Vinte anos após a aprovação do texto da Convenção sobre o Cibercrime (Convenção de Budapeste), o Brasil iniciou o seu processo de adesão ao texto do tratado internacional originado no Conselho da Europa.[1] O texto da convenção tem como objetivo principal o estabelecimento de vias para cooperação internacional em matéria penal e a criação de procedimentos uniformes para o combate aos cibercrimes,[2] e é alvo de críticas e controvérsias nas discussões relativas à regulação da Internet e evidências digitais.
A apologia ao texto surge em um contexto dramático: em um cenário de digitalização forçada e pandêmica, os crimes cibernéticos, em especial os baseados em ransomware, explodiram.[3] A JBS pagou US$ 11 milhões para não ter os dados expostos ou eliminados, por exemplo.[4] Conforme relatado por Paula Soprana na Folha de São Paulo, o Brasil figura entre as cinco nações mais atingidas por ransomware.[5] Em reunião recente do G7, falou-se em classificar o cibercrime como terrorismo, repensando a estrutura global de combate a esses ilícitos.[6] Nesse contexto de cooperação internacional, a Convenção de Budapeste surge como parte da solução. Se antes a problemática maior era vinculada à pedofilia e ao crime organizado internacional,[7] hoje a extorsão financeira e os ataques ransomware também figuram como eixos protagonistas.
No entanto, as circunstâncias que entornam a temática da Convenção de Budapeste, bem como as premissas que não podem ser abandonadas ao se pensar as soluções que primam pela efetividade da obtenção das provas digitais e/ou eletrônicas dentro da esfera de devido processo, demandam a reafirmação da necessidade de harmonização com sistema de proteção de dados.
Neste ensaio, analisamos, sem exaurir a problemática, o (i) pano de fundo da proteção de dados pessoais no escopo das investigações criminais e (ii) os cuidados com a transposição do texto da convenção no sistema jurídico brasileiro. Argumentamos que a sofisticação do arcabouço jurídico na área penal, que exige esforço político do Congresso Nacional, é pré-condição da adoção da Convenção de Budapeste no Brasil. Longe de qualquer posicionamento contrário à adesão à Convenção, analisamos os cuidados com esse compromisso de ordem política e jurídica e os “trabalhos domésticos” necessários.
Proteção de direitos fundamentais e o acesso transfronteiriço aos dados
O cenário brasileiro é de uma recente consolidação de cultura de proteção de dados, a partir da implementação da Lei Geral da Proteção de Dados (LGPD) ao final de 2020, com a criação de uma Autoridade Nacional de Proteção de Dados (ANPD) – até o momento autárquica e não autônoma – e, também, de uma nova discussão sobre o tratamento de dados na esfera da persecução penal e de segurança pública a partir de um anteprojeto de LGPD Penal[8] – que sequer se tornou projeto de lei e, portanto, nos relembra que se exige um debruçamento muito mais robusto para a conformidade do tratamento dos dados nesses campos.
Enquanto isso, a vasta maioria dos países signatários da Convenção de Budapeste, como Canadá, EUA, Japão, África do Sul, além dos países do continente europeu, contam com entidades autônomas e independentes capazes de fazer a implementação da legislação e uma eficaz fiscalização dos agentes de tratamento de dados[9].
O processamento transacional de dados tem desafiado as realidades jurisdicionais dos Estados, rompendo com os tradicionais institutos e evidenciando aparentes “conflitos” dos princípios de territorialidade e soberania em um mundo virtualizado que não mais atende às tradicionais fronteiras[10]. A possibilidade de que as autoridades encarregadas da persecução penal de um Estado acessem à prova digital em servidores ou dispositivos informáticos é uma das questões de maior controvérsia jurídica geradas na atualidade da cooperação jurídica internacional em matéria penal[11].
