PROF. DOUTOR J. OLIVEIRA ASCENSÃO CRIMINALIDADE INFORMÁTICA SUMÁRIO: 1. Demarcação; 2. Índole das intervenções legislativas. I – INFRACÇÕES RELATIVAS A DADOS PESSOAIS: 3. A protecção da privacidade; 4. A legislação extravagante sobre dados pessoais; 5. A ameaça do excesso; 6. Outros tipos penais; 7. Observações conclusivas. II– A QUALIFICAÇÃO DE TIPOS COMUNS PELO MEIO INFORMÁTICO: 8. Os tipos e a responsabilidade de pessoas colectivas e equiparadas; 9. Burla informática; 10. Dano informático. III – TIPOS CUJO OBJECTO SÃO MEIOS INFORMÁTICOS: 11. Violação de direitos intelectuais sobre bens informáticos; 12. Falsidade informática; 13. Sabotagem informática; 14. Acesso ilegítimo; 15. Intercepção ilegítima. 16. Apreciação final. 1. Demarcação A informática, realizando o que se chama o processamento automático, é um instrumento de elaboração e de comunicação de dados. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 2 Como qualquer instrumento, pode ser usada para finalidades ilícitas, criminosas mesmo. Se se envia correio electrónico injurioso, preenche-se o tipo penal de injúrias. Não obstante, não se sai dos tipos penais comuns, uma vez que estes não são excepcionados pelo facto de se usarem meios informáticos. A criminalidade informática limita-se assim à criminalidade que é especificamente gerada por este instrumento de trabalho e de comunicação. A vida social dos nossos países vai rapidamente assentando no meio informático. Mas este, se permite resultados espectaculares, oferece também uma característica de vulnerabilidade. Foi dito que o computador poderia bem transformar-se no calcanhar de Aquiles da sociedade pós-industrial 1. Perante esse receio, nada imaginoso, recorre-se à salvaguarda representada pelo Direito Penal. Perante a dificuldade de coordenação com o Direito Penal preexistente, têm sido percorridas várias vias de abordagem. Por nossa parte, distinguimos tipos caracterizados: – pelo uso de instrumentos informáticos – pela agressão ao meio informático – pelo conteúdo da mensagem deixada disponível em rede. Em todas as modalidades, o bem ou meio informático deverá surgir como elemento típico, ou pelo menos determinante. Mas uma qualificação mais segura só se poderá realizar através da análise de cada categoria. Veremos que o modo e grau de incidência do elemento informático podem ser muito diversos. Partimos em todo o caso desta ideia: para haver criminalidade informática é necessário que o meio informático seja penalmente relevante. 1 Augusto Bequai, Prefácio a La Criminalité Informatique, Recomendação n.º R (89) 9, Conselho da Europa, 1990, 3. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 3 Não representa uma categoria própria a violação de dados pessoais informatizados. Podia-se pensar que a gravidade do problema levaria à criação de uma categoria autónoma, tal o perigo que a informática representa para a privacidade. Mas como veremos seguiram-se neste domínio linhas diferenciadas, e a legislação sectorial foi escassamente sensível ao carácter informático (ou não) da intromissão. Não obstante, uma vez que estes sectores se demarcam mutuamente, somos forçados a proceder logo de início a uma breve focagem das infracções relativas a dados pessoais. Pelo contrário, não consideraremos a terceira categoria enunciada: a responsabilização penal por mensagens colocadas em rede. O tema tem sido na Europa relegado para a disciplina geral do comércio electrónico, por ser objecto da Directriz n.º 2000/31/CE, de 8 de Junho, sobre esta matéria. Deixamo-lo para outra oportunidade. 2. Índole das intervenções legislativas Este domínio é caracterizado pela turbulência legislativa. As leis sucedem-se a ritmo muito rápido, criando delicados problemas de fronteira. Por isso, parte da nossa análise será dedicada à determinação do que está realmente em vigor, aferindo o desgaste que as novas leis provocam nas leis antigas. A matéria é caracterizada também pela subserviência a modelos estranhos. Nomeadamente, os instrumentos comunitários, ou europeus de um modo geral, são importados no estado bruto, sem nenhuma preocupação de adaptação às condições nacionais, quer no ponto de vista de técnica legislativa ou dogmática, quer no ponto de vista substantivo. Assim, o art. 2 da Lei portuguesa n.º 109/91, de 17 de Agosto (que é a lei da criminalidade informática), dispõe: “Para os efeitos da presente lei, considera-se:” – e seguese uma longa lista de definições. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 4 Tem dois defeitos. Por um lado, sendo a lei básica nesta matéria, deveria dar definições em geral, e não apenas para os efeitos da presente lei. Esta é a técnica anglo-americana, mas porque em common law as leis são excepcionais, logo o que se estabelece só vale para os efeitos de cada lei. Nada tem que ver com a ordem jurídica portuguesa, em que as leis trazem os elementos da teoria geral. Pela mesma razão, é injustificado fazer preceder a lei de definições. Não pela definição em si, que é figura a que a lei pode recorrer quando for necessário. Mas porque a técnica nacional é antes a de colocar as definições nos lugares respectivos. Na técnica anglo-americana colocam-se na abertura porque a lei, sendo excepcional, necessita de marcar com rigor o domínio a que se aplica. A técnica legal deixa com frequência a desejar. Seja logo o caso do art. 1 da Lei n.º 109/91 (criminalidade informática): são subsidiariamente aplicáveis as disposições do Código Penal. Parece inútil: o Código Penal regula os crimes em geral, e não apenas as figuras nele tipificadas. Não era necessário reclamar o Código Penal, mas antes afastá-lo quando se não desejasse a sua aplicação. Temos ainda a apontar como característica desta legislação uma certa fobia penal, que contrasta frontalmente com a alegada tendência para a descriminalização e a redução do Direito Penal a ultima ratio. Faria Costa fala na impetuosidade do legislador português em matéria de Direito Penal secundário, quando só se ganharia com a sobriedade que permitisse a obtenção do conhecimento necessário para se atingirem plenamente os objectivos 2. Recorre-se ao Direito Penal, mesmo quando não há experiência e os problemas não estão esclarecidos. Ao tema voltaremos no final. Na realidade, a lei da criminalidade informática representa a transposição quase servil para a ordem jurídica portuguesa da Recomendação do Conselho da Europa n.º R 2 Les crimes informatiques, em “Direito Penal da Comunicação”, Coimbra Editora, 1998, II C. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 5 (89) 9, cuja “lista mínima” de infracções é integralmente acolhida 3. Segue-se tal qual a ordem e a terminologia da Recomendação e quase sempre o próprio texto recomendado. Quando há afastamento dele, é para agravar a solução proposta. O servilismo, em legiferação, paga-se. Muitos dos problemas criados resultam desta incapacidade de pensar a nossa própria situação e de integrar a matéria no nosso sistema. Como teremos oportunidade de verificar. I – INFRACÇÕES RELATIVAS A DADOS PESSOAIS 3. A protecção da privacidade Dissemos que a protecção jurídica dos dados pessoais oferece dificuldades, por se ter preferido realizar essencialmente uma protecção generalizante, não dependente do carácter informático do instrumento utilizado para a agressão àqueles dados. Como facilmente se conclui, neste caso o aspecto nuclear está na protecção da vida privada; a informática surge como instrumento que permite intromissões na vida privada. A protecção da vida privada tornou-se ponto alto do Direito de hoje. Foram os meios técnicos, e sobretudo a informática que catalisou esta preocupação. As suas potencialidades são tais que a intimidade de todos está sujeita a ser devassada a todo o momento. O cruzamento das informações respeitantes a cada pessoa desvela o retrato de toda a sua vida. Isto é muito visível com relação aos homens públicos. A todo o momento vemos emergirem factos que liquidam homens públicos, em momentos escolhidos. Isto significa que toda a existência social se tornou precária. 