Considerações sobre copyright e crimes digitais
Jorge Stolfi, 2011-09-15

[Entrevista por e-mail para Fernando Scoczynski Filho]


  > 1- A punição de usuários de internet que efetuam download ilegal de
  > arquivos MP3 já surtou efeitos concretos no Brasil?

Não conheço os detalhes da legislação e não tenho acompanhado
sua aplicação.  Minha atuação nesse assunto é na parte filosófica/
política ("como a lei *deveria* ser") e não na parte legal
("como a lei é hoje") nem na parte jurídica ("como ela está
sendo aplicada").

  > 2- O sr. acredita na possibilidade de punir tais usuários, como uma
  > forma de efetivamente reprimir a pirataria? Tal repressão traria
  > efeitos positivos para os autores de obras musicais?

As *editoras* (e não os autores) mudaram e/ou querem mudar as 
legislação de copyright em quatro aspectos principais:

  1. Redefinir o copyright, que até uns 20 anos atrás era 
     direito de exclusividade de *comercializar cópias materiais 
     industrializadas* de determinada obra, para torná-lo direito
     de exclusividade de produzir *qualquer tipo de cópia ou
     execução* da mesma. 

  2. Estender o alcance da legislação de copyright, que antes era
     limitado exclusivamente a atividades *comerciais ou industriais*,
     para cobrir também atividades *privadas* dentro de um domicílio,
     emresa ou instituição, e comunicação *privada* entre 
     indivíduos e empresas.

  3. Estender indefinidamente a duração do copyright, que
     era 25 anos quando o conceito foi inventado, para os atuais
     "morte do autor mais 70 anos", e logo mais para "eternidade".

  4. Criminalizar o *recebimento ou usufruto* de cópias produzidas
     em violação ao copyright, com penas absurdamente desproporcionais,
     em vez de criminalizar apenas os *produtores* de tais cópias.

A motivação para essas mudanças é o fato de que o serviço que
as editoras prestavam originalmente --- a produção e distribuição
de cópias físicas --- tornou-se obsoleto e perdeu seu valor.
Pelas regras do capitalismo, as empresas deveriam então ter sido
fechadas.  Em vez disso, através de "lobbying" e suborno, elas
conseguiram de legisladores e governantes as mudanças acima,
que lhes permitem continuar recebendo a mesma renda, embora
não perstem mais nenhum serviço.

A consequência dessas mudanças é a destruição de vários direitos
civis que haviam sido historicamente conquistados pelos cidadãos
comuns.

Não muitos anos atrás, seria impensável a idéia de uma editora abrir
correspondências privadas para coibir o envio de cópias xerocadas de
livros. Porém, para implementar o item 2 acima, seria necessário dar às
editoras o poder de monitorar todo processamento de dados feito pelos
cidadãos, examinar os arquivos contidos em seus computadores, restringir
o que eles podem fazer com equipamento de sua propriedade em ambientes
de sua propriedade, e examinar o conteúdo de arquivos transmitidos
privadamente entre cidadãos ou dentro de empresas. E estas violações de
direitos --- de privacidade, de usufruto de propriedade, e outros --- já
estão ocorrendo em todo mundo.

Da mesma forma, seria impensável criminalizar uma pessoa apenas porque
seu telefone foi usado por alguém para praticar um crime. Nesse caso,
entende-se que a polícia teria que identificar *a pessoa que telefonou*
(pela voz ou por outra evidência), e colocar a acusação contra ela. Mas
acontece que não é possível identificar a *pessoa* que baixou um arquivo
(ou fez qualquer outro tipo de acesso) pelo número IP, nem mesmo
"grampeando" a comunicação digital. Então, para implementar o item 4, seria
necessário abandonar o critério responsabilidade "real", e indiciar *o
dono da conexão IP* como sendo o criminoso, por definição.  Há 
muita pressão para que as leis sejam modificadas para legimizar esses
abusos dos direitos jurídicos fundamentais dos cidadãos.

Além disso, no caso de um grampo telefônico é óbvio qual das duas partes
é a responsável pelo crime em questão --- isto é quem está subornando,
extorquindo, assediando quem. Se o telefonema vaza dados legalmente
protegidos por sigilo, é óbvio que o criminoso fez isso conscientemente.
Mas no caso de transferências de arquivos, esses aspectos não são nada
óbvios. Por exemplo, quem recebe um arquivo como anexo a um email e o
armazena em seu computador não deveria ser responsabilizado pelo seu
conteúdo.

