INTRODUÇÃO
Juntamente com o avanço da tecnologia da informação e das comunicações vem a exposição da intimidade das pessoas, que, cada vez mais, se valem de meios tecnológicos para se comunicarem e administrarem sua vida pessoal.
O ordenamento jurídico brasileiro, como todos ou quase todos os outros, prevê o respeito e a proteção à intimidade individual, ainda que, como sabemos, nem sempre essa proteção chegue a se efetivar, sendo comum e até banal a violação desse direito fundamental.
Não é de hoje que mecanismos de proteção estão previstos na legislação. Todavia, com a edição da Lei de Uso da Internet e da Lei de Organizações Criminosas, muitas inovações foram trazidas nesta seara, de modo que uma revisão e uma consolidação da matéria se mostram necessárias. Assim, o intento deste trabalho é expor o atual quadro de proteção jurídica da intimidade.
PREVISÃO NA CONSTITUIÇÃO E NO DIREITO INTERNACIONAL
A Constituição Federal (CF) é o mais alto diploma normativo da República Federativa do Brasil, orientando os demais e prevalecendo sobre eles. O seu art. 5º traz os direitos e garantias fundamentais, que, no jargão norte-americano, são chamados de direitos civis (civil rights). Entre eles, está o direito à liberdade (de expressão, de locomoção e de associação), à igualdade, à propriedade e, que ora nos interessa, à intimidade ou privacidade.
Na doutrina jurídica, alguns autores costumam diferenciar intimidade de privacidade, afirmando que a primeira relaciona-se às relações subjetivas e de trato íntimo da pessoa, suas relações familiares e de amizade, enquanto vida privada envolve todos os demais relacionamentos humanos, inclusive os objetivos, tais como relações comerciais, de trabalho, de estudo etc.[1] Não obstante, tal distinção encerra escassa repercussão prática, razão pela qual optamos por usar os termos indistintamente neste trabalho.
O principal dispositivo sobre a proteção à privacidade da CF é o seu art. 5º, X, que dispõe o seguinte:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
(...)
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
Essa proteção genérica da privacidade desdobra-se em outras duas mais específicas, previstas dois incisos seguintes, que tratam, respectivamente, da inviolabilidade do domicílio e das comunicações, senão vejamos:
XI - a casa é asilo inviolável do indivíduo, ninguém nela podendo penetrar sem consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para prestar socorro, ou, durante o dia, por determinação judicial;
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
Assim, a proteção do direito à intimidade ou privacidade na CF divide-se em três grupos: 1) geral (imagem, dados, informações, etc.); 2) domicílio; e 3) comunicações. Mais adiante cada um será analisado separadamente.
No direito internacional encontramos algumas disposições semelhantes. A Declaração Universal dos Direitos Humanos (DUDH)[2] traz a seguinte provisão de proteção à privacidade:
Artigo XII
Ninguém será sujeito a interferências na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataques à sua honra e reputação. Toda pessoa tem direito à proteção da lei contra tais interferências ou ataques.
Como se acreditava, entre os juristas, que tal declaração não tinha valor vinculante, isto é, não obrigava os Estados-membros da ONU, firmou-se o Pacto Internacional dos Direitos Civis e Políticos (PIDCP)[3] – este, sim, de observância obrigatória –, que trazia dispositivo semelhante:
Artigo 17
1. Ninguém poderá ser objetivo de ingerências arbitrárias ou ilegais em sua vida privada, em sua família, em seu domicílio ou em sua correspondência, nem de ofensas ilegais às suas honra e reputação.
2. Toda pessoa terá direito à proteção da lei contra essas ingerências ou ofensas.
Mais especificamente no âmbito da Organização dos Estados Americanos (OEA), foi firmada a Convenção Americana de Direitos Humanos (CADH), também conhecida como Pacto de San José da Costa Rica.[4] Esse tratado internacional é uma das bases do sistema interamericano de proteção aos direitos humanos e prevê, no tocante à privacidade, o seguinte:
Artigo 11 - Proteção da honra e da dignidade
1. Toda pessoa tem direito ao respeito da sua honra e ao reconhecimento de sua dignidade.
2. Ninguém pode ser objeto de ingerências arbitrárias ou abusivas em sua vida privada, em sua família, em seu domicílio ou em sua correspondência, nem de ofensas ilegais à sua honra ou reputação.
3. Toda pessoa tem direito à proteção da lei contra tais ingerências ou tais ofensas.
Ambos o PIDCP e a CADH proíbem a prática de “ingerência arbitrária na vida privada, na família, no domicílio e na correspondência”. Especificamente quanto ao sistema interamericano de proteção aos direitos humanos, a violação dessa proibição, por parte de Estado membro, pode acarretar sua responsabilização perante a Côrte Interamericana de Direitos Humanos (CIDH) para indenizar a vítima.
Recordemos que tanto o PIDCP quanto a CADH são tratados internacionais sobre direitos humanos, que, de acordo com a orientação do Supremo Tribunal Federal (STF), gozam de “status normativo supralegal”, isto é, na hierarquia normativa pátria, esses tratados estão acima das leis, sujeitando-se, no plano interno, apenas à CF.[5]
Além da possibilidade de responsabilização civil (interna) e internacional do Estado, o agente público que viola o direito à intimidade também pode responder nas esferas administrativa (funcional/disciplinar), cível (patrimonial) e criminal, conforme veremos ao longo desta exposição. O particular que viole o direito de privacidade de outrem também estará sujeito a sanções de natureza civil e penal, conforme veremos adiante.
1) PROTEÇÃO GENÉRICA DA INTIMIDADE/PRIVACIDADE
Como estabelece o inciso X do art. 5º da CF, “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. Ao estabelecer a possibilidade de indenização por dano moral ou material, a própria CF prevê a responsabilização civil daquele que viola o direito de privacidade, seja agente público ou particular. O Código Civil reforça a provisão e lhe acrescenta a possibilidade de tutela judicial inibitória, a saber:
Art. 20. Salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais.
Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.