Evidência dessa polêmica é o debate em torno do caso Microsoft vs United States (U.S. Supreme Court), que envolveu a extraterritorialidade da persecução criminal ao buscar dados eletrônicos à luz do Stored Communications Act (1986) e Electronic Communications Privacy Act (1986).[12] O litígio incentivou a introdução do Bipartisan International Communications Privacy Act em 2016, cujo objetivo era alterar “o código penal federal, permitindo que uma entidade governamental exija que os provedores de serviços de comunicação eletrônica ou serviços de computação remota divulguem o conteúdo das comunicações em armazenamento eletrônico (por exemplo, a nuvem), independentemente de onde essas comunicações estão localizadas”[13]. Consequência última foi a promulgação do Cloud Act, aprovado no Congresso dos EUA em 2018, que objetiva “agilizar o acesso a informações eletrônicas mantidas pelos EUA para prestadores globais que investigam crimes graves como por exemplo o terrorism e crimes violentos, cibercrimes e até mesmo exploração sexual”[14].
A polêmica tende a se aprofundar com o uso massivo de dispositivos capazes de armazenar dados computacionais. Os serviços de nuvem e hospedagem de informação em servidores externos fazem com que não exista mais uma localização física da informação. Ao mesmo tempo, iniciativas como o Cloud Act buscam parametrizar as condições pelas quais as requisições de dados devem ocorrer no sistema interno do país buscador de dados. A linguagem do devido processo é central nesse debate, considerando que as requisições devem visar contas e indivíduos específicos, deve existir justificativa razoável baseada em fatos concretos, particularidade e gravidade e deve existir um mecanismo de revisão e supervisão por autoridade independente. A prática da fishing expedition (a “expedição de pesca” na qual os dados se tornam peixes capturados por uma gigantesca rede no oceano) é proibida.[15]
Mesmo com essas garantias procedimentais, a European Data Protection Supervisor (EDPS) não deixou de questionar as lacunas relacionadas à obtenção de metadados (non-content data) e a problemática da interceptação em tempo real quando um país entra em acordo executivo com os EUA. Na análise da EDPS, há grave potencial de colisão com as normas de proteção dos direitos fundamentais relacionados aos dados pessoais, motivo pelo qual seria necessário “considerar um acordo internacional contendo direitos fundamentais substantivos e procedimentais em sentido forte”[16], considerando o nível de proteção desejado aos titulares de dados.
Problemas pendentes de solução
Diversas organizações internacionais apontam, desde o final dos anos 1980, os inconvenientes que o acesso transfronteiriço aos dados poderia significar.[17] Ainda que o combate a ilícitos seja uma tarefa importante do Estado, é imprescindível que não seja utilizado como uma retórica que tudo legitima sem adequação ao arcabouço jurídico local, sob o risco de prejudicar as atividades de segurança pública e segurança nacional.
A Recomendação (R89) e o relatório final do Comité Europeu para os Problemas Criminais de 1990 referem-se a muitas das questões que ainda estão pendentes de resolução. Esse documento foi preciso ao trazer problemas jurídicos e os desafios que surgem quando os dados estão online em um Estado, porém fisicamente hospedados em outro e produzem efeitos em um terceiro. Isso foi essencial para a elaboração do texto da Convenção de Budapeste na década de 1990.
Nesse sentido, o documento indica importantes problemas de legitimidade que o acesso direto de autoridades de um Estado poderiam ter por meio de mecanismos tecnológicos a dados localizados em outro Estado com os possíveis efeitos sobre o princípio da soberania nacional e das liberdades individuais. Esses problemas não foram resolvidos e talvez não o sejam no curto prazo. O debate sobre a legitimidade do acesso direto a dados pessoais em bases de dados e sistemas computacionais em jurisdição distinta do requerente remete a uma das grandes problemáticas do direito, no nível mais amplo.
