Publicações

Por muitos anos — em que pese os notáveis avanços mundiais no campo tecnológico — os pedidos de cooperação jurídica internacional que objetivavam a quebra de sigilo de dados telemáticos eram tidos como lenda no campo processual. Além de extremante burocratizados, revelava-se absolutamente improvável que os pleitos fossem atendidos pelas autoridades estrangeiras. Basta lembrar que, conforme informações apresentadas pelo Ministério da Justiça durante audiência pública realizada no contexto da ADC n.º 51, apenas 22,5% dos pedidos de cooperação jurídica enviados pelo Brasil aos Estados Unidos para quebra de sigilo de dados telemáticos foram efetivamente respondidos[1].

Recentemente, porém, o Brasil acenou — no campo legislativo e judicial – para um avanço nessa seara.

Em fevereiro, o Plenário do Supremo Tribunal Federal julgou parcialmente procedente a ADC nº 51, em que se pedia a declaração de constitucionalidade de dispositivos legais que estabelecem as regras para troca de informações entre o Brasil e autoridades estrangeiras, por meio de acordos de cooperação jurídica internacional[2].

O pedido sustentava que determinados dispositivos legais teriam “sua constitucionalidade questionada por diversas decisões judiciais”[3] em que se exigia — de empresas provedoras de conexão e aplicações de internet sediadas no exterior — a entrega de dados intercambiados online por seus usuários, ou seja, o registro dos acessos e das comunicações efetuadas pelos usuários.

Segundo a argumentação dos requerentes, se um Estado ordena a disponibilização de dados sob controle de uma empresa que se encontra sob jurisdição de outro Estado soberano, prescindindo da cooperação jurídica internacional, ele estaria violando a soberania deste segundo Estado, por impor o cumprimento de suas decisões.

Em seu voto, o ministro Gilmar Mendes[4], relator da ação, destacou que, mais que a declaração de constitucionalidade dos artigos que tratam da cooperação jurídica internacional, o que estava em debate na ação era a possibilidade de os tribunais brasileiros utilizarem o Marco Civil da Internet (Lei n.º 12.965/2014) de forma, ao menos à primeira vista, incompatível com os dispositivos questionados na ADC.

O artigo 11 do Marco Civil da Internet prevê, nesse sentido, que “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”.  Os parágrafos do artigo complementam que a previsão se estende “aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil”, e “mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos um integrante do mesmo grupo econômico possua estabelecimento no Brasil”.

Ou seja, pela letra da lei, mesmo provedores estrangeiros podem ser submetidos à lei brasileira caso o serviço seja oferecido em território nacional, como ocorre, por exemplo, com os milhões de brasileiros que fazem uso de plataformas estrangeiras para se comunicar por aplicativos como o WhatsApp.

Ao final, o STF declarou a constitucionalidade dos dispositivos que eram objeto da ADC, mas destacou que a decisão não prejudica a possibilidade de solicitação direta de dados. Isto é, a solicitação de dados através dos acordos de cooperação jurídica internacional continua sendo a regra geral, mas é legal e constitucional a “solicitação direta de dados e comunicações eletrônicas das autoridades nacionais a empresas de tecnologia” em casos específicos, quais sejam: (i) “nos casos de atividades de coleta e tratamento de dados no país [Brasil]“; (ii) nas hipóteses “de posse ou controle dos dados por empresa com representação no Brasil” e (iii) nos casos “de crimes cometidos por indivíduos localizados em território nacional”.

Além do Marco Civil da Internet, a definição de quais seriam os casos específicos autorizadores da requisição direta baseou-se também nas previsões da Convenção de Budapeste, que trata dos crimes cibernéticos e prevê a adoção de medidas legislativas para que provedores estrangeiros comuniquem os dados sob seu controle.

O Brasil, apesar de ter aderido à referida convenção no já longínquo ano de 2001, teve seu texto promulgado apenas recentemente, no último dia 12 de abril, por meio do Decreto nº 11.491/2023, juntando-se, nessa medida, a mais de 60 países[5] no combate a esse tipo de criminalidade.

Apesar da recente movimentação no campo legislativo — atrasada em duas décadas – é importante ressaltar, em coro ao relator da ADC nº 51, que ainda há “medidas necessárias para aperfeiçoamento do quadro legislativo” sobre a possibilidade de requisição direta de dados, apontando, inclusive, o anteprojeto da Lei Geral de Proteção de Dados para Fins Penais (LGPD Penal), ainda não apresentado à Câmara dos Deputados[6].

E, de fato, embora as investigações criminais tramitem muitas vezes em sigilo, o Brasil não possui instrumentos legais de proteção dos dados telemáticos e eletrônicos nessa seara, o que impõe dificuldades crônicas na obtenção de informações dessa natureza provenientes de outros países.