A Lei de Acesso à Informação (Lei Federal nº 12.527/2011) prevê a proteção às informações que estiverem em poder do Estado relativas à intimidade, vida privada, honra e imagem das pessoas. Esse tipo de informação foi chamado pela lei de informação pessoal (art. 31). A maioria dos órgãos públicos detém esse tipo de informações em suas bases de dados, pois estas abrangem toda sorte de dados pessoais, como nome, filiação, endereço, ocupação, renda, patrimônio, laudos médicos, litígios familiares, etc.
A Lei de Acesso à Informação estabelece o prazo de 100 anos para a restrição de acesso às informações pessoais (art. 31, § 1º, I), que só poderão ser divulgadas antes desse prazo com consentimento expresso da pessoa a quem se referem. Em razão disso, o Poder Público deve tomar todas as medidas necessárias para assegurar a sua confidencialidade. Vejamos o que diz a lei.
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.
A lei, no entanto, afasta a necessidade de consentimento para a revelação das informações pessoais nas seguintes hipóteses:
Art. 31 (...)
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as informações forem necessárias:
I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;
II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;
III - ao cumprimento de ordem judicial;
IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral preponderante.
§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.
Vê-se, pois, que são consideravelmente numerosas e amplas as hipóteses de exceções à confidencialidade das informações pessoais, deixando-se, assim, uma vasta margem de discricionariedade ao agente público detentor delas para revelá-las.
Não devemos confundir o sigilo das informações pessoais com outras modalidades de sigilo previstas na lei. Há casos em que o sigilo não visa à proteção da intimidade, mas, sim, à segurança da sociedade ou do Estado, como ocorre com a classificação sigilosa[6] ou com o segredo de justiça fundado no interesse público.[7]
A Lei de Acesso à Informação determinou que fosse editado regulamento para detalhar as normas sobre o tratamento da informação pessoal, mas a matéria ainda se encontra pendente de regulamentação, embora a referida lei já tenha sido regulamentada por dois decretos presidenciais – um sobre o acesso à informação (Decreto nº 7.724/2012) e o outro sobre o tratamento da informação sigilosa classificada (Decreto nº 7.845/2012).[8]
A violação do sigilo das informações pessoais por parte de agentes públicos pode ensejar o enquadramento no delito do art. 325 do Código Penal, que tem a seguinte redação:[9]
Violação de sigilo funcional
Art. 325 - Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem:
I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública;
II – se utiliza, indevidamente, do acesso restrito.
§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem:
Pena – reclusão, de 2 (dois) a 6 (seis) anos, e multa.
Na esfera administrativa, a revelação indevida de informações pessoais por agente público é considerada ilícita e deve ser tratada como transgressão militar média ou grave, no caso de ter sido cometida por militar das Forças Armadas no exercício de suas funções, ou, no caso de servidor público civil federal, como infrações administrativas apenadas, no mínimo, com suspensão, podendo ainda o servidor responder pela Lei de Crimes de Responsabilidade (Lei Federal nº 1.079/1950) e/ou pela Lei de Improbidade Administrativa (Lei Federal nº 8.429/1992). Servidores estaduais, municipais e distritais responderão na forma de seus respectivos estatutos.
O Decreto nº 7.724/2012 prevê, no âmbito do Poder Executivo Federal, a multa de mil a 200 mil reais para o servidor ou pessoa natural com qualquer outro tipo de vínculo com o Poder Público por infrações ao dever de sigilo ou de divulgação da informação (art. 66). Prevê, ainda, sanção de advertência e rescisão do vínculo com o Poder Público.
No plano cível, o art. 34 da Lei de Acesso à Informação prevê não apenas a possibilidade de responsabilização do Estado, como também o direito de regresso deste contra o agente público responsável pela divulgação indevida, nos casos de dolo ou culpa. Recordemos que o direito de regresso do Estado contra o seu agente por prejuízo por ele causado encontra assento no art. 37, § 6º, da CF.
E as informações pessoais em poder pessoas ou entidades privadas? A Lei de Acesso à Informação não se lhes aplica.[10] Contudo, com relação especificamente a dados cadastrais, isto é, às informações sobre qualificação pessoal, a filiação e o endereço mantidas por empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito, a divulgação indevida pode configurar crime, segundo o art. 21, parágrafo único, da Lei de Organizações Criminosas (Lei Federal nº 12.850/2013).
Embora o conceito de “dados cadastrais” da Lei de Organizações Criminosas também abranja as informações mantidas pela Justiça Eleitoral, entendemos que, pelo princípio da especialidade, e, em respeito à isonomia, a divulgação indevida praticada por seus servidores constituirá o delito do art. 325 do Código Penal, e não o crime do art. 21, parágrafo único.
Ademais, alguém que se sinta lesado por esse tipo de conduta pode, em tese, propor ação indenizatória, pois a aplicabilidade do art. 5º, X, da CF, é imediata, isto é, independe de norma regulamentadora, por força do parágrafo 1º do mesmo artigo. Todavia, o fato é que, na prática, o que se vê é que as vítimas – cidadãos e consumidores – permanecem indefesas contra essas ações.
Não obstante, sabemos que há um imenso comércio de dados pessoais entre instituições financeiras e comerciais. Tais informações são utilizadas para diversas finalidades, dentre as quais se destaca a oferta de produtos e serviços por mala-direta, e-mail, telefone, entre outros. Em face disso, tramita na Câmara dos Deputados o Projeto de Lei nº 4.060/2012, que dispõe justamente sobre a proteção aos dados pessoais. Segundo nos informa Patrícia Eliane da Rosa Sardeto, diversos países na Europa e na América Latina já dispõem de instrumentos legais sobre o tema.[11]
Há ainda uma discussão sobre o chamado “direito ao esquecimento”, que consiste no direito da pessoa de não ter eternamente exposto ao público em geral um fato sobre determinado momento de sua vida, ainda que verídico e público, de modo a lhe causar sofrimento e transtornos. Essa discussão ganhou bastante repercussão com o caso Lebach, de 1966, em que o Tribunal Constitucional Federal alemão acatou pedido de ex-condenado por homicídio de impedir que emissora de TV transmitisse um documentário sobre o crime. Com o advento da internet e o armazenamento indefinido de informações por provedores de aplicações como Google e Facebook, tal questão ganha ainda mais relevo. No Brasil, mesmo sem previsão legal, esse tipo de proteção já foi concedido pelo Superior Tribunal de Justiça (STJ).[12]
Passemos à análise de alguns tipos de informações e dados que gozam de alguma proteção ou regime específicos.