O nascimento da Convenção de Budapeste
A Convenção de Budapeste nasceu dos esforços do Comitê da Europa para os Problemas Criminais (DCPC), mediante a deliberação CDPC/103/211196, de 1996, que decidiu formar um comitê de especialistas para lidar com a “cibercriminalidade”. O diagnóstico feito pelo professor H. Kaspersen apontava para a necessidade de uma convenção para lidar com questões do direito penal substantivo e também sobre “aspectos de processo penal e os acordos e procedimentos do foro do direito penal”[18]. Desde sua formulação, o desenho da Convenção pautou-se na ideia de (i) uma abordagem comum para os fins de cooperação internacional (definições, sanções e responsabilidades), (ii) eventual uso de caráter transfronteiriço de poderes coercitivos no meio tecnológico e (iii) enfrentamento do problema jurisdicional relativo à determinação do local da infração cometida (locus delicti).
Foi a partir desse conjunto de preocupações que o Comitê trabalhou entre os anos de 1997 a 2000, em regime de segredo. Foi somente em abril de 2000 que se tornou pública uma versão preliminar do projeto de Convenção, submetidos à sessão plenária do Comitê de Ministros da Justiça em junho de 2021 – exatos vinte anos atrás.
A convenção de Budapeste regulamentou a questão de acordo com o consenso que os países redatores conseguiram alcançar na época em que foi redigida, mas também contou com a própria advertência quanto à ampliação dos critérios que conseguiram captar em momentos posteriores. A norma prevê a possibilidade de acesso transfronteiriço aos dados em dois casos: a) quando estiverem publicamente acessíveis; b) quando o consentimento legal e voluntário é obtido da pessoa legalmente autorizada a divulgá-los.[19]
A questão de quem está “legitimamente autorizado” a divulgar dados pode variar dependendo das circunstâncias, da natureza da pessoa e da lei aplicável em questão. Por exemplo, o e-mail de uma pessoa pode ser armazenado em outro país por um provedor de serviços, ou uma pessoa pode armazenar dados deliberadamente em outro país. Essas pessoas podem recuperar os dados e, desde que tenham autoridade legal, podem revelar voluntariamente os dados aos encarregados da aplicação da lei ou permitir que esses oficiais acessem os dados.
As problemáticas que entornam a convenção são tantas que grupos ad hoc sobre acesso transfronteiriço a dados e jurisdição (2011) e justiça criminal e acesso a provas armazenadas na nuvem (2014) foram formados.[20]
No contexto europeu,[21] foram realizadas consultas públicas (como a realizada recentemente no contexto do segundo Protocolo Adicional)[22], reuniões com empresas do setor privado e reuniões com autoridades responsáveis pelos órgãos de proteção de dados pessoais (as quais, em geral, manifestaram-se contra as possibilidades de acesso transfronteiriço no âmbito do processos criminais).[23] Salta aos olhos, portanto, a harmonização entre interesses jurídicos entre investigações criminais e proteção de dados pessoais.
Nesse sentido, a transposição do texto da convenção deve ser pragmática, verificando se os termos específicos do tratado, suas previsões, suas medidas cabíveis e salvaguardas encontram quaisquer convergências com o arcabouço normativo brasileiro, bem como se a convenção em si traz dispositivos detalhados e conhecidos sobre suas regras, particularidades de exceções. O objetivo principal da adesão ao texto tem que ser de aprimoramento das regras vigentes e não oferecer um cheque em branco para atuação das autoridades ou permitir eventuais conflitos normativos. A Convenção de Budapeste reforça o princípio da legalidade. Como argumentado pela Prof. Mireille Hildebrant, “ao impor obrigações legais às partes contratantes para criminalizar determinadas condutas sob o título de crime cibernético, a Convenção do Cibercrime reafirma que a criminalização no sentido legal é um pré-requisito para combater o crime cibernético em democracias constitucionais”[24].
