Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, cj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-PR-2016-083 (CPI Crimes Cibernéticos) v18 1/3

São Paulo, 12 de abril de 2016

À

Excelentíssima Senhora Deputada Mariana Carvalho (PSDB/RO)

Presidente da CPI sobre Crimes Cibernéticos

Câmara dos Deputados, Anexo II – Pavimento Superior – Sala 165-B

Palácio do Congresso Nacional – Brasília/DF

C/C:

Deputado Federal Leo de Brito (PT/AC), 1o Vice-Presidente da CPI sobre Crimes Cibernéticos

Deputado Pr. Marco Feliciano (PSC/SP), 2o Vice-Presidente da CPI sobre Crimes Cibernéticos

Deputado João Arruda (PMDB/PR), 3o Vice-Presidente da CPI sobre Crimes Cibernéticos

Deputado Federal Esperidião Amin (PP/SC), relator da CPI sobre Crimes Cibernéticos

Mariana Giostri Oliveira Rolim, Diretora Executiva, Brasscom

Sergio Sgobbi, Diretor de Relações Institucionais, Brasscom

Assunto: Preocupações quanto ao Relatório da CPI Crimes Cibernéticos de 30/03/2016,

atualizado em 11/04/16

Prezada Deputada Mariana Carvalho,

A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e

Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software,

soluções e serviços de TI e TIC tem como missão trabalhar em prol do desenvolvimento do setor,

disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social.

Como representante empresarial do setor, a Brasscom manifesta sua preocupação em

relação às conclusões apresentadas no relatório da CPI dos Crimes Cibernéticos, sob a relatoria

do Deputado Esperidião Amin (PP/SC), apresentado à Comissão no dia 31 de março de 2016, com

alterações em 11 de abril de 2016, com base nas razões abaixo declinadas.

Sem embargo de futuras e mais aprofundadas contribuições, realçamos alguns aspectos

que carecem de aprofundada reflexão antes da aprovação do relatório.

Alterações indesejáveis no Marco Civil da Internet

A Lei nº 12.965/2014, conhecida como Marco Civil da Internet, é internacionalmente

festejada como um dos diplomas legais mais avançados do mundo, fruto de amplo debate entre

a sociedade e o Poder Legislativo Pátrio. Nela se consagram princípios e garantias fundamentais

aos usuários e atores da Internet tendo por espírito uma Internet aberta, livre, colaborativa e

promotora da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso.

Neste sentido, ressaltamos nossa firme oposição a iniciativas legiferantes que solapem ou

ponham em risco os direitos e garantias positivados no diploma que conferiu destaque e

protagonismo internacional ao Brasil no âmbito da Internet.

O bloqueio de sites, páginas e outros serviços da Internet em face a possíveis “crimes

contra a honra de maneira acintosa” sem o devido processo legal e determinação judicial

competentes, conforme trazia o primeiro relatório e acertadamente retirado do segundo texto,

confere desarrazoada discricionariedade a autoridades não judicantes, sendo incompatível com a

Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, cj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-PR-2016-083 (CPI Crimes Cibernéticos) v18 2/3

Ordem Constitucional Brasileira. A medida poderia produzir efeitos altamente inibidores no

ecossistema da Internet.

A proposta de inclusão de um novo §4º ao Art. 9º do Marco Civil da Internet, autorizando

o bloqueio ao acesso às aplicações por intermédio de ordem judicial, não chega a inovar as

prerrogativas já exercidas pelas autoridades judicantes. Todavia, a completa omissão quanto ao

dever de motivar a adoção de medidas tão drásticas à luz da análise da adequação (se a medida

realmente resolve o problema), da necessidade (se a medida é a mais eficaz in casu) e a

proporcionalidade em sentido estrito (se a medida, ao ser adotada, não traria mais prejuízos a

outros direitos do que ao direito a que se busca proteger), eleva de forma desmedida e

contraproducente a insegurança jurídica, com aumento dos riscos de danos econômicos e sociais,

por vezes irreversíveis, à expressivos contingentes de usuários.

A caracterização de endereço IP como dado cadastral para fins de identificação pessoal é

desprovida de efeito prático para os fins supostamente pretendidos. O estado-da-arte da Internet

comporta duas modalidades de atribuição de endereços IP, a saber, atribuição de IP fixos

(permanentes) para certos dispositivos de acesso (computadores, tablets, smartphones etc.) ou

atribuição dinâmica de endereços IP. No caso da atribuição dinâmica, o endereço IP de um

dispositivo de acesso pode mudar várias vezes ao longo do tempo, independentemente de como

o usuário o está utilizando. A atribuição dinâmica é a mais usada. Assim sendo, a possibilidade de

equiparar o endereço IP a uma informação cadastral representaria irrazoável interferência nas

soluções técnicas atualmente adotadas, inibindo a escalabilidade da rede e violando, portanto, o

Art. 2º, I, e o Art. 3º, V, do Marco Civil da Internet.

