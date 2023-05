1537

A entrada do Brasil no palco internacional cibernético é um desafio muito maior do que possa parecer (foto: Pixabay)

O Governo Federal publicou no mês passado o Decreto n. 11.941/2023 que promulga a Convenção sobre o Crime Cibernético de Budapeste, que engloba originalmente os países do Conselho da Europa e outros (como o Brasil) que aderiram à Convenção. O tema parece atual e relevante e, exatamente por isso, merece algumas reflexões.

A primeira delas é o fato de que observar o Brasil, em termos legislativos, sempre me remete àquela imagem de um grupo de garotos correndo pela rua atrás de qualquer coisa que possa os entreter (uma bola, uma pipa ou coisa que o valha). Tenha essa imagem na cabeça e você vai se lembrar que tem um padrão: na ponta, tem um moleque que parece um corisco de tanto que corre. No meio, está o grupão, todo embolado, tropeçando uns nos outros. Na outra ponta, tem um moleque que está um quarteirão atrás gritando para o bando: “me espera, me espera, me espera!”.

Pois é... o Brasil, você já não deve se surpreender, é o moleque do final. A gente tem uma capacidade incrível que deixar as coisas para depois. E eu posso provar!

Sabe de quando é essa Convenção? 2001!

Eu não digitei errado. A Convenção é de 2001, ou seja, há 22 anos. E o Brasil estava lá, assinando o documento quando da sua instituição.

Sabe o que é mais legal? Passeando pelos “considerandos” da Convenção, a gente se depara com a seguinte motivação para o documento internacional:

“Também preocupados com o direito à proteção de dados pessoais, como previsto, por exemplo, na Convenção Europeia para a Proteção de Dados Pessoais sujeitos a Processamento Eletrônico, de 1981”

Sacou? Em 1981 (há 42 anos!), a Europa já tinha uma Convenção própria sobre proteção de dados pessoais. A nossa lei (a Lei Geral de Proteção de Dados) é de 2018 e veio a reboque da atualização legislativa da União Europeia (a GDPR) que impôs limitações de transações internacionais com países que não tivessem um sistema de proteção de dados efetivamente implementado. Aí o Brasil teve que sair correndo para produzir a sua norma e está, aos solavancos e da forma como dá, tentando implementar um programa real de proteção de dados no país para não se tornar um pária internacional.

Então... imagina se daria mesmo para adivinhar, a partir da Convenção de 1981 ou da Convenção de 2001, que isso seria necessário? Absolutamente não...

Pois é. Provei que somos o menino do final da fila. Lidemos com isso.

Acontece que, para além disso, mesmo com todo o atraso na matéria, a publicação da Convenção gera uma série de obrigações para o país que precisam ser refletidas. Quando um país assume um compromisso internacional, ele assume, voluntariamente, o dever de se comportar de determinada maneira perante a comunidade internacional.

Parêntesis 1: sim crianças, por mais que seja difícil concordar com isso, é preciso reconhecer que o ambiente internacional é uma anarquia. Mas a anarquia no sentido que a sua mãe dizia que era o seu quarto, mas anarquia no sentido teórico de ambiente organizacional desprovido de governo e poder soberano. Ou seja, no ambiente internacional, cada um faz o que quer e vale a lei do mais forte mesmo. Por isso a diplomacia é tão importante, evita que os mais fracos sucumbam aos mais fortes e impõe que a gente entenda que ser um pária internacional é uma péssima ideia em qualquer contexto.

Voltando: esse compromisso que o Estado Brasileiro assume perante a comunidade internacional o alinha aos padrões de governança de dados, segurança da informação e persecução de crimes cibernéticos das nações mais avançadas em termos de segurança da informação do mundo. Via de consequência, traz consigo a responsabilidade de instituir estruturas estatais capazes de fazer frente às crescentes investidas dos criminosos cibernéticos, que navegam suavemente no mar de oportunidades criminais que se constituem as redes brasileiras.

Ou seja, o Brasil cumpriu uma obrigação arquiatrasada, e arrumou também um tremendo desafio para o futuro imediato. Não é algo para os próximos 22 anos, mas para esse. E considerando o avanço tecnológico que experenciamos diariamente, a exigência de posturas estatais cada vez mais organizadas e confluentes com os objetivos globais de garantia de segurança nos ambientes de rede, a cobrança por medidas reais será cada vez maior.

E aí que está a questão do ambiente nebuloso em que podemos entrar. É preciso reforçar, há uma pressão visível para que todos os Estados convirjam sobre a matéria, mas cada Estado é livre para se posicionar a respeito.

Uma vez dentro, como estamos, a presença internacional do Brasil neste tema pode levar as suas decisões, leis e ações a serem submetidas a controle de convencionalidade, além dos controles internos.

Parêntesis 2: sim, isso existe. Se você achava o controle de constitucionalidade difícil, tem o controle de convencionalidade, que consiste no julgamento acerca da compatibilidade de ordenamentos jurídicos internos às normas de direito internacional, especialmente as voltadas aos Direitos Humanos. E Direitos Humanos não significa um monte de gente que gosta de bandido, mas um conjunto imenso de normas de natureza civil e criminal que visam garantir o mínimo para que cada ser humano seja tratado com o respeito que merece qualquer ser humano, o que inclui a proteção dos seus dados e a sua privacidade e a integridade física de criminosos também.

Voltando: ou seja, temos um ambiente jurídico ainda mais visibilizado para o mundo e um espaço de atuação cada vez mais complexo. E se engana quem acha que este tipo de medida não tem efeito prático na nossa vida cotidiana.

Esses grandes movimentos estatais impactam nas transações internacionais que vão, por sua vez, refletir nas entradas e saídas de bens e serviços do país. Esta mudança impacta o tipo de tecnologia que teremos aqui e o que acessaremos de fora.

Além disso, o score de confiança do país pode melhorar ou piorar. Se a gente estaciona na “nota 6”, podemos dar margem para sermos preteridos em inúmeros itens em que não somos concorrentes de peso no plano redondo global (não resisto a uma oportunidade de dizer que a terra é redonda). Até porque a Convenção em questão tem, entre os seus dispositivos, o dever de cooperação global sobre a matéria, de modo que cada país que ratificou a Convenção passa a firmar o compromisso de colaborar com os demais para garantir o seu adequado cumprimento.

Nesse pacote entra alterações legislativas, tanto penais quanto processuais, bem como o investimento em instituições públicas dotadas de capacidade operacional para fazer frente a estes novos desafios. A Autoridade Nacional de Proteção de Dados, assim como outras agências públicas que têm competências correlatas, passa a ganhar nova dimensão, com evidente ampliação da sua relevância para o posicionamento global do Brasil no ambiente de relações internacionais.

Além disso, ainda temos que enfrentar o enorme desafio de superar a nossa absoluta falta de cultura de proteção à privacidade, aos dados pessoais, à nossa segurança cibernética e itens correlatos. Muito além de instrumentos, temos o obstáculo cultural de não nos importar com nossos próprios dados e muito menos com os dados alheios.

E isso começa pela própria Administração Pública que, em muitos casos, sequer começou a buscar mecanismos de implementação de proteção básica dos dados que processa. A segurança da informação é, comumente, muito amadora e informações sensíveis são tramitadas de forma absolutamente frágil, a demonstrar que ainda precisamos melhorar muito para fazer o básico.

É um ótimo momento para que deixemos de ser o moleque que fica correndo atrás para se “embolar” no meio de todo mundo e correr junto nessa temática. Pela velocidade que a carruagem anda, ficar para trás pode não ser “só” chegar depois, pode ser nem conseguir chegar.