A existência de cometimento de condutas penalmente puníveis já existentes no ordenamento jurídico por meio do espaço cibernético, bem como o cometimento de novas condutas danosas não previstas como crime e que afetam enorme número de usuários que acreditam na segurança do ciberespaço, resultaram na preocupação em se verificar e concretizar formas de controle social também na sociedade digital.

Dessa maneira, enfrentando as novas realidades sociais no tocante às práticas delitivas e novos modus operandi, chegou-se à (discutível) necessidade de tutela penal da segurança da informação na invasão de computadores.

Os crimes comuns previstos no Código Penal que podem ser realizados por meio do computador, como por exemplo, crimes contra o patrimônio, contra a honra, contra a dignidade sexual, dentre outros, não possuem natureza de crime digital, pois a consumação não depende da utilização de mecanismo informático.

A utilização do termo crime digital (ou informático) para essas condutas via computador é equivocada, e tem origem no termo computer crime utilizado pelo Departamento de Justiça americano nos anos 80.

Não obstante, por conta das expressões comumente utilizadas pelos cidadãos, por meio da adequação social, a doutrina vem denominando os crimes comuns, quando praticados com auxílio de modernas tecnologias para afetação de bens jurídicos pessoais, como crimes digitais impróprios.

Já os delitos cujos bens jurídicos são essencialmente os sistemas computacionais, de informação, de telecomunicações ou dados, acabam por ser denominados crimes digitais próprios ou crimes digitais por excelência

O crime de nomen iuris "invasão de dispositivo informático" que entrou em vigor em abril de 2013, por meio da Lei 12.737/2012 (art. 154-A), apresenta-se como exemplo perfeito de crime digital próprio, eis que tutela, em primeiro lugar, a segurança da informação, sendo necessária a utilização de sistema informático para a prática do delito.

O referido dispositivo é assim disposto no caput: "Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

A rediscussão sobre a necessidade de se tutelar criminalmente o bem jurídico da segurança da informação se deu em meados de 2012, quando uma conhecida atriz brasileira teve seu computador e e-mail acessados clandestinamente e fotos íntimas restaram distribuídas na rede mundial de computadores (antes da Lei 12.737/12, apenas dois crimes contra a Administração Pública, acrescentados pela Lei 9.983/2000, que asseguravam penalmente a tutela da segurança da informação) e, recentemente, pelas vigias feitas pelos Estados Unidos a outros Países.

Os delitos praticados utilizando-se mecanismos informáticos para obter algum lucro ilícito ou para prejudicar alguém eram (e muitos ainda são) investigados utilizando-se as figuras típicas já existentes no Código Penal, como por exemplo, estelionatos, danos, furtos qualificados, pedofilia, dentre outros.

No entanto, o vazamento de informações sigilosas, a danificação de sistema computacional por software malicioso, acesso não autorizado a redes de computadores e instalação de vulnerabilidades em dispositivo de segurança, dentre outros, não possuíam tipificação própria.

Nesse sentido, utilizando-se como exemplo o caso da famosa atriz brasileira, era desnecessária uma lei penal que tipificasse penalmente condutas a fim de proibir a divulgação de fotos pela sociedade digital (intimidade), pois tal conduta enquadra-se em alguma figura típica de crime contra a honra, por ofensa a bem jurídico específico. Desnecessária, também, uma norma que eduque sobre conduta na "sociedade digitalizada", pois os valores e princípios da "sociedade comum" aplicam-se naquela.

Indispensável, no entanto, a tipificação de uma conduta que proibisse o acesso clandestino a computador ou dispositivo informático, protegendo não só o dispositivo informático, mas também, e principalmente, a privacidade da informação e sua segurança afastada de riscos, como divulgação, adulteração ou destruição de dados.

Percebe-se com isso, que os delitos informáticos próprios são pluriofensivos, na medida em que afetam diversos bens jurídicos (valores sociais) com a conduta realizada, quais sejam os novos interesses derivados da sociedade da informação e, secundariamente, bens jurídicos tradicionais.

Nessa senda, compartilhamos do mesmo entendimento do Magistrado espanhol Enrique del Canto, para quem a tutela penal principal que se pretende é a segurança da informação e, secundariamente, os dados ou os sistemas, sendo que os dados constituem a representação eletrônica ou digital da informação, ainda que com valores variáveis, ao passo que os sistemas nada mais são que os mecanismos materiais de funções automáticas de armazenamento, tratamento e transferência. Por fim, a pretensão é a proteção da intimidade e privacidade do particular.

A proteção da segurança da informação é detectada no novel artigo 154-A do Código penal através do elemento normativo do "mecanismo de segurança", pois na ausência deste, o fato é penalmente irrelevante, sendo, pois, atípico. Este elemento normativo necessário para a concretização do tipo penal reforça a ideia de que a proteção é da informação e não do dispositivo informático.

Equivocada, portanto, parte da doutrina que analisa esta conduta com a de invasão de domicílio, prevista no artigo 150 do Código Penal, pois neste, tutela-se a inviolabilidade do domicílio. No crime previsto no art. 154-A protege-se a informação, a inviolabilidade do segredo existente no interior do dispositivo informático.

Importante a distinção da análise da tutela pretendida, pois o caráter fragmentário do Direito Penal também possui a função de limitar o poder punitivo Estatal, não permitindo eventual punição por conduta que não é capaz de lesionar ou pôr em perigo o bem jurídico tutelado pelo tipo penal, além de possibilitar hipóteses de eventual aplicabilidade de consunção em tipos penais distintos apresentados em casos específicos.

A nova norma penal foi capaz de permitir que juristas e empresários voltassem seus olhos à segurança da informação, até então esquecida e de vital importância na sociedade veloz em que vivemos.

Contudo, diversos elementos normativos do tipo geram inúmeras questões dúbias que fazem crer na ineficácia de aplicação da norma na prática, além de impor uma complementação normativa que poderia ser sanada pela Lei do Marco Civil da Internet, como, por exemplo, explicar o que seria o mecanismo de segurança anteriormente citado.

No entanto, apesar de inúmeros defeitos, o novo crime de invasão de dispositivo informático importou em nova análise de conduta à empresas que prestam serviços de consultoria na área da segurança da informação, a fim de que elas prevejam uma maior segurança contratual e se adequem não só às normas civis e de compliance, mas também, agora, à norma penal incriminadora.

Da mesma forma, os hackers que estudam aplicativos e vulnerabilidades, contribuindo para o avança da sociedade digital, devem estar atentos à nova Lei, evitando acusações criminais por parte do Estado.

Trouxe, também, movimentação e preocupação jurídica nesta esfera do Direito Digital, até então pendente de larga análise de regulamentação, mas da qual somos totalmente dependentes.

A nova norma penal faz com que os juristas (também os julgadores!) se voltem às relações digitais, aperfeiçoando-se transdisciplinarmente para evitarem excessos punitivos, eis que a aplicabilidade da norma envolverá não só conhecimentos jurídico-penais, mas também da área da tecnologia da informação.

*Rafael Eduardo de Andrade Soto é advogado criminalista. Mestre em Ciências Criminais (PUCRS). Especialista em Direito Penal (UFRGS) e em Direito Penal Econômico (UCLM/Espanha). Membro da CDAP-OAB-RS.