Imagem
O direito à imagem é um dos direitos da personalidade e consiste na proteção do uso da representação de aspectos físicos da pessoa, seja por fotografia, filmagem, pintura, etc. A inviolabilidade da imagem do indivíduo está prevista nos incisos X e XXVIII, ‘a’, do art. 5º da CF. O inciso X, já transcrito acima, assegura “o direito a indenização pelo dano material ou moral decorrente de sua violação”. O inciso XXVIII, ‘a’, dispõe o seguinte:
XXVIII - são assegurados, nos termos da lei:
a) a proteção às participações individuais em obras coletivas e à reprodução da imagem e voz humanas, inclusive nas atividades desportivas;
Neste último caso, a preocupação recai mais sobre a exploração econômica da imagem do que sobre a preservação da intimidade propriamente. O Código Civil, em seu já citado art. 20, detalha essa proteção específica. A esse respeito, o STJ, após reiteradas decisões, consolidou, por meio da Súmula nº 403, o seguinte entendimento:
Independe de prova do prejuízo a indenização pela publicação não autorizada de imagem de pessoa com fins econômicos ou comerciais.
O STF também já se manifestou sobre a questão, no mesmo sentido.[13] Embora a utilização comercial indevida da imagem da pessoa possa configurar ilícito civil passível de indenização, a conduta, por si só, não é criminalmente punível (atípica). Poderá sê-lo, entretanto, se for feita mediante a invasão a dispositivo informático, em virtude da chamada Lei Carolina Dieckmann (Lei Federal nº 12.737/2012). Essa lei inseriu no Código Penal o crime de invasão de dispositivo informático alheio (art. 154-A) e decorreu da polêmica acerca da obtenção e divulgação desautorizadas de 36 fotos da atriz nua mantidas em seu computador pessoal. À época, não havia crime específico para aquela conduta, razão pela qual seus autores foram enquadrados nos delitos de furto, extorsão e difamação, segundo a imprensa. A Lei Carolina Dieckmann, contudo, trata de qualquer tipo de dados, e não apenas de imagens, razão pela qual ela será abordada em outro tópico.
Posteriormente, a Lei de Uso da Internet (Lei Federal nº 12.965/2004) trouxe provisão específica para esse tipo de situação, prevendo a possibilidade de responsabilização civil do provedor de aplicações de internet que não aja com diligência para, após solicitado, remover o conteúdo.
Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.
Vê-se, portanto, que o art. 21 da Lei de Uso da Internet guarda muito mais relação com o caso Dieckmann do que propriamente a lei que foi apelidada com seu nome.
Dados fiscais
Os dados fiscais, na qualidade de informações pessoais, são sigilosos, só podendo ter acesso a eles os agentes públicos legalmente autorizados, além da própria pessoa a quem se referem as informações, evidentemente. Em termos práticos, o sigilo fiscal consiste na proibição de divulgação dos dados dos contribuintes em poder do Fisco.
Assim como ocorre com o sigilo financeiro – que será estudado a seguir –, há controvérsia sobre a base constitucional da proteção do sigilo fiscal: se recai sobre o inciso X ou XII do art. 5º, da CF. Entendemos que os dados fiscais e financeiros, como dados pessoais, têm amparo no inciso X, pois o inciso XII refere-se, como exporemos adiante, à inviolabilidade das comunicações, que são um desdobramento, uma especialidade da proteção à intimidade. De todo modo, comungamos do entendimento de Maria José Oliveira Lima no tocante ao sigilo financeiro, que, para nós, também é aplicável ao sigilo fiscal: de que se trata de matéria infraconstitucional.[14]
No plano legal, o sigilo fiscal é assegurado pelo art. 198 do Código Tributário Nacional (CTN), que, com a redação conferida pela Lei Complementar Federal nº. 104/2001, dispõe o seguinte:
Art. 198. Sem prejuízo do disposto na legislação criminal, é vedada a divulgação, por parte da Fazenda Pública ou de seus servidores, de informação obtida em razão do ofício sobre a situação econômica ou financeira do sujeito passivo ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades.
O parágrafo 1º do art. 198, contudo, admite duas hipóteses de divulgação dos dados fiscais do contribuinte: no caso de requisição judicial e no de solicitação de autoridade administrativa. Vejamos o que diz a lei:
§ 1º Excetuam-se do disposto neste artigo, além dos casos previstos no art. 199 [sobre cooperação entre órgãos tributário-fiscais dos níveis federal, estadual e municipal], os seguintes:
I – requisição de autoridade judiciária no interesse da justiça;
II – solicitações de autoridade administrativa no interesse da Administração Pública, desde que seja comprovada a instauração regular de processo administrativo, no órgão ou na entidade respectiva, com o objetivo de investigar o sujeito passivo a que se refere a informação, por prática de infração administrativa.
No último caso, é necessário que a solicitação de informações sobre determinada pessoa tenha ocorrido após a instauração de processo administrativo para apurar eventual infração administrativa cometida por ela. Isso significa dizer que o art. 198, § 1º, do CTN veda a hipótese de solicitação de informações fiscais de uma pessoa para a apuração de infração administrativa cometida por outra.
