PROF. DOUTOR J. OLIVEIRA ASCENSÃO
CRIMINALIDADE INFORMÁTICA
SUMÁRIO:
1. Demarcação; 2. Índole das intervenções legislativas.
I – INFRACÇÕES RELATIVAS A DADOS PESSOAIS: 3. A protecção da
privacidade; 4. A legislação extravagante sobre dados pessoais; 5. A ameaça do excesso;
6. Outros tipos penais; 7. Observações conclusivas.
II–
A
QUALIFICAÇÃO
DE
TIPOS
COMUNS
PELO
MEIO
INFORMÁTICO: 8. Os tipos e a responsabilidade de pessoas colectivas e equiparadas;
9. Burla informática; 10. Dano informático.
III – TIPOS CUJO OBJECTO SÃO MEIOS INFORMÁTICOS: 11. Violação
de direitos intelectuais sobre bens informáticos; 12. Falsidade informática; 13. Sabotagem
informática; 14. Acesso ilegítimo; 15. Intercepção ilegítima.
16. Apreciação final.
1. Demarcação
A informática, realizando o que se chama o processamento automático, é um
instrumento de elaboração e de comunicação de dados.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
2
Como qualquer instrumento, pode ser usada para finalidades ilícitas,
criminosas mesmo.
Se se envia correio electrónico injurioso, preenche-se o tipo penal de injúrias.
Não obstante, não se sai dos tipos penais comuns, uma vez que estes não são excepcionados
pelo facto de se usarem meios informáticos.
A criminalidade informática limita-se assim à criminalidade que é
especificamente gerada por este instrumento de trabalho e de comunicação.
A vida social dos nossos países vai rapidamente assentando no meio
informático. Mas este, se permite resultados espectaculares, oferece também uma
característica de vulnerabilidade. Foi dito que o computador poderia bem transformar-se no
calcanhar de Aquiles da sociedade pós-industrial 1. Perante esse receio, nada imaginoso,
recorre-se à salvaguarda representada pelo Direito Penal.
Perante a dificuldade de coordenação com o Direito Penal preexistente, têm
sido percorridas várias vias de abordagem.
Por nossa parte, distinguimos tipos caracterizados:
– pelo uso de instrumentos informáticos
– pela agressão ao meio informático
– pelo conteúdo da mensagem deixada disponível em rede.
Em todas as modalidades, o bem ou meio informático deverá surgir como
elemento típico, ou pelo menos determinante. Mas uma qualificação mais segura só se poderá
realizar através da análise de cada categoria. Veremos que o modo e grau de incidência do
elemento informático podem ser muito diversos.
Partimos em todo o caso desta ideia: para haver criminalidade informática é
necessário que o meio informático seja penalmente relevante.
1
Augusto Bequai, Prefácio a La Criminalité Informatique, Recomendação n.º R (89) 9, Conselho da Europa,
1990, 3.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
3
Não representa uma categoria própria a violação de dados pessoais
informatizados. Podia-se pensar que a gravidade do problema levaria à criação de uma
categoria autónoma, tal o perigo que a informática representa para a privacidade. Mas como
veremos seguiram-se neste domínio linhas diferenciadas, e a legislação sectorial foi
escassamente sensível ao carácter informático (ou não) da intromissão.
Não obstante, uma vez que estes sectores se demarcam mutuamente, somos
forçados a proceder logo de início a uma breve focagem das infracções relativas a dados
pessoais.
Pelo contrário, não consideraremos a terceira categoria enunciada: a
responsabilização penal por mensagens colocadas em rede. O tema tem sido na Europa
relegado para a disciplina geral do comércio electrónico, por ser objecto da Directriz
n.º 2000/31/CE, de 8 de Junho, sobre esta matéria. Deixamo-lo para outra oportunidade.
2. Índole das intervenções legislativas
Este domínio é caracterizado pela turbulência legislativa. As leis sucedem-se a
ritmo muito rápido, criando delicados problemas de fronteira. Por isso, parte da nossa análise
será dedicada à determinação do que está realmente em vigor, aferindo o desgaste que as
novas leis provocam nas leis antigas.
A matéria é caracterizada também pela subserviência a modelos estranhos.
Nomeadamente, os instrumentos comunitários, ou europeus de um modo geral, são
importados no estado bruto, sem nenhuma preocupação de adaptação às condições nacionais,
quer no ponto de vista de técnica legislativa ou dogmática, quer no ponto de vista substantivo.
Assim, o art. 2 da Lei portuguesa n.º 109/91, de 17 de Agosto (que é a lei da
criminalidade informática), dispõe: “Para os efeitos da presente lei, considera-se:” – e seguese uma longa lista de definições.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
4
Tem dois defeitos. Por um lado, sendo a lei básica nesta matéria, deveria dar
definições em geral, e não apenas para os efeitos da presente lei. Esta é a técnica
anglo-americana, mas porque em common law as leis são excepcionais, logo o que se
estabelece só vale para os efeitos de cada lei. Nada tem que ver com a ordem jurídica
portuguesa, em que as leis trazem os elementos da teoria geral.
Pela mesma razão, é injustificado fazer preceder a lei de definições. Não pela
definição em si, que é figura a que a lei pode recorrer quando for necessário. Mas porque a
técnica nacional é antes a de colocar as definições nos lugares respectivos. Na técnica
anglo-americana colocam-se na abertura porque a lei, sendo excepcional, necessita de marcar
com rigor o domínio a que se aplica.
A técnica legal deixa com frequência a desejar. Seja logo o caso do art. 1 da
Lei n.º 109/91 (criminalidade informática): são subsidiariamente aplicáveis as disposições do
Código Penal. Parece inútil: o Código Penal regula os crimes em geral, e não apenas as
figuras nele tipificadas. Não era necessário reclamar o Código Penal, mas antes afastá-lo
quando se não desejasse a sua aplicação.
Temos ainda a apontar como característica desta legislação uma certa fobia
penal, que contrasta frontalmente com a alegada tendência para a descriminalização e a
redução do Direito Penal a ultima ratio. Faria Costa fala na impetuosidade do legislador
português em matéria de Direito Penal secundário, quando só se ganharia com a sobriedade
que permitisse a obtenção do conhecimento necessário para se atingirem plenamente os
objectivos 2. Recorre-se ao Direito Penal, mesmo quando não há experiência e os problemas
não estão esclarecidos. Ao tema voltaremos no final.
Na realidade, a lei da criminalidade informática representa a transposição
quase servil para a ordem jurídica portuguesa da Recomendação do Conselho da Europa n.º R
2
Les crimes informatiques, em “Direito Penal da Comunicação”, Coimbra Editora, 1998, II C.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
5
(89) 9, cuja “lista mínima” de infracções é integralmente acolhida 3. Segue-se tal qual a ordem
e a terminologia da Recomendação e quase sempre o próprio texto recomendado. Quando há
afastamento dele, é para agravar a solução proposta.
O servilismo, em legiferação, paga-se. Muitos dos problemas criados resultam
desta incapacidade de pensar a nossa própria situação e de integrar a matéria no nosso
sistema. Como teremos oportunidade de verificar.
I – INFRACÇÕES RELATIVAS A DADOS PESSOAIS
3. A protecção da privacidade
Dissemos que a protecção jurídica dos dados pessoais oferece dificuldades, por
se ter preferido realizar essencialmente uma protecção generalizante, não dependente do
carácter informático do instrumento utilizado para a agressão àqueles dados.