3 Salvo a burla informática, mas porque essa foi colocada no Código Penal. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 6 Diríamos até que os homens públicos só são protegidos por uma teia de silêncios cúmplices, fundada no receio da retaliação que se poderia seguir à denúncia. Mas se se passa assim com os homens públicos, não obstante o poder de que estão revestidos, que dizer do homem comum? A todo o momento cada um é liquidável, porque há sempre um facto a retirar do passado que possa ser aproveitado para o efeito. A nossa existência social assemelha-se assim a uma liberdade condicional, cuja resolubilidade depende porém de factos de terceiros. Esta é a base, extremamente ponderável, das providências que tutelam a vida privada. A protecção criminal da privacidade contra a invasão informática é já prevista no Código Penal português. Após o art. 192 regular a “Devassa da vida privada”, o art. 193 regula a “Devassa por meio da informática” 4. O tipo objectivo assenta na criação, manutenção ou utilização de ficheiro automatizado de dados individualmente identificáveis, referentes a convicções políticas, religiosas ou filosóficas, à filiação partidária ou sindical, à vida privada ou à origem étnica. A pena é de prisão até 2 anos ou multa até 240 dias. Em relação aos outros tipos de intromissão na vida privada, este tipo contém agravamentos substanciais: 1) A tentativa é punível (art. 193/2) 2) O procedimento criminal não depende de queixa ou participação (art. 198) 3) Não se exige nenhum elemento subjectivo da ilicitude. Por outro lado, não se reprime a efectiva intromissão na vida privada, mas o mero facto de se recorrer a um ficheiro com aquelas características. A agravação particular que se estabelece obriga ainda a um esclarecimento. 4 Corresponde ao anterior art. 181. Há uma derivação deste texto da Convenção de Estrasburgo do Conselho da Europa: cfr. Maia Gonçalves, Código Penal Português, 4.ª ed., Almedina, 1988, sub art. 181. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 7 Aparece como elemento de qualificação, além de outros cuja gravidade se compreende por si, o facto de haver dados respeitantes à vida privada. Esta referência exige um esclarecimento, dada a função que desempenha. Com efeito, ou se entende que a “vida privada”: a) corresponde afinal a dados pessoais, tal como são definidos no art. 3 a da Lei portuguesa n.º 67/98, de 26 de Outubro – portanto, relativos a pessoa identificável. Nesse caso, a violência legal seria seguramente exorbitante. b) recorta um círculo mais restrito, dentro dos dados pessoais, a que atribui uma protecção mais rigorosa. Este é sem dúvida o sentido da lei portuguesa, por directa derivação do texto constitucional. O art. 35 da Constituição, depois de referir no n.º 2 as condições do tratamento automatizado de dados pessoais, exclui no n.º 3 o tratamento informático de dados referentes aos mesmos aspectos que estão coligidos no art. 193 do Código Penal. A questão passa então a ser outra. Passa a ser a de determinar o critério distintivo entre os dados pessoais e a vida privada. É um problema grave: pois, consoante a solução dada, toda a cobertura de legalidade do sistema é sujeita a crítica. De facto, a legalidade deste não é segura. Nomeadamente, no que respeita ao empolamento dado à protecção preventiva. O ficheiro em si passa a ser imediatamente objecto de disciplina repressiva. Mas há mais do que isso. O próprio art. 35 da Constituição, no n.º 7, determinou afinal a extensão da protecção prevista aos ficheiros informatizados aos ficheiros manuais. Surgiu em consequência legislação ordinária exterior ao Código Penal, que passamos a analisar. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 8 4. A legislação extravagante sobre dados pessoais A legislação posterior sobre dados pessoais alterou e ampliou a previsão do art. 193 do Código Penal. Temos sobretudo a Lei n.º 67/98, de 26 de Outubro 5; complementarmente, há também a Lei n.º 69/98, de 28 de Outubro, sobre o tratamento de dados pessoais e a protecção da privacidade no domínio das telecomunicações 6. A importância destas leis para o nosso tema é grande, porque abrangem também o aspecto repressivo. A Lei n.º 67/98 prevê dois tipos de qualificações. Podem consubstanciar: – ilícito de mera ordenação social: arts. 35 a 42 – ilícito criminal: arts. 43 a 49. Procuremos caracterizar brevemente o sistema instituído. O art. 43/1 contém uma espécie de crime universal, relativo à infracção de obrigações concernentes à protecção de dados. É punido com pena de prisão até um ano ou multa até 120 dias quem praticar intencionalmente as várias violações a seguir discriminadas; nomeadamente infracções meramente administrativas, como as referentes a notificações ou a pedido de autorização 7. Mas também se incrimina quem promover ou efectuar uma interconexão ilegal de dados pessoais. Porém, as penas são elevadas para o dobro quando estiverem em causa os dados pessoais a que se referem os arts. 7 e 8 dessa lei (n.º 2). Esses são os dados sensíveis. Distinguem-se assim, dos dados pessoais em geral, os dados sensíveis. O que são dados sensíveis? 5 Transpõe para a ordem jurídica portuguesa a Directriz n.º 95/46/CE, sobre a protecção das pessoas singulares no tratamento de dados pessoais e a livre circulação desses dados. 6 Transpõe para a ordem jurídica portuguesa a Directriz n.º 97/66/CE. 7 Ou seja, matérias que deveriam paradigmaticamente corresponder a ilícitos de mera ordenação social. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 9 São dados cujo tratamento é em geral proibido: art. 7/1 da Lei n.º 67/98. São os referentes a: – convicções filosóficas ou políticas – filiação partidária ou sindical – fé religiosa – vida privada – origem racial ou étnica – saúde e vida sexual, incluindo os dados genéticos. O tratamento destes dados só pode ser realizado nas condições previstas nos n.os 2 a 4 do mesmo art. 7 ou noutros lugares da lei. Ultrapassa-se assim a situação resultante do art. 193 do Código Penal. Acrescenta-se também à enumeração constitucional a origem racial ou étnica (acrescento aliás bem supérfluo) e sobretudo os dados relativos à saúde e à vida sexual, incluindo os dados genéticos. A Lei n.º 67/98 realiza depois uma especificação muito mais acentuada que a constante do art. 193 do Código Penal, cujo conteúdo possivelmente se deve considerar esgotado por substituição. Observe-se porém que as infracções previstas na Lei n.º 67/98 têm o tom prevalente de infracções administrativas, por violação dos procedimentos estabelecidos. Não obstante as penalidades são idênticas à cominada no art. 193 do Código Penal: dois anos de prisão ou multa correspondente. A nós interessa sobretudo estarem, entre os dados sensíveis, os relativos à “vida privada”. Esta noção indefinida ocupa assim um lugar central. Confirma-se o que atrás dissemos, que a vida privada representa um círculo mais restrito que o ocupado genericamente pelos dados pessoais. