de obter vantagem indevida. O bem jurídico tutelado é, portanto, o resguardo da Administração Pública, o combate à improbidade e a segurança de seu conjunto de informações e do parque de informática sem o qual os sistemas não mais encontram solução e eficiência”.
O núcleo do tipo contempla cinco condutas distintas: inserir, facilitar, alterar e excluir. São previstos duas modalidades contra legem. Na primeira o próprio funcionário autorizado insere os dados falsos ou facilita para que outrem leve a efeito a sua inclusão. Quanto à segunda modalidade, a conduta do funcionário autorizado verte-se para alterar ou excluir os dados verdadeiros previamente existentes nos sistemas informáticos ou bancos de dados (GRECO, 2010).
Primeiramente leva-se em conta a veracidade ou não dos dados. Caso estes sejam de conteúdo verossímil, a sua exclusão ou modificação será típica. Se os dados forem falsos, a sua inserção indevida configurará o ilícito, ao passo que a exclusão ou modificação de dados inverossímeis armazenados nos sistemas caracteriza-se como um indiferente penal.
Ademais, somente o funcionário público com autorização para operar/consultar o sistema de informações ou banco de dados da Administração, ou seja, aquele administrativamente designado para a função, e não qualquer funcionário público pode ser responsabilizado pelo delito em questão (DELMANTO et. al., 2011). Desta forma, decidiu o legislador em punir apenas as violações engendradas por meio do funcionário designado para a operabilidade dos dados de uso governamental, optando pela atipicidade relativa da conduta do servidor não autorizado.
Greco (2010, p. 827) ressalta que: “Isto não impede, contudo, que o funcionário público autorizado atue em concurso com outro funcionário (não autorizado), ou mesmo um particular devendo todos responder pela mesma infração penal, nos termos do art. 29 do Código Penal”. Para tanto, o coautor deve ter conhecimento da condição específica do funcionário público autorizado, comunicando-lhe a circunstância, nos termos do artigo 30 do Código Penal. Caso o coautor não tenha ciência, incidirá a cooperação dolosamente distinta (art. 29 §2º CP) respondendo pelo delito menos grave que desejou praticar – Art. 154-A Invasão de Dispositivo Informático ou 313-A Inserção de Dados Falsos em Sistema de Informação; conforme o caso concreto.
Ressalta-se que a existe diferenciação semântica entre os termos “dados” e “informações”. Enquanto dado significa um simples registro de um fato ou elemento, de fácil estruturação, transferível e quantificável, as informações constituem-se em dados com propósito e relevância. Os dados servem de base para a extração da informação, que se destacam como registros dotados de importância à atividade humana (DAVENPORT; PRUSAK, 1998).
Note-se que o legislador penal, na norma do artigo 313-A, faz uso da elementar “dados”, ampliando a incidência da criminalização. Deste modo, possibilitou-se a punição de qualquer desnaturação de registros dos bancos de dados, sejam eles relevantes (informações) ou não (dados).
Tem-se como inserir a conduta de introduzir, colocar, implantar, incluir no sistema de informações ou no banco de dados, dados ou informações (JESUS, 2010). Alterar tem o sentido de realizar modificações, adulterações, mudanças no conteúdo ou natureza destes dados (DELMANTO et. al., 2011). Excluir entende-se como remover, afastar, apagar, retirar os dados e informações dos sistemas da Administração Pública (CAPEZ, 2007) [4].
Bitencourt (2009, p. 996) discorre acerca da natureza jurídica penal do terceiro que insere informações nos sistemas públicos ante à facilitação do funcionário público, podendo constituir-se como coautor ou instrumento para a prática do crime:
“Esse terceiro pode ou não ter consciência de que contribui para a prática de um ato ilegal; se o tiver, responderá pelo mesmo crime em razão da ampliação da adequação típica determinada pelo art. 29 do Código Penal (concurso eventual de pessoas). Se ignorar, contudo, que concorre para a prática de infração legal, será mero instrumento utilizado pelo verdadeiro autor (autoria mediata) para a prática do crime, não passando ele de mero executor que não responde pelo fato por faltar-lhe o dolo, que é o elemento subjetivo do crime”.
Os dados e informações constantes das bases de dados e sistemas de informações governamentais devem ser preexistentes à conduta perpetrada pelo agente, nas modalidades de alteração ou exclusão destes, já que a sua existência é conditio sine qua non para a configuração do delito, por se tratarem tais dados e informações do objeto material do tipo.
