Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

Limites e requisitos da ordem judicial para quebra de sigilo de dados armazenados por provedor de serviços na internet.

Exibindo página 2 de 5
Agenda 02/04/2020 às 17:40

5- Leis diferentes (Lei n. 9.296/96 e Lei n. 12.965/14) disciplinam com requisitos diversos o procedimento da requisição judicial para entrega de dados armazenados pelo provedor e o da interceptação das comunicações (telefônica, telegráfica ou telemática)

A resistência dos provedores ao cumprimento de decisões judiciais de quebra de sigilo telemático não prospera e deixa entrever que constitui mera estratégia das empresas a fim de procrastinar a entrega dos dados. Isso fica claro diante da fragilidade dos fundamentos jurídicos e argumentos, alguns inconsistentes de um ponto de vista lógico. A debilidade dos fundamentos está presente inclusive na confusão que é feita sobre conceitos técnico-jurídicos.

O caso da ação (de mandado de segurança) ajuizada pela Google contra a decisão do Juiz da Comarca de Jupi(PE)[19], que ordenou a entrega de dados armazenados pela empresa para possibilitar a investigação de um homicídio, concorre para sedimentar essa visão do problema.    

Como ponto central da ação mandamental a Google arrazoou que a ordem para quebra do sigilo informacional (sigilo de dados) tem que, obrigatoriamente, indicar os “alvos” da investigação, ou seja, o magistrado precisa identificar previamente na decisão as pessoas suspeitas e que são objeto da investigação. Isso é uma exigência contida no art. 2º. da Lei n. 9.296/96, na Resolução CNJ n. 59/2008, no art. 22 do “Marco Civil da Internet do Brasil” (Lei n. 12.965/14) e no art. 11 do Decreto Federal n. 8.771/2016, segundo a Google. Aduziu que não existe previsão no ordenamento jurídico brasileiro para “quebra de sigilo de uma gama de pessoas não individualizadas, a partir do mero fornecimento de coordenadas geográficas referentes ao local de ocorrência de certo crime” e de um lapso de tempo estipulado aleatoriamente.

O primeiro erro que a Google fez foi combater a ordem de quebra do sigilo informacional com base em dispositivos legais e constitucionais que regulamentam a interceptação das comunicações. A empresa fez uma confusão entre conceitos técnico-jurídicos, tratando a ordem para apresentação de arquivos digitais de registros de conexão e acesso a aplicações de Internet, e eventuais dados pessoais a eles vinculados, como se fosse ordem para a interceptação do fluxo de comunicações de dados. Ao se insurgir contra a ordem emitida pelo magistrado do primeiro grau com fundamento no inc. XII do art. 5º. da CF, na Lei n. 9.296/96 e na Resolução CNJ n. 59/2008, a Google elencou requisitos só aplicáveis ao ato de interceptação da comunicação (telefônica, telegráfica ou telemática), no que reside o equívoco. “Interceptar é interromper o curso originário, impedir a passagem, sendo que na lei tem o sentido de captar a comunicação, conhecer seu conteúdo. Interceptar é ter contato com o teor da comunicação, não impedindo que ela chegue ao seu destinatário”[20].

O inc. XII do art. 5º. da CF garante a inviolabilidade do sigilo da correspondência e das comunicações, abrangendo a comunicação telemática[21], somente admitindo uma única exceção a esse direito: a interceptação mediante prévia autorização judicial e desde que se destine à investigação criminal ou instrução processual penal[22].  Mesmo admitindo exceção ao sigilo das comunicações, a Constituição adotou regras para que a interceptação não se faça com abusos. Além de exigir prévia autorização judicial, o texto constitucional somente admite a quebra do sigilo das comunicações para duas finalidades: investigação criminal ou instrução processual penal. Ainda por cima, o procedimento para a interceptação deve obedecer às hipóteses e forma estabelecidas em lei. A Lei n. 9.296, de 24 de julho de 1996, regulamentou o inc. XII, parte final do art. 5o. da Constituição Federal, estabelecendo requisitos formais e procedimentais para a interceptação judicial das comunicações interpessoais. Dentre os requisitos, a Lei em questão exige indícios razoáveis da autoria ou da participação em infração penal. Assim, alguma prova da autoria, que identifique previamente o sujeito “alvo” da medida, deve embasar a decisão que determina a intercepção[23]. O segundo requisito refere-se à ausência de outro modo para demonstrar o fato apurado. A interceptação só será concedida quando for o único meio para provar a conduta delituosa. Por fim, é cabível apenas nos crimes punidos com reclusão[24].