Como facilmente se conclui, neste caso o aspecto nuclear está na protecção da
vida privada; a informática surge como instrumento que permite intromissões na vida privada.
A protecção da vida privada tornou-se ponto alto do Direito de hoje. Foram os
meios técnicos, e sobretudo a informática que catalisou esta preocupação. As suas
potencialidades são tais que a intimidade de todos está sujeita a ser devassada a todo o
momento. O cruzamento das informações respeitantes a cada pessoa desvela o retrato de toda
a sua vida.
Isto é muito visível com relação aos homens públicos. A todo o momento
vemos emergirem factos que liquidam homens públicos, em momentos escolhidos. Isto
significa que toda a existência social se tornou precária.
3
Salvo a burla informática, mas porque essa foi colocada no Código Penal.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
6
Diríamos até que os homens públicos só são protegidos por uma teia de
silêncios cúmplices, fundada no receio da retaliação que se poderia seguir à denúncia.
Mas se se passa assim com os homens públicos, não obstante o poder de que
estão revestidos, que dizer do homem comum? A todo o momento cada um é liquidável,
porque há sempre um facto a retirar do passado que possa ser aproveitado para o efeito. A
nossa existência social assemelha-se assim a uma liberdade condicional, cuja resolubilidade
depende porém de factos de terceiros.
Esta é a base, extremamente ponderável, das providências que tutelam a vida
privada.
A protecção criminal da privacidade contra a invasão informática é já prevista
no Código Penal português. Após o art. 192 regular a “Devassa da vida privada”, o art. 193
regula a “Devassa por meio da informática” 4.
O tipo objectivo assenta na criação, manutenção ou utilização de ficheiro
automatizado de dados individualmente identificáveis, referentes a convicções políticas,
religiosas ou filosóficas, à filiação partidária ou sindical, à vida privada ou à origem étnica.
A pena é de prisão até 2 anos ou multa até 240 dias.
Em relação aos outros tipos de intromissão na vida privada, este tipo contém
agravamentos substanciais:
1) A tentativa é punível (art. 193/2)
2) O procedimento criminal não depende de queixa ou participação (art. 198)
3) Não se exige nenhum elemento subjectivo da ilicitude.
Por outro lado, não se reprime a efectiva intromissão na vida privada, mas o
mero facto de se recorrer a um ficheiro com aquelas características.
A agravação particular que se estabelece obriga ainda a um esclarecimento.
4
Corresponde ao anterior art. 181. Há uma derivação deste texto da Convenção de Estrasburgo do Conselho da
Europa: cfr. Maia Gonçalves, Código Penal Português, 4.ª ed., Almedina, 1988, sub art. 181.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
7
Aparece como elemento de qualificação, além de outros cuja gravidade se
compreende por si, o facto de haver dados respeitantes à vida privada.
Esta referência exige um esclarecimento, dada a função que desempenha.
Com efeito, ou se entende que a “vida privada”:
a) corresponde afinal a dados pessoais, tal como são definidos no art. 3 a da
Lei portuguesa n.º 67/98, de 26 de Outubro – portanto, relativos a pessoa identificável.
Nesse caso, a violência legal seria seguramente exorbitante.
b) recorta um círculo mais restrito, dentro dos dados pessoais, a que atribui
uma protecção mais rigorosa.
Este é sem dúvida o sentido da lei portuguesa, por directa derivação do texto
constitucional.
O art. 35 da Constituição, depois de referir no n.º 2 as condições do tratamento
automatizado de dados pessoais, exclui no n.º 3 o tratamento informático de dados referentes
aos mesmos aspectos que estão coligidos no art. 193 do Código Penal.
A questão passa então a ser outra. Passa a ser a de determinar o critério
distintivo entre os dados pessoais e a vida privada. É um problema grave: pois, consoante a
solução dada, toda a cobertura de legalidade do sistema é sujeita a crítica.
De facto, a legalidade deste não é segura. Nomeadamente, no que respeita ao
empolamento dado à protecção preventiva. O ficheiro em si passa a ser imediatamente objecto
de disciplina repressiva.
Mas há mais do que isso. O próprio art. 35 da Constituição, no n.º 7,
determinou afinal a extensão da protecção prevista aos ficheiros informatizados aos ficheiros
manuais.
Surgiu em consequência legislação ordinária exterior ao Código Penal, que
passamos a analisar.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
8
4. A legislação extravagante sobre dados pessoais
A legislação posterior sobre dados pessoais alterou e ampliou a previsão do
art. 193 do Código Penal.
Temos sobretudo a Lei n.º 67/98, de 26 de Outubro 5; complementarmente, há
também a Lei n.º 69/98, de 28 de Outubro, sobre o tratamento de dados pessoais e a protecção
da privacidade no domínio das telecomunicações 6.
A importância destas leis para o nosso tema é grande, porque abrangem
também o aspecto repressivo.
A Lei n.º 67/98 prevê dois tipos de qualificações. Podem consubstanciar:
– ilícito de mera ordenação social: arts. 35 a 42
– ilícito criminal: arts. 43 a 49.
Procuremos caracterizar brevemente o sistema instituído.
O art. 43/1 contém uma espécie de crime universal, relativo à infracção de
obrigações concernentes à protecção de dados. É punido com pena de prisão até um ano ou
multa até 120 dias quem praticar intencionalmente as várias violações a seguir discriminadas;
nomeadamente infracções meramente administrativas, como as referentes a notificações ou a
pedido de autorização 7. Mas também se incrimina quem promover ou efectuar uma
interconexão ilegal de dados pessoais.
Porém, as penas são elevadas para o dobro quando estiverem em causa os
dados pessoais a que se referem os arts. 7 e 8 dessa lei (n.º 2).
Esses são os dados sensíveis. Distinguem-se assim, dos dados pessoais em
geral, os dados sensíveis.
O que são dados sensíveis?
5
Transpõe para a ordem jurídica portuguesa a Directriz n.º 95/46/CE, sobre a protecção das pessoas singulares
no tratamento de dados pessoais e a livre circulação desses dados.
6
Transpõe para a ordem jurídica portuguesa a Directriz n.º 97/66/CE.
7
Ou seja, matérias que deveriam paradigmaticamente corresponder a ilícitos de mera ordenação social.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
9
São dados cujo tratamento é em geral proibido: art. 7/1 da Lei n.º 67/98. São os
referentes a:
– convicções filosóficas ou políticas
– filiação partidária ou sindical
– fé religiosa
– vida privada
– origem racial ou étnica
– saúde e vida sexual, incluindo os dados genéticos.
O tratamento destes dados só pode ser realizado nas condições previstas nos
n.os 2 a 4 do mesmo art. 7 ou noutros lugares da lei.
Ultrapassa-se assim a situação resultante do art. 193 do Código Penal.
Acrescenta-se também à enumeração constitucional a origem racial ou étnica (acrescento
aliás bem supérfluo) e sobretudo os dados relativos à saúde e à vida sexual, incluindo os
dados genéticos.
A Lei n.º 67/98 realiza depois uma especificação muito mais acentuada que a
constante do art. 193 do Código Penal, cujo conteúdo possivelmente se deve considerar
esgotado por substituição. Observe-se porém que as infracções previstas na Lei n.º 67/98 têm
o tom prevalente de infracções administrativas, por violação dos procedimentos estabelecidos.