Outrossim, cabe ressaltar que o tipo subjetivo do crime em questão consubstancia-se no dolo. Contudo, a norma incriminadora tratou de exigir também a finalidade específica do agente (o dolo especial), a saber, obtenção de vantagem ilícita (indevida) para si ou terceiros, ou intenção de causar dano. Nesta trilha, verifica-se que a vantagem almejada pelo agente delitivo não mostra-se necessariamente de cunho patrimonial, podendo consubstanciar-se em qualquer espécie de ilicitude. Cumpre ressaltar que, muito embora textualmente a legislação contemple finalidade específica, esta se mostra abrangente e abarca a maioria das situações que violam o bem jurídico tutelado.
“Inserção de dados falsos em sistema de informações. Cometem os delitos previstos no arts. 288, 311, §2º, 312 e 313-A do CP o delegado e o inspetor de polícia que se associam com outras pessoas para adulterar sinais identificadores de veículos, apropriar-se de dinheiro do qual tinham a posse em razão do cargo e inserir dados falsos no sistema informatizado da administração pública com o intuito de obter vantagem indevida. Condenação mantida” (TJRS, Ap. Crim. 70010845 873, 4ª Cam. Criminal, Relator Constantino Lisboa de Azevedo, j. 02/06/2005).
Quanto ao preceito secundário da norma do artigo 313-A, a pena, mostra-se adequada ao ilícito previsto. Isto, pois, a disparidade da reprimenda mínima de 2 anos, ante à pena máxima de 12 anos de reclusão permite que o aplicador da norma penal, a saber, o juiz, individualize adequadamente a pena ao caso concreto. Ademais, a redação do tipo penal é abrangente, já que a Administração Pública é detentora de uma ceara de milhares de bancos de dados e sistemas de informação, uns com informações de relevância menor, enquanto outros de vital importância para o Estado.
Destarte, a quantificação de pena deverá ser proporcional à extensão da desnaturação causada nos dados, bem como deverá levar em consideração a relevância e o efetivo prejuízo econômico causado pela conduta. Sendo assim, aquele que apenas exclua uma única informação de um banco de dados retirando uma multa de trânsito aplicada, por exemplo, poderá ser tipificado (com adequação na reprimenda) no mesmo delito daquele que desnatura todas as informações do sistema bélico das Forças Armadas – SIGMA.
Cumpre ressaltar que a narrativa do delito somente faz menção à facilitação para inserção de dados falsos, olvidando-se da facilitação para alteração ou exclusão dos dados corretos. Isto se dá por conta da própria gramática da norma, visto que o verbo imputável ao terceiro restringe-se à “inserção de dados falsos” que, por sua vez, é facilitada pelo funcionário público. Partindo desta mesma premissa, conclui-se ser imputável ao funcionário público as seguintes condutas: inserir, facilitar, alterar ou excluir.
As condutas do tipo penal subdividem-se em duas espécies: 1) Diretas e 2) Indiretas. A primeira diz respeito à ação realizada pelo próprio agente público autorizado, que dolosamente adultera os bancos de dados ou sistemas de informações governamentais (inserir, alterar ou excluir). No que tange à segunda espécie, esta se consubstancia na conduta realizada pelo terceiro (indiretamente imputável ao funcionário público na modalidade facilitar) que insere dados incorretos no sistema público.
Com fulcro no princípio da estrita legalidade penal e ante a vedação da interpretação extensiva e analogia in malam partem são atípicas as condutas de facilitação para adulteração ou exclusão de dados corretos dos sistemas e bancos de dados da Administração Pública. A exigência legal é no sentido de que a facilitação do funcionário público dirija-se tão somente para a inserção de dados falsos, contudo não há menção para as outras modalidades acima mencionadas.
Exemplificando: não se subsumem ao tipo penal as condutas de determinado funcionário público do INSS, autorizado a manipular os bancos de dados do órgão, que valendo-se de sua função, facilita para que terceiro exclua comprovantes de pagamentos de benefícios realizados à certo contribuinte ou altere os valores dos mesmos.