Acrescente-se a isso a possibilidade de quebra de sigilo fiscal por determinação de Comissão Parlamentar de Inquérito (CPI), em decorrência do art. 58, º 3º, da CF, que lhes confere “poderes de investigação próprios das autoridades judiciais”.[15] Esse poder é reconhecido às CPIs instauradas no nível estadual, pelas assembléias legislativas[16], mas não no nível municipal, pelas câmaras de vereadores.[17] E, mesmo as CPIs com poder de quebra de sigilo, devem fazê-lo demonstrando, a partir de indícios, a “existência concreta de causa provável que legitime a medida”.[18]
Não se devem confundir as exceções ao sigilo fiscal do art. 198, § 1º, do CTN com as hipóteses de quebra de sigilo financeiro em favor do Fisco, matéria essa, sim, controvertida no STF e que será analisada mais adiante. O referido dispositivo trata de hipóteses de divulgação de informações fiscais pela autoridade fazendária a outros órgãos ou entidades do Poder Público.
O primeiro caso, de requisição judicial, é óbvio e nem precisaria constar da lei, pois está implícito no princípio da inafastabilidade do controle jurisdicional (art. 5º, XXXV, da CF). A segunda exceção já pode ser considerada mais problemática, pois juristas como Pedro Lenza[19], Otávio Piva[20] e Uadi Lammêgo Bulos[21] sustentam que o sigilo fiscal só pode ser quebrado mediante ordem judicial ou de CPI.
Somos de outro entendimento, pois, como dito alhures, o sigilo fiscal, assim como o financeiro, seria, para nós, matéria infraconstitucional, ainda que sujeita a certas balizas dos direitos fundamentais. Desse modo, a exceção do art. 198, § 1º, II, do CTN sobre compartilhamento de informações em poder do Fisco com outros órgãos da Administração Pública parece-nos perfeitamente constitucional, pois há apenas compartilhamento da informação dentro dos órgãos do Estado.
Não se trata de exposição da intimidade do indivíduo ao público, mas apenas a autoridades legalmente competentes, para agirem em função de objetivos estabelecidos em lei. Evidentemente, qualquer ação abusiva deve ser evitada e coibida. O parágrafo 3º do art. 198 traz mais três exceções ao sigilo fiscal, a saber:
§ 3º Não é vedada a divulgação de informações relativas a:
I – representações fiscais para fins penais;
II – inscrições na Dívida Ativa da Fazenda Pública;
III – parcelamento ou moratória.
Destas, destaca-se a do inciso I, que consiste na possibilidade de envio direto, pela autoridade fazendária, das informações fiscais sigilosas à autoridade policial ou ao Ministério Público, no caso de suspeita de cometimento de crime.
Sustentamos que tanto o Ministério Público quanto o Tribunal de Contas da União (TCU), assim como qualquer outro órgão federal, pode solicitar, independentemente de autorização judicial, dados protegidos pelo sigilo fiscal à Receita Federal do Brasil, desde que atendidos os requisitos do art. 198, § 1º, do CTN, com a redação dada pela Lei Complementar 104.
Frise-se que tais hipóteses não se confundem com a hipótese de quebra direta de sigilo financeiro pelo Ministério Público e TCU, sobre a qual há farta jurisprudência e que será analisada no item pertinente. Reforçamos, pois, que os sigilos fiscal e financeiro, embora se relacionem e embora muitas vezes sejam tratados indistintamente, não se confundem e têm tratamento e normas de regência distintas. O sigilo fiscal é imposto às autoridades tributárias, em decorrência de sua atividade. O sigilo financeiro é destinado às instituições financeiras, que podem, inclusive, ter natureza privada.
Não obstante a taxatividade do art. 198, § 1º, do CTN, cremos haver outra hipótese em que o compartilhamento de dados fiscais é possível: no âmbito do Sistema Brasileiro de Inteligência (SISBIN). De acordo com Lei Federal nº 9.883/1999, o sistema deve integrar as ações de planejamento e execução das atividades de inteligência do País, com a finalidade de fornecer subsídios ao Presidente da República nos assuntos de interesse nacional. Os integrantes do SISBIN estão arrolados no Decreto Presidencial nº 4.376/2002 e, entre eles, consta o Ministério da Fazenda, por meio da Secretaria Executiva do Conselho de Controle de Atividades Financeiras da Receita Federal, e por meio do Banco Central.[22]
O art. 4º, parágrafo único, da Lei do SISBIN e os arts. 6º, IV, e 10, VI, do Decreto 4.376/2002 estabelecem que os membros do sistema devem fornecer dados relativos à defesa das instituições e dos interesses nacionais ao órgão central do sistema– a ABIN. Trata-se, como nos dizeres da ex-ministra do STF Ellen Gracie, de transferência de sigilo[23], isto é, de mera transmissão interna de dados que já são de conhecimento da Administração Federal; e não propriamente de quebra de sigilo, de exposição pública da informação. A pessoa jurídica detentora dos dados era e continuará sendo a União.
O SISBIN existe para assessorar o presidente da República, e a ABIN, seu órgão central, é vinculado à Presidência, estando subordinada apenas a um de seus gabinetes. Assim, como olhos e ouvidos do chefe do Executivo, a ABIN deve ter o mesmo acesso às informações que essa autoridade teria. Não haveria sentido em opor reserva de sigilo ao presidente da República de uma informação acessível a um de seus ministros.
Entendemos ainda que o requisito de instauração de procedimento formal nessa hipótese é dispensável, pois o SISBIN não opera instrumentos dessa natureza, visto que não tem competência para aplicar sanções; sua função é apenas de assessoramento, de modo que suas investigações resultam somente em comunicados, relatórios, informes, etc. Não haveria, pois, como exigir a instauração de procedimento.