Não obstante as penalidades são idênticas à cominada no art. 193 do Código Penal: dois anos
de prisão ou multa correspondente.
A nós interessa sobretudo estarem, entre os dados sensíveis, os relativos à
“vida privada”. Esta noção indefinida ocupa assim um lugar central. Confirma-se o que atrás
dissemos, que a vida privada representa um círculo mais restrito que o ocupado
genericamente pelos dados pessoais.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
10
De facto, todas as infracções relativas a estes dados recebem a mesma
penalidade, 2 anos de prisão ou 240 dias de multa. A tentativa é sempre punível (art. 48) –
portanto, mesmo nas meras infracções administrativas.
Há outra alteração a anotar, em relação ao constante do art. 193 do Código
Penal.
Este respeitava apenas a ficheiros automatizados. Agora, as infracções a que se
refere a Lei n.º 67/98 são generalizadas a todas as formas de tratamento de dados pessoais. O
art. 3 b, aliás, define logo “tratamento de dados pessoais” como quaisquer operações sobre
dados pessoais, efectuadas com ou sem meios automatizados...
Segue-se assim a orientação constitucional e a tendência geral das instituições
europeias de tratar como gerais problemas cuja acuidade deriva afinal da utilização de meios
informáticos.
5. A ameaça do excesso
Esta evolução merece-nos algumas observações gerais, não necessariamente
favoráveis.
Na progressão de um empolamento meramente formal da categoria “vida
privada”, exacerbou-se a tutela penal, para além de tudo o razoável.
A extensão aos ficheiros manuais dos meios penais de repressão é muito grave.
Criminaliza-se onde nunca fora sentida a necessidade de criminalização, ao mesmo tempo que
se perde de vista o cerne do problema. Este está na utilização de meios informáticos, com a
sua muito particular perigosidade.
Criam-se por outro lado zonas da maior indefinição. A burocratização do
tratamento de dados pessoais, através da submissão a autorizações administrativas, gera um
risco e uma insegurança permanentes em relação a actividades correntes: a minha agenda de
endereços é um ficheiro manual de dados pessoais?
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
11
Instalou-se uma espécie de histeria, provavelmente de origem demagógica, na
protecção dos dados pessoais. As proibições multiplicam-se e excedem-se; e há
particularmente um recurso desproporcionado ao Direito Penal.
Procedendo assim, perde-se com facilidade a bússola substantiva que justifica
este regime. O que há de essencial é a defesa da personalidade. Mas as leis contentam-se com
uma defesa exterior da pessoa, indiferente a valores, de modo que é o egoísmo de cada um
que é realmente assegurado.
A ameaça criminal paira sobre as actividades correntes, em consequência
nomeadamente da mera falta de notificação ou pedido de autorização administrativa. O patrão
que anota as faltas dos empregados está prevaricando? E o cidadão que anota as filiações dos
políticos?
Há ainda o regime das isenções. Assim, quem recolher dados pessoais
directamente do seu titular deve prestar-lhe várias informações, compendiadas no art. 10/1 da
Lei n.º 67/98. Mas esses deveres não se aplicam ao tratamento de dados efectuado para fins
exclusivamente jornalísticos ou de expressão artística ou literária (n.º 6).
E outros fins, igualmente relevantes? Como sejam os historiográficos, mesmo
que referentes à história recente?
Por outro lado, é muito gravoso o desequilíbrio que se cria entre as entidades
privilegiadas e o público em geral. O resultado é o desarmamento do cidadão comum, a quem
se tiram todos os meios de defesa, perante potentados que estão em condições de o devassar
na totalidade. Com isto se agrava afinal a vulnerabilidade do cidadão comum.
Fica a suspeita que, por detrás das muito rígidas proibições, há uma vontade ou
uma tolerância relativamente à superiorização de certas forças, eventualmente até ocultas. As
leis protegem essencialmente o privado contra o privado. Mas não é essa a origem,
seguramente, do grande risco que ameaça a privacidade do homem comum.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
12
6. Outros tipos penais
A Lei n.º 67/98 contém ainda outros tipos penais. Só lhes poderemos fazer uma
breve referência.
O art. 44/1 tipifica o acesso indevido a dados pessoais: “quem, sem a devida
autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado...”.
A penalidade é idêntica à do art. 43: 1 ano de prisão ou multa até 120 dias.
A previsão é muito violenta. Sem nenhuma outra qualificação, logo se prevê a
reacção penal. Esta acarreta a punibilidade da tentativa, como em relação a todos os crimes
previstos nessa lei (art. 48). Só há o adoçamento de o processo criminal depender de queixa
(art. 44/3).
Esse lenitivo já não funciona para o tipo qualificado do n.º 2: a pena é agravada
para o dobro nos casos aí previstos. Que podem ser tão pouco significativos como o da al. b:
“tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais”. Quase
fatalmente, aceder a dados pessoais e possibilitar o conhecimento desses dados pelo agente
(ou por terceiros) são uma e a mesma coisa. Mas nem sequer surge como causa de agravação
o facto de esses dados serem dados sensíveis, ou se de se ter recorrido a meios informáticos.
O art. 45/1 prevê a viciação ou destruição de dados pessoais, abrangendo a
afectação da capacidade de uso desses dados. A penalidade é a prisão até dois anos ou multa
até 240 dias, mas é elevada para o dobro se o dano produzido for particularmente grave
(n.º 2). Ainda, se o agente actuar com negligência é punido com prisão até 1 ano ou multa até
120 dias (n.º 3). Quer dizer, a afectação negligente de dados pessoais (o funcionário que teve
pouco cuidado com o ficheiro, por exemplo) tem a mesma penalidade que praticar
intencionalmente o acesso indevido, nos termos do art. 44/1!
Esta violência é injustificada. O que está em causa é essencialmente um dano.
O perigo para a pessoa, na referência a dados pessoais comuns, é escassamente relevante: a
defesa da personalidade não está em causa.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
13
Esse dano pode atingir:
– ficheiros comuns
– ficheiros informáticos.
Se atinge ficheiros comuns, aproxima-se do crime de dano, previsto no
art. 212/1 do Código Penal e punido com pena de prisão até 3 anos e multa. O procedimento
criminal depende de queixa e não é punida a negligência. Não há razão para não haver
aproximação deste tipo comum.
Se o ficheiro é informático, temos uma figura análoga à do dano relativo a
dados ou programas informáticos, prevista no art. 5 da lei da criminalidade informática. Do
mesmo modo, há a pena-base de 3 anos ou multa, a dependência de queixa e a não previsão
da negligência. Não há aspectos de defesa da personalidade que justifiquem que se construa
aqui um regime diverso.
O art. 46/1 prevê a desobediência qualificada: quem, depois de notificado para
o efeito, não praticar os actos referentes a dados pessoais que foram determinados. Remete-se
para o crime de desobediência qualificada para a determinação da penalidade 8.
Este preceito cria um problema: a notificação que se refere é a notificação de
uma entidade administrativa? Ou exige-se uma notificação judicial? Ou pelo contrário, basta a
notificação por qualquer particular?
A designação do tipo e a remissão para a desobediência qualificada levam a
concluir que os limites típicos são os gerais do crime de desobediência qualificada.
O art. 47, enfim, prevê a violação do dever de sigilo. Supõe-se alguém sujeito a
sigilo profissional, nos termos da lei.