Mesmo quando se estabelece que o próprio cidadão iniciou a transferência
do arquivo (por exemplo, clicando em um link, ou usando um programa de
transferência de arquivos ponto-a-ponto), não se pode presumir que ele
estava ciente da natureza do seu conteúdo, nem que ele tenha percebido
logo depois de transferir. Se um filme "pirateado" apresenta de início o
aviso "reprodução livre", como pode o cidadão saber que esse aviso é
inválido? Se o administrador de um site deixa visível ao público, por
descuido ou malícia, um arquivo que deveria ser sigiloso, não se pode
culpar o usuário que abrou ou baixou esse arquivo no seu computador.

Entretanto, para implementar o item 4 a contento das editoras, estas
considerações precisariam ser ignoradas. Na visão das editoras (e outros
interessados no "AI-5 digital"), *alguém* deve ser severamente punido, e
pagar com um olho e um braço, por qualquer a cópia de obras com
copyright. Não importa se a cópia foi voluntária ou involuntária, nem se
foi consciente ou inconsciente, nem mesmo se foi feita por esse alguém
ou por outra pessoa.

  > 3- O sr. acredita que será aprovada, no futuro próximo, uma lei
  > versando sobre "crimes cibernéticos" no Brasil?

Tudo é possível, mas eu espero que não. Sou leigo em direito, mas no meu
entendimento não faz nenhum sentido tipificar um crime pelo instrumento.
Não existe uma lei especial para "assasinato com faca" e outra para
"assassinato com machado" e outra para "assassinato com jararaca debaixo
do cobertor". A maioria dos chamados "crimes de informática" já estão
cobertos pela legislação comum. Por exemplo, a obtenção de dados de
cartões de crédito ou senhas bancárias, por qualquer método ("phishing",
invasão de computador, captura de teclas, arrombamento, bater-carteira)
é obviamente o mesmo crime de fraude bancária e/ou apropriação indébita
de dinheiro alheio. Portanto, esse ato deve ser tratado pela mesma lei e
ter as mesmas penas, independentemente do método usado --- em particular,
*independentemente de o método envolver ou não o uso
computadores*.

Considerações análogas podem ser feitas para crimes de pedofilia,
divulgação de dados legalmente sigilosos, difamação e relacionados,
incitação ao crime, violação de copyright, etc.. Em todos esses casos, o
crime não está na atividade de informática em si, mas nas consequências
concretas dessa atividade. Portanto as leis tem que criminalizar essa
consequncia, e não a atividade-meio. Para punir um assaltante de banco
que usou um automóvel para fugir, a lei que criminaliza assaltos é mais
que suficiente. Seria supérfluo, pra não dizer ridículo, baixar outra
lei criminalizando o ato de "usar um automóvel para fins ilegais",

Há poucas atividades de informática que poderiam ser consideradas crimes
por si mesmas. Mas criminalizar essas atividades é muito mais difícil do
que parece. Um exemplo muito citado é o "acesso não autorizado a um
sistema", por exemplo por garotos que querem apenas se exibir, sem
roubar informações sigilosas ou danificar o sistema. Criminalizar esse
ato especificamente até que faria sentido, pois mesmo esse hacking
"inocente" causa enorme transtorno aos administradores e usuários do
sistema. Mas essa lei seria difícil de aplicar, em primeiro lugar porque
é difícil estabelecer se o acesso foi realmente não autorizado. Por
exemplo, administradores de sistemas frequentemente precisam quebrar a
senha de usuários por vários motivos legítimos. Não se pode impedir que
usuários confiem suas senhas a parentes, secretárias, colegas, etc.. E,
mesmo quando o acesso é obviamente indevido, não é nada fácil
identificar a *pessoa* que cometeu o ato.

Outro exemplo de possível "crime de informática" são ataques de "negação
de serviço" em que um sistema é propositalmente travado através de um
grande número de acessos simultâneos. Neste caso também, pode-se
argumentar a necessidade de uma lei específica criminalizando tais
ataques. Mas, neste caso também, a redação e aplicação de tal lei
esbarram em dificuldades técnicas e conceituais semelhantes.

Um grande defeito do famigerado "AI-5 digital" é que ele ignora
estas dificuldades, e estabelece penas para muitos atos (como "acesso
não autorizado") que não estão definidos na proposta, e
não podem ser definidos. Contas e arquivos não são objetos
materiais ou lugares específicos; são apenas conceitos
totalmente imaginários. A noção ingênua de que uma conta
é um "lugar" privativo, como uma casa ou gaveta, é apenas uma
metáfora conveniente: uma ilusão de substancialidade construida
intencionalmente pelos programadores para simplificar a vida ds
usuários leigos durante o uso normal do sistema. Essa ilusão
desaparece rapidamente quando tentamos definir os "usos ilícitos",
pois estes quase sempre violam os limites da metáfora.

