“Cybercrimes” e responsabilização criminal da pessoa jurídica no Brasil

O Brasil deu um passo simbólico no combate aos delitos virtuais com a internalização da Convenção sobre o Crime Cibernético, também conhecida como Convenção de Budapeste.

Por meio do Decreto Presidencial n. 11.491/2023[i], publicado em 13/04/2023, o Estado-parte Brasil comprometeu-se a adotar mecanismos legais mais eficazes para responsabilizar penalmente não só indivíduos, mas também pessoas jurídicas beneficiadas diretamente por crimes cibernéticos praticados por seus diretores, representantes legais ou agentes investidos de poderes decisórios.

Trata-se de uma reação contra a crescente onda de crimes virtuais que vêm se intensificando nos últimos anos. O ordenamento jurídico penal interno já havia esboçado o endurecimento das leis contra crimes cibernéticos, mas o foco sempre foi as pessoas naturais autoras dos delitos e nunca as empresas usadas como instrumentos.

A escolha dos crimes alvos do pacto internacional levou em consideração a recorrência e realidade existente na data de assinatura da convenção, que foi 23/11/2001. Portanto, não há dúvidas de que a lista de delitos já está defasada diante das inovações tecnológicas e da veloz “evolução” da criatividade criminosa.

A grande inovação da Convenção de Budapeste é a previsão de que os países signatários devem instrumentalizar a punição penal das pessoas jurídicas favorecidas por um ou vários dos crimes listados, para que a corporação não sirva de salvaguarda ou labirinto estratégico de ocultação de criminosos ou do produto dos crimes.

O ponto nevrálgico, como destacado, é a sujeição das pessoas jurídicas a um regime de responsabilidade penal.

Para criar a responsabilização penal de corporação por “cybercrimes”, o Brasil deverá observar a estrutura do tipo penal constante da Convenção, especialmente a premissa de que o crime seja cometido em benefício da pessoa jurídica e que o autor do ato seja pessoa natural em posição de direção ou portadora de poder de representação ou tenha autoridade para tomar decisões ou para exercer controle interno na entidade.

Além da forma dolosa, estabeleceu-se a hipótese omissiva e que igualmente atingirá penalmente a corporação quando a pessoa natural detentora das condições acima mencionadas (direção, poder de mando ou incumbida do controle interno) falhar na supervisão ou fiscalização e essa inércia possibilitar o cometimento de um dos crimes previstos na Convenção.

Na prática, não há nenhum efeito imediato, pois a Convenção sobre o Crime Cibernético apenas instituiu a obrigação de o Brasil produzir legislação instituidora de “cybercrimes” específicos perpetrados por pessoa natural, e deu especial ênfase ao deve de criar a responsabilidade penal da pessoa jurídica nesses mesmos crimes, o que depende de ato do Congresso Nacional, como determina o princípio da legalidade penal estrita (art. 5º, XXXIX, da CF: “nullum crimen nulla poena sine lege”).

A situação é muito semelhante ao ocorrido com o “Tratado de Palermo” e no qual o Brasil se obrigou em 2003[ii] a criminalizar e punir como um tipo penal autônomo o crime organizado praticado por pessoas naturais. Mas somente dez anos mais tarde é que sobreveio a Lei n. 12.850/2013 (de 02/08/2013) e que instituiu o conceito legal de organização criminosa, em observância aos princípios da legalidade e da anterioridade da lei penal.

No Brasil, por força do princípio constitucional da legalidade penal estrita, a pessoa jurídica somente pode ser penalmente responsabilizada nos crimes ambientais (art. 225 CF e Lei n. 9.605/98). A Constituição também autoriza a responsabilização penal das pessoas jurídicas nos crimes contra a ordem econômica, financeira e contra a economia popular (173, §5º), mas isso depende da edição de lei formal pelo Congresso, ônus do qual até hoje o Parlamento não se desincumbiu (sem lei desde 1988!!).

Além disso, a dogmática penal já permite antever importantes dilemas constitucionais, tais como: a responsabilidade penal das pessoas jurídicas será subjetiva ou objetiva? Haverá necessidade de dupla imputação penal? A absolvição da pessoa natural automaticamente livrará a pessoa jurídica?

De outro lado, somente após a edição de lei específica pelo Congresso Nacional estruturando o conteúdo dos crimes e as espécies de penas é que poderá haver concretamente a responsabilização penal das pessoas jurídicas por “cybercrimes” nos termos propostos pela “Convenção de Budapeste”, que prevê, na verdade, um conteúdo mínimo e não exauriente quanto aos crimes cibernéticos, de modo que o Parlamento brasileiro pode incluir outros delitos não previstos na citada convenção, mercê da própria soberania nacional.

O que não pode é simplesmente não legislar, sob pena de responsabilização no plano internacional e de ser considerado “um paraíso de cybercriminals”, um refúgio de corporações privadas irresponsáveis e cujos atos subvertem o papel legítimo reservado aos meios digitais e eletrônicos como mecanismos de célere e segura criação, armazenamento e tráfego de dados em sistemas computacionais.

Wilson Knoner Campos

Sócio da Bertol Advogados; Mestrando em “Criminology & Criminal Justice” (Royal Holloway, University of London); Pós-Graduado em Criminologia e Ciências Criminais (PUC/RS).

[i] http://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/D11491.htm

[ii] Decreto Legislativo n° 231, de 29 de maio de 2003.