Parece haver relação com o tipo do art. 195 do Código Penal, mas aqui com o
agravamento resultante de a violação ter por objecto dados pessoais: a pena é de prisão até 2
anos e multa até 240 dias, enquanto que a pena do art. 195 é de prisão até 1 ano e multa até
8
Recorde-se que já o art. 43/1 e e f criminalizava actos de desobediência.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
14
240 dias. Mas repare-se que o art. 195 se insere no capítulo dos crimes contra a reserva da
vida privada. Pareceria atender já a dados pessoais, qualificados até por respeitarem ao círculo
da vida privada.
Para além deste agravamento, ainda a negligência é punível (art. 47/3). Mais
ainda: a pena é agravada de metade nos seus limites nas hipóteses do n.º 2 – entre as quais se
encontra pôr em perigo “a reputação, a honra e consideração ou a intimidade da vida privada
de outrem” (al. c). E nesses casos, já o procedimento criminal não depende de queixa (n.º 4),
contra o princípio geral do art. 198 do Código Penal.
7. Observações conclusivas
Não podemos prosseguir esta análise. Limitamo-nos a algumas observações de
ordem geral.
Receamos que haja que rever a base de toda esta matéria.
Ela justifica-se historicamente pela potenciação da intromissão na vida privada
trazida pelos meios informáticos.
E justifica-se substantivamente pela necessidade de proteger a personalidade,
ameaçada pelo devassamento constante.
Afinal, a lei não atende nem a um nem a outro objectivo.
Nem atende ao meio particularmente perigoso, porque toda a disciplina é
generalizante. Nada se especifica, em relação ao meio ou veículo informático, com a sua
muito particular penetração.
Nem atende ao objectivo de protecção da personalidade, porque em geral se
referem dados pessoais indistintamente, sem dar relevo à incidência sobre a intimidade da
vida privada. Nem se distinguem os meros dados pessoais da vida privada, nem se
especificam sequer os dados sensíveis. Bastou a qualificação genérica “dados pessoais” para
induzir à violenta agravação dos tipos gerais a que se procede.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
15
Mas sendo assim, a lei perde a sua justificação. A qualificação dum dado como
pessoal é axiologicamente neutra. Não justifica por si nenhuma diversidade em relação aos
tipos comuns.
II – A QUALIFICAÇÃO DE TIPOS COMUNS PELO MEIO INFORMÁTICO
8. Os tipos e a responsabilidade de pessoas colectivas e equiparadas
Entramos agora na criminalidade informática. E simultaneamente faremos o
confronto com a protecção de dados pessoais, porque esta matéria foi já referida.
Dentro da nossa sistemática, começamos por examinar os tipos caracterizados
pela utilização do meio informático, que qualifica tipos comuns.
Nesta hipótese, teríamos tendencialmente variações em relação a tipos comuns,
mas que não excluem a integração nesse tipo e a subordinação aos seus elementos
fundamentais.
Só encontramos dois tipos desta natureza:
– a burla informática
– o dano informático.
Aparentemente, haveria que acrescentar a esta lista a falsidade informática.
Veremos porém que o tipo apresenta particularidades essenciais, que obriga a considerá-lo
como autónomo, e não como variação do tipo comum.
Limitando-nos à burla informática e ao dano informático, veremos que mesmo
esta aproximação dos tipos não corresponde a uma idêntica posição legislativa.
A burla informática foi acolhida no próprio Código Penal português, no
art. 221, por se considerar que tinha o mesmo significado que a burla em geral; o dano
informático é regulado no art. 5 da lei da criminalidade informática (Lei n.º 109/91).
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
16
O que poderia ser questão menor, de mera sistemática, tem afinal importantes
consequências substantivas.
A responsabilidade penal das pessoas colectivas e equiparadas é prevista
como mera eventualidade no art. 11 do Código Penal, mas não é aplicada a nenhum dos tipos
neste compreendidos.
Pelo contrário, o art. 3/1 da Lei n.º 109/91 expressamente responsabiliza as
pessoas colectivas, sociedades e meras associações de facto, pelos crimes “cometidos em seu
nome e no interesse colectivo pelos seus órgãos ou representantes”.
Esta matéria recebe um grande desenvolvimento na lei da criminalidade
informática.
O legislador não remeteu para outras fontes onde a matéria estava já
contemplada, e nomeadamente para o Dec.-Lei n.º 28/84, de 20 de Janeiro, sobre infracções
anti-económicas. Entendeu dever regular tudo de raiz na própria lei da criminalidade
informática.
O art. 3 proclama o princípio geral da responsabilidade das pessoas colectivas e
equiparadas. O n.º 1 especifica: pessoas colectivas, sociedades e meras associações de facto.
Este artigo corresponde porém, com ligeiríssimas variações, ao art. 3 do
Dec.-Lei n.º 28/84. Trata-se assim de matéria comum. Pelo que se não justifica que aqui a
abordemos a propósito da criminalidade informática.
Mas o mesmo há que dizer, afinal, do art. 10, que fixa as penas aplicáveis.
Corresponde ao art. 11 do Dec.-Lei n.º 28/84. A variação sensível está em a multa diária ser
fixada entre 10 000 e 200 000$00. Portanto, também não se justifica um exame autónomo.
Basta-nos observar que algumas das penas acessórias do art. 11 poderiam ser assumidas como
penas principais, nomeadamente a interdição temporária do exercício de certas profissões (a
entender como ramo de actividade) ou o encerramento temporário ou definitivo do
estabelecimento.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
17
De resto, fica o problema geral da justificação da própria responsabilidade
penal das pessoas colectivas ou equiparadas. Para quem, como nós, pense que representa um
gigantesco equívoco, esta lei ampliou o âmbito do equívoco. O combate contra a utilização
das pessoas colectivas para fins ilícitos tem de se fazer através de reacção adequadas à
natureza das pessoas colectivas. É um contrassenso aplicar-lhes os meios que foram criados
para as pessoas singulares, assentes na essência espiritual destas. O absurdo atinge o máximo
quando se trata de apurar uma culpa das pessoas colectivas ou equiparadas.
9. Burla informática
A burla informática é prevista no art. 221 do Código Penal português,
dissemos.
Surge no desenvolvimento da disciplina geral da burla e participa dos
elementos delimitadores gerais do art. 217: a intenção de obter para si ou para terceiro
enriquecimento ilegítimo e a causação a outra pessoa de prejuízo patrimonial. Igualmente, a
tentativa é punível e o procedimento criminal depende de queixa.
A especificidade está no processo utilizado: “interferindo no resultado de
tratamento de dados ou mediante estruturação incorrecta de programa informático, utilização
incorrecta ou incompleta de dados, utilização de dados sem autorização ou intervenção por
qualquer outro modo não autorizada no processamento”. É portanto a burla caracterizada pela
utilização de meios informáticos que está em causa.
A integração no próprio Código Penal tem consequências, como dissemos.
Desde logo, a exclusão da responsabilidade criminal das pessoas colectivas.
A especificação dos meios utilizados merece algumas observações.
Não se incluiu a própria introdução de dados viciados no computador, que aliás
constava da Recomendação de 1989 do Conselho da Europa. Não parece ser absorvida por
qualquer das outras previsões.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
18
Tão-pouco se refere directamente a alteração dos dados. Não é uma utilização
incorrecta de dados, é algo diferente. Será possível porém defender-se no caso uma
interpretação extensiva, para quem a admita em geral no Direito Penal, com as cautelas
devidas.