Caminhos para a adesão no Brasil
A reconfiguração dos delitos informáticos é notoriamente uma demanda social, diante da triplicação dos crimes cibernéticos e a explosão de golpes sofisticados de com objetivos de extorsão por meio de computadores. Ninguém, em sã consciência – com exceção daqueles que se beneficiam desses ilícitos –, seria “contra o combate do cibercrime”. Há, no entanto, caminhos para a adesão e a harmonização com direitos fundamentais.
Em suma, destacam-se alguns pontos essenciais. A falta de instrumentos processuais nos ordenamentos jurídicos internos dos países e regulamentações de cooperação internacional que permitam a obtenção de provas transfronteiriças de forma legítima e célere é uma das problemáticas evidenciada que demanda uma resposta urgente, tendo em vista que a falta de acordos internacionais faz com que muitos países solucionem com base no seu direito doméstico, o que evidencia risco entre os países e proteção das garantias individuais.
Em contrapartida, existem graves perigos às liberdades individuais na esfera de acesso aos dados hospedados em jurisdições estrangeiras que estejam fora de um quadro normativo que regule os princípios e garantias das pessoas afetadas pela intervenção do Estado (acusado e terceiros), bem como os proprietários dos servidores onde as informações estão hospedadas.
Recomendações recentes dos relatores de liberdade de expressão da Organização das Nações Unidas e da Corte Interamericana de Direitos Humanos têm abordado os riscos oferecidos pela coleta massiva de dados pessoais para a livre circulação de ideias na Internet.[25] Para eles,[26] a vigilância desnecessária e desproporcional[27] pode comprometer a segurança on-line e, adicionalmente, coibir a expressão de cidadãos comuns. Isso porque exerce de forma desproporcional impacto no direito à privacidade e liberdade de expressão de grupos vulneráveis, inclusive raciais, minorias religiosas, étnicas, de gênero e sexuais, membros de certos partidos políticos, e muitos outros. A adesão à Convenção não significa –e não pode significar – autorizar práticas como government hacking por meio de reformas do Código de Processo Penal. Como sustenta a Prof. Mireille Hildebrant, “a Convenção do Cibercrime não impõe às partes contratantes uma obrigação de decretar um poder legal para a polícia invadir remotamente os sistemas de computação”[28].
Entendemos que a cooperação internacional para o combate a crimes cibernéticos possui sua importância na agregação de normas padronizadas internacionalmente como um mínimo denominador comum para os países signatários. Nesse sentido, a urgência do debate chama atenção à promoção de reforço às normas e ambiente institucional no ecossistema de proteção de dados pessoais.
O reforço em questão deve ser feito com o auxílio de dois movimentos: (a) discussão e aprovação de regras de proteção de dados pessoais aplicadas ao contexto de atividades de persecução penal e que sejam responsáveis por regular este ambiente, coibir abusos e garantir os direitos dos titulares[29]; e (b) a transformação do modelo da autoridade nacional de proteção de dados em um órgão autônomo e independente[30], bem como um reforço das capacidades do órgão para tornar a sua atuação mais robusta.[31]
Em suma, eventuais avanços no processo de adesão do estado brasileiro à convenção exigem maior aprofundamento do debate sobre a temática de proteção de dados pessoais em contextos criminais. Aqui, a discussão de salvaguardas e limites para a atuação estatal mostra-se indispensável para promover uma atualização das práticas correntes sem deixar de lado a garantia do direito à privacidade e proteção de dados e, ao mesmo tempo, evitar maiores abusos do estado na execução destas.
O prazo limite para adesão do estado brasileiro à convenção deve ser em até 3 anos[32], a partir do convite, de modo que seria bastante oportuno caso o Congresso Nacional dedicasse tempo para ampliar o escopo do debate para que a decisão seja orientada por discussão ampla de todos os setores interessados, inclusive a Autoridade Nacional de Proteção de Dados Pessoais, e sociedade civil.
