Deputado, parabéns pela iniciativa.

O sistema aqui do e-democracia me parece bastante impróprio tecnologicamente para esse tipo de debate. Poderia, pelo menos, usar a tecnologia usada no Marco Civil da Internet, cujo debate já tem mais de um ano.

Sendo assim, por hora, vou me valer do Google Docs no link http://is.gd/wQX3Je e deixo o convite a todo mundo para que também participe.

Boa sorte no debate. O Brasil ganha.

Primeiramente, parabéns ano Exmo. Sr. Deputado pela iniciativa de submeter a debate o aludido Projeto de Lei. Felicitações também aos colegas, pelas engenhosas considerações.

Mas, sobre as observações do colega Sr. Carlos Paladino, gostaria de ponderar alguns pontos:

1. Partindo da premissa de que software é produto, e que a nossa legislação Civil já prevê a possibilidade de responsabilizar civilmente o fabricante, não vejo necessidade de inovar nesse sentido.

2. Sobre a perspectiva de, em tese, responsabilizar diretamente o desenvolvedor, devo lembrar que o empregador responde pelos atos de seus prepostos, ou seja, voltamos à reflexão anterior.

3. Por outro lado, criminalizar eventual erro (decorrente de imprudência, negligência ou imperícia, por exemplo) significaria frear a livre iniciativa, o que não condiz exatamente com os anseios da população contemporânea. A produção de software é obrigação de meio, não de resultado.

Quanto ao Projeto de Lei em questão, ainda estou analisando, em breve certamente tecerei comentários sobre.

Sem mais para o momento, cordiais saudações a todos.

Prezado Sr. Carlos Alvino,

Agora compreendo seu ponto de vista, muito obrigado pela explicação foi bem esclarecedora.
Concordo sim, as empresas devem ser penalizadas e devem responder pela incompetência na configuração da rede, o que possibilita aos invasores o roubo de dados sigilosos.
Mas creio que o real problema é a péssima formulação deste seguinte trecho do projeto de lei:



Este trecho ficou amplo, e sem objetivismo claro, pois a configuração de uma rede segura ou de um servidor é extremamente complexa, pois existem inúmeras variáveis, sendo que muitas vezes as brechas de segurança são provenientes dos serviços instalados no servidor e até mesmo do próprio SO.

Por esse motivo semanalmente são disponibilizadas atualizações de softwares, com o intuito de corrigir alguma falha ou mesmo de trazer algum recurso novo.
Mas muitas vezes o tempo decorrido entre a descoberta da falha e a disponibilização da correção não é imediata, pode demorar dias, ou seja, neste meio tempo algum usuário mal intencionado conhecendo a falha que foi encontrada, pode explorá-la através de seu servidor. Em resumo, você foi atacado através de uma falha que você nem sonhava que existia.

Temos por exemplo um caso recente de uma das maiores empresas de hospedagem do Brasil:
Ela teve seus servidores invadidos devido a uma vulnerabilidade no kernel do linux (kernel: IA32 System Call Entry Point Vulnerability).

Fica complicado culpar os administradores dos servidores por essa invasão, pois o problema era no Kernel do sistema, ou seja, é obrigação dos projetistas do SO de detectar esta falha e corrigi-la. Mas como culpar os projetistas do SO, se muitas SO’s são mantidos por organizações sem fins lucrativos, que é composto por comunidades de milhares de usuários que trabalhando em conjunto criam o SO ? E sem contar, que muitos SO’s são provenientes de empresas internacionais, que as vezes não possuem filiais no Brasil.

Creio que este trecho deve ser refeito, deve ser dado ênfase de que deve ser punido o administrador que conhecendo a falha e sabendo de seu perigo eminente, nega-se a corrigi-la com o intuito de prejudicar a empresa a qual trabalha ou fornece serviços, caracterizando assim falta de caráter e falta de profissionalismo.

Prezado Sr. João Marcelo,

Você poderia postar o link do projeto alternativo?