Tipifica-se a “utilização de dados sem autorização”. É completamente
equivocado. Haver ou não autorização é de todo irrelevante 9. O que interessa é o meio
ardiloso de manipulação dos dados ou do resultado. Caso contrário, o próprio acesso ilegítimo
poderia ser também abrangido.
O mesmo se diga da previsão da “intervenção por qualquer outro modo não
autorizada no processamento”. Não tem nada que ver com a burla. Releva a manipulação dos
resultados, e não o elemento formal de haver ou não autorização para processar.
Não deixa de haver uma variante do tipo de burla. Mas o tipo objectivo é
delineado de modo infeliz.
Um aspecto importante está na extensão do tipo ao domínio das
telecomunicações. No n.º 2 prevê-se a utilização de programas, dispositivos electrónicos ou
outros meios, que separadamente ou em conjunto se destinem a diminuir, alterar ou impedir o
funcionamento ou exploração normal de serviços de telecomunicações. A referência a “outros
meios”, sem mais distinções, mostra que o meio informático não é indispensável. O art. 221
passa assim a conter um tipo misto, por referir quer a burla informática, quer o viciamento das
telecomunicações. Mas abstemo-nos de comentar a colocação deste viciamento das
telecomunicações na sistemática da burla.
A penalidade comum é a de prisão até 3 anos e multa. Mas é agravada se o
prejuízo for de valor elevado ou de valor consideravelmente elevado. A intenção de
exaustividade da lei da criminalidade informática levou-a a definir estas noções, no art. 2 g e
9
Este elemento não constava aliás da referida Recomendação de 1989.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
19
h. Qualquer variação (que não parece aliás existir) não teria porém repercussão sobre a burla
informática, por estar submetida aos quadros do Código Penal.
10. Dano informático
O “dano relativo a dados ou programas informáticos” é regulado no art. 5 da
Lei n.º 109/91.
O elemento subjectivo da ilicitude é aqui a intenção de causar prejuízo a
outrem ou de obter para si ou para terceiros um benefício ilegítimo.
A compreensão deste tipo exige a conjugação com o do art. 6 – sabotagem
informática. O dano tem como objecto dados ou programas informáticos. A sabotagem
dirige-se contra o próprio sistema informático, que é assim o bem jurídico protegido.
Há que relacionar esta previsão com a do crime de dano dos arts. 212 e
seguintes do Código Penal 10.
As semelhanças são muito grandes. A tentativa é igualmente punível. O
procedimento criminal, se o valor não for elevado, depende de queixa. A penalidade é a prisão
até 3 anos ou multa.
A especialidade está no objecto e no modo da acção. Não é uma coisa, no
sentido geral que a palavra toma em Direito Penal, mas dados informáticos ou programas de
computador. E a acção consiste em apagar, destruir no todo ou em parte, danificar, suprimir
ou tornar não utilizáveis dados ou programas informáticos alheios, ou afectar por qualquer
forma a sua capacidade de uso.
Não se vê razão para não enquadrar esta previsão no crime de dano, nem para a
manter afastada do Código Penal. Há algumas variações, mas não são impeditivas: seja o caso
do objecto não ser uma “coisa”; ou do elemento subjectivo da ilicitude, causar prejuízo a
outrem ou obter um benefício ilegítimo para si ou para terceiros. Especificam este tipo de
10
Mas não com o dano como crime de perigo comum.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
20
danos contra bens informáticos, mas não alteram a natureza do facto como crime de dano,
afectando elementos do património alheio.
Isso não significa porém que seja lícito recorrer, ora à lei da criminalidade
informática, ora ao Código Penal, consoante concorra ou não aquele elemento subjectivo da
ilicitude num facto objectivamente descrito como dano informático. O dano informático foi
integralmente valorado pela lei da criminalidade informática, e com isso afastado das
previsões gerais do Código Penal 11.
Continua a verificar-se a incongruência das intervenções do legislador. O
art. 45 da Lei n.º 67/98, sobre a protecção dos dados pessoais, pune a viciação ou destruição
de dados pessoais com prisão até 2 anos ou multa; os limites sobem ao dobro se o dano for
particularmente grave. É punida a negligência. Já por este art. 5, a negligência não é punida e
o limite inferior, numa situação que se diria de menor gravidade, é de prisão até 3 anos e
multa correspondente.
Pode perguntar-se se se não verificará um concurso de normas e qual a solução.
Parece que há realmente concurso. Mas é um concurso aparente, porque a previsão de dano
sobre dados pessoais é especial em relação à violação de dados em geral, ainda que por meios
informáticos. Assim, é a penalidade mais baixa que se aplica sempre, mesmo havendo
aparentemente maior gravidade. Temos defendido que a maior penalidade não é critério de
prevalência, em caso de concurso de normas 12.
III – TIPOS CUJO OBJECTO SÃO MEIOS INFORMÁTICOS
11
12
Neste sentido Faria Costa, Crimes informáticos cit., 30-31.
Cfr. por exemplo as nossas lições de Concorrência Desleal, A.A.F.D.L., 1994, n.º 204 II.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
21
11. Violação de direitos intelectuais sobre bens informáticos
Vejamos agora os tipos em que o objecto material da agressão são bens ou
meios informáticos, de modo a produzirem novos tipos penais. Temos a chamada por
antonomásia criminalidade informática.
Fala-se num Direito Penal Informático. Mas a importância pragmática desta
designação não nos deve levar a supor que temos um ramo autónomo do Direito Penal, como
demonstrou Faria Costa 13.
As hipóteses mais directas são aquelas em que os próprios bens informáticos
foram assumidos como objecto dum direito intelectual, que é violado. Temos pelo menos três
casos:
– programas de computador
– bases de dados
– topografias de produtos semicondutores.
Seria este o objecto desta secção.
Dá-se porém a circunstância de os elementos mais significativos (que são os
programas de computador e as bases de dados) serem objecto de outras exposições.
Limitar-nos-emos por isso a algumas observações laterais.
No que respeita às bases de dados, não havia na ordem jurídica portuguesa,
antes da transposição da Directriz n.º 96/9/CE, de 11 de Março, relativa à protecção jurídica
das bases de dados, ainda protecção destas, salvo a que possa resultar da disciplina das
compilações de obras. Não havia, por isso, nenhuma disciplina penal autónoma da matéria na
ordem jurídica portuguesa. A Lei n.º 122/00, de 9 de Junho, transpôs para a ordem jurídica
portuguesa a Directriz n.º 96/9/CE. No art. 11 prevê a “reprodução, divulgação ou
13
Algumas reflexões sobre o estatuto dogmático do chamado “Direito Penal Informático”, em “Direito Penal
da Comunicação” cit., 103 e segs..
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
22
comunicação ao público” de bases de dados criativas com pena de prisão até três anos ou com
pena de multa. Mas a violação do direito sui generis não é criminalizada.
Os programas de computador e as topografias dos produtos semicondutores são
conjuntamente disciplinados no art. 9 da Lei n.º 109/91, de 17 de Agosto (criminalidade
informática). A violação é sujeita à penalidade de 3 anos de prisão ou multa. A tentativa é
punível (n.º 3).
No n.º 2 prevê-se a reprodução ilegítima de uma topografia dum produto
semicondutor e a exploração comercial ou importação para esses fins, quer da topografia quer
do produto semicondutor fabricado a partir dessa topografia. Repare-se que a reprodução é
equiparada à comercialização pela sujeição a idêntica penalidade. Não é o que acontece nas
violações dos direitos industriais, em que a mera comercialização ilegal representa um tipo
mais benigno, em relação à contrafacção. Há que esperar para saber que consequências
advirão para esta matéria se se der a anunciada integração no Código da Propriedade
Industrial.