É necessário solidificar um arcabouço jurídico doméstico direcionado à harmonização de um sistema de proteção de dados, reforçando salvaguardas e limites para a atuação estatal. A Convenção reforça direitos substanciais e um compromisso com a dimensão processual do direito penal. Impõe legalidade e não oferece carta branca para práticas de fishing expedition e government hacking. De modo algum, a adesão pode ser mobilizada, instrumentalmente e com fins políticos, para reformas apressadas do Código de Processo Penal.[33]
O enfoque precisa estar no equilíbrio entre cooperação internacional criminal, redefinições conceituais sobre cibercrimes e proteção de direitos fundamentais relacionados aos dados pessoais. A exigência de uma Autoridade Nacional de Proteção de Dados autônoma é imprescindível para seguir a tendência internacional, bem como o enfoque no debate de tratamento de dados no campo penal com um reforço à base principiológica, atenção ao anteprojeto de LGPD Penal garantida a participação social no processo de debates. É necessário regulamentar as diferentes formas de acesso transfronteiriço aos dados que são admissíveis nos códigos de processo penal para evitar lacunas regulamentares. Os regulamentos devem respeitar as necessidades de eficiência na investigação com a proteção essencial dos dados pessoais e as garantias do processo penal.
[1] Este ensaio baseia-se em texto preparado para audiência pública na Câmara dos Deputados, realizada pela Comissão de Relações Exteriores e Defesa Nacional, em 14 de junho de 2021. Para estruturação do argumento da Associação Data Privacy Brasil de Pesquisa na referida audiência, participaram, além dos autores, Mariana Rielli e Bruno Bioni, a quem agradecemos comentários.
[2] Há inúmeras definições para cibercrimes ou “crimes cibernéticos”. Uma das mais utilizadas é que o cibercrime consiste em atividade criminal que tem como alvo, ou se utiliza de, computadores, redes de computadores ou dispositivos em rede. A empresa Kaspersky, por exemplo, considera como exemplos fraude por e-mail, roubo de identidade e dados pessoais, roubo de dados corporativos, extorção mediante possibilidade de ataques a sistemas, ataques de ransomware, espionagem por computadores e cryptojacking (quando há mineração de criptomoedas usando computadores de outrém). Como notado pela literatura, um dos grandes problemas é que o “conceito de cibercrime é complexo e abrange uma gama extremamente ampla de diferentes crimes”, com motivações econômicas, ideológicas, passionais e de vingança. LEUKFELDT, E. Rutger; LAVORGNA, Anita; KLEEMANS, Edward R. Organised cybercrime or cybercrime that is organised? An assessment of the conceptualisation of financial cybercrime as organised crime. European Journal on Criminal Policy and Research, v. 23, n. 3, p. 287-300, 2017.
[3] Renata Lo Prete, em episódio específico do “O Assunto”, informa que esses crimes triplicaram em uma década. LO PRETE, Renata. O Assunto #477: os bandidos da banda larga, Globo, 21/06/2021. Disponível em: https://g1.globo.com/podcast/o-assunto/noticia/2021/06/21/o-assunto-477-os-bandidos-da-banda-larga.ghtml
[4] MAKORTOFF, Kalyeena. World’s biggest meat producer JBS pays $11m cybercrime ransom, The Guardian, 10/06/2021. Disponível em: https://www.theguardian.com/business/2021/jun/10/worlds-biggest-meat-producer-jbs-pays-11m-cybercrime-ransom (destacando que a JBS gasta mais de 200 milhões de dólares em tecnologia da informação e possui, em seus quadros, mais de 850 especialistas, o que não evitou um dos ataques mais sofisticados do mundo).
