Passadas mais de duas décadas de existência da Convenção de Budapeste, no último dia 13, por meio da publicação do Decreto 11.491/2023, o Brasil se comprometeu a adotar mecanismos legais para responsabilizar penalmente não só indivíduos, mas também pessoas jurídicas beneficiadas diretamente por crimes cibernéticos praticados por seus diretores, representantes legais ou agentes investidos de poderes decisórios.
Com estrutura dividida em quatro capítulos, a Convenção objetiva estabelecer meios para a cooperação internacional em questões criminais e criar procedimentos uniformes para combater crimes cibernéticos. O primeiro capítulo, da utilização de terminologias, define termos como sistema de computador, dados de computador, provedor de serviços e tráfego de dados.
O segundo capítulo da Convenção trata das medidas a serem tomadas em nível nacional e aborda questões relacionadas ao direito penal material, propondo novos tipos penais e normas processuais para investigação e punição de crimes cibernéticos. O terceiro capítulo, por sua vez, aborda a cooperação internacional em quatro títulos relacionados aos princípios gerais de cooperação, extradição, assistência mútua e procedimentos para pedidos de assistência mútua na ausência de acordos internacionais.
A segunda seção do capítulo III apresenta as providências específicas para atendimento mútuo em relação às medidas cautelares e poderes investigativos, além de estabelecer um sistema de plantão 24/7 para combater o crime informático. Ao apresentar suas disposições finais, no quarto capítulo, a Convenção de Budapeste estabelece importantes diretrizes para a execução do documento, incluindo questões comuns na teoria geral dos tratados, como assinatura, entrada em vigor e aplicação territorial.
Além de harmonizar as questões do direito penal relacionadas aos crimes cometidos no ciberespaço, a Convenção de Budapeste tem como objetivos centrais definir a matéria processual interna nos países signatários em relação às investigações desses crimes e estabelecer as ações necessárias para a obtenção da cadeia de custódia das provas eletrônicas. Com isso, a Convenção traz importantes recomendações para que os países que a ela aderirem possam criar ou adaptar seus ordenamentos jurídicos e destaca a urgente necessidade de implantação de um regime de cooperação internacional entre os países signatários.
A adesão do Brasil à Convenção é considerada um passo fundamental no combate aos crimes cibernéticos. Entretanto, para que essa proteção seja efetiva, é necessário que haja esforços para consolidar leis e regulamentos nacionais que criem um sistema de proteção de dados coerente e estabeleçam limites claros para a atuação do Estado. Isso implica avanços na aprovação de regras de proteção de dados no âmbito penal, uma atuação mais forte da Autoridade Nacional de Proteção de Dados (ANPD), e regulamentação do acesso transfronteiriço aos dados, de forma a conciliar eficiência na investigação com garantias do processo penal.
Com efeito, o Brasil atualizou sua legislação para o tema central da Convenção ao longo dos anos. Exemplos disso incluem a Lei Carolina Dieckmann (Lei 12.737/2012), que tipifica delitos cometidos por meio da internet e outros meios eletrônicos, como invasão de dispositivos e divulgação de conteúdo íntimo sem autorização; o Marco Civil da Internet (Lei 12.965/2014), que tem como base o princípio da governança e do uso da internet; e a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), que trata dos direitos fundamentais de liberdade, privacidade e do livre desenvolvimento da personalidade da pessoa natural. Além disso, outras leis também abordam questões relacionadas a crimes cibernéticos, como a Lei 14.155/2021, criada recentemente para combater fraudes eletrônicas, como clonagem de cartões e invasão de contas bancárias.
Ressalta-se que a legislação brasileira já aborda alguns temas previstos na Convenção, como a pornografia infantil e os direitos autorais. No entanto, outros temas, como violação de dados e interferência em sistemas, ainda precisam ser atualizados pelo Congresso Nacional, embora a adesão à Convenção já represente um avanço nessas áreas.
Vale mencionar que a Convenção inova ao estabelecer o artigo 12, em que propõe a responsabilidade penal da pessoa jurídica beneficiada diretamente por crimes cibernéticos previstos na lista de condutas criminosas disposta na norma internacional. Além da modalidade dolosa, a hipótese omissiva também foi estabelecida, e a companhia será igualmente responsabilizada criminalmente quando a pessoa natural que detém o poder de decisão ou controle interno falha na supervisão ou fiscalização, permitindo assim a ocorrência de um dos crimes previstos na Convenção.
É importante enfatizar que, para sujeição das pessoas jurídicas a um regime de responsabilidade penal, o Brasil deve observar a estrutura do tipo penal previsto na Convenção. É essencial seguir a premissa de que o crime seja cometido em benefício da entidade e que a autoria seja de uma pessoa natural em posição de liderança, com poder de representação ou autoridade para tomar decisões ou exercer controle interno sobre a instituição.
Em termos práticos, a responsabilização penal da pessoa jurídica depende da criação de leis específicas pelo Congresso Nacional, o que faz com que o artigo 12 da Convenção não tenha efeito imediato. Entretanto, a ausência de legislação neste sentido pode levar à responsabilização internacional e à qualificação do Brasil como um paraíso para criminosos cibernéticos.