A Resolução n.º 5/2019, de 20 de Junho, que ratifica a Convenção da União Africana sobre Cibersegurança e Protecção de Dados Pessoais (“CUACPDP”), disciplina, no seu capítulo III, a matéria relativa a “Promoção da Cibersegurança e a Luta contra o Cibercrime”.
De entre as directrizes emitidas pela CUACPDP que os Estados-membros devem adoptar nos correlatos ordenamentos jurídicos internos, através da aprovação de diplomas legais que as concretizem, o capítulo relativo à “Promoção da Cibersegurança e a Luta contra o Cibercrime” constitui, contrariamente ao que se sucede com os outros dois capítulos (“Transacções Electrónicas” e “Protecção de Dados Pessoais”), aquele que, no ordenamento jurídico moçambicano, mais carece da sobredita regulação, sendo que muitas das aludidas directrizes corporizadas no capítulo III da CUACPDP, não encontram, ainda, manifestação em formato legal da sua consagração.
Sublinhamos, outrossim, fazer notar, de forma enfática, que, no concernente aos restantes dois capítulos (“Transacções Electrónicas” e “Protecção de Dados Pessoais”), é o primeiro o que mais mereceu regulação na ordem interna por parte do legislador moçambicano (avultando, desde logo, a Lei de Transacções Electrónicas [“LTE”] – Lei n.º 3/2017 – e o Regulamento do Sistema de Certificação Digital de Moçambique [“RSCDM”] – Decreto n.º 59/2019 – cujas algumas temáticas por ambos os diplomas legais disciplinados, foram objecto de análise nas edições anteriores, sendo ainda curial frisar que, de entre os dois, o regime do último capítulo essencialmente decorre directamente do preconizado na Constituição da República [“CRM”] – e tenuemente regulamentado entre os artigos 63 a 65 da LTE, que foi, aliás, objecto de debruço exclusivo na “Parte VI” da presente série).
Algumas matérias relativas à cibersegurança, cujas directrizes constam da CUACPDP, já exibem a sua fisionomia no ordenamento jurídico moçambicano, sendo que, neste artigo, ocupar-nos-emos de uma das suas temáticas: “medidas legais ao combate do cibercrime”, a qual, nos termos da CUACPDP, subdivide-se em quatro vectores: (i) Legislação de Combate ao Cibercrime (ii), Autoridades Reguladoras Nacionais, (iii) Direitos dos Cidadãos e (iv) Protecção de Infraestruturas Críticas.
Ao longo desta série, temos procurado chamar atenção que, a despeito de a CUACPDP ter sido introduzida em Moçambique após a sua ratificação em 2019, através da Resolução n.º 5/2019, a respectiva adesão ocorreu em 2014, sendo por isso que que alguns dos diplomas legais aprovados em cumprimento dos quatro vectores referenciados no parágrafo anterior, ocorreram antes da sua ractificação (em 2019), como se sucede com a Legislação de Combate ao Cibercrime (introdução dos “crimes informáticos” no Código Penal de 2014), Autoridades Reguladoras Nacionais (Lei n.º 2/2017 – Cria o Serviço Nacional de Investigação Criminal “SERNIC”) Protecção de Infraestruturas Críticas (Aviso do Banco de Moçambique que estabelece as Directrizes de Gestão de Risco, abreviadamente designadas por DGR – Aviso n.º 4/GBM/2013).
Antes de quaisquer desenvolvimentos, e como forma de melhor se precisar os contornos da temática a ser abordada, mostra-se curial a conceptualização, sintética, de figuras nucleares associadas à retromencionada temática.
O termo cibersegurança (segurança do ciberespaço), que constitui uma justaposição entre as expressões “ciber” (que exprime a noção de Internet ou de comunicação entre redes de computadores) e “segurança” (cuja conceptualização não oferece dificuldades de percepção), traduz-se no conjunto de meios e tecnologias que visam proteger, da produção de danos e intromissões ilícitas (não autorizadas), programas, computadores, redes (Bluetooth e Wi-Fi), e dados. Aos elementos elencados atrás, acrescentam-se, também, os chamados dispositivos inteligentes, onde se incluem os smartphones, televisores e vários dispositivos pequenos que constituem a Internet das Coisas (“Internet of Things” – “IoT” – aqueles objectos conectados à internet e entre si através da rede, munidos de sensores, circuitos electrónicos e softwares e capazes de colectar, processar, armazenar e trocar dados). Portanto, cibersegurança é a protecção de sistemas de computador contra roubo ou danos ao hardware, software ou dados electrónicos, bem como a interrupção ou perturbação dos serviços que fornecem.