Da mesma forma, a criminalização do funcionário que empresta sua senha de acesso ou cede o equipamento com o sistema aberto para outrem não autorizado, dependerá da conduta praticada pelo terceiro. Se este inserir dados falsos, o funcionário terá cometido o crime; caso o coautor exclua ou modifique dados corretos, a facilitação do agente público será indiferente ao Direito Penal.
Ademais, cumpre salientar que também não adequa-se tipicamente à norma incriminadora a consulta ilícita ao sistema de informações ou banco de dados. A tutela penal no artigo 313-A recai tão somente quanto à incolumidade dos dados pré-existentes a serviço da Administração, contudo, a Lei não trouxe qualquer regramento no que tange à privacidade de tais dados.
Com base em tal premissa, verifica-se outra deficiência no tipo penal. As informações contidas nos sistemas públicos são de conteúdo variável, demandando maior ou menor proteção com relação à sua privacidade. Presumiu o legislador que apenas a existência e o conteúdo em si das informações deveria ser tutelado pelo tipo penal, optando por não tutelar a privacidade de tais dados. Por vezes, verifica-se que o animus delitivo do agente não recai na adulteração de tais informações (inserindo, modificando ou excluindo dados), mas sim apenas na obtenção de informações pessoais e reservadas para o uso em outros expedientes fraudulentos. Neste sentido, mostra-se ineficaz a norma penal ao não tipificar a consulta ou facilitação à consulta indevida nos sistemas de dados governamentais.
Outrossim, a conduta criminosa volta-se para o próprio sistema de informações ao invés dos dados nele contido. Com a adulteração do próprio sistema que operacionaliza os dados, surge nova situação jurídica merecedora da tutela penal, visto sua potencial lesividade à Administração Pública, sendo objeto de normatização pela própria Lei 9.983 de 2000, nos termos do artigo 313-B.
4. MODIFICAÇÃO OU ALTERAÇÃO NÃO AUTORIZADA DE SISTEMA DE INFORMAÇÕES
O artigo 313-B do Código Penal prevê a norma incriminadora que tutela a adulteração dos próprios sistemas de informações, e recebe o nomen juris de Modificação ou Alteração Não Autorizada de Sistema de Informações.
“Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente:
Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.
Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado”.
A composição do crime do artigo 313-B, por meio da sistematização das elementares delitiva, ocorre de forma semelhante à do crime anteriormente tratado. A distinção mais significativa entre tais delitos é que naquele pune-se a inserção ou facilitação para inserção, alteração ou exclusão de dados, enquanto neste o que se coíbe é a conduta física de se modificar a programação informática dos sistemas de dados (FRANCO; STOCO, 2007).
Bitencourt (2009, p. 1000) justifica a pertinência na norma na legislação contemporânea:
“Nos tempos atuais a utilização da informática passou a ser indispensável em qualquer atividade pública ou privada, sendo necessário, por evidente, que o próprio direito penal fosse chamado a coibir a prática de determinadas condutas, ante os graves danos e irreparáveis prejuízos que o seu mau uso pode produzir na sociedade, agigantando-se na mesma proporção da grandeza das instituições, públicas ou privadas, nacionais ou internacionais. Por outro lado, a facilidade do seu uso lícito dessas máquinas está diretamente ligada à facilidade também de sua adulteração, modificação ou simples alteração, que precisa ser eficazmente combatida.”
Por vezes a vituperação aos dados das bases governamentais ocorre de acordo com os parâmetros de programação e acesso do sistema de informações, ou seja, o funcionário autorizado facilita o acesso ao sistema por meio de seu protocolo de acesso, sem violação à programação informática em si do sistema. Nesta situação, há a ocorrência de um fato típico, nos termos do artigo 313-A do Código Penal. Muito embora, em outra perspectiva, a violação poderá ser encetada de modo diverso. Quando um funcionário público, autorizado ou não, desfragmenta ou adultera a própria programação informática do sistema de informação, haverá a adulteração de dados por meio da violação do sistema que os operacionalizam para consulta e recuperação. Deste modo, a conduta dar-se-á de forma ilícita ao próprio sistema, sendo também penalmente típica, conforme a previsão do artigo 313-B do CP.