É grave, também, a conjectura de permissivo de acesso aos dados cadastrais por parte do

delegado de polícia e do Ministério Público sem autorização judicial. Tal disposição representa

flagrante retrocesso à privacidade dos usuários e viola o espírito do Marco Civil da Internet, e a

garantia da proteção à privacidade disposta no Art. 3º, II.

Quanto a incidência tributária sobre negócios da economia da Internet

A Internet, como ambiente altamente dinâmico e inovador, tem, continuamente,

propiciado o aparecimento de novos modelos de negócio, nos quais a incidência tributária ora é

evidente ora não o é. A incerteza quanto a correta caracterização dos fatos geradores na Internet

já vem produzindo cenários de bitributação, a saber, guerra fiscal entre entes federados distintos,

com graves repercussões quanto a insegurança jurídica e a escalada da onerosidade que acaba

por prejudicar o usuário final, tornando o ambiente de negócios hostil ao empreendedorismo

digital. Assim sendo, se faz mister que o debate relativo à correta hipótese de incidência tributária

sobre aplicações providas através da Internet seja levado a efeito em foro próprio e competente

no âmbito do Congresso Nacional, com a participação de associações setoriais relevantes.

Neste sentido, a Brasscom entende que o envio de ofícios às autoridades enumeradas no

relatório não corresponde à melhor forma de solucionar as incertezas já estabelecidas, agravando

a situação do contribuinte ante a realidade atual de conflito de competências tributárias entre

distintos entes federados.

Quanto segurança da informação da Administração Pública Federal

A informação é atualmente considerada ativo estratégico tanto para organizações

privadas quanto para governos ao redor do mundo. A gestão da segurança da informação e

Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, cj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-PR-2016-083 (CPI Crimes Cibernéticos) v18 3/3

comunicação, incluindo a garantia de inviolabilidade dos dados circulantes e armazenados e

proteção ante as tentativas de intrusão em áreas seguras por parte de atores não autorizados,

tornou-se um desafio global. É, portanto, reconhecidamente imperiosa a necessidade de garantir

a segurança da informação da Administração Pública Federal.

A experiência no setor revela que as medidas de proteção devem levar em conta a

natureza altamente dinâmica das ameaças, seja decorrente da engenhosidade técnica ou da

motivação humana em buscar brechas e vulnerabilidades. Neste sentido, entendemos que uma

estratégia de segurança da informação e defesa cibernética deve contemplar quatro aspectos

fundamentais: segurança das comunicações de dados; segurança dos sistemas e da infraestrutura;

monitoramento e operação contínua da segurança; processos e governança. A adesão a padrões

internacionais é, também, fator crítico de sucesso em matéria de segurança da informação,

estando em perfeita consonância com o Art 3º, V, do Marco Civil da Internet.

Adicionalmente, é essencial, para a credibilidade do País, garantir o respeito e a proteção

da propriedade intelectual dos provedores de hardware e software para que continuem

motivados a fornecerem para a Administração Pública Federal. É, portanto, preocupante alusão a

auditoria de programas de equipamentos fornecidos a Administração Pública Federal. À luz do

dinamismo com o qual se desenvolvem ameaças à segurança e técnicas de intrusão, são

questionáveis os resultados práticos de tal medida, principalmente cotejados em face ao custo e

a quantidade de recursos qualificados para a execução de tais auditorias.

O desafio da segurança da informação requer uma visão holística, tecnicamente

aprofundada, perseverantemente evolutiva, que não negligencie processos e governança e que

respeite e proteja a propriedade intelectual dos provedores de hardware, software e serviços de

TI.

Considerações finais

Ante ao exposto, e sem prejuízo de novas contribuições que a Brasscom possa vir a fazer

sobre o tema, reiteramos as preocupações acima apresentadas e respeitosamente solicitamos que

levadas em consideração na aprovação do relatório.

Reiteramos nosso espírito de colaboração, trabalho e disposição para o diálogo com a

Câmara dos Deputados, postura, aliás, que tem um histórico de resultados significativos e que

impactou e impacta positivamente nas empresas, no governo e na sociedade.

Registrando protestos pela estima e consideração, permanecemos à disposição desta

Casa do Povo Brasileiro.

Atenciosamente,

Sergio Paulo Gallindo

Presidente Executivo

Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, cj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-PR-2016-083 (CPI Crimes Cibernéticos) v18 4/4