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 10 De facto, todas as infracções relativas a estes dados recebem a mesma penalidade, 2 anos de prisão ou 240 dias de multa. A tentativa é sempre punível (art. 48) – portanto, mesmo nas meras infracções administrativas. Há outra alteração a anotar, em relação ao constante do art. 193 do Código Penal. Este respeitava apenas a ficheiros automatizados. Agora, as infracções a que se refere a Lei n.º 67/98 são generalizadas a todas as formas de tratamento de dados pessoais. O art. 3 b, aliás, define logo “tratamento de dados pessoais” como quaisquer operações sobre dados pessoais, efectuadas com ou sem meios automatizados... Segue-se assim a orientação constitucional e a tendência geral das instituições europeias de tratar como gerais problemas cuja acuidade deriva afinal da utilização de meios informáticos. 5. A ameaça do excesso Esta evolução merece-nos algumas observações gerais, não necessariamente favoráveis. Na progressão de um empolamento meramente formal da categoria “vida privada”, exacerbou-se a tutela penal, para além de tudo o razoável. A extensão aos ficheiros manuais dos meios penais de repressão é muito grave. Criminaliza-se onde nunca fora sentida a necessidade de criminalização, ao mesmo tempo que se perde de vista o cerne do problema. Este está na utilização de meios informáticos, com a sua muito particular perigosidade. Criam-se por outro lado zonas da maior indefinição. A burocratização do tratamento de dados pessoais, através da submissão a autorizações administrativas, gera um risco e uma insegurança permanentes em relação a actividades correntes: a minha agenda de endereços é um ficheiro manual de dados pessoais? PROF. DOUTOR J. OLIVEIRA ASCENSÃO 11 Instalou-se uma espécie de histeria, provavelmente de origem demagógica, na protecção dos dados pessoais. As proibições multiplicam-se e excedem-se; e há particularmente um recurso desproporcionado ao Direito Penal. Procedendo assim, perde-se com facilidade a bússola substantiva que justifica este regime. O que há de essencial é a defesa da personalidade. Mas as leis contentam-se com uma defesa exterior da pessoa, indiferente a valores, de modo que é o egoísmo de cada um que é realmente assegurado. A ameaça criminal paira sobre as actividades correntes, em consequência nomeadamente da mera falta de notificação ou pedido de autorização administrativa. O patrão que anota as faltas dos empregados está prevaricando? E o cidadão que anota as filiações dos políticos? Há ainda o regime das isenções. Assim, quem recolher dados pessoais directamente do seu titular deve prestar-lhe várias informações, compendiadas no art. 10/1 da Lei n.º 67/98. Mas esses deveres não se aplicam ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária (n.º 6). E outros fins, igualmente relevantes? Como sejam os historiográficos, mesmo que referentes à história recente? Por outro lado, é muito gravoso o desequilíbrio que se cria entre as entidades privilegiadas e o público em geral. O resultado é o desarmamento do cidadão comum, a quem se tiram todos os meios de defesa, perante potentados que estão em condições de o devassar na totalidade. Com isto se agrava afinal a vulnerabilidade do cidadão comum. Fica a suspeita que, por detrás das muito rígidas proibições, há uma vontade ou uma tolerância relativamente à superiorização de certas forças, eventualmente até ocultas. As leis protegem essencialmente o privado contra o privado. Mas não é essa a origem, seguramente, do grande risco que ameaça a privacidade do homem comum. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 12 6. Outros tipos penais A Lei n.º 67/98 contém ainda outros tipos penais. Só lhes poderemos fazer uma breve referência. O art. 44/1 tipifica o acesso indevido a dados pessoais: “quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado...”. A penalidade é idêntica à do art. 43: 1 ano de prisão ou multa até 120 dias. A previsão é muito violenta. Sem nenhuma outra qualificação, logo se prevê a reacção penal. Esta acarreta a punibilidade da tentativa, como em relação a todos os crimes previstos nessa lei (art. 48). Só há o adoçamento de o processo criminal depender de queixa (art. 44/3). Esse lenitivo já não funciona para o tipo qualificado do n.º 2: a pena é agravada para o dobro nos casos aí previstos. Que podem ser tão pouco significativos como o da al. b: “tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais”. Quase fatalmente, aceder a dados pessoais e possibilitar o conhecimento desses dados pelo agente (ou por terceiros) são uma e a mesma coisa. Mas nem sequer surge como causa de agravação o facto de esses dados serem dados sensíveis, ou se de se ter recorrido a meios informáticos. O art. 45/1 prevê a viciação ou destruição de dados pessoais, abrangendo a afectação da capacidade de uso desses dados. A penalidade é a prisão até dois anos ou multa até 240 dias, mas é elevada para o dobro se o dano produzido for particularmente grave (n.º 2). Ainda, se o agente actuar com negligência é punido com prisão até 1 ano ou multa até 120 dias (n.º 3). Quer dizer, a afectação negligente de dados pessoais (o funcionário que teve pouco cuidado com o ficheiro, por exemplo) tem a mesma penalidade que praticar intencionalmente o acesso indevido, nos termos do art. 44/1! Esta violência é injustificada. O que está em causa é essencialmente um dano. O perigo para a pessoa, na referência a dados pessoais comuns, é escassamente relevante: a defesa da personalidade não está em causa. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 13 Esse dano pode atingir: – ficheiros comuns – ficheiros informáticos. Se atinge ficheiros comuns, aproxima-se do crime de dano, previsto no art. 212/1 do Código Penal e punido com pena de prisão até 3 anos e multa. O procedimento criminal depende de queixa e não é punida a negligência. Não há razão para não haver aproximação deste tipo comum. Se o ficheiro é informático, temos uma figura análoga à do dano relativo a dados ou programas informáticos, prevista no art. 5 da lei da criminalidade informática. Do mesmo modo, há a pena-base de 3 anos ou multa, a dependência de queixa e a não previsão da negligência. Não há aspectos de defesa da personalidade que justifiquem que se construa aqui um regime diverso. O art. 46/1 prevê a desobediência qualificada: quem, depois de notificado para o efeito, não praticar os actos referentes a dados pessoais que foram determinados. Remete-se para o crime de desobediência qualificada para a determinação da penalidade 8. Este preceito cria um problema: a notificação que se refere é a notificação de uma entidade administrativa? Ou exige-se uma notificação judicial? Ou pelo contrário, basta a notificação por qualquer particular? A designação do tipo e a remissão para a desobediência qualificada levam a concluir que os limites típicos são os gerais do crime de desobediência qualificada. O art. 47, enfim, prevê a violação do dever de sigilo. Supõe-se alguém sujeito a sigilo profissional, nos termos da lei. Parece haver relação com o tipo do art. 195 do Código Penal, mas aqui com o agravamento resultante de a violação ter por objecto dados pessoais: a pena é de prisão até 2 anos e multa até 240 dias, enquanto que a pena do art. 195 é de prisão até 1 ano e multa até 8 Recorde-se que já o art. 43/1 e e f criminalizava actos de desobediência. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 14 240 dias. Mas repare-se que o art. 195 se insere no capítulo dos crimes contra a reserva da vida privada. Pareceria atender já a dados pessoais, qualificados até por respeitarem ao círculo da vida privada. Para além deste agravamento, ainda a negligência é punível (art. 47/3). Mais ainda: a pena é agravada de metade nos seus limites nas hipóteses do n.º 2 – entre as quais se encontra pôr em perigo “a reputação, a honra e consideração ou a intimidade da vida privada de outrem” (al. c). E nesses casos, já o procedimento criminal não depende de queixa (n.º 4), contra o princípio geral do art. 198 do Código Penal. 7. Observações conclusivas Não podemos prosseguir esta análise. Limitamo-nos a algumas observações de ordem geral. Receamos que haja que rever a base de toda esta matéria. Ela justifica-se historicamente pela potenciação da intromissão na vida privada trazida pelos meios informáticos. E justifica-se substantivamente pela necessidade de proteger a personalidade, ameaçada pelo devassamento constante. Afinal, a lei não atende nem a um nem a outro objectivo. Nem atende ao meio particularmente perigoso, porque toda a disciplina é generalizante. Nada se especifica, em relação ao meio ou veículo informático, com a sua muito particular penetração. Nem atende ao objectivo de protecção da personalidade, porque em geral se referem dados pessoais indistintamente, sem dar relevo à incidência sobre a intimidade da vida privada. Nem se distinguem os meros dados pessoais da vida privada, nem se especificam sequer os dados sensíveis. Bastou a qualificação genérica “dados pessoais” para induzir à violenta agravação dos tipos gerais a que se procede. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 15 Mas sendo assim, a lei perde a sua justificação. A qualificação dum dado como pessoal é axiologicamente neutra. Não justifica por si nenhuma diversidade em relação aos tipos comuns. II – A QUALIFICAÇÃO DE TIPOS COMUNS PELO MEIO INFORMÁTICO 8. Os tipos e a responsabilidade de pessoas colectivas e equiparadas Entramos agora na criminalidade informática. E simultaneamente faremos o confronto com a protecção de dados pessoais, porque esta matéria foi já referida. Dentro da nossa sistemática, começamos por examinar os tipos caracterizados pela utilização do meio informático, que qualifica tipos comuns. Nesta hipótese, teríamos tendencialmente variações em relação a tipos comuns, mas que não excluem a integração nesse tipo e a subordinação aos seus elementos fundamentais. Só encontramos dois tipos desta natureza: – a burla informática – o dano informático. Aparentemente, haveria que acrescentar a esta lista a falsidade informática. Veremos porém que o tipo apresenta particularidades essenciais, que obriga a considerá-lo como autónomo, e não como variação do tipo comum. Limitando-nos à burla informática e ao dano informático, veremos que mesmo esta aproximação dos tipos não corresponde a uma idêntica posição legislativa. A burla informática foi acolhida no próprio Código Penal português, no art. 221, por se considerar que tinha o mesmo significado que a burla em geral; o dano informático é regulado no art. 5 da lei da criminalidade informática (Lei n.º 109/91). PROF. DOUTOR J. OLIVEIRA ASCENSÃO 16 O que poderia ser questão menor, de mera sistemática, tem afinal importantes consequências substantivas. A responsabilidade penal das pessoas colectivas e equiparadas é prevista como mera eventualidade no art. 11 do Código Penal, mas não é aplicada a nenhum dos tipos neste compreendidos. Pelo contrário, o art. 3/1 da Lei n.º 109/91 expressamente responsabiliza as pessoas colectivas, sociedades e meras associações de facto, pelos crimes “cometidos em seu nome e no interesse colectivo pelos seus órgãos ou representantes”. Esta matéria recebe um grande desenvolvimento na lei da criminalidade informática. O legislador não remeteu para outras fontes onde a matéria estava já contemplada, e nomeadamente para o Dec.-Lei n.º 28/84, de 20 de Janeiro, sobre infracções anti-económicas. Entendeu dever regular tudo de raiz na própria lei da criminalidade informática. O art. 3 proclama o princípio geral da responsabilidade das pessoas colectivas e equiparadas. O n.º 1 especifica: pessoas colectivas, sociedades e meras associações de facto. Este artigo corresponde porém, com ligeiríssimas variações, ao art. 3 do Dec.-Lei n.º 28/84. Trata-se assim de matéria comum. Pelo que se não justifica que aqui a abordemos a propósito da criminalidade informática. Mas o mesmo há que dizer, afinal, do art. 10, que fixa as penas aplicáveis. Corresponde ao art. 11 do Dec.-Lei n.º 28/84. A variação sensível está em a multa diária ser fixada entre 10 000 e 200 000$00. Portanto, também não se justifica um exame autónomo. Basta-nos observar que algumas das penas acessórias do art. 11 poderiam ser assumidas como penas principais, nomeadamente a interdição temporária do exercício de certas profissões (a entender como ramo de actividade) ou o encerramento temporário ou definitivo do estabelecimento. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 17 De resto, fica o problema geral da justificação da própria responsabilidade penal das pessoas colectivas ou equiparadas. Para quem, como nós, pense que representa um gigantesco equívoco, esta lei ampliou o âmbito do equívoco. O combate contra a utilização das pessoas colectivas para fins ilícitos tem de se fazer através de reacção adequadas à natureza das pessoas colectivas. É um contrassenso aplicar-lhes os meios que foram criados para as pessoas singulares, assentes na essência espiritual destas. O absurdo atinge o máximo quando se trata de apurar uma culpa das pessoas colectivas ou equiparadas. 9. Burla informática A burla informática é prevista no art. 221 do Código Penal português, dissemos. Surge no desenvolvimento da disciplina geral da burla e participa dos elementos delimitadores gerais do art. 217: a intenção de obter para si ou para terceiro enriquecimento ilegítimo e a causação a outra pessoa de prejuízo patrimonial. Igualmente, a tentativa é punível e o procedimento criminal depende de queixa. A especificidade está no processo utilizado: “interferindo no resultado de tratamento de dados ou mediante estruturação incorrecta de programa informático, utilização incorrecta ou incompleta de dados, utilização de dados sem autorização ou intervenção por qualquer outro modo não autorizada no processamento”. É portanto a burla caracterizada pela utilização de meios informáticos que está em causa. A integração no próprio Código Penal tem consequências, como dissemos. Desde logo, a exclusão da responsabilidade criminal das pessoas colectivas. A especificação dos meios utilizados merece algumas observações. Não se incluiu a própria introdução de dados viciados no computador, que aliás constava da Recomendação de 1989 do Conselho da Europa. Não parece ser absorvida por qualquer das outras previsões. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 18 Tão-pouco se refere directamente a alteração dos dados. Não é uma utilização incorrecta de dados, é algo diferente. Será possível porém defender-se no caso uma interpretação extensiva, para quem a admita em geral no Direito Penal, com as cautelas devidas. Tipifica-se a “utilização de dados sem autorização”. É completamente equivocado. Haver ou não autorização é de todo irrelevante 9. O que interessa é o meio ardiloso de manipulação dos dados ou do resultado. Caso contrário, o próprio acesso ilegítimo poderia ser também abrangido. O mesmo se diga da previsão da “intervenção por qualquer outro modo não autorizada no processamento”. Não tem nada que ver com a burla. Releva a manipulação dos resultados, e não o elemento formal de haver ou não autorização para processar. Não deixa de haver uma variante do tipo de burla. Mas o tipo objectivo é delineado de modo infeliz. Um aspecto importante está na extensão do tipo ao domínio das telecomunicações. No n.º 2 prevê-se a utilização de programas, dispositivos electrónicos ou outros meios, que separadamente ou em conjunto se destinem a diminuir, alterar ou impedir o funcionamento ou exploração normal de serviços de telecomunicações. A referência a “outros meios”, sem mais distinções, mostra que o meio informático não é indispensável. O art. 221 passa assim a conter um tipo misto, por referir quer a burla informática, quer o viciamento das telecomunicações. Mas abstemo-nos de comentar a colocação deste viciamento das telecomunicações na sistemática da burla. A penalidade comum é a de prisão até 3 anos e multa. Mas é agravada se o prejuízo for de valor elevado ou de valor consideravelmente elevado. A intenção de exaustividade da lei da criminalidade informática levou-a a definir estas noções, no art. 2 g e 9 Este elemento não constava aliás da referida Recomendação de 1989. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 19 h. Qualquer variação (que não parece aliás existir) não teria porém repercussão sobre a burla informática, por estar submetida aos quadros do Código Penal. 10. Dano informático O “dano relativo a dados ou programas informáticos” é regulado no art. 5 da Lei n.º 109/91. O elemento subjectivo da ilicitude é aqui a intenção de causar prejuízo a outrem ou de obter para si ou para terceiros um benefício ilegítimo. A compreensão deste tipo exige a conjugação com o do art. 6 – sabotagem informática. O dano tem como objecto dados ou programas informáticos. A sabotagem dirige-se contra o próprio sistema informático, que é assim o bem jurídico protegido. Há que relacionar esta previsão com a do crime de dano dos arts. 212 e seguintes do Código Penal 10. As semelhanças são muito grandes. A tentativa é igualmente punível. O procedimento criminal, se o valor não for elevado, depende de queixa. A penalidade é a prisão até 3 anos ou multa. A especialidade está no objecto e no modo da acção. Não é uma coisa, no sentido geral que a palavra toma em Direito Penal, mas dados informáticos ou programas de computador. E a acção consiste em apagar, destruir no todo ou em parte, danificar, suprimir ou tornar não utilizáveis dados ou programas informáticos alheios, ou afectar por qualquer forma a sua capacidade de uso. Não se vê razão para não enquadrar esta previsão no crime de dano, nem para a manter afastada do Código Penal. Há algumas variações, mas não são impeditivas: seja o caso do objecto não ser uma “coisa”; ou do elemento subjectivo da ilicitude, causar prejuízo a outrem ou obter um benefício ilegítimo para si ou para terceiros. Especificam este tipo de 10 Mas não com o dano como crime de perigo comum. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 20 danos contra bens informáticos, mas não alteram a natureza do facto como crime de dano, afectando elementos do património alheio. Isso não significa porém que seja lícito recorrer, ora à lei da criminalidade informática, ora ao Código Penal, consoante concorra ou não aquele elemento subjectivo da ilicitude num facto objectivamente descrito como dano informático. O dano informático foi integralmente valorado pela lei da criminalidade informática, e com isso afastado das previsões gerais do Código Penal 11. Continua a verificar-se a incongruência das intervenções do legislador. O art. 45 da Lei n.º 67/98, sobre a protecção dos dados pessoais, pune a viciação ou destruição de dados pessoais com prisão até 2 anos ou multa; os limites sobem ao dobro se o dano for particularmente grave. É punida a negligência. Já por este art. 5, a negligência não é punida e o limite inferior, numa situação que se diria de menor gravidade, é de prisão até 3 anos e multa correspondente. Pode perguntar-se se se não verificará um concurso de normas e qual a solução. Parece que há realmente concurso. Mas é um concurso aparente, porque a previsão de dano sobre dados pessoais é especial em relação à violação de dados em geral, ainda que por meios informáticos. Assim, é a penalidade mais baixa que se aplica sempre, mesmo havendo aparentemente maior gravidade. Temos defendido que a maior penalidade não é critério de prevalência, em caso de concurso de normas 12. III – TIPOS CUJO OBJECTO SÃO MEIOS INFORMÁTICOS 11 12 Neste sentido Faria Costa, Crimes informáticos cit., 30-31. Cfr. por exemplo as nossas lições de Concorrência Desleal, A.A.F.D.L., 1994, n.º 204 II. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 21 11. Violação de direitos intelectuais sobre bens informáticos Vejamos agora os tipos em que o objecto material da agressão são bens ou meios informáticos, de modo a produzirem novos tipos penais. Temos a chamada por antonomásia criminalidade informática. Fala-se num Direito Penal Informático. Mas a importância pragmática desta designação não nos deve levar a supor que temos um ramo autónomo do Direito Penal, como demonstrou Faria Costa 13. As hipóteses mais directas são aquelas em que os próprios bens informáticos foram assumidos como objecto dum direito intelectual, que é violado. Temos pelo menos três casos: – programas de computador – bases de dados – topografias de produtos semicondutores. Seria este o objecto desta secção. Dá-se porém a circunstância de os elementos mais significativos (que são os programas de computador e as bases de dados) serem objecto de outras exposições. Limitar-nos-emos por isso a algumas observações laterais. No que respeita às bases de dados, não havia na ordem jurídica portuguesa, antes da transposição da Directriz n.º 96/9/CE, de 11 de Março, relativa à protecção jurídica das bases de dados, ainda protecção destas, salvo a que possa resultar da disciplina das compilações de obras. Não havia, por isso, nenhuma disciplina penal autónoma da matéria na ordem jurídica portuguesa. A Lei n.º 122/00, de 9 de Junho, transpôs para a ordem jurídica portuguesa a Directriz n.º 96/9/CE. No art. 11 prevê a “reprodução, divulgação ou 13 Algumas reflexões sobre o estatuto dogmático do chamado “Direito Penal Informático”, em “Direito Penal da Comunicação” cit., 103 e segs.. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 22 comunicação ao público” de bases de dados criativas com pena de prisão até três anos ou com pena de multa. Mas a violação do direito sui generis não é criminalizada. Os programas de computador e as topografias dos produtos semicondutores são conjuntamente disciplinados no art. 9 da Lei n.º 109/91, de 17 de Agosto (criminalidade informática). A violação é sujeita à penalidade de 3 anos de prisão ou multa. A tentativa é punível (n.º 3). No n.