Segundo Prado (2001, p. 377), os núcleos da conduta modificar e alterar ostentam ligeira diferenciação em seus sentidos, concebendo o primeiro como adulteração total e o segundo como uma mudança parcial nos códigos de programação:
“Embora os dicionários apontem tais palavras como sinônimas, denotando um sentido de mudança, observa-se que, no sentido do texto, a ação de modificar expressa uma transformação radical no programa ou no sistema de informações, enquanto na alteração, embora também se concretize uma mudança no programa, ela não chega a desnaturá-lo totalmente.”
O legislador olvidou-se de mencionar a propriedade do sistema de informações ou programa de informática como sendo da Administração Pública (tendo-o feito no artigo 313-A), o que possibilita que seja imputado o delito ao funcionário público que adultere todo e qualquer tipo de sistema/programa, ainda que de particular. Levando em consideração tal aspecto, o bem jurídico tutelado sofre ligeira modificação, a saber, o que a norma penal tutela diretamente neste caso é a incolumidade dos próprios sistemas de informações e programas de informática que tenham uso e acesso os servidores da Administração Pública. Por sua vez, indiretamente a tutela penal recai sobre a proteção dos próprios dados armazenados em tais sistemas, nos termos da exegese do crime anteriormente analisado.
Note-se que o tipo incriminador não faz qualquer exigência quanto à finalidade específica da subtração/adulteração de dados, bastando apenas a inequívoca intenção de modificar o programa informático. Outrossim, a modificação do programa ou sistema deverá ser realizada de modo injustificado, a saber, sem autorização ou solicitação da autoridade competente, consubstanciando o elemento normativo do tipo. Jesus (2010, p. 177) ratifica a importância da tutela penal: “Por isso, não havendo tal aquiescência, a conduta é punida, tanto mais por se levar em consideração que tais informações, muitas vezes, encerram sigilo e interesses estratégicos do próprio Estado”.
Outro aspecto que merece destaque é acerca da amplitude da incidência da norma. A opção legislativa, no que tange no artigo 313-A foi a de reprimir tão somente o funcionário administrativamente autorizado a realizar a manipulação das bases de dados e sistemas de informações (uma das razões pelas quais se justifica a penalidade mais acentuada), ao mesmo tempo retirando tal exigência do delito previsto no artigo 313-B.
No que tange ao elemento normativo do tipo, Bitencourt (2009, p. 1001) esclarece que a expressão “sem autorização ou solicitação de autoridade competente”:
“Constitui elemento normativo especial da ilicitude […]. A falta de autorização ou solicitação não representa mera irregularidade administrativa, mas constitui a própria ilicitude da conduta, representando um elemento normativo constitutivo negativo do tipo penal.[…]
Enfim, qualquer das condutas – modificar ou alterar – deve ser realizada sem autorização ou solicitação de autoridade competente. Significa dizer que a existência de autorização ou solicitação de autoridade competente não só afasta eventual ilicitude da conduta, como também afasta a própria tipicidade. Sintetizando, como o dolo deve abranger todos os elementos que compõem a figura típica, e se as características especiais do dever jurídico forem elemento determinante da tipicidade concreta, como é o caso, a nosso juízo, o erro sobre elas deve ser tratado como erro de tipo, excluindo, logicamente, a tipicidade.”
Entendeu o legislador em reprimir com maior austeridade a violação direta aos dados e de maneira mais amena a adulteração do próprio sistema que armazena ou operacionaliza tais informações. No crime em análise, observa-se que sua penalidade é apenas de detenção de 3 meses à 2 anos e multa[5], não constituindo o dano como elementar do tipo, mas sim como exaurimento e eventual causa de aumento de pena (nos termos do § único), se efetivamente comprovada.
Franco e Stoco (2007, p. 1449) afirmam que a causa de aumento de pena deverá só poderá ser aplicada em caso de efetiva comprovação do dano causado, não podendo ser presumido através da mera modificação do programa ou sistema:
“Como se verifica, o resultado danoso da ação delituosa não constitui elementar do crime, nem exsurge como condição para a realização do tipo. Atua como causa de aumento de pena.
O aumento de pena só encontra justificação quando do exaurimento do crime, posto que essa majoração só ocorrerá quando houver efetivo prejuízo tanto à Administração como para o administrado, ou seja, um ou outro. Esse dano deve ficar plenamente demonstrado, não podendo ser presumido em hipótese alguma, nem inferido pelo só fato da alteração no software.
Está-se falando de dano efetivo e real, e não hipotético ou presumido”.