Em vários pontos da proposta, parece que os autores se deixaram
levar por essa ilusão, e decidiram que um tipo de ato é crime
proque, para designá-lo, for usado metaforicamente um termo que, em
outros contextos, designa uma atividade criminosa. Por exemplo, supor
que uma "invasão de sistema" é o equivalente computacional do
ato físico de invadir uma casa. Mas na verdade, o hacker pode estar
na Mongólia e o computador que ele supostamente "invadiu" pode
estar na Patagônia; e nem um único átomo, nem um único
elétron do hacker chegou sequer ao continente onde o computador
está. Da mesma forma, os atos de "quebrar" uma senha e "roubar"
dados não tem absolutamente nada em comum com quebrar uma fechadura
ou roubar um banco.

A "invasão" de um computador via internet na verdade não é
nada mais do que uma série complicada de danças de elétrons
dentro de dois computadores separados por milhares de quilômetros
de cabos, roteadores e retransmissores. Ao contrário de uma fraude
bancária, que necessariamente desemboca em um efeito material (a
apropriação indevida de dinheiro, bens ou serviços) que é
claramente um crime, a invasão de um sistema "por esporte"
normalmente não tem nenhum efeito material. O susposto ato
criminoso é uma certa sequência de teclas e gestos de mouse que
o hacker fez, que ninguém testemunhou e que não deixaram rastros
irrefutáveis. Os efeitos supostamente danosos não passam de
movimentos peculiares de elétrons invisíveis e impalpáveis
denro dos computadores --- perdidos no meio incontáveis outros
movimentos de elétrons. Como escrever uma lei que distinua
claramente os passos de dança criminais dos inocentes? Como
atribuir a culpa entre todos os programadores e usuários que
contribuíram para essa dança?

  > 4- Tendo em vista a falta de provas que já ocorreu em casos
  > anti-pirataria no Brasil, tal lei teria como, constitucionalmente,
  > obrigar os provedores a fornecer dados que incriminassem os
  > usuários?

Essa é uma questão para advogados. Mas, filosoficamente, tais
medidas são extremamente perigosas. Em primeiro lugar, quando a
identificação de usuários e/ou a guarda de registros de
conexão é proposta no contexto de combate à "pirataria" por
transmissão ponto-a-ponto, podemos supor que logo as editoras
também vão obter o direito de monitorar o conteúdo dessas
transmissões mesmo sem evidências de crime, pois sem isso os
dados acima são inúteis. Isso é claramente uma violação
de privacidade.

Em segundo lugar, como dito acima, não se pode supor que o dono de
um IP é a *pessoa* responsável por alguma alegada atividade
criminosa que utilizou esse IP. Mas, inevitavelmente, as editoras e
outras entidades que querem combater "crimes de informática" vão
adotar essa suposição, porque de outra forma elas não
poderiam acusar ninguém. Ou seja, a guarda de registros de
conexão e o acesso a identificação dos donos de IPs vai levar
a milhares de condenações de inocentes.

Essas medidas vão levar inclusive (como já ocorre nos EUA) ao
surgimento de empresas de extorsão legal. Elas usam esses dados
para acusar milhares de cidadãos de pirataria, mesmo sabendo que as
provas não são conclusivas, e oferecem um acordo: "ou voce paga
1000 dólares para nós e retiramos a acusação, ou você
vai gastar 20000 para provar sua inocência no tribunal."

Finalmente, os eventos recentes nos países árabes e outros
lugares do mundo mostram que a guarda de dados conexões e a
identificação dos donos de IPs facilitam enormemente todo tipo
de abuso por governos corruptos e crime organizado.

  > 5- Na sua opinião, seria possível adequar os preços das
  > obras musicais, de forma a torná-las economicamente viáveis
  > e atraentes ao público novamente? Que papel os serviços de
  > streaming teriam nisso?
  
Uma empresa só é viável se o preço de seu produto é menor que o
custo de obter o mesmo produto ou serviço de outras fontes.
Acontece que o computador e as redes rápidas reduziram o custo de reprodução
de músicas praticamene a zero.  Então uma empresa que vende cópias de
músicas hoje simplesmente não é viável.

Streaming por si não muda esse fato, pois tecnicamente os
usuários podem sempre capturar o stream e repassá-lo adiante,
como arquivo ou stream, a custo zero. As editoras querem impedir isso
por vias legais (copyright, DRM, codificação proprietária,
etc.) mas, como dito acima, isso exige violar os direitos fundamentais
de todo mundo (e não apenas dos seus fregueses).
  
As *obras* musicais são economicamente viáveis e atraentes ao público,
mais do que nunca. O "problema" é como obrigar as pessoas a continuar
pagando para as editoras apesar de que elas não prestam mais nenhum
serviço.


# Last edited on 2011-09-15 07:05:46 by stolfi