º 2 prevê-se a reprodução ilegítima de uma topografia dum produto semicondutor e a exploração comercial ou importação para esses fins, quer da topografia quer do produto semicondutor fabricado a partir dessa topografia. Repare-se que a reprodução é equiparada à comercialização pela sujeição a idêntica penalidade. Não é o que acontece nas violações dos direitos industriais, em que a mera comercialização ilegal representa um tipo mais benigno, em relação à contrafacção. Há que esperar para saber que consequências advirão para esta matéria se se der a anunciada integração no Código da Propriedade Industrial. A violação de programa de computador é prevista no n.º 1. A epígrafe do art. 9 é: “Reprodução ilegítima de programa protegido”. A epígrafe está duplamente errada. Por um lado, porque o art. 9 não respeita só ao programa de computador, mas também à topografia de produtos semicondutores. Por outro, porque não é só regulada a reprodução: o n.º 1 prevê também a divulgação e a comunicação ao público como actos reservados. A reprodução é proibida mesmo que realizada para uso privado, com as excepções estabelecidas no Dec.-Lei n.º 252/94, de 20 de Outubro. Isto resulta das necessidades especiais de exploração deste tipo de bens. Afasta-se pois o princípio geral do Direito de Autor da liberdade do uso privado. A excepção, como excepção, não é generalizável. O princípio da liberdade do uso privado mantém-se, e antes há que pôr em causa que no que respeita aos programas de computador vigore um verdadeiro direito de autor. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 23 O art. 9 tipifica, além da reprodução, a divulgação e a comunicação ao público. Traduz a grande pressão norte-americana que se fazia sentir naquela época, no sentido da tutela de um segredo sobre os programas de computador. Mas essa preocupação não logrou impor-se na Comunidade Europeia: não há nenhuma tutela do segredo. A lei portuguesa precipitou-se na protecção de interesses norte-americanos. Daqui resulta que este trecho da lei portuguesa deve ser entendido como uma norma inaplicável. Parte do seu conteúdo típico está em branco, à espera de uma muita improvável consagração da tutela autónoma do segredo pela lei interna. 12. Falsidade informática Há que examinar os vários tipos constantes da lei da criminalidade informática – com exclusão dos que, atendendo à sua índole, foram já objecto de análise por se integrarem noutros grupos. Comecemos pela falsidade informática. É prevista no art. 4 da lei da criminalidade informática. Exige-se um elemento subjectivo da ilicitude: a “intenção de provocar engano nas relações jurídicas” (n.º 1). É uma estranha fórmula. Parece corresponder ao animus decipiendi, mas este é referido a pessoas sem mais; aqui especifica-se um objecto, as relações jurídicas. Atendendo à matéria sobre que incide a acção, temos uma intervenção ilegítima num meio informático, quando os dados daí resultantes sejam susceptíveis de servir como meio de prova (n.º 1). A visualização daqueles provocará então os efeitos de um documento falsificado (n.º1). O tipo abrange ainda quem “os utilize para os fins descritos”. É punível com prisão até 5 anos ou multa de 120 a 160 dias. A referência ao “documento falsificado” leva-nos a procurar a ligação com o crime de falsificação de documentos do art. 256 do Código Penal. Mas a correspondência não PROF. DOUTOR J. OLIVEIRA ASCENSÃO 24 é, de facto, imediata. Desde logo, o art. 256/1 prevê outro elemento subjectivo da ilicitude, causar prejuízo a outrem ou obter para si ou para terceiro benefício ilegítimo. Esse elemento subjectivo só surge no n.º 2 do art. 4 da lei da criminalidade informática, que sujeita à mesma pena quem usa documento produzido a partir dos meios viciados previstos no n.º 1. Ressalta uma grande desproporção de penas, resultante desde logo de o máximo geral da pena de prisão ser de 3 anos no art. 256 e de 5 anos no art. 4 da Lei n.º 109/91. Poderia o legislador ter dispensado o tipo do art. 4 e bastar-se com o art. 256 do Código Penal? Causa grandes divergências a possibilidade de aproveitamento dos tipos comuns para reprimir ilícitos informáticos. O considerar ainda “documento” a representação informática seria ultrapassável: o sentido próprio de documento é realmente o de qualquer base de representação de uma ideia ou de um facto. Já seria porém contestável, perante o princípio penal da tipicidade, abranger outros aspectos, como o viciamento de programa de computador. O “documento” final, que é objecto de visualização, não é directamente falsificado. Criaria grandes dificuldades pretender que actividades desta ordem poderiam caber no art. 256 do Código Penal, tal como está redigido. A este propósito, discutiu-se na Alemanha a amplitude que se poderia dar à “representação”. A doutrina exigiu, para além da percepção sensorial e da veiculação de um conteúdo conceitual, que tivesse um carácter duradouro 14, ou talvez melhor, não efémero. Isso não acontece porém com as representações que nos surgem no visor de um computador. Também por aqui, esta matéria não poderia caber no art. 256 do Código Penal. O legislador preferiu então elaborar um tipo novo, limitado à actuação sobre meios informáticos. Ao fazê-lo, porém, afastou-se injustificadamente dos princípios comuns. 14 Cfr. Ulrich Sieber, Responsabilità penali per la circolazioni di dati nelle reti internazionali di computer – II, na “Riv. Trim. Dir. Penale della Economia”, X/4, Out-Dez/97, 1193 e segs. (1194-1195). PROF. DOUTOR J. OLIVEIRA ASCENSÃO 25 Por exemplo, quem proceder assim por brincadeira, num “desporto” a que se dedicam frequentemente os informáticos amadores, é incriminado? É-o, porque houve a intenção de provocar engano nas relações jurídicas, se se dirigiu ao resultado final. Mas não seria abrangido pelo art. 256 do Código Penal, pois o agente não teria intenção de causar prejuízo a outrem ou de obter um benefício ilegítimo. E se o propósito for o de criar dificuldades a um sistema informático? Isso estará porventura compreendido numa das previsões seguintes, mas não é já o objecto do art. 4. Em qualquer caso, o essencial está na protecção do valor de prova dum documento; é esse o bem jurídico em causa, com fundamento num interesse geral à segurança jurídica. Este tipo abrangerá todos os casos em que alguém, agindo sobre meios informáticos indevidamente, produza um “documento falsificado”? Parece que sim. A lei especifica “introduzir, modificar, apagar ou suprimir dados ou programas informáticos” mas acrescenta: “ou, por qualquer outra forma, interferir num tratamento informático de dados”. O acento é claramente generalizador. E se se alterarem dados próprios? Por exemplo, se o comerciante alterar um programa de computação para obter um resultado que vicia a sua própria escrita? Ainda se aplica esta previsão? Diríamos que sim, pois o tipo não está limitado à intervenção em programa alheio. O que interessa é que a resultante produza os mesmos efeitos dum documento falsificado. É a integridade do valor da prova que surge em primeiro plano, de maneira a não ser posta em causa pelo viciamento de meios informáticos. De todo o modo, parece que temos afinal um tipo novo, e não propriamente um tipo qualificado em relação ao art. 256 do Código Penal. A aplicação deste tipo exclui a do PROF. DOUTOR J. OLIVEIRA ASCENSÃO 26 art. 256. Não se pode recorrer a este como o tipo geral, que regeria todos os aspectos que o art. 4 da Lei n.º 109/91 não disciplinasse especificamente 15. 13. Sabotagem informática A sabotagem informática consta do art. 6 da Lei portuguesa n.