Nos Estados Unidos, a discussão parece estar mais avançada. Em 2018, por exemplo, foi aprovado o “Cloud Act”, ou “Clarifying Lawful Overseas Use of Data Act”, uma legislação que visa “melhorar os procedimentos para autoridades estrangeiras e americanas no acesso a informações eletrônicas guardadas por empresas provedoras de serviços”, especialmente porque “tal informação é crítica nas investigações de graves crimes por autoridades ao redor do mundo”[7].

A lei permite, cumprida uma série de requisitos que buscam preservar as informações compartilhadas[8], a celebração de acordos executivos com os EUA para solicitação de dados eletrônicos armazenados por empresas lá sediadas. Esses acordos seriam mais céleres e menos burocráticos do que os tradicionais tratados de cooperação jurídica internacional que costumam ser usados em investigações criminais, garantindo maior efetividade.

Ausente ainda regramento nesse sentido no Brasil, será importante observar, nos próximos anos — e enquanto não surgirem os instrumentos legais adequados —, se a flexibilização na obtenção de dados eletrônicos recentemente consolidada não irá de encontro às regras gerais para obtenção de provas no processo penal brasileiro, sobrepondo-se, por exemplo, ao princípio da territorialidade que informa a obtenção de provas no processo penal ou a regras mais restritivas a que os provedores estrangeiros estejam eventualmente submetidos em seus países de origem.

O fato de, conforme destaca o ministro Gilmar Mendes, os documentos digitais terem “natureza intangível”, não estando fisicamente em lugar algum, não pode justificar que se tente submeter estados soberanos a decisões judiciais brasileiras para além das hipóteses taxativas definidas pelo Supremo na ADC nº 51.

Finalmente, vale lembrar que as novas hipóteses no campo probatório — em uma visão ainda mais ampla do que a que aqui se discute — demandam uma profunda reforma no campo legislativo, à altura dos recentes avanços tecnológicos.

A reformulação legislativa — que historicamente caminha a passos morosos — precisa ser dinamizada, sob pena de condenar à obsolescência todas as normativas que regulam a matéria. A prova que outrora inspirou os legisladores em nada se assemelha àquela que hoje é praticada no processo penal e figura absolutamente temerário — para não dizer inconstitucional — que cumpra ao Judiciário operar as adaptações necessárias.

[1] Audiência pública disponível em: https://www.youtube.com/watch?v=x6nMFtg70FE. Acesso em 2.3.2023.

[2] A ação foi proposta pela Federação das Associações das Empresas Brasileiras de Tecnologia da Informação “em prol: a) do Decreto Executivo Federal nº 3.810, de 2 de maio de 2001, que promulgou o Acordo de Assistência Judiciário-penal entre o Governo da República Federativa do Brasil e o Governo dos Estados Unidos da América (Mutual Legal Assistance Treaty – ‘MLAT’); b) do artigo 237, inciso II, do Código de Processo Civil (Lei nº 13.105/2015), e dos artigos 780 e 783 do Código de Processo Penal (Decreto-Lei nº 3.689/1941), versantes, em seu conjunto, das relações jurisdicionais do Brasil com autoridades estrangeiras”.

[3] STF, ADC n.º 51, Petição inicial.

[4] O acórdão ainda não foi publicado, mas a decisão – unânime – foi proferida a partir do voto do Ministro Relator Gilmar Mendes, que já se encontra disponível e será utilizado como base para o presente artigo.

[5] Disponível em: https://www.mpf.mp.br/pgr/noticias-pgr/brasil-aprova-adesao-a-convencao-de-budapeste-que-facilita-cooperacao-internacional-para-combate-ao-cibercrime. Acesso em 19.4.2023.

[6] Disponível em: https://static.poder360.com.br/2020/11/DADOS-Anteprojeto-comissao-protecao-dados-seguranca-persecucao-FINAL.pdf. Acesso em 25.4.2023.

[7] Disponível em: https://www.justice.gov/criminal-oia/page/file/1153466/download. Tradução livre. Acesso em 2.3.2023.

[8] Dentre os requisitos, previstos na §2523 da Lei, a Cloud Act prevê, por exemplo: (i) que a lei doméstica do país signatário preveja proteções substanciais e robustas à privacidade e às liberdades civis dos cidadãos; (ii) que o país signatário possua legislação adequada a respeito da obtenção de dados eletrônicos e da repressão a crimes cibernéticos, algo que pode ser demonstrado pela adesão do país à Convenção de Budapeste; (iii) que o país tenha aderido à legislação de Direito Humanos internacionalmente aplicável e seja comprometido com o respeito aos direitos humanos; (iv) que o governo do país tenha adotado procedimentos para minimizar a obtenção, retenção e disseminação de dados envolvendo cidadãos norte-americanos. Disponível em: https://www.congress.gov/bill/115th-congress/house-bill/4943/text. Acesso em 2.3.2023.

* Artigo publicado pelo Conjur em 7.5.2023.