6- A ordem judicial de quebra de sigilo baseada em coordenadas geográficas (e/ou períodos de tempo) em regra envolve “dados anonimizados”, que não permitem identificar a pessoa a quem se referem
A possibilidade de a quebra de sigilo informacional baseada em coordenadas geográficas e períodos temporais definidos, entregar informações de outras pessoas que não tenham nenhuma relação com o fato ilícito investigado também não atribui à medida caráter desproporcional ou exagerado. A requisição tem uma única finalidade que é a utilização das informações recebidas para fins de investigação do ilícito ou instrução probatória. Os dados recebidos não podem ser utilizados para outra finalidade. Qualquer informação recebida que não tenha relação com o objetivo da ordem judicial deve ser protegida (ou descartada) e não utilizada para outra finalidade, nem muito menos revelada a terceiros. Os dados de pessoas não envolvidas com o fato objeto da ordem judicial continuam protegidos pelo sigilo informacional, cuja violação inclusive é tipificada criminalmente.
Além disso, em regra os dados de geolocalização que são fornecidos em atendimento a ordens judiciais de quebra de sigilo baseadas em coordenadas geográficas não permitem identificar de logo as pessoas a que se referem. São dados anonimizados, que não proporcionam a identificação dos titulares[29]. No caso que decidi, por exemplo, foram solicitados apenas os números identificadores (N-ID)[30] de aparelhos celulares que transitaram na área da cena do crime, dentro de determinado período de tempo (das 5:00 às 8:00h do dia 06.05.18, data do crime de homicídio), acompanhados dos registros de localização. O próprio Juiz que expediu a ordem de quebra do sigilo informacional, Dr. André Simões Nunes, explicou que, com essa medida, os usuários de serviços da Google não teriam suas identidades reveladas e, somente depois, quando a autoridade policial fizesse uma análise daqueles números (números ID) que aparecessem com maior frequência na área da cena do crime, é que a investigação seria estreitada para eles e, em seguida, solicitada nova ordem judicial, desta feita para identificação dos titulares dos aparelhos. Confira-se o trecho da decisão judicial, onde o magistrado deixou bem aclarado esse ponto, mostrando que a ordem de quebra do sigilo informacional é insuscetível de produzir efeitos colaterais sobre a privacidade de terceiros não envolvidos com o delito, pela simples razão de que os dados solicitados não permitiam identificar as pessoas:
“Aqui, em complementação ao que já foi dito acima, é preciso salientar que a presente representação não objetiva ter acesso irrestrito aos dados dos usuários presentes nas localidades indicadas na peça processual. Tais usuários sequer terão suas identidades reveladas. Pelo contrário, serão fornecidos apenas os números identificadores (N-ID) dos celulares presentes no raio de 200 (duzentos) metros de cada ponto de referência, sem qualquer menção à qualificação dos titulares de referidos aparelhos.
Após, será realizada a análise comparativa dos registros das diversas localidades, de modo a se identificar aqueles números identificadores (N-ID) que constem de mais de um setor, hipótese em que deverá ser solicitada nova deliberação judicial, esta sim com a finalidade de possibilitar o conhecimento dos titulares dos respectivos aparelhos celulares”. (grifamos)
Como se vê, o efeito colateral de medida de quebra de sigilo de dados baseada em coordenadas geográficas pode ser nenhum. A requisição em geral envolve dados que não identificam os titulares, sem qualquer risco de invasão desproporcional na privacidade alheia. A requisição, como ocorreu no caso mencionado, permitiu identificar os aparelhos que transitaram nas imediações da área delimitada como a “cena do crime”, mas não os proprietários dos aparelhos. Provavelmente, somente os aparelhos que aparecessem (por meio dos dados de geolocalização) concomitantemente no local da execução do crime e nas rotas de perseguição da vítima e de fuga dos executores é que seriam selecionados para investigação mais aprofundada e aí, certamente, a autoridade policial iria solicitar nova ordem judicial para ter acesso a outros dados que permitam identificar os usuários desses aparelhos.
Se nessa segunda fase da investigação, a autoridade policial necessitar apenas de dados cadastrais dos usuários de determinados aparelhos, aí nem sequer será necessário tomar iniciativa através do Poder Judiciário para fazer a requisição à Google, isso porque não há necessidade de se obter um mandado judicial para se requisitar esse tipo de dados.