º 109/91. Ao contrário do dano informático, do qual por outros aspectos se aproxima, a sabotagem informática não tem o cunho patrimonial que caracteriza aquele. É um crime contra um sistema informático. Por isso, a intenção que se reclama não é a de prejudicar ou de beneficiar indevidamente, mas a de “entravar ou perturbar o funcionamento de um sistema informático ou de comunicação de dados à distância”. A acção é caracterizada como a de “introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra forma, interferir em sistema informático”. A prisão poderá ir até 5 anos, ou mesmo a 10, se o valor for consideravelmente elevado (n.º 3). O sistema informático passa a ser assim um bem particularmente protegido: tem a mesma pena do lenocínio (art. 176 do Código Penal). Mas não está em causa apenas o sistema informático. O art. 6 equipara-lhe um sistema de comunicação de dados à distância. Portanto, a perturbação das telecomunicações acaba por ter o mesmo significado. Isto tem importância para a delimitação do sistema informático. Poderia entender-se que este necessitaria de ser um sistema de comunicação de dados à distância. Mas 15 M. Lopes Rocha, em Direito da Informática – Legislação e Deontologia, Júlio Reis Silva e outros, Cosmos, 1994, 44, afirma que, havendo dúvidas sobre a aplicabilidade das disposições do Direito Penal clássico à falsificação dos documentos probatórios produzidos por computador, estes devem também ser abrangidos. É certo se quiser dizer que caem no âmbito do art. 256 documentos produzidos por computador; não é, se pretender uma aplicação cumulativa daquele preceito e do art. 4 da Lei n.º 109/91. Este, no âmbito da sua previsão, exclui inteiramente a aplicação do art. 256 do Código Penal. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 27 a previsão autónoma dos sistemas de comunicação de dados à distância afasta aquela interpretação. Qualquer sistema informático pode estar em causa. É importante neste domínio a problemática do vírus. A introdução de vírus em sistemas cairá nesta previsão? A questão é importante, pois o vírus pode ser introduzido pela própria entidade que comercializa o programa, para impedir a utilização deste fora das condições que estabelece. Pode invocar-se então uma espécie de legítima defesa. Mas não é aceitável. Toda a introdução de vírus é coberta pelo preceito, verificando-se os restantes pressupostos. Nada interessa que a utilização que outrem faça do programa seja legal ou ilegal. A legítima defesa permite contrapor-se a uma agressão ilegal, mas não permite agir sobre bens do infractor, de maneira não justificada pela necessidade de defesa. 14. Acesso ilegítimo O acesso ilegítimo a rede ou sistema informáticos é tipificado no art. 7/1 da Lei n.º 109/91. Pode perguntar-se se esta previsão se aplica também a intromissões em lugares reservados na Internet. Parece que sim, uma vez que se prevê o acesso a rede informática. Que o conteúdo esteja ou não protegido pelo Direito de Autor é irrelevante, nos termos deste preceito 16. A pena é de prisão até 1 ano ou multa até 120 dias. Mas sobe a prisão até 3 anos ou multa se o acesso for conseguido através da violação de regras de segurança, que toma assim um papel de grande relevo. Observamos porém que essas regras de segurança 16 Hoje há que considerar a Directriz n.º 98/84/CE, de 20 de Novembro, sobre os serviços de acesso condicionado. Por outro lado, esta extensão permite abranger o próprio operador do sistema, sempre que realiza um acesso que, sendo-lhe embora tecnicamente possível, lhe esteja vedado. Sobre a posição em geral de um operador de telecomunicações automáticas, perante o dever de reserva, cfr. Alessandra Valastro, La tutela penale delle comunicazioni intersoggettive, na “Riv. Ital. Dir. e Proc. Penale” XIII, 3, Jul-Set 99, 989 e segs. (1005 e segs.). 28 PROF. DOUTOR J. OLIVEIRA ASCENSÃO devem ser efectivas, como se pede em geral no domínio informático, pois só essas justificam um agravamento tão acentuado 17. Exige-se um elemento subjectivo da ilicitude: a intenção de alcançar, para si ou para outrem, um benefício ou vantagem ilegítimos. A mera curiosidade ou aventura, mesmo por via ilícita, escapam à tipificação. O jovem “pirata” que consegue entrar nos sistemas de defesa não é abrangido por estas previsões 18. A delimitação da vantagem oferece dificuldades. O benefício ou vantagem são patrimoniais: isso resulta do n.º 3 b. Mas que acontece se a intenção for simplesmente a de fugir ao pagamento da contrapartida que estiver estabelecida para o acesso criptado? Parece demasiado violento, pois implicaria a punição até 3 anos ou multa do n.º 2. A reserva dos sistemas criptados só agora está a ser estabelecida a nível internacional. Mas é tudo duvidoso. Acresce um agravamento suplementar, constante do n.º 3. A pena será de prisão de um a cinco anos quando: a) o agente tomar conhecimento de segredo industrial ou comercial ou de dados confidenciais, protegidos por lei; b) o benefício ou vantagem patrimonial obtidos forem de valor consideravelmente elevado. Note-se a extrema violência desta previsão: não se admite a alternativa da multa. A previsão do segredo manifesta de novo a “americanização” da lei. Não há entre nós uma protecção autónoma do segredo de negócios, fora da concorrência desleal. Mas 17 Discute em geral a relevância da não vulnerabilidade técnica na tutela das telecomunicações Alessandra Valastro, Tutela penale cit., 997-998. A tutela comunitária dos dispositivos tecnológicos é condicionada ao carácter “efectivo” desses dispositivos. Em qualquer caso, um agravamento penal baseado na circunvenção de dispositivos de segurança (pois parece ser esta a essência do preceito) pressupõe que esses dispositivos representam uma barreira eficaz, na normalidade dos casos, exigindo um grau elevado de empenhamento na sua elusão. 18 Por isso não nos parece correcto dizer (cfr. M. Lopes Rocha, Direito da Informática cit., 47) que este tipo é complementar do de sabotagem informática. Este é um crime patrimonial, e a sabotagem não. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 29 para a lei pareceu tão importante que impôs este agravamento. Porém, só se contempla o segredo protegido por lei 19. Parece dever ser também entendido como uma norma penal actualmente insusceptível de preenchimento, que espera uma protecção autónoma do segredo que até hoje não veio a acontecer. É também motivo de agravamento o agente ter tomado conhecimento de dados confidenciais. Isto nos leva à necessidade de conjugar esta previsão com a Lei n.º 67/98, sobre dados pessoais. Porque, como dissemos, o art. 44 daquela lei contempla também o “acesso indevido”, no caso referido a dados pessoais. Há porém grandes diferenças entre os dois tipos. A violação de dados pessoais é independente da utilização de meio informático; e é-o também da intenção de proveito, embora o ter obtido proveito ou vantagem patrimonial seja causa de agravamento (art. 44/1 c). O acesso indevido a dados pessoais não é assim um crime de objectivo patrimonial. Mas neste art. 44, o possibilitar ao agente ou a terceiros o conhecimento de dados pessoais é um motivo de agravamento para o dobro (até 2 anos ou multa, art. 44/2 b). Na lei da criminalidade informática, o conhecimento de dados confidenciais leva à prisão de 1 a 5 anos (art. 7/3 a). É de supor que a Lei n.