E porque o prefixo “ciber”, conforme ilustramos, deriva da Internet ou de comunicação entre redes de computadores (sem nos perdermos de vista relativamente aos demais dispositivos que, em função do recrudescimento avassalador das TIC’s vão surgindo ao longo dos tempos, como, por exemplo, a “IoT”, estaremos, essencialmente, em face de cibercrime sempre que essa conduta delituosa (crime) for cometida com recurso/intermediação de meios tecnológicos/digitais, enfim, com base nas TIC’s.
Em consonância com a determinação plasmada no n.º 1 do artigo 25 da Convenção, cada Estado-parte deve adoptar as medidas legislativas e ou regulamentares que julgar eficazes, considerando como infracções criminais substantivas os actos que afectam a confidencialidade, integridade e disponibilidade e a sobrevivência dos sistemas das TIC’s, os dados que eles processam e as infraestruturas de redes subjacentes, assim como as medidas consideradas eficazes para a busca e julgamento de criminosos.
Rememora-se que, na Parte VI da série Direito Digital na ordem jurídica moçambicana, oportunamente, salientamos que confidencialidade, a integridade e a disponibilidade são os principais atributos da segurança de informação, umbilicalmente vinculados à Protecção de Dados. E é, essencialmente, mas não só, no esforço que os Estados vêm realizando, visando à defesa e protecção de dados pessoais que, em cumprimento dos alvitres da Convenção, Moçambique introduziu normas conducentes ao combate ao cibercrime, na medida em que, conforme é mundialmente assente – e fizemos menção a este facto na Parte I da presente série – foi a sofisticação tecnológica dos meios de cometimento de crimes, que mais impulsionaram o surgimento do Direito Digital. Os delinquentes mais arrojados viram nas TIC’s, e expedientes equiparáveis, um mecanismo de ludibriar os sistemas de prevenção e repressão criminal, principiando com a proliferação de práticas delituosas, as quais encontraram muitos ordenamentos jurídicos em contrapé, como se de emboscada se tratasse, não se lhes dando a mínima hipótese de se defenderem dos surpreendentes meios sofisticados manuseados por aqueles criminosos.
Como forma de dar resposta adequada a essa nova realidade, o Código Penal (CP) ainda vigente – aprovado pela Lei n.º 35/2014 – trouxe figuras inovatórias no combate ao cibercrime, no Capítulo dos “crimes informáticos”, tais sejam: intromissão através da informática (artigo 316) “incitação de menores por meios informáticos (artigo 317), furto informático de moedas ou valores” (artigo 318), “burla por meios informáticos e nas comunicações” (artigo 319), “violação de direitos de autor com recurso a meios informáticos” (artigo 320), “escuta não autorizada de mensagens” (artigo 321), “violação de segredo de Estado por meios informáticos” (artigo 322), “instigação pública a um crime com uso de meios informáticos” (artigo 323).
Por sua vez, o CP recentemente aprovado pela Lei n.º 24/2019 (ainda no casulo da respectiva vacatios legis) traz figuras como os crimes de “devassa da vida privada” (art. 252), “base de dados automatizada” (art. 254), “gravações ilícitas” (art. 257), “burla informática e nas comunicações” (art. 289), “fraudes relativas aos instrumentos e canais de pagamento electrónico” (art. 294); chama-se também à colação determinadas formas de cometimento dos crimes de “difamação” (art. 233) e “injúria” (art. 234), na parte em que a Lei refere-se a «qualquer outro meio de publicação»; a secção do CP respeitante à “falsidade informática e crimes conexos”, nos quais se incluem os crimes de “falsidade informática” (art. 336), “interferência em dados” (art. 337), “interferência em sistemas” (art. 338), “uso abusivo de dispositivos” (art. 339).
Se acima se notaram os esforços legiferantes empreendidos no direito substantivo penal, manifestados na tipificação como crimes de condutas delituosas que ofendem bens e valores jurídicos protegidos pelo Direito Penal Digital/Cibernético (desde a honra, reputação, bom nome e imagem, passando pela segurança de dados e desembocando na reserva da intimidade da vida privada), cuja valoração axiológica faz redundar a ofensividade e lesividade das normas desobedecidas na mais extremosa pena estabelecida em Moçambique – a de prisão –, igual empenho é também visualizável na dotação, ao direito adjectivo penal, de mecanismos tecnológicos vinculados à cibersegurança no novíssimo Código do Processo Penal (CPP), aprovado pela Lei n.º 25/2019, no regime consagrado para as “Escutas Telefónicas”, um meio especial de obtenção da prova, através do qual se permite a intercepção e a gravação de conversações ou comunicações telefónicas de suspeitos (art. 222 do CPP), extensível às conversações ou comunicações transmitidas por qualquer meio técnico diferente do telefone, designadamente telemóvel, correio electrónico ou outras formas de transmissão de dados por via telemática (art. 225 CPP), em plena harmonia com o que já vinha preceituado nos arts. 17, 18 e al. a) do art. 21 da Lei que cria o SERNIC.