A possibilidade de compartilhamento de informações entre órgãos do SISBIN foi reforçada por decisão do STF que entendeu pela constitucionalidade do art. 6º-A, § 4º, do Decreto nº 4.376/2002, inserido pelo Decreto nº 6.540/2008. O dispositivo permite que os representantes dos órgãos e entidades que compõem o SISBIN acessem as bases de dados de suas instituições de origem a partir do Centro de Integração da ABIN. [24]
No tocante ao acesso pela ABIN de dados das fazendas estaduais, municipais e distrital, seria necessário haver convênio com a respectiva unidade federativa, nos termos do art. 2º, §2º, da Lei do SISBIN, para que o ente integre o sistema e, desse modo, possa haver a transferência de sigilo. Ressaltamos que a troca de dados fiscais entre órgãos fazendários de diferentes esferas federativas mediante convênios também é admitida pelo art. 199 do CTN, o qual transcrevemos abaixo:
Art. 199. A Fazenda Pública da União e as dos Estados, do Distrito Federal e dos Municípios prestar-se-ão mutuamente assistência para a fiscalização dos tributos respectivos e permuta de informações, na forma estabelecida, em caráter geral ou específico, por lei ou convênio.
Parágrafo único. A Fazenda Pública da União, na forma estabelecida em tratados, acordos ou convênios, poderá permutar informações com Estados estrangeiros no interesse da arrecadação e da fiscalização de tributos.
Como dito alhures, não há ainda regulamentação sobre o tratamento da informação pessoal, tal como preceitua o art. 31, § 5º, da Lei 12.527. Embora os dados fiscais, conforme já mencionado, possam ser caracterizados como informações pessoais e, por isso, careçam de regulamentação de tratamento, o parágrafo 2º do art. 198 determina que a entrega da informação seja feita pessoalmente à autoridade solicitante, mediante recibo que formalize a transferência e assegure a preservação do sigilo. Vejamos o referido dispositivo:
§ 2º O intercâmbio de informação sigilosa, no âmbito da Administração Pública, será realizado mediante processo regularmente instaurado, e a entrega será feita pessoalmente à autoridade solicitante, mediante recibo, que formalize a transferência e assegure a preservação do sigilo.
Recordemos que dados fiscais são informações pessoais em poder de agentes públicos, e que a violação de seu sigilo enseja as sanções já referidas, isto é, do art. 325 do Código Penal, no campo penal, e dos arts. 32, II, e 34 da Lei Federal no 12.527/2011, nas esferas administrativa e cível, respectivamente.
A Presidência da República editou a Medida Provisória nº 507/2010 prevendo sanções disciplinares específicas para a violação do sigilo fiscal, mas seu prazo de vigência terminou que tivesse sido convertida em lei pelo Congresso Nacional. Desse modo, a responsabilização funcional dos servidores que violarem o sigilo fiscal é feita com base nos instrumentos ordinários de sanção disciplinar do servidor público.
Dados financeiros
Os dados financeiros[25] são dados de operações realizadas nos seio das instituições financeiras. A Lei de Sigilo Financeiro (Lei Complementar Federal nº 105/2001) enumera como instituições financeiras as seguintes instituições (art. 1º, §§ 1º e 2º):
- Bancos de qualquer espécie
- Distribuidoras de valores mobiliários
- Corretoras de câmbio e de valores mobiliários
- Sociedades de crédito, financiamento e investimentos
- Sociedades de crédito imobiliário
- Administradoras de cartões de crédito
- Sociedades de arrendamento mercantil
- Administradoras de mercado de balcão organizado
- Cooperativas de crédito
- Associações de poupança e empréstimo
- Bolsas de valores e de mercadorias e futuros
- Entidades de liquidação e compensação
- Outras sociedades que, em razão da natureza de suas operações, assim venham a ser consideradas pelo Conselho Monetário Nacional.
- As empresas de fomento comercial ou factoring
O respaldo constitucional para a proteção do sigilo dos dados financeiros está na cláusula geral de proteção à intimidade do art. 5º, X, da CF.[26] Como veremos no tópico relativo às comunicações, entendemos que a expressão “de dados” do inciso XII não abrange os dados financeiros, dispondo, na verdade, sobre a comunicação por meio de transmissão de dados, que, não obstante, pode abarcar a transmissão de dados financeiros.
Segundo o art. 2º da lei, os dados de operações financeiras mantidos por essas instituições podem ser transmitidos diretamente ao Banco Central e à Comissão de Valores Imobiliários (CVM), independentemente de autorização judicial. Todavia, há decisão do STF no sentido de ser necessária a outorga.[27]
A Lei de Sigilo Financeiro também prevê a possibilidade de compartilhamento de dados com outras instituições financeiras e com órgãos da Administração Pública. Ademais disso, a Lei de Crimes Financeiros (Lei Federal nº 7.492/1986) permite que o Ministério Público Federal possa requisitar, a qualquer autoridade, informação, documento ou diligência para apurar delitos daquela natureza (art. 29).[28]
O acesso aos dados financeiros por autoridades fiscais tributárias só pode ser franqueado mediante a instauração de procedimento administrativo (art. 6º), à semelhança do que ocorre com a solicitação de dados fiscais dos órgãos fazendários por outros órgãos administrativos (art. 198, § 1º, do CTN). No âmbito da Receita Federal do Brasil, o acesso aos dados de operações financeiras está regulamentado pelo Decreto Presidencial nº 3.724/2001.
Não obstante, há quem entenda que, além dos requisitos da lei, seja necessária a autorização judicial. O próprio STF divide-se quanto a isso. Há julgado admitindo a requisição direta, pelo Fisco, de dados bancários às instituições financeiras[29]; e há outro no sentido de ser necessária a outorga judicial[30], sendo que ambos foram decididos pelo plenário da côrte. No STJ, a questão está pacificada no sentido de ser desnecessária a outorga judicial.[31] Concordamos com a corrente que sustenta que não há reserva de jurisdição para tanto.
Mesmo quando a quebra é determinada judicialmente, ela deve ter seu escopo bem delimitado e respeitado, sob pena de dar margem ao arbítrio da autoridade a quem se franqueou o acesso à informação.[32]
No art. 10 da Lei de Sigilo Financeiro consta um delito específico para quem viola o sigilo desse tipo de informação, além de punir aquele que omite, retarda injustificadamente ou presta falsamente as informações.[33]
Art. 10. A quebra de sigilo, fora das hipóteses autorizadas nesta Lei Complementar, constitui crime e sujeita os responsáveis à pena de reclusão, de um a quatro anos, e multa, aplicando-se, no que couber, o Código Penal, sem prejuízo de outras sanções cabíveis.