º 67/98 tenha, no respeitante a dados pessoais, derrogado o art. 7/3 a da Lei n.º 109/91. A lei sobre dados pessoais é posterior. É uma lei genérica, que abrange todas as formas de acesso indevido, por via informática ou não. O conhecimento obtido foi valorado, de maneira a conduzir àquela penalidade em todos os casos. Mas só derroga no que respeita a dados pessoais. A previsão do art. 7/3 a vai além destes, pois abrange todo o tipo de dados confidenciais protegidos por lei. Nesta medida, o art. 7/3 a da Lei n.º 109/91 continua em vigor. 19 Uma vez que o trecho final desta alínea rege também o segredo, como resulta da vírgula interposta entre “dados confidenciais” e “protegidos por lei”. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 30 A tentativa é sempre punível (n.º 4). É difícil entender por que isso acontece aqui e não na sabotagem informática, por exemplo, que é muito mais grave, mas em que se aplicam as regras comuns. O procedimento criminal depende de queixa, salvo na hipótese da particular agravação do n.º 3 (n.º 5). 15. Intercepção ilegítima O último tipo especificamente previsto é a intercepção ilegítima. O art. 2 f da Lei n.º 109/91 define intercepção “o acto destinado a captar informações contidas num sistema automatizado de dados, através de dispositivos electromagnéticos, acústicos, mecânicos ou outros”. Pressupõem-se assim comunicações, que se interceptam; por isso se distingue do acesso ilegítimo. O art. 8 tipifica: consiste em interceptar através de meios técnicos comunicações que se processam no interior dum sistema ou rede informáticos, a eles destinadas ou deles provenientes. Não se exige nenhuma intenção específica, ao contrário do que se passa nos preceitos antecedentes. Aqui, já o amador imaginoso vai ser enquadrado, sem que se veja razão para semelhante diferença. A reacção é particularmente violenta: prisão até 3 anos ou multa. A tentativa é punível (n.º 2) e o procedimento criminal não depende de queixa. Continua a haver uma certa lotaria punitiva. Têm exactamente a mesma gravidade substantiva, como violação da privacidade, o acesso ilegítimo e a intercepção ilegítima. Mas o acesso ilegítimo, qualificado ainda por cima por um elemento subjectivo da ilicitude, é punido com prisão até 1 ano ou multa e a intercepção com prisão até 3 anos e multa. Ainda por cima, no 1.º caso depende de queixa e no 2.º não. A mera referência a “comunicações”, embora no interior de um sistema ou rede, justificará esta disparidade? PROF. DOUTOR J. OLIVEIRA ASCENSÃO 31 O art. 2 f, ao definir intercepção, fala no acto destinado a captar informações... Distinguirá a captação de informações da intercepção em geral, só criminalizando esta? Poderia ser a ilação a retirar de se ter falado em informação e não em dado; e com isto restringir-se o exagerado rigor do preceito. Mas é uma interpretação difícil, porque todo o dado representa em sentido lato uma informação. Só poderiam ficar de fora elementos como a música ou mesmo espectáculos, que apenas em sentido impróprio podem ser considerados informação. Teríamos aqui a espionagem electrónica, incidindo sobre comunicações informáticas. Está protegida em primeiro lugar a segurança e privacidade das comunicações informáticas 20; mas para além disso, e com a maior importância, há a defesa da privacidade, que deste modo é ameaçada. Isto nos obriga porém a cotejar este tipo com as disposições da Lei n.º 69/98, de 28 de Outubro, sobre dados pessoais e privacidade no sector das telecomunicações. Esta, por si, não contém disposições penais. Remete porém para as sanções estabelecidas na Lei da Protecção de Dados e na legislação sobre telecomunicações (art. 14/1). Acrescenta ainda, noutra manifestação de falta de capacidade distintiva, que são sempre puníveis a tentativa e a negligência (n.º 2). Há porém um preceito relevante para os nossos fins. O art. 15 b prevê como contra-ordenação a violação do dever de confidencialidade, previsto no art. 5. Este proíbe nomeadamente a escuta, a colocação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância das telecomunicações por terceiros sem o consentimento expresso dos utilizadores (n.º 2). Parece aplicável aos prestadores de serviços e aos operadores de rede, previstos no n.º 1. 20 M. Lopes Rocha, Direito da Informática cit., 47, fala num “direito à exclusividade da comunicação de dados”. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 32 Temos assim que a intercepção de comunicações em geral é uma contra-ordenação; a intercepção de comunicações que se processem no interior de um sistema ou rede informáticos é punida com prisão até 3 anos ou multa. O carácter informático do sistema ou rede transforma a contra-ordenação em crime! É tudo muito disparatado. Talvez se possa entender que a lei sobre telecomunicações revogou aquele art. 8, por ter tido em vista, sem distinção, todo o conteúdo valorativo da intercepção de comunicações. 16. Apreciação final O panorama resultante desta análise deixa-nos perplexo. A lei portuguesa tomou posição sobre a criminalidade informática com particular violência, quando nem sequer os programas de computador eram objecto de protecção legal. Baseou-se em trabalhos preparatórios de convenções internacionais que não correspondem a textos que tivessem ficado em vigor. Precipitou-se perante uma realidade desconhecida, para servir interesses de empresas estrangeiras. A lei da criminalidade informática vive hoje em total descoordenação com outras leis, nomeadamente as relativas à protecção de dados pessoais e às telecomunicações. As leis recortam-se e contradizem-se, sem haver nenhum critério de coordenação. Por outro lado, o aparecimento muito rápido de novos problemas torna insuficientes ou desactualizadas muitas soluções. Há que sair daqui, através de uma ponderação de conjunto deste tema. A criminalidade informática está novamente em estudo no plano internacional. Está nomeadamente em preparação uma Convenção em matéria de ciber-crime, no âmbito do Conselho da Europa. A 2 de Outubro de 2000 o Conselho da Europa aprovou um projecto de convenção sobre a ciber-crime. É uma boa oportunidade para recolocar o problema de base. PROF. DOUTOR J. OLIVEIRA ASCENSÃO 33 Mas isso não deve fazer esquecer a necessidade de intervenções pontuais, para superar situações em que a solução legal se revelou já claramente errada. É necessário marcar as linhas divisórias de três domínios que se cruzam nesta problemática: 1) O Direito Penal comum, que deve englobar todos aqueles casos em que o meio informático implica uma mera qualificação ou especificação de um tipo comum, sem alterar o sentido deste. 2) A protecção de dados pessoais ou da privacidade, perguntando quando a valoração nesta matéria é substancialmente alterada pela utilização do meio informático. 3) A criminalidade informática propriamente dita, caracterizada por o bem ou o meio informático ser elemento típico autonomamente relevante. Ficam ainda de fora as infracções relacionadas com o conteúdo, como a pedofilia ou o terrorismo, na medida em que a reacção repressiva se tenha de especializar por força do meio utilizado. Em qualquer caso, há que ultrapassar a fobia penal que caracteriza a lei vigente. Há que afastar a suspeita de que o recurso ao Direito Penal esconde muitas vezes a prossecução de interesses económicos privados. A violência penal desproporcionada faz perder ao sistema a sua base ética. Passa a ter como único suporte o medo da polícia.