A Lei n. 9.296/96 e a Resolução CNJ n. 59/2008 não têm aplicação quando se trata de proceder a uma requisição de dados pessoais que uma operadora de telefonia ou um provedor de serviços de Internet tenha armazenado em seus servidores e sistemas informatizados. Isso porque, como se disse, essas normas regulam o procedimento para a interceptação das comunicações (telefônicas, telegráficas ou de dados). A interceptação, como também já explicado, compreende a captação da conversa alheia, e ocorre no momento real e imediato em que se estabelece a comunicação, por intermédio de gravações ou escutas. Já a quebra do sigilo de dados corresponde à obtenção de registros informacionais existentes na empresa, sobre ligações já realizadas[25] ou dados já coletados.   

As restrições formais e procedimentais elencadas na Lei n. 9.296/96 (e na Resolução CNJ n. 59/2008) não são aplicáveis por extensão ou analogia à quebra de sigilo de dados, sobretudo quando a ordem é dirigida a um provedor de serviço de conexão ou aplicações de Internet. Isso porque existe lei específica, disciplinando a requisição judicial de dados pessoais em poder dos provedores, para fins de instrução processual. Trata-se da Lei n. 12.965, de 23 de abril de 2014 (“Marco Civil da Internet”), que não elenca, dentre os requisitos que estabelece para a quebra do sigilo informacional, que a ordem judicial especifique previamente as pessoas objeto da investigação ou que a prova da infração (ou da autoria) possa ser realizada por outros meios. Muito pelo contrário, o parágrafo 1º. do art. 10 da Lei n. 12.965/14 estabelece que o propósito primário da quebra do sigilo informacional pode ser justamente a descoberta da autoria de crimes. Observe-se quando o citado dispositivo menciona que os registros de conexão[26] e de acesso a aplicações[27] podem, associados a outros dados pessoais coletados pelos provedores, ser objeto de requisição judicial para identificação dos usuários desses serviços:

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

“Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.” (grifamos)

Como se observa, o objetivo primacial da quebra do sigilo de dados é a identificação do usuário do serviço ou terminal. A quebra do sigilo informacional tem justamente a finalidade de proporcionar a descoberta da identidade de quem fez uso do serviço ou acessou um determinado terminal, em algum momento e em certa localidade.

A Seção IV do Capítulo III da Lei n. 12.965/14, que cuida especificamente da “Requisição Judicial de Registros”, não contém nenhum dispositivo que exija a indicação ou qualquer elemento individualizador, na decisão judicial, da pessoa que ostenta a condição de suspeito e que está sendo investigada. Para a quebra do sigilo de dados, a Lei não requer os mesmos requisitos que são exigidos para a interceptação telefônica ou telemática. A interceptação, como antes explicado, consiste em captar o fluxo da comunicação interpessoal, no momento em que ela se estabelece; já a quebra do sigilo informacional envolve a requisição de dados pessoais armazenados pelo provedor de serviço de Internet. Para a quebra do sigilo de dados, os requisitos traçados na Lei 12.965/14 são diferentes, conforme consta do seu art. 22, verbis:

“Art. 22. A parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.

Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de inadmissibilidade:

I - fundados indícios da ocorrência do ilícito;

II - justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e

III - período ao qual se referem os registros.”

Constata-se, portanto, que para o Juiz requisitar dados pessoais armazenados por provedor de serviços de Internet, basta fundamentar sua decisão com os seguintes elementos: a) indícios da ocorrência do ilícito; b) justificativa da utilidade da requisição; e c) período ao qual se referem os registros. Não é necessário que o magistrado fundamente a requisição com indicação da(s) pessoa(s) alvo(s) da investigação, nem tampouco que justifique a indispensabilidade da medida requestada, ou seja, que a prova da infração não pode ser realizada por outros meios. Esses são requisitos, como se viu, para a interceptação (telefônica, telegráfica ou telemática), medida de natureza diversa e disciplinada pela Lei n. 9.296/96. A quebra do sigilo informacional (sigilo de dados), assim entendida a requisição mediante ordem judicial de registros de conexão e acesso a aplicações de Internet, de forma autônoma ou associados a outros dados pessoais e informações, não exige que a autoridade expedidora da ordem indique previamente as pessoas que estão sendo investigadas, até porque o objetivo dessa medida, na maioria dos casos, é justamente de proporcionar a identificação do usuário do serviço ou do terminal utilizado.

É a própria Lei que estabelece os requisitos para que a medida de requisição de registros de tráfego na Internet e dados pessoais armazenados em poder do provedor possa ser considerada proporcional e razoável. Se a autoridade judicial, ao fundamentar a quebra do sigilo de dados, preenche os requisitos traçados nos incisos I a III do art. 22 da Lei 12.965/14, a medida não pode ser considerada abusiva ou desproporcional. A Lei específica, que disciplina a requisição para acesso a registros de tráfego na Internet e dados pessoais coletados por provedores, não faz exigência que a ordem judicial indique os suspeitos da prática delituosa investigada ou a demonstração de inexistência de outros meios de prova, menos restritivos e mais eficazes. Esses não são requisitos legais ou que decorram de algum princípio constitucional.     