Parágrafo único. Incorre nas mesmas penas quem omitir, retardar injustificadamente ou prestar falsamente as informações requeridas nos termos desta Lei Complementar.[34]
Outra hipótese de solicitação de informações é a do art. 4º da lei. O dispositivo estabelece que o Banco Central e a CVM devem fornecer informações sigilosas ao Poder Legislativo Federal, especialmente no âmbito das Comissões Parlamentares de Inquérito (CPIs), pois estas, por força do art. 58, § 3º, da CF, têm poderes de investigação próprios das autoridades judiciais. À semelhança do que ocorre com o sigilo fiscal, o STF reconhece às CPIs no âmbito das assembléias legislativas estaduais o poder de decretar a quebra de sigilo financeiro, o que não se aplica às câmaras municipais de vereadores.[35]
O STF não admite a quebra de sigilo das operações financeiras diretamente por requisição do TCU[36] nem do Ministério Público.[37] O STJ, a seu turno, firmou posicionamento do sentido de que o Ministério Público pode requerer administrativamente dados dos órgãos fazendários e das instituições financeiras quando a situação envolver verba do erário.[38]
No tocante à ABIN, mantemos o que foi exposto no item anterior, com a ressalva de que a transmissão de informações só pode dar-se no âmbito do SISBIN, isto é, o compartilhamento de informações entre os integrantes do sistema, não sendo possível a requisição direta de dados bancários a instituições financeiras.
Dados cadastrais
A nova Lei de Organizações Criminosas (Lei Federal nº 12.850/2013) trouxe inovações no tocante aos dados cadastrais dos indivíduos. A lei admite que o delegado de polícia ou o membro do Ministério Público tenham, para fins de investigação criminal envolvendo organização criminosa, acesso a informações sobre a qualificação pessoal, a filiação e o endereço mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito, independentemente de autorização judicial. É o que dispõe o art. 15 da lei, a ver:
Art. 15. O delegado de polícia e o Ministério Público terão acesso, independentemente de autorização judicial, apenas aos dados cadastrais do investigado que informem exclusivamente a qualificação pessoal, a filiação e o endereço mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito.
Ressalte-se que os dados passíveis de obtenção sem autorização judicial junto à Justiça Eleitoral, às empresas telefônicas, às instituições financeiras, aos provedores de internet e às administradoras de cartão de crédito são apenas aqueles relativos à qualificação pessoal, à filiação e ao endereço, e não aos demais dados mantidos pelo ente ou pela entidade. Assim, por exemplo, uma empresa telefônica só está obrigada a transmitir, sem autorização judicial, aquelas informações sobre o cliente, não podendo fazê-lo quanto aos registros das suas ligações.
Questão que pode se colocar é com relação à aplicabilidade do art. 15. Tendo em vista que ele consta de uma lei que voltada à investigação de crimes que envolvem organização criminosa, seria o caso de perguntar: o acesso direto a dados cadastrais pela polícia e pelo Ministério Público se dará apenas no caso de investigação de crimes que, de alguma maneira, se relacionem com organizações criminosas? A questão é controvertida. Luiz Flávio Gomes entende que sim, mas, majoritariamente, a leitura é a de que os meios de obtenção de prova previstos na Lei de Organizações Criminosas aplicam-se à apuração dos demais crimes.[39]
A negativa de transmitir diretamente ao delegado ou ao Ministério Público os dados cadastrais configura crime, segundo o art. 21 da lei. Por outro lado, como já vimos, será igualmente criminosa a transmissão indevida, senão vejamos:
Art. 21. Recusar ou omitir dados cadastrais, registros, documentos e informações requisitadas pelo juiz, Ministério Público ou delegado de polícia, no curso de investigação ou do processo:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa.
Parágrafo único. Na mesma pena incorre quem, de forma indevida, se apossa, propala, divulga ou faz uso dos dados cadastrais de que trata esta Lei.
A Lei de Uso da Internet (Lei Federal nº 12.965/2014), em seu art. 10, § 3º, ratificou a possibilidade de transmissão direta de dados cadastrais à polícia e ao Ministério Público ao dispor sobre a proteção dos registros relativos à internet. O dispositivo aduz o seguinte:
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
As autoridades administrativas com competência legal para essa requisição são aquelas previstas no art. 15 da Lei de Organizações Criminosas, ou seja, o delegado de polícia e o membro do Ministério Público.
Antes mesmo da edição da Lei de Organizações Criminosas, o STJ já havia se posicionado no sentido da dispensa de autorização judicial para a obtenção, pela autoridade policial, de dados cadastrais, como o endereço de determinada pessoa.[40]
Especificamente quanto aos registros de viagens e de reservas de viagens, a Lei de Organizações Criminosas determinou que as empresas de transporte devem manter os dados acessíveis diretamente às autoridades acima referidas e ao juiz pelo prazo de cinco anos. Vejamos:
Art. 16. As empresas de transporte possibilitarão, pelo prazo de 5 (cinco) anos, acesso direto e permanente do juiz, do Ministério Público ou do delegado de polícia aos bancos de dados de reservas e registro de viagens.
Ao estabelecer o prazo mínimo de cinco anos para a manutenção de registros de viagens e de reservas, bem como de registros telefônicos, a Lei de Organizações Criminosas foi bem além do seu escopo, pois, uma vez disponíveis os dados, o acesso a eles poderá ser franqueado pela Justiça em qualquer processo judicial ou procedimento investigativo de CPI.
Dados telefônicos
O sigilo dos dados telefônicos não se confunde com o sigilo das comunicações telefônicas. Os dados telefônicos consistem apenas no registro de ligações, sem qualquer acesso ao conteúdo das conversações. Esses dados têm sido designados como “metadados”.