Hipoteticamente o funcionário público com a finalidade de inserir, facilitar a inserção de dados falsos; alterar ou excluir dados verdadeiros, poderá se valer da adulteração do programa informático ou do sistema de informações. Neste caso, em tese, há a ocorrência da prática de ambos os ilícitos (art. 313-A e 313-B). Não obstante, nesta situação este último configurar-se-ia como crime meio para a execução do primeiro, desembocando na consunção penal e consequente absorção do delito meio pelo delito fim.
Em outra perspectiva, a fraude aos sistemas de informações poderá se dar através de outras condutas não previstas em lei. Por meio da adulteração do programa de informática ou banco de dados, é possível configurá-los para que não mais registrem as informações capturadas e indexadas. Partindo de tal premissa, o autor do delito poderá, por exemplo, modificar o sistema de multas de determinado órgão público, de modo que este não armazene as autuações aplicadas pelos agentes fiscalizatórios desta instituição. Assim, ao invés de encetar a indevida exclusão das multas registradas, o funcionário simplesmente modifica o sistema para que tais penalidades não sejam registradas.
Diante de tal situação há a impossibilidade da aplicação do artigo 313-A, pois o agente não veio a realizar qualquer uma das condutas nele previstas (inserir, facilitar a inserção, modificar ou excluir). Este expediente confere ao agente a possibilidade de, ao arrepio da lei penal, obter vantagem indevida de forma semelhante a aquela prevista no artigo 313-A, violando o mesmo bem jurídico que a lei penal pretende tutelar, sem, contudo, a subsunção típica de sua conduta ao tipo penal do crime mais grave.
A exigência legal da preexistência dos dados nos sistemas de informações ou bancos de dados governamentais exclui a imputação do agente que apenas modifica, ainda que indevidamente, a programação informática destes sistemas, posto o agente não estar inserindo, alterando ou excluindo dados preexistentes, mas tão somente impedindo o registro de novos dados inexistentes à época da conduta. Desta feita, a imputação penal recairá sobre o delito do artigo 313-B, que ostenta penalidade mais branda em relação à do crime do artigo 313-A.
CONCLUSÃO
As novas tecnologias aplicadas aos bancos de dados e sistemas de informações possibilitaram a pesquisa e recuperação de dados, em tempo real, através da rede mundial de computadores, bem como a integração e interoperabilidade de tais sistemas em um diagrama informativo governamental.
Não só a Administração Pública faz uso de tais recursos, mas também a iniciativa privada, que se vale dos próprios sistemas de propriedade governamental. Da mesma forma, o Estado brasileiro faz uso dos sistemas privados para alimentar suas bases de dados próprias.
Esta sorte de eventos modificou irrevogavelmente a conformação dos próprios Estados e das relações sociais neles compreendidas, o que, por sua vez, cria novos desafios ante a permeabilidade do sistema e a possibilidade da manipulação ilícita de tais dados, o que acarretaria na desnaturação dos sistemas de informações.
A contextualização de ambos os termos permitiu concluir que os bancos de dados são estruturas de armazenamento parametrizadas de dados, ao passo que os sistemas de informações consubstanciam-se em estruturas de programação informática de uso e acessibilidade, que operacionalizam os bancos de dados ao usuário, materializando a consulta e manipulação das informações outrora armazenadas.
A estrutura básica dos sistemas de informação permite a coleta e indexação dos dados em categorias previamente estabelecidas, visando posterior pesquisa e recuperação parametrizada de tais informações. Este diagrama é realizado por um usuário previamente cadastrado, ingressando ao sistema por meio de um protocolo de acesso. Partindo de tal premissa, concluiu-se que a vulnerabilidade dos sistemas pode se dar por meio do uso indevido destes protocolos de acesso pelo usuário (endógeno) ou através de falhas de programação informática no próprio sistema (exógeno).
O acréscimo ao Código Penal de duas normas incriminadoras denotou grande avanço legislativo ante aos novos e caros bens jurídico que careciam de tutela penal. Trilhando este juízo, houve a criminalização da inserção de dados falsos, facilitação para tal inserção, modificação e exclusão de dados verdadeiros, nas bases de dados e sistemas governamentais, praticados pelo funcionário público autorizado a operar tais sistemas (artigo 313-A). Outrossim, pune-se a adulteração de sistemas de informações e programas informáticos encetados por funcionário público (artigo 313-B).