[5] SOPRANA, Paula. Sequestro de dados de empresas vira joia do cibercrime na pandemia, Folha de São Paulo, FolhaJus, edição de 27/06/2021. Disponível em: https://www1.folha.uol.com.br/mercado/2021/06/sequestro-de-dados-de-empresas-vira-joia-do-cibercrime-na-pandemia.shtml
[6] Ver o Observatório do G7 da Universidade de Toronto: https://www.g7.utoronto.ca/finance/201013-ransomware.html
[7] Na sociologia, Manuel Castells discutiu o crime organizado internacional como aspecto da própria sociedade em rede e globalização financeira: “O estudo do crime organizado serve de base para a compreensão e identificação do crime organizado transnacional, uma vez que as alianças celebradas entre os diversos grupos criminosos se inserem no processo de globalização financeira, utilizam o incremento das tecnologias da informação e comunicação, articulam-se e se projetam no âmbito transnacional”. CASTELLS, Manuel. Sociedade em Rede: O fim do milênio. São Paulo: Paz e Terra, 2000, p. 205. Para uma discussão sobre esse fenômeno no direito brasileiro, ver MACHADO, Maíra. As novas estratégias de intervenção sobre crimes transnacionais e o sistema de justiça criminal brasileiro, in: SLAKMON, Catherine; MACHADO, Maíra Rocha; BOTTINI, Pierpaolo Cruz (Orgs.). Novas direções na governança da justiça e da segurança. Brasília-DF: Ministério da Justiça, 2006, p.277-301 (destacando que “tem-se, portanto, em relação aos crimes transnacionais, uma estratégia de intervenção em que: [i] a possibilidade de fragmentação do local do cometimento do crime em diferentes países faz com que a persecução penal dependa da cooperação internacional, até mesmo para reconstituir o fato típico; ainda assim, trata-se de uma estratégia que [ii] atribui aos Poderes Judiciários nacionais a instância de persecução penal; e [iii] engloba outras medidas de natureza civil e administrativa, elaboradas para alcançar o capital obtido por meio dessas atividades”).
[8] STF, Comissão entrega à Câmara anteprojeto sobre tratamento de dados pessoais na área criminal, STF Notícia, 05/11/2020, disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/05112020-Comissao-entrega-a-Camara-anteprojeto-sobre-tratamento-de-dados-pessoais-na-area-criminal.aspx (destacando que “a proposta busca complementar, na área criminal, as determinações contidas na Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em setembro deste ano” e que “o principal objetivo é proporcionar segurança jurídica para as investigações e os procedimentos criminais, sem deixar de lado a transparência no uso de informações individuais pelos órgãos de segurança”).
[9] CNIL. Data Protection Around the World. Disponivel em: https://www.cnil.fr/en/data-protection-around-the-world
[10] SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[11] SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[12] Sobre o caso, ver a análise na Harvard Law Review, edição 130, de dezembro de 2016: https://harvardlawreview.org/2016/12/microsoft-corp-v-united-states/
[13] Ver o texto e sua justificativa em: https://www.congress.gov/bill/114th-congress/senate-bill/2986
[14] MORAIS DA ROSA, Alexandra; VIEIRA, Marília. Cloud Act: Quando a investigação se dá nas nuvens americanas, Conjur, 22/11/2019, disponível em: https://www.conjur.com.br/2019-nov-22/limite-penal-cloud-act-quando-investigacao-nuvens-americanas (destacando, também, que o Cloud Act tem duas partes distintas: “a) a Lei autoriza os Estados Unidos a entrar em acordos executivos com outros países que preencham determinados critérios, para remover determinadas restrições de acordo com as legislações de cada país, autorizando que os CSPs possam cumprir ordens válidas no tangente a esses dados eletrônicos emitidos pelo outro país; b) a Cloud Act torna explícito que uma companhia sujeita a jurisdição de um determinado país pode ser requerida a produzir e apresentar dados sob seu controle, a qualquer momento, independentemente de onde estes dados estejam armazenados”).