É pacífico na jurisprudência do STF que a quebra do sigilo de dados telefônicos só pode acontecer mediante autorização judicial ou requisição de CPI no âmbito do Congresso Nacional ou de uma de suas casas, devido aos poderes de investigação próprios das autoridades judiciais que lhes confere o art. 58, § 3º, da CF.[41] Como já referido nos tópicos sobre sigilo fiscal e financeiro, o poder de investigação também é reconhecido pelo STF às CPIs instauradas nas assembléias legislativas estaduais, mas não aquelas no seio das câmaras municipais de vereadores.[42]
A Lei de Organizações Criminosas determina, em seu art. 17, que as empresas de telefonia guardem os registros de ligações telefônicas pelo prazo de cinco anos, a ver:
Art. 17. As concessionárias de telefonia fixa ou móvel manterão, pelo prazo de 5 (cinco) anos, à disposição das autoridades mencionadas no art. 15, registros de identificação dos números dos terminais de origem e de destino das ligações telefônicas internacionais, interurbanas e locais.
Curioso que a lei fala em manter os dados telefônicos “à disposição das autoridades mencionadas no art. 15” (delegado de polícia e o membro do Ministério Público), dando a entender que a outorga judicial seria dispensável. Parece que a intenção do legislador foi deixar uma janela aberta para o futuro, dispensar expressamente a outorga judicial, o que, na atual conjuntura, geraria uma invalidação quase imediata do dispositivo.
Registros de conexão e de aplicação da internet
A Lei de Uso da Internet (Lei Federal nº 12.965/2014), também conhecida como Marco Civil da Internet, trouxe uma série de inovações no tocante à intimidade, naquilo que tange a rede mundial de computadores. Em seu art. 7º, a lei estabelece uma sistemática de proteção à intimidade semelhante à que se encontra na CF, com uma cláusula geral prevendo o direito de indenização e dois desdobramentos: um relativo ao fluxo de comunicações e outro às comunicações armazenadas. Nestes dois últimos casos, a lei exige autorização judicial para violação do sigilo. Vejamos:
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; (...)
O inciso II acima transcrito refere-se à interceptação das comunicações telemáticas, hipótese abrangida pelo art. 5º, XII, da CF e pela Lei das Interceptações (Lei Federal nº 9.296/1996), razão pela qual, diferentemente do inciso III, há no dispositivo a expressão “na forma da lei”. A lei, no caso, é precisamente a Lei das Interceptações, que será comentada em tópico relativo ao sigilo das comunicações.
As “comunicações armazenadas”, referidas no inciso III, são justamente os registros de conexão e acesso a aplicações de internet. Aí é onde a Lei de Uso da Internet mais inova no tocante à privacidade na internet, chegando até a contrariar orientação consolidada da jurisprudência. Mas antes de adentrarmos na questão, é preciso distinguir esses tipos de registro.
Os registros de acesso a aplicação da internet consistem nas ações virtuais praticadas no mundo da internet, ao passo que os registros de conexão à internet apenas identificam de que computador partiram tais ações. Veremos que cada tipo de registro recebe um tratamento da lei. A Lei de Uso da Internet conceitua cada um da seguinte forma:
Art. 5º Para os efeitos desta Lei, considera-se:
(...)
VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e (...)
Antes da promulgação da Lei de Uso da Internet, o STJ havia se manifestado no sentido de que os dados do usuário de Protocolo de Internet (Internet Protocol – IP), isto é, os registros de conexão, não eram resguardados pelo sigilo.[43] Assim, a côrte entendeu não ser necessária a autorização judicial para a requisição de dados sobre a identificação e o endereço de terminal de computador.
Não obstante, a Lei de Uso da Internet, ao regular a matéria, impôs a necessidade de autorização judicial para a divulgação desses dados, bem como dos registros de aplicações, como vimos no caso do art. 7º, III, e como está disposto no art. 10 e, especificamente quanto aos registros de conexão, no art. 13, senão vejamos:
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º.
Art. 13 (...)
§ 5º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo [registros de conexão] deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
Se, por um lado, ao impor a necessidade de autorização judicial a lei criou um obstáculo à divulgação dos registros de conexão, por outro ampliou sobremaneira a possibilidade de acessá-los, ao obrigar os provedores de internet a guardarem tais registros pelo prazo mínimo de um ano.
Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
§ 1º A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
Assim, os provedores de internet não apenas têm de ter à disposição os registros de conexão pelo prazo de um ano, como estão proibidos de terceirizar a sua manutenção, devendo, ainda, mantê-los em ambiente controlado e de segurança, na forma de decreto presidencial a ser editado. Sem dúvida, essa obrigação vai implicar aumento de custos dos provedores, que, naturalmente, será repassado aos consumidores.
Portanto, por mais que a exigência de autorização judicial – antes dispensada pelos tribunais – possa parecer ter aumentado a privacidade do usuário da internet, o fato é que, com a obrigação de manutenção de registros, todas as conexões à internet, assim como os acessos a aplicações, ficarão guardadas por prazo determinado. Na situação anterior à lei, por mais que a autoridade policial ou administrativa ou o Ministério Público pudessem acessar diretamente os registros, podia acontecer de esses registros não mais existirem, logo, a privacidade estaria, forçosamente, resguardada.
Talvez o maior problema da manutenção compulsória dos registros no tocante à intimidade seja o fato de que, por mais que a lei imponha cuidados com a guarda e penalidades para a sua violação, as informações sempre estarão sujeitas ao acesso desautorizado ou à transmissão clandestina. Se os registros não fossem guardados, não se correria esse risco.
Como o prazo de manutenção dos registros de conexão não é muito longo – apenas um ano –, a lei permite que a autoridade requeira, cautelarmente, a prorrogação do período de manutenção do registro, a fim de que possa providenciar, no prazo de 60 dias, a autorização judicial.
Art. 13 (...)
§ 2º A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput.
§ 3º Na hipótese do § 2º, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4º O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2º, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo previsto no § 3º.
O mesmo se aplica aos registros de acesso a aplicação da internet, só que o prazo de manutenção deles é ainda menor: de seis meses.