É incompatível com a natureza da medida de requisição de registros e dados, com fins de investigação de ilícitos, que se indique previamente os autores da infração ou crime objeto da investigação. Como vai se exigir que a autoridade requisitante indique os nomes de pessoas que passaram por um determinado local, em determinado espaço de tempo, se é justamente isso que ela pretende descobrir por meio da requisição enviada ao provedor?

O que é razoável exigir, nesse tipo de investigação, é que a autoridade requisitante justifique a medida através da indicação de motivos que façam crer a existência do crime investigado (tal como previsto no inc. I do art. 22 da Lei 22 da Lei 12.965/14). Isso é o que vem sendo feito. A Justiça tem deferido pedidos de acesso a dados de localização de telefones celulares em determinadas áreas geográficas. Antes de requerer o fornecimento de dados de geolocalização a provedores de aplicações na Internet, as ordens eram destinadas às operadoras de telefonia, que conseguem fornecer esses dados por meio da triangulação de células (antenas) da rede de telefonia móvel. As operadoras de telefonia móvel são capazes de saber, por exemplo, os números de telefones celulares de pessoas que transitaram por determinada área em específico período de tempo, por meio das coordenadas de latitude e longitude das torres (antenas) próximas. O processo de localização por triangulação de células permite revelar o local em que um usuário da rede de telefonia móvel estava em determinado momento. Os dados de localização aparecem em razão dos registros que apontam em qual antena (torre de celular) o equipamento estava conectado em determinado momento. Esses dados de geolocalização já vêm sendo usados como precioso recurso na investigação de crimes.  Além dos dados de conexão a torres de celular, dados de GPS também vêm sendo usado há anos nos tribunais. Por meio da triangulação por tempo real, a operadora pode apontar o local exato de um aparelho, e ainda acompanhá-lo à medida em que se move[28].

Portanto, a ordem judicial para quebra do sigilo de dados, delimitada por coordenadas geográficas (como local da execução do crime ou áreas onde transitaram os agentes criminosos) em certo lapso de tempo, nada tem de desproporcional ou extrema. Muito pelo contrário. A delimitação já funciona como fator que estreita a quebra do sigilo informacional, reduzindo a medida para o limite necessário à descoberta da autoria ou outros aspectos do crime investigado. O importante é que não seja excessiva ou mais invasiva do que o necessário para possibilitar a investigação do delito ou fato ilícito. A indicação na decisão de um limite geográfico e de um lapso temporal, para a recolha das informações, são elementos que servem como parâmetros indicativos da proporcionalidade da medida de quebra do sigilo informacional.

Ainda que a quebra do sigilo de dados não resulte em um sucesso completo para a investigação ou não forneça todos os elementos para a elucidação do crime, isso em nada afeta a legalidade da medida. É suficiente que os dados requisitados possam servir de alguma maneira como meio de prova, que tenham algum potencial de utilidade para a investigação (tal como previsto no inc. II do art. 22 da Lei 22 da Lei 12.965/14). O que justifica a ordem para quebra do sigilo informacional não é a garantia de que os autores serão identificados e o crime solucionado, mas a necessidade de investigá-lo. 

Além disso, os registros de acesso e utilização de aplicações na Internet (e outros dados pessoais a eles vinculados) não necessitam ter uma acuidade ou precisão absolutas. Se existem estudos técnicos que indicam que especialmente os dados de geolocalização podem ser imprecisos, cabe ao Juiz avaliar o grau de falibilidade desses dados, no momento de decidir pela sua utilização como meio de prova no processo. Ainda que não suficientemente precisos, os dados fornecidos pelo provedor de Internet podem servir para identificar o autor da infração ou apenas como mais um elemento de prova que, corroborado por outros elementos de convicção carreados aos autos, sirva para a investigação ou instrução probatória.

Sobre o autor
Demócrito Reinaldo Filho

Juiz de Direito. Doutor em Direito. Ex-Presidente do IBDI - Instituto Brasileiro de Direito da Informática.

Como citar este texto (NBR 6023:2018 ABNT)

REINALDO FILHO, Demócrito. Limites e requisitos da ordem judicial para quebra de sigilo de dados armazenados por provedor de serviços na internet.: Desnecessidade de individualização prévia do(s) investigado(s) e do esgotamento de outros meios de prova. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 25, n. 6119, 2 abr. 2020. Disponível em: https://jus.com.br/artigos/80222. Acesso em: 22 dez. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!