No que tange a real efetividade do crime do artigo 313-A, conclui-se que a redação do tipo penal possibilita a subsunção de um rol suficiente de condutas contra legem, mas não aporta importantes violações ao bem jurídico, quais sejam: a facilitação à adulteração ou exclusão e a consulta à tais informações.
Quanto ao delito do artigo 313-B, concluiu-se que a reprimenda in abstrato fixada é exponencialmente menor, se comparada à do crime anterior.
Caso o agente delitivo desnature o próprio sistema de informações, para que este não registre informações inseridas em sua programação, incidirá tão somente no delito do artigo 313-B, em razão da descrição de suas condutas e devido à necessidade da preexistência dos dados no sistema violado. Esta situação desemboca na infringência do mesmo bem jurídico tutelado diretamente pela norma do artigo 313-A, contudo, sem a devida incidência criminal em tal artigo.
De tal sorte, embora a ocorrência da codificação, em momento propício, de tipos penais que tutelem bases de dados e sistemas de informações, a redação técnica destas normas incriminadoras deixam a desejar. Equivocou-se o legislador em presumir a menor lesividade da conduta que viola o próprio sistema de informações ante a aquela que desnatura o conteúdo das bases de dados. De fato, ambas possuem a mesma lesividade e devem ser combatidas com igual rigor, a fim de proporcionar uma adequada tutela penal aos sistemas de informações e seus dados.
Em suma, concluiu-se que, muito embora a legislação penal tutele com relativa suficiência a incolumidade dos sistemas e bases de dados governamentais, faz-se necessária pontual revisão legislativa na redação destes delitos, visando à efetividade do direito penal ante todas as situações práticas.
De acordo com nossa perspectiva, sugere-se o seguinte aprimoramento legislativo:
“Art 313-A. – Inserir dados falsos, alterar ou excluir indevidamente dados corretos, facilitar a inserção de dados corretos ou a adulteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano. Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.
Incorrem nas mesmas penas:
I- o funcionário público ou particular que indevidamente consultar informações restritas ou confidenciais contidas nos sistemas de informações ou bancos de dados da Administração Pública, com o fim de obter vantagem indevida para si ou para outrem ou para causar dano.”
“Art. 313-B §1º – Forma Qualificada – Adulterar indevidamente, o funcionário público ou particular, os sistemas de informações, programa de informática ou bancos de dados da Administração Pública, sem autorização da autoridade competente, evitando o registro de novos dados, com o fim de obter vantagem indevida para si ou para outrem ou para causar dano. Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa”.
O ajuste normativo supre as lacunas legais, posto que insere a criminalização no caso do auxílio para a exclusão e adulteração de dados, assim como criminaliza de forma mais severa como forma equiparada do Art. 313-A a consulta indevida à informações restritas ou confidenciais (que diferencia-se da simples conduta criminosa de invasão de dispositivo informático art. 154-A). Da mesma forma, o acréscimo da forma qualificada do artigo 313-B, que contempla pena idêntica ao artigo 313-A, equipara a tutela penal para a violação de bens jurídicos iguais, criminalizando com a mesma gravidade a adulteração de sistemas informáticos que evitem o registro de novos dados.
Proponha
Mestrando pelo Centro Universitário Eurípedes de Marília – UNIVEM. Especializando em Direito e Processo Penal no Complexo Educacional Damasio de Jesus. Bacharel em Direito pela Instituição Toledo de Ensino de Bauru – ITE. Advogado Criminalista.
Especializanda em Direito e Processo Penal no Complexo Educacional Damásio de Jesus. Bacharel em Direito pela Instituição Toledo de Ensino de Bauru ITE. Advogada.
O Benefício de Prestação Continuada (BPC), mais conhecido como LOAS (Lei Orgânica da Assistência Social),…
O benefício por incapacidade é uma das principais proteções oferecidas pelo INSS aos trabalhadores que,…
O auxílio-reclusão é um benefício previdenciário concedido aos dependentes de segurados do INSS que se…
A simulação da aposentadoria é uma etapa fundamental para planejar o futuro financeiro de qualquer…
A paridade é um princípio fundamental na legislação previdenciária brasileira, especialmente para servidores públicos. Ela…
A aposentadoria por idade rural é um benefício previdenciário que reconhece as condições diferenciadas enfrentadas…