[15] U.S. Department of Justice, “Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act”, April, 2019, p. 8: “um pedido para emitir um mandado deve ser submetido a um juiz independente para aprovação. O juiz não pode autorizar o mandado, a menos que ele ou ela descubra que o governo estabeleceu por uma declaração juramentada que existe uma “causa provável” de que um crime específico ocorreu ou está ocorrendo e que o local a ser revistado, como uma conta de e-mail, contém evidências desse crime específico. Além disso, o mandado deve descrever com particularidade os dados a serem pesquisados e apreendidos; expedições de pesca [fishing expeditions] para ver se existem evidências não são permitidas”
[16] EDPS, Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence, EDPS, 2019, p. 8.
[17] Sobre o ponto, ver: SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[18] Informações obtidas do memorando de explicação da Convenção, disponível em: https://www.coe.int/en/web/cybercrime/the-budapest-convention
[19] O artigo 32 aborda duas situações: 1) quando os dados a serem acessados são acessíveis ao público; e 2) quando uma Parte acessou os dados ou recebeu dados localizados fora de seu território por meio de um sistema de computador em seu território e obteve o consentimento legal e voluntário da pessoa com autoridade legal para divulgar os dados à Parte por meio desse sistema.
[20] SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[21] SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[22] Council of Europe. Consultations with civil society, data protection authorities and industry on the 2nd Additional Protocol to the Budapest Convention on Cybercrime. Disponível em: https://www.coe.int/en/web/cybercrime/protocol-consultations
[23] SALT, Marcos. Nuevos desafios de la evidencia digital: acceso transfornterizo y técnicas de acesso remeto a datos informáticos. 1ª ed. Buenos Aires: Ad-hoc, 2017.
[24] HILDEBRANT, Mireille. Law for Computer Scientists and Other Folks. Oxford: Oxford University Press, 172.
[25] UN expert calls for immediate moratorium on the sale, transfer and use of surveillance tools. Disponível em: https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=24736&LangID=E
[26] A/HRC/29/3. Human Rights Council. Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, David Kaye. Disponível em: www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session29/Documents/A.HRC.29.32_AEV.doc
[27]https://www.eff.org/pt-br/document/joint-civil-society-response-discussion-guide-2nd-additional-protocol-budapest-convention
[28] HILDEBRANT, Mireille. Law for Computer Scientists and Other Folks. Oxford: Oxford University Press, 181.
[29] Trata-se de imposição legal criada pela própria LGPD em sentido programático: “O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei”, conforme § 1º do Art. 4º da LGPD.
[30] Autoridade Nacional de Proteção de Dados Pessoais. Perguntas Frequentes. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd#:~:text=Voltar%20ao%20topo-,3.5%2D%20A%20ANPD%20%C3%A9%20uma%20autoridade%20independente%3F,o%20mandato%20fixo%20dos%20Diretores.
[31] Trata-se de diagnóstico clássico, conforme demonstram os debates em 1974 na OCDE sobre proteção de dados pessoais. Em sua apresentação sobre justiça criminal automatizada, Arthur Miller enfatizou a importância de uma instância de controle mulitssetorial e participativa para avaliação permanente dos parâmetros lícitos e justos para tratamento de dados pessoais e compartilhamento de dados no âmbito de investigações criminais. De crucial importância é o debate sobre compartilhamento para atividades de inteligência e de orientação estratégica e militar.
[32] Câmara dos Deputados. COMISSÃO DE RELAÇÕES EXTERIORES E DE DEFESA NACIONAL. Parecer do Deputado Rubens Bueno (relator) sobre a Mensagem nº 412, de 2020. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1997242&filename=Tramitacao-MSC+412/2020
[33] Renata Lo Prete, em episódio específico do “O Assunto”, informa que esses crimes triplicaram em uma década. LO PRETE, Renata. O Assunto #477: os bandidos da banda larga, Globo, 21/06/2021. Disponível em: https://g1.globo.com/podcast/o-assunto/noticia/2021/06/21/o-assunto-477-os-bandidos-da-banda-larga.ghtml (destacando a possibilidade de bandeira retórica no uso da Convenção).