Dentro das medidas legais ao combate do cibercrime e no que concerne ao vector relativo às Autoridades Reguladoras Nacionais, o n.º 2 do artigo 25 da CUACPDP insta que «cada Estado-parte deve adoptar medidas legislativas e ou regulamentares que julgar necessárias para conferir `as responsabilidades específicas às instituições – quer as instituições existentes quer novas – assim como os funcionários destas instituições que forem designados, a fim de lhes conferir autoridade estatutária e a capacidade legal de agir em todos os aspectos da aplicação à cibersegurançanao se limitando a dar respostas aos incidentes nestes domínio, coordenação e cooperação em matéria da justiça, investigação forense, julgamentos, etc.», directriz que encontra acolhimento no estabelecido no que tange às competências do SERNIC, preceituados na alínea g) do artigo 6 e alínea c) do n.º 1 do artigo 7, ambos da Lei que cria o SERNIC que atribuem à este organismo poderes funcionais para investigar crimes informáticos e estabelecer ligações com a INTERPOL no que à cooperação judiciária diz respeito,
Ao abrigo desta cooperação judiciária, merece destaque o estatuído no artigo 23 da Lei n.º 21/2019 (aprova os Princípios e Procedimentos de Cooperação Jurídica e Judiciaria Internacional em matéria Penal) nos termos do qual, os Estados podem «utilizar na transmissão dos pedidos [de informação] os meios telemáticos adequados, desde que estejam garantidas a autenticidade e a confidencialidade do pedido e a fiabilidade dos dados transmitidos», no âmbito da troca de informação sobre detidos/suspeitos/arguidos relativamente aos quais se impõe a respectiva extradição, de Moçambique para outros Estados e vice-versa.
Por fim, ainda no que diz respeito às medidas legais ao combate do cibercrime e no que concerne ao vector referente à Protecção de Infraestruturas Críticas, merece-nos realce o propugnado no n.º 4 do artigo 25 da CUACPDP, nos termos do qual «cada Estado-parte deve adoptar as medidas legislativas e ou regulamentares que julgar necessárias para a identificação dos sectores considerados sensíveis para a sua segurança nacional e o bem-estar da economia e dos sistemas das TIC’s, destinadas a funcionar nesses sectores como infraestruturas críticas de informação» que constitui uma directriz que vai ao encontro do que já estabeleciam as Directrizes de Gestão de Risco, abreviadamente designadas por DGR, ínsitas no Aviso n.º 4/GBM/2013, do Banco de Moçambique.
Aqui, chama-se novamente a atenção que, a despeito de CUACPDP ter sido ratificada em 2019, Moçambique adoptou (sem ter ratificado) a adesão às normas da Convenção em 2014, e antes mesmo de a ter ratificado e tornado vigente no seu ordenamento jurídico – nos termos do n.º 1 do artigo 18 da Constituição da República, que estabelece que «os tratados e acordos internacionais, validamente aprovados e ratificados, vigoram na ordem jurídica moçambicana após a sua publicação oficial e enquanto vincularem internacionalmente o Estado de Moçambique» – como consequência do reconhecimento da necessidade de implementação da “Política da Sociedade da Informação (Resolução n.º 17/2018, que reformou e revogou a “Política de Informação” ora aprovada no ano 2000), aprovou, antes, em 2013, as DGR, tornou vigente, em 2017, a Lei que cria o SERNIC e deu validade jurídica, em 2014, ao CP aprovado pela Lei n.º 35/2014, não podendo, por isso, estranhar-se a diacronia existente entre o espírito da CUACPDP e as Leis que cumprem as suas directrizes – no sentido de regulamentarem um diploma que só entrou em vigor depois depois das normas regulamentadas –, pois estas Leis, além de terem, algumas, sido aprovadas antes da adopção (sem ratificação) da CUACPDP, também possuem como respaldo a Política de Informação ora aprovada no ano 2000.
Advogado
Email: telio@teliochamuco.com