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
À semelhança do que ocorre com os registros de conexão, a autoridade policial ou administrativa ou o Ministério Público podem requerer cautelarmente ao provedor de aplicações de internet que os registros sejam guardados por prazo superior (art. 15, § 2º).
Convém destacar que, em ambos os casos dos registros de conexão e de aplicação, a lei faz menção à possibilidade de divulgação mediante ordem judicial. Mas quem teria legitimidade para requerer esta ordem? Segundo o art. 22 da lei, qualquer parte interessada poderá requerer ao juiz o fornecimento de registros de conexão ou de acesso a aplicações de internet. Vejamos o que diz a lei.
Art. 22. A parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.
Dito de outro modo, diferentemente do que ocorre com as interceptações das comunicações – que só são possíveis na jurisdição criminal –, a quebra do sigilo dos registros de internet pode ser feita em processos cíveis. É a mesma situação das buscas e apreensões, que são realizadas tanto na jurisdição criminal quanto cível.
Até mesmo o pedido cautelar de manutenção do registro além do prazo, previsto nos arts. 13, § 2º, e 15, § 2º, pode ser feito não apenas pela autoridade policial e pelo Ministério Público – que atuam na jurisdição criminal –, como também, diz a lei, por qualquer “autoridade administrativa”. Assim, por exemplo, autoridade da Receita Federal pode requerer a manutenção de registros de conexão e aplicação da internet a fim solicitá-lo judicialmente para instruir procedimento fiscal-tributário ou execução fiscal. Já quanto ao particular, não vemos óbice para o ajuizamento de medida cautelar com o mesmo objetivo, havendo, inclusive, previsão expressa dessa possibilidade quanto aos registros de aplicações (art. 15, § 1º).
A violação da privacidade do usuário pelo provedor, seja ele de conexão ou de aplicação, pode ensejar responsabilidade civil, penal e administrativa. A Lei de Uso da Internet traz especificamente algumas penalidades de natureza administrativa, a saber:
Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
III - suspensão temporária das atividades que envolvam os atos previstos no art. 11 [operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações em território nacional]; ou
IV - proibição de exercício das atividades que envolvam os atos previstos no art. 11 [operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações em território nacional].
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País.
Não há, contudo, menção à autoridade responsável pela imposição de tais penalidades.
A lei também não admite que, contratualmente, os provedores se eximam do dever de resguardar a privacidade dos usuários, a ver:
Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet.
Parágrafo único. São nulas de pleno direito as cláusulas contratuais que violem o disposto no caput, tais como aquelas que:
I - impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas, pela internet; ou
Segredo particular e segredo profissional
Como já dito aqui, não apenas os agentes públicos devem respeitar a intimidade dos indivíduos, mas também os particulares. Vimos também que a violação da intimidade, da vida privada, da honra e da imagem pode acarretar a responsabilidade de indenizar, conforme o art. 5º, X, da CF. Além disso, o particular também poderá responder criminalmente pela violação da privacidade, nas suas mais diversas modalidades.
Com relação especificamente aos segredos particulares, o Código Penal prevê sanção para aquele que divulgue conteúdo de documento particular ou correspondência confidencial, caso a divulgação possa produzir dano. Vejamos
Divulgação de segredo
Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem:
Pena - detenção, de um a seis meses, ou multa.[44]
O mesmo pode-se dizer com relação aos segredos profissionais, obtidos em decorrência de função, ministério, ofício ou profissão:
Violação do segredo profissional
Art. 154 - Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem:
Pena - detenção, de três meses a um ano, ou multa.[45]
E em que consistiria tal “justa causa”? Essa expressão aberta deixa margem para a interpretação judicial. Um psicólogo ou um padre que revelam a confissão de um criminoso agem com “justa causa”?
O jurista Edgard Magalhães Noronha esclarece que, “em regra, a justa causa funda-se na existência de estado de necessidade: é a colisão de dois interesses, devendo um ser sacrificado em benefício do outro; no caso, a inviolabilidade dos segredos deve ceder a outro bem-interesse. Há, pois, objetividades jurídicas que a ela preferem, donde não ser absoluto o dever do silêncio ou sigilo profissional”.[46] Dito de outro modo, o juiz decidirá, caso a caso, se a revelação do segredo foi justificada pelas circunstâncias.
Dados em dispositivo informático
Com a crescente informatização da vida, cada vez mais informações sobre a vida íntima das pessoas ficam armazenadas em computadores e bases de dados que podem ser acessados remota e desautorizadamente. Por conta do já referido episódio envolvendo a atriz Carolina Dieckmann e visando a coibir aquele tipo de prática, o Congresso Nacional aprovou a chamada Lei Carolina Dieckmann (Lei Federal nº 12.737/2012), que incluiu o art. 154-A no Código Penal, o qual transcrevemos abaixo:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
O dispositivo acima transcrito abrange tanto a conduta dos particulares quanto de agentes públicos. Estes últimos, quando necessitarem de informações contidas em dispositivos informativos para investigações, podem socorrer-se do pedido judicial de busca e apreensão, como mencionado no item relativo ao domicílio, para apreendê-los fisicamente.[47] A despeito disso, não enxergamos óbice para que o juiz autorize a invasão informática remota, caso a medida se mostre mais apropriada à situação. Nessa hipótese, não ficará caracterizado o delito do art. 154-A por não haver “violação indevida”.
Recordemos que, para que se configure o crime, é necessário que haja: 1) violação de mecanismo de segurança (firewall, anti-vírus, etc.); e 2) a finalidade de: 2.1) obter, adulterar ou destruir dados ou informações desautorizadamente; ou 2.2) instalar vulnerabilidades para obter vantagem ilícita (key logger, cavalo de tróia, etc.).
Não devemos confundir o crime do art. 154-A com as figuras delituosas dos arts. 313-A e 313-B do Código Penal, inseridos pela Lei Federal nº 9.983/2000. Estes são crimes praticados por servidor público e consistem em inserir de dados falsos em sistemas informatizados ou bancos de dados da Administração Pública, ou modificá-los ou alterá-los desautorizadamente.