A violação de programa de computador é prevista no n.º 1. A epígrafe do art. 9
é: “Reprodução ilegítima de programa protegido”. A epígrafe está duplamente errada. Por um
lado, porque o art. 9 não respeita só ao programa de computador, mas também à topografia de
produtos semicondutores. Por outro, porque não é só regulada a reprodução: o n.º 1 prevê
também a divulgação e a comunicação ao público como actos reservados.
A reprodução é proibida mesmo que realizada para uso privado, com as
excepções estabelecidas no Dec.-Lei n.º 252/94, de 20 de Outubro. Isto resulta das
necessidades especiais de exploração deste tipo de bens. Afasta-se pois o princípio geral do
Direito de Autor da liberdade do uso privado. A excepção, como excepção, não é
generalizável. O princípio da liberdade do uso privado mantém-se, e antes há que pôr em
causa que no que respeita aos programas de computador vigore um verdadeiro direito de
autor.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
23
O art. 9 tipifica, além da reprodução, a divulgação e a comunicação ao público.
Traduz a grande pressão norte-americana que se fazia sentir naquela época, no sentido da
tutela de um segredo sobre os programas de computador. Mas essa preocupação não logrou
impor-se na Comunidade Europeia: não há nenhuma tutela do segredo. A lei portuguesa
precipitou-se na protecção de interesses norte-americanos.
Daqui resulta que este trecho da lei portuguesa deve ser entendido como uma
norma inaplicável. Parte do seu conteúdo típico está em branco, à espera de uma muita
improvável consagração da tutela autónoma do segredo pela lei interna.
12. Falsidade informática
Há que examinar os vários tipos constantes da lei da criminalidade informática
– com exclusão dos que, atendendo à sua índole, foram já objecto de análise por se integrarem
noutros grupos.
Comecemos pela falsidade informática. É prevista no art. 4 da lei da
criminalidade informática.
Exige-se um elemento subjectivo da ilicitude: a “intenção de provocar engano
nas relações jurídicas” (n.º 1). É uma estranha fórmula. Parece corresponder ao animus
decipiendi, mas este é referido a pessoas sem mais; aqui especifica-se um objecto, as relações
jurídicas.
Atendendo à matéria sobre que incide a acção, temos uma intervenção
ilegítima num meio informático, quando os dados daí resultantes sejam susceptíveis de servir
como meio de prova (n.º 1). A visualização daqueles provocará então os efeitos de um
documento falsificado (n.º1). O tipo abrange ainda quem “os utilize para os fins descritos”. É
punível com prisão até 5 anos ou multa de 120 a 160 dias.
A referência ao “documento falsificado” leva-nos a procurar a ligação com o
crime de falsificação de documentos do art. 256 do Código Penal. Mas a correspondência não
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
24
é, de facto, imediata. Desde logo, o art. 256/1 prevê outro elemento subjectivo da ilicitude,
causar prejuízo a outrem ou obter para si ou para terceiro benefício ilegítimo. Esse elemento
subjectivo só surge no n.º 2 do art. 4 da lei da criminalidade informática, que sujeita à mesma
pena quem usa documento produzido a partir dos meios viciados previstos no n.º 1. Ressalta
uma grande desproporção de penas, resultante desde logo de o máximo geral da pena de
prisão ser de 3 anos no art. 256 e de 5 anos no art. 4 da Lei n.º 109/91.
Poderia o legislador ter dispensado o tipo do art. 4 e bastar-se com o art. 256 do
Código Penal?
Causa grandes divergências a possibilidade de aproveitamento dos tipos
comuns para reprimir ilícitos informáticos. O considerar ainda “documento” a representação
informática seria ultrapassável: o sentido próprio de documento é realmente o de qualquer
base de representação de uma ideia ou de um facto. Já seria porém contestável, perante o
princípio penal da tipicidade, abranger outros aspectos, como o viciamento de programa de
computador. O “documento” final, que é objecto de visualização, não é directamente
falsificado. Criaria grandes dificuldades pretender que actividades desta ordem poderiam
caber no art. 256 do Código Penal, tal como está redigido.
A este propósito, discutiu-se na Alemanha a amplitude que se poderia dar à
“representação”. A doutrina exigiu, para além da percepção sensorial e da veiculação de um
conteúdo conceitual, que tivesse um carácter duradouro 14, ou talvez melhor, não efémero.
Isso não acontece porém com as representações que nos surgem no visor de um computador.
Também por aqui, esta matéria não poderia caber no art. 256 do Código Penal.
O legislador preferiu então elaborar um tipo novo, limitado à actuação sobre
meios informáticos. Ao fazê-lo, porém, afastou-se injustificadamente dos princípios comuns.
14
Cfr. Ulrich Sieber, Responsabilità penali per la circolazioni di dati nelle reti internazionali di computer – II,
na “Riv. Trim. Dir. Penale della Economia”, X/4, Out-Dez/97, 1193 e segs. (1194-1195).
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
25
Por exemplo, quem proceder assim por brincadeira, num “desporto” a que se
dedicam frequentemente os informáticos amadores, é incriminado? É-o, porque houve a
intenção de provocar engano nas relações jurídicas, se se dirigiu ao resultado final. Mas não
seria abrangido pelo art. 256 do Código Penal, pois o agente não teria intenção de causar
prejuízo a outrem ou de obter um benefício ilegítimo.
E se o propósito for o de criar dificuldades a um sistema informático? Isso
estará porventura compreendido numa das previsões seguintes, mas não é já o objecto do
art. 4.
Em qualquer caso, o essencial está na protecção do valor de prova dum
documento; é esse o bem jurídico em causa, com fundamento num interesse geral à segurança
jurídica.
Este tipo abrangerá todos os casos em que alguém, agindo sobre meios
informáticos indevidamente, produza um “documento falsificado”? Parece que sim. A lei
especifica “introduzir, modificar, apagar ou suprimir dados ou programas informáticos” mas
acrescenta: “ou, por qualquer outra forma, interferir num tratamento informático de dados”. O
acento é claramente generalizador.
E se se alterarem dados próprios? Por exemplo, se o comerciante alterar um
programa de computação para obter um resultado que vicia a sua própria escrita? Ainda se
aplica esta previsão?
Diríamos que sim, pois o tipo não está limitado à intervenção em programa
alheio. O que interessa é que a resultante produza os mesmos efeitos dum documento
falsificado. É a integridade do valor da prova que surge em primeiro plano, de maneira a não
ser posta em causa pelo viciamento de meios informáticos.
De todo o modo, parece que temos afinal um tipo novo, e não propriamente um
tipo qualificado em relação ao art. 256 do Código Penal. A aplicação deste tipo exclui a do
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
26
art. 256. Não se pode recorrer a este como o tipo geral, que regeria todos os aspectos que o
art. 4 da Lei n.º 109/91 não disciplinasse especificamente 15.
13. Sabotagem informática
A sabotagem informática consta do art. 6 da Lei portuguesa n.º 109/91.