A Lei n. 12.965/14 é ainda mais flexível no que tange à requisição de dados cadastrais dos usuários de serviços e aplicações na Internet. Por intermédio das informações cadastrais pode ser obtido o nome do cliente, RG, CPF, endereço completo, telefones para contato e endereço de e-mail, por exemplo[31]. O levantamento dessas informações, para fins de instruir processo penal ou cível, não necessita sequer de ordem judicial, sendo suficiente uma mera solicitação de autoridade administrativa. Nos termos do § 3º. do art. 10 da Lei, o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço pode ser realizado “pelas autoridades administrativas que detenham competência legal para a sua requisição”. O Decreto n. 8.771, de 11 de maio de 2016 (que regulamentou a Lei n. 12.965/14), não especificou quem são as “autoridades administrativas” autorizadas a ter acesso aos dados cadastrais de usuários em poder dos provedores, mas é óbvio que a autoridades policiais e integrantes do Ministério Público estão compreendidos nesse conceito[32].
Para possibilitar o prosseguimento das investigações, quando já tiver definido quais aparelhos celulares transitaram pelos locais da “cena do crime” com mais intensidade, a autoridade policial necessitará especificar tão somente que o provedor informe os dados cadastrais dos usuários desses aparelhos[33].
7- Posição da jurisprudência brasileira – acórdão do TJSE
A Justiça brasileira vem se inclinando a conceder quebra de sigilo de dados com base em coordenadas geográficas e delimitadas por espaço temporal.
Recentemente, o Pleno do Tribunal de Justiça de Sergipe, por expressiva maioria de votos, manteve decisão que obrigou a Google Brasil a fornecer dados de um grupo não identificado de pessoas que passaram por um local em que houve um homicídio. O caso envolveu a apuração do assassinato de um capitão da Polícia Militar daquele Estado, ocorrido em 04 de abril de 2018, no município de Porto da Folha (SE). Durante a investigação, foi solicitada pela autoridade policial a quebra do sigilo de dados. O Juiz da Comarca de Porto da Folha autorizou a medida, determinando que a Google fornecesse informações de conexão e de acesso a aplicações de Internet e outros dados (contas, nomes de usuário, e-mail, números de IP e de Imei) das pessoas que estariam próximas ou no local do crime e utilizando os serviços da empresa durante o horário estimado do crime (entre 22:40 e 22:55h).
A Google impetrou mandado de segurança no TJSE[34] com a mesma fundamentação do presente mandamus, ou seja, de que a ordem era ilegal e inconstitucional, pois determinara a quebra de sigilo de um conjunto não identificado de pessoas, sem individualizá-las, apenas por terem transitado por certas coordenadas geográficas, em certo período de tempo. Segundo a empresa, a legislação vigente veda pedidos genéricos de quebra de sigilo de dados telefônicos e telemáticos, sendo imprescindível a individualização das pessoas que serão afetadas pela medida. Apontou, ainda, que a medida era desproporcional, inadequada e desnecessária, pois poderia atingir a privacidade de pessoas inocentes sem garantias de se chegar aos autores do crime investigado, em violação aos incisos X e XII do artigo 5º da Constituição Federal.
O TJSE negou o pedido da Google, pois entendeu que a decisão do Juiz da Comarca de Porto da Folha encontra respaldo no artigo 22 do Marco Civil da Internet e se limitou às informações de conexão e de acesso a aplicações de internet, não abrangendo o conteúdo das comunicações. Segundo a relatora, Desembargadora Iolanda Santos Guimarães, o sistema jurídico brasileiro tutela de maneira diferente a proteção ao conteúdo das comunicações mantidas entre indivíduos e a conferida às informações de conexão e de acesso a aplicações de internet, garantindo uma menor proteção a essa segunda categoria de dados. A relatora afirmou ainda que para a quebra do sigilo de dados em poder de provedor de Internet é suficiente que sejam preenchidos os requisitos do art. 22 do Marco Civil da Internet, ou seja, que a autoridade requisitante indique a existência de um ilícito (inc. I), a necessidade da medida para a investigação (inc. II) e o período de tempo ao qual se referem os dados (inc. III)[35].