Ao contrário do dano informático, do qual por outros aspectos se aproxima, a
sabotagem informática não tem o cunho patrimonial que caracteriza aquele. É um crime
contra um sistema informático. Por isso, a intenção que se reclama não é a de prejudicar ou de
beneficiar indevidamente, mas a de “entravar ou perturbar o funcionamento de um sistema
informático ou de comunicação de dados à distância”.
A acção é caracterizada como a de “introduzir, alterar, apagar ou suprimir
dados ou programas informáticos ou, por qualquer outra forma, interferir em sistema
informático”.
A prisão poderá ir até 5 anos, ou mesmo a 10, se o valor for consideravelmente
elevado (n.º 3). O sistema informático passa a ser assim um bem particularmente protegido:
tem a mesma pena do lenocínio (art. 176 do Código Penal).
Mas não está em causa apenas o sistema informático. O art. 6 equipara-lhe um
sistema de comunicação de dados à distância. Portanto, a perturbação das telecomunicações
acaba por ter o mesmo significado.
Isto tem importância para a delimitação do sistema informático. Poderia
entender-se que este necessitaria de ser um sistema de comunicação de dados à distância. Mas
15
M. Lopes Rocha, em Direito da Informática – Legislação e Deontologia, Júlio Reis Silva e outros, Cosmos,
1994, 44, afirma que, havendo dúvidas sobre a aplicabilidade das disposições do Direito Penal clássico à
falsificação dos documentos probatórios produzidos por computador, estes devem também ser abrangidos. É
certo se quiser dizer que caem no âmbito do art. 256 documentos produzidos por computador; não é, se pretender
uma aplicação cumulativa daquele preceito e do art. 4 da Lei n.º 109/91. Este, no âmbito da sua previsão, exclui
inteiramente a aplicação do art. 256 do Código Penal.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
27
a previsão autónoma dos sistemas de comunicação de dados à distância afasta aquela
interpretação. Qualquer sistema informático pode estar em causa.
É importante neste domínio a problemática do vírus. A introdução de vírus em
sistemas cairá nesta previsão? A questão é importante, pois o vírus pode ser introduzido pela
própria entidade que comercializa o programa, para impedir a utilização deste fora das
condições que estabelece. Pode invocar-se então uma espécie de legítima defesa.
Mas não é aceitável. Toda a introdução de vírus é coberta pelo preceito,
verificando-se os restantes pressupostos. Nada interessa que a utilização que outrem faça do
programa seja legal ou ilegal. A legítima defesa permite contrapor-se a uma agressão ilegal,
mas não permite agir sobre bens do infractor, de maneira não justificada pela necessidade de
defesa.
14. Acesso ilegítimo
O acesso ilegítimo a rede ou sistema informáticos é tipificado no art. 7/1 da Lei
n.º 109/91.
Pode perguntar-se se esta previsão se aplica também a intromissões em lugares
reservados na Internet. Parece que sim, uma vez que se prevê o acesso a rede informática. Que
o conteúdo esteja ou não protegido pelo Direito de Autor é irrelevante, nos termos deste
preceito 16.
A pena é de prisão até 1 ano ou multa até 120 dias. Mas sobe a prisão até 3
anos ou multa se o acesso for conseguido através da violação de regras de segurança, que
toma assim um papel de grande relevo. Observamos porém que essas regras de segurança
16
Hoje há que considerar a Directriz n.º 98/84/CE, de 20 de Novembro, sobre os serviços de acesso
condicionado. Por outro lado, esta extensão permite abranger o próprio operador do sistema, sempre que realiza
um acesso que, sendo-lhe embora tecnicamente possível, lhe esteja vedado. Sobre a posição em geral de um
operador de telecomunicações automáticas, perante o dever de reserva, cfr. Alessandra Valastro, La tutela penale
delle comunicazioni intersoggettive, na “Riv. Ital. Dir. e Proc. Penale” XIII, 3, Jul-Set 99, 989 e segs. (1005 e
segs.).
28
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
devem ser efectivas, como se pede em geral no domínio informático, pois só essas justificam
um agravamento tão acentuado 17.
Exige-se um elemento subjectivo da ilicitude: a intenção de alcançar, para si ou
para outrem, um benefício ou vantagem ilegítimos. A mera curiosidade ou aventura, mesmo
por via ilícita, escapam à tipificação. O jovem “pirata” que consegue entrar nos sistemas de
defesa não é abrangido por estas previsões 18.
A delimitação da vantagem oferece dificuldades. O benefício ou vantagem são
patrimoniais: isso resulta do n.º 3 b. Mas que acontece se a intenção for simplesmente a de
fugir ao pagamento da contrapartida que estiver estabelecida para o acesso criptado? Parece
demasiado violento, pois implicaria a punição até 3 anos ou multa do n.º 2. A reserva dos
sistemas criptados só agora está a ser estabelecida a nível internacional. Mas é tudo duvidoso.
Acresce um agravamento suplementar, constante do n.º 3. A pena será de
prisão de um a cinco anos quando:
a) o agente tomar conhecimento de segredo industrial ou comercial ou de dados
confidenciais, protegidos por lei;
b) o
benefício
ou
vantagem
patrimonial
obtidos
forem
de
valor
consideravelmente elevado.
Note-se a extrema violência desta previsão: não se admite a alternativa da
multa.
A previsão do segredo manifesta de novo a “americanização” da lei. Não há
entre nós uma protecção autónoma do segredo de negócios, fora da concorrência desleal. Mas
17
Discute em geral a relevância da não vulnerabilidade técnica na tutela das telecomunicações Alessandra
Valastro, Tutela penale cit., 997-998. A tutela comunitária dos dispositivos tecnológicos é condicionada ao
carácter “efectivo” desses dispositivos. Em qualquer caso, um agravamento penal baseado na circunvenção de
dispositivos de segurança (pois parece ser esta a essência do preceito) pressupõe que esses dispositivos
representam uma barreira eficaz, na normalidade dos casos, exigindo um grau elevado de empenhamento na sua
elusão.
18
Por isso não nos parece correcto dizer (cfr. M. Lopes Rocha, Direito da Informática cit., 47) que este tipo é
complementar do de sabotagem informática. Este é um crime patrimonial, e a sabotagem não.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
29
para a lei pareceu tão importante que impôs este agravamento. Porém, só se contempla o
segredo protegido por lei 19. Parece dever ser também entendido como uma norma penal
actualmente insusceptível de preenchimento, que espera uma protecção autónoma do segredo
que até hoje não veio a acontecer.
É também motivo de agravamento o agente ter tomado conhecimento de dados
confidenciais. Isto nos leva à necessidade de conjugar esta previsão com a Lei n.º 67/98, sobre
dados pessoais. Porque, como dissemos, o art. 44 daquela lei contempla também o “acesso
indevido”, no caso referido a dados pessoais.
Há porém grandes diferenças entre os dois tipos. A violação de dados pessoais
é independente da utilização de meio informático; e é-o também da intenção de proveito,
embora o ter obtido proveito ou vantagem patrimonial seja causa de agravamento (art. 44/1 c).
O acesso indevido a dados pessoais não é assim um crime de objectivo patrimonial.
Mas neste art. 44, o possibilitar ao agente ou a terceiros o conhecimento de
dados pessoais é um motivo de agravamento para o dobro (até 2 anos ou multa, art. 44/2 b).
Na lei da criminalidade informática, o conhecimento de dados confidenciais leva à prisão de 1
a 5 anos (art. 7/3 a).