A ementa desse julgado ficou assim redigida:
“Constitucional e Processo Penal – Mandado de Segurança – Inquérito policial – Investigação do homicídio do Comandante da Companhia Independente de Operações Policiais Especiais em área de Caatinga (CIOPAC) – Decisão que determina a quebra de sigilo telemático – Pleito de anulação – Invocação da proteção da privacidade e do sigilo das comunicações prevista no art. 5º, incisos X e XII, da Constituição Federal – Leis n os 9.296/96 (interceptação de comunicações telefônicas) e 12.965/2014 (Marco Civil da Internet) que regulamentam os dispositivos constitucionais – Diferença na tutela dada pela legislação ao conteúdo das comunicações mantidas entre indivíduos e às informações de conexão e de acesso a aplicações de internet – Menor proteção do sistema jurídico às informações de conexão e de acesso a aplicações de internet – Requerimento da Autoridade Policial limitado às informações de conexão e de acesso a aplicações de internet (contas, nomes de usuário, números de IP que foram usados associados a smartphones com sistema Android, número de IMEI e e-mail associados aos aparelhos e usuários que recorreram aos serviços dos Impetrantes) em um determinado período de tempo e numa área delimitada – Inexistência de pedido de quebra do sigilo do conteúdo de comunicações eventualmente transmitidas pelas pessoas a serem atingidas pela medida excepcional – Observância do disposto no art. 22 do Marco Civil da Internet – Existência de ilícito criminal (art. 22, inciso I, do Marco Civil), necessidade da medida para o prosseguimento das investigações (art. 22, inciso II, do Marco Civil) e limitação das áreas e dos períodos de tempo dos registros (art. 22, inciso III, do Marco Civil) – Registros limitados a um período de 15 (quinze) minutos, em horário noturno, em rodovia estadual pouco movimentada – Segurança denegada.
I – Cuida-se de mandado de segurança que objetiva anular a decisão proferida pelo Juízo Impetrado que, acolhendo requerimento da Autoridade Policial, quebrou o sigilo telemático de pessoas não identificadas, medida adotada nos autos do Inquérito Policial que investiga o homicídio que vitimou o Capitão da Polícia Militar do Estado de Sergipe Manoel Alves de Oliveira Santos, então Comandante da Companhia Independente de Operações Policiais Especiais em área de Caatinga (CIOPAC), no dia 04/04/2018, por volta das 20h, na Rodovia Estadual SE200, no Município de Porto da Folha/SE;
II – A Constituição Federal protege, nos incisos X e XII do seu art. 5º, a privacidade e o sigilo das comunicações, garantias essas regulamentadas pela Lei nº 9.296/96 (interceptação de comunicações telefônicas) e pela Lei nº 12.965/2014 (Marco Civil da Internet);
III – A leitura dos citados diplomas legais revela que o sistema jurídico diferencia a tutela dada ao conteúdo das comunicações mantidas entre indivíduos e às informações de conexão e de acesso a aplicações de internet, garantindo uma maior proteção ao primeiro e flexibilizando a proteção da segunda;
IV – No caso dos autos, a medida combatida se limitou a atender requerimento que, por sua vez, restringiu-se à quebra do sigilo das informações de conexão e de acesso a aplicações de internet (contas, nomes de usuário, números de IP que foram usados associados a smartphones com sistema Android, número de IMEI e email associados aos aparelhos e usuários que recorreram aos serviços dos Impetrantes) em um determinado período de tempo e numa área delimitada, tudo isso no bojo de investigação de um homicídio;
V – Não houve qualquer requerimento por parte da Autoridade Policial quanto à quebra do sigilo do conteúdo das comunicações eventualmente transmitidas pelas pessoas a serem atingidas pela medida excepcional;
VI – Nesse quadro, os requisitos do art. 22 do Marco Civil da Internet para a manutenção da medida se mostram presentes: há um ilícito, inclusive de natureza criminal (inciso I); a Autoridade Policial explicitou ser imprescindível a medida para a continuidade das investigações, com a identificação dos suspeitos (inciso II); e o requerimento foi delimitado não só no tempo, mas na área a ser atingida (inciso III);
VII – Vale destacar, das informações prestadas pelo Juízo Impetrado, que o lapso temporal é entre “(...) 04 de abril de 2018 às 22h40min e 04 de abril de 2018 às 22h55m, ou seja, são apenas 15 minutos” de dados em “(...) local ermo, estrada de difícil acesso, de restrita circulação de pessoas, especialmente no horário indicado (...)”, indicando que um número mínimo de pessoas eventualmente será atingida pela quebra do sigilo;
VIII – Segurança denegada.”[36]
A Google ainda tentou suspender a ordem por meio de recurso aviado ao Superior Tribunal de Justiça[37], mas o Ministro Nefi Cordeiro negou o pedido de liminar por entender se tratar de recurso em mandado de segurança, cabível apenas em situações de flagrante constrangimento ilegal — situação não verificada nos autos, segundo ele. O mérito ainda será analisado[38].
Como se observa, existe respaldo na legislação brasileira para requisição de dados pessoais armazenados por provedor de aplicações de Internet, com delimitação apenas por coordenadas geográficas ou período de tempo, sem necessidade portanto de individualização das pessoas suspeitas de cometer a infração objeto da investigação. A jurisprudência convalida ordem de tal natureza, conforme se denota do mencionado acórdão do TJSE[39].