É de supor que a Lei n.º 67/98 tenha, no respeitante a dados pessoais,
derrogado o art. 7/3 a da Lei n.º 109/91. A lei sobre dados pessoais é posterior. É uma lei
genérica, que abrange todas as formas de acesso indevido, por via informática ou não. O
conhecimento obtido foi valorado, de maneira a conduzir àquela penalidade em todos os
casos.
Mas só derroga no que respeita a dados pessoais. A previsão do art. 7/3 a vai
além destes, pois abrange todo o tipo de dados confidenciais protegidos por lei. Nesta medida,
o art. 7/3 a da Lei n.º 109/91 continua em vigor.
19
Uma vez que o trecho final desta alínea rege também o segredo, como resulta da vírgula interposta entre
“dados confidenciais” e “protegidos por lei”.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
30
A tentativa é sempre punível (n.º 4). É difícil entender por que isso acontece
aqui e não na sabotagem informática, por exemplo, que é muito mais grave, mas em que se
aplicam as regras comuns.
O procedimento criminal depende de queixa, salvo na hipótese da particular
agravação do n.º 3 (n.º 5).
15. Intercepção ilegítima
O último tipo especificamente previsto é a intercepção ilegítima.
O art. 2 f da Lei n.º 109/91 define intercepção “o acto destinado a captar
informações contidas num sistema automatizado de dados, através de dispositivos
electromagnéticos, acústicos, mecânicos ou outros”.
Pressupõem-se assim comunicações, que se interceptam; por isso se distingue
do acesso ilegítimo. O art. 8 tipifica: consiste em interceptar através de meios técnicos
comunicações que se processam no interior dum sistema ou rede informáticos, a eles
destinadas ou deles provenientes.
Não se exige nenhuma intenção específica, ao contrário do que se passa nos
preceitos antecedentes. Aqui, já o amador imaginoso vai ser enquadrado, sem que se veja
razão para semelhante diferença.
A reacção é particularmente violenta: prisão até 3 anos ou multa. A tentativa é
punível (n.º 2) e o procedimento criminal não depende de queixa.
Continua a haver uma certa lotaria punitiva. Têm exactamente a mesma
gravidade substantiva, como violação da privacidade, o acesso ilegítimo e a intercepção
ilegítima. Mas o acesso ilegítimo, qualificado ainda por cima por um elemento subjectivo da
ilicitude, é punido com prisão até 1 ano ou multa e a intercepção com prisão até 3 anos e
multa. Ainda por cima, no 1.º caso depende de queixa e no 2.º não. A mera referência a
“comunicações”, embora no interior de um sistema ou rede, justificará esta disparidade?
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
31
O art. 2 f, ao definir intercepção, fala no acto destinado a captar informações...
Distinguirá a captação de informações da intercepção em geral, só criminalizando esta?
Poderia ser a ilação a retirar de se ter falado em informação e não em dado; e com isto
restringir-se o exagerado rigor do preceito. Mas é uma interpretação difícil, porque todo o
dado representa em sentido lato uma informação. Só poderiam ficar de fora elementos como a
música ou mesmo espectáculos, que apenas em sentido impróprio podem ser considerados
informação.
Teríamos aqui a espionagem electrónica, incidindo sobre comunicações
informáticas.
Está protegida em primeiro lugar a segurança e privacidade das comunicações
informáticas 20; mas para além disso, e com a maior importância, há a defesa da privacidade,
que deste modo é ameaçada.
Isto nos obriga porém a cotejar este tipo com as disposições da Lei n.º 69/98,
de 28 de Outubro, sobre dados pessoais e privacidade no sector das telecomunicações. Esta,
por si, não contém disposições penais. Remete porém para as sanções estabelecidas na Lei da
Protecção de Dados e na legislação sobre telecomunicações (art. 14/1). Acrescenta ainda,
noutra manifestação de falta de capacidade distintiva, que são sempre puníveis a tentativa e a
negligência (n.º 2).
Há porém um preceito relevante para os nossos fins. O art. 15 b prevê como
contra-ordenação a violação do dever de confidencialidade, previsto no art. 5. Este proíbe
nomeadamente a escuta, a colocação de dispositivos de escuta, o armazenamento ou outros
meios de intercepção ou vigilância das telecomunicações por terceiros sem o consentimento
expresso dos utilizadores (n.º 2). Parece aplicável aos prestadores de serviços e aos
operadores de rede, previstos no n.º 1.
20
M. Lopes Rocha, Direito da Informática cit., 47, fala num “direito à exclusividade da comunicação de dados”.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
32
Temos assim que a intercepção de comunicações em geral é uma
contra-ordenação; a intercepção de comunicações que se processem no interior de um sistema
ou rede informáticos é punida com prisão até 3 anos ou multa. O carácter informático do
sistema ou rede transforma a contra-ordenação em crime!
É tudo muito disparatado. Talvez se possa entender que a lei sobre
telecomunicações revogou aquele art. 8, por ter tido em vista, sem distinção, todo o conteúdo
valorativo da intercepção de comunicações.
16. Apreciação final
O panorama resultante desta análise deixa-nos perplexo.
A lei portuguesa tomou posição sobre a criminalidade informática com
particular violência, quando nem sequer os programas de computador eram objecto de
protecção legal.
Baseou-se em trabalhos preparatórios de convenções internacionais que não
correspondem a textos que tivessem ficado em vigor. Precipitou-se perante uma realidade
desconhecida, para servir interesses de empresas estrangeiras.
A lei da criminalidade informática vive hoje em total descoordenação com
outras leis, nomeadamente as relativas à protecção de dados pessoais e às telecomunicações.
As leis recortam-se e contradizem-se, sem haver nenhum critério de coordenação.
Por outro lado, o aparecimento muito rápido de novos problemas torna
insuficientes ou desactualizadas muitas soluções.
Há que sair daqui, através de uma ponderação de conjunto deste tema.
A criminalidade informática está novamente em estudo no plano internacional.
Está nomeadamente em preparação uma Convenção em matéria de ciber-crime, no âmbito do
Conselho da Europa. A 2 de Outubro de 2000 o Conselho da Europa aprovou um projecto de
convenção sobre a ciber-crime. É uma boa oportunidade para recolocar o problema de base.
PROF. DOUTOR J. OLIVEIRA ASCENSÃO
33
Mas isso não deve fazer esquecer a necessidade de intervenções pontuais, para superar
situações em que a solução legal se revelou já claramente errada.
É necessário marcar as linhas divisórias de três domínios que se cruzam nesta
problemática:
1) O Direito Penal comum, que deve englobar todos aqueles casos em que o
meio informático implica uma mera qualificação ou especificação de um tipo comum, sem
alterar o sentido deste.
2) A protecção de dados pessoais ou da privacidade, perguntando quando a
valoração nesta matéria é substancialmente alterada pela utilização do meio informático.
3) A criminalidade informática propriamente dita, caracterizada por o bem ou o
meio informático ser elemento típico autonomamente relevante.
Ficam ainda de fora as infracções relacionadas com o conteúdo, como a
pedofilia ou o terrorismo, na medida em que a reacção repressiva se tenha de especializar por
força do meio utilizado.
Em qualquer caso, há que ultrapassar a fobia penal que caracteriza a lei
vigente. Há que afastar a suspeita de que o recurso ao Direito Penal esconde muitas vezes a
prossecução de interesses económicos privados. A violência penal desproporcionada faz
perder ao sistema a sua base ética. Passa a ter como único suporte o medo da polícia.