O acesso a dados pessoais e informações sobre o uso de contas em redes sociais e aplicativos é uma das principais armas no combate à desinformação. Atualmente o Congresso Nacional debate a aprovação de um projeto de lei sobre transparência na rede (PL 2630/20) e correm também os trabalhos de uma Comissão Parlamentar Mista de Inquérito. Mas como acessar esses dados se eles estiverem armazenados em servidores localizados no exterior?
A disputa sobre o regime de acesso a dados localizados no exterior é um tema que ganha importância pelo fato de um número expressivo das aplicações mais populares no Brasil serem disponibilizadas por empresas estrangeiras, e em especial norte-americanas. No mesmo sentido, a redução dos custos e da complexidade trazida pelo armazenamento em nuvem também impulsionaram essa movimentação de dados para servidores localizados no exterior.
A Internet é uma rede global. Se cada país passar a exigir que empresas tenham escritórios nos países em que seus apps são disponibilizados, ou mesmo que os dados de nacionais sejam armazenados no país correspondente, pode-se caminhar para um futuro de fragmentação incremental da rede, com dificuldades operacionais que podem causar importante impacto na inovação. O noticiário sobre fake news parece mesmo impulsionar essas medidas, já que só ouvimos falar de robôs russos, jovens da Macedônia e outros episódios que desafiam fronteiras para espalhar desinformação.
O PL nº 2630/20, em seu artigo 37, parece endereçar essas preocupações quando determina que “[o]s provedores de redes sociais e de serviços de mensageria privada deverão ter sede e nomear representantes legais no Brasil, tornando essa informação disponível em seus sítios na internet, bem como manter acesso aos seus banco de dados remotamente do Brasil, com informações referentes aos usuários brasileiros e para a guarda de conteúdos nas situações previstas em Lei, especialmente para atendimento de ordens de autoridade judiciária brasileira.”
Mas será essa medida adequada e proporcional para os fins que se almeja alcançar? Vale notar que, nessa versão do PL, caiu a obrigação de guarda de dados de brasileiros no Brasil (data localization), mas surgiu a obrigação das empresas estrangeiras darem acesso remoto aos dados em seus servidores localizados fora do Brasil.
Considerando ainda o debate repleto de receios (nem sempre fundados) sobre a aplicação da lei no combate à desinformação, é preciso entender que o tema vem se transformando rapidamente. Uma solução legislativa como essa pode muito bem atropelar movimentos que já estão em curso e que podem melhorar os procedimentos que hoje são reconhecidamente burocráticos. Ou seja, existem boas notícias no horizonte. Mas para vê-las é preciso conhecer os próximos passos desse debate.
1. O cenário: investigações e dados armazenados no estrangeiro
Muitos dos serviços que utilizamos no nosso dia a dia – como emails grátis com uma capacidade grande de armazenagem ou troca de mensagens instantâneas – são possíveis graças ao que se chama computação na nuvem. Isto é, a disponibilidade de vários recursos localizados não no dispositivo do usuário, mas sim através do acesso à funcionalidades situadas em um servidor remoto (muitas vezes no exterior).
Algumas das vantagens da computação em nuvem são fáceis de perceber, como o provimento de espaço para armazenamento que transcende aquele existente no computador da pessoa, ou a capacidade de processamento que vai além daquela detida pelo usuário.
Questões relacionadas a conflito de leis podem surgir quando se pretende acessar dados armazenados em servidores no exterior. Os instrumentos tradicionais, como busca e apreensão, tendem a ter sua ação restrita. Por exemplo, se um documento está guardado em escritório na matriz de empresa no exterior, o mandado para as sedes no Brasil não conseguiria, em regra, alcançar a que está no estrangeiro.
Como se resolve isso? De um modo geral existem 3 formas de acesso:
1) cooperação jurídica internacional tradicional (cartas rogatórias);
2) cooperação jurídica internacional baseada em tratado internacional (usualmente Acordo de Assistência Jurídica Mútua – MLAT, na sigla em inglês); ou
3) entrega por parte da entidade que tem a posse da informação (usualmente empresa prestadora de serviços online).
Se existem soluções, onde reside o problema? Grande parte do desacordo remonta ao fato de que os sistemas aos quais o Brasil até o momento faz parte não providenciam de maneira ágil o suficiente o acesso aos dados. No caso de cartas rogatórias, elas além de demorar dependem muito de vontades políticas e de procedimentos muitas vezes bizantinos para que se consiga acesso.
Os MLATs representam um avanço. Há obrigatoriedade em casos acordados e os procedimentos normalmente constam dos próprios acordos. Contudo, estatística apresentada pelo Ministério das Relações Exteriores na audiência pública da ADC nº 51, no STF, revela que requerimentos via MLAT chegam a levar até 18 meses para serem cumpridos, pelo menos com relação aos Estados Unidos.
Resta então a entrega direta por parte das empresas. Contudo, essa alternativa também pode apresentar dificuldades. A maior barreira se dá quando se tratam de dados que estão em um país que possui uma lei que impeça a entrega.
Os Estados Unidos, por exemplo, possui uma norma bloqueadora – a Stored Communications Act – que impede a entrega de certas categorias de dados, como, por exemplo, dados de conteúdo de mensagens. Em diversos momentos, então, as empresas precisam escolher entre cumprir com a lei local e descumprir com a estrangeira ou vice-versa: um conflito real de leis no espaço.
Será que criar uma lei que permita que autoridades brasileiras acessem dados diretamente nos servidores remotos localizados no exterior é a melhor solução? Essa medida se assemelha à requisição forçada de dados, sem combinar com as leis e as autoridades dos outros países.
2. O movimento nacional: Ação Direta de Constitucionalidade (ADC) nº 51 no STF
Após bloqueios de aplicativos como o WhatsApp e pedidos de prisão de alto executivo do Facebook no Brasil, a Ação Direta de Constitucionalidade nº 51 foi ajuizada no STF com o intuito de declarar a constitucionalidade dos procedimentos de cooperação jurídica em matéria penal do MLAT entre o Brasil e os EUA. A estratégia era apontar esse instrumento como, até o momento, sendo o mais adequado para a requisição de acesso a dados armazenados no estrangeiro.
No início desse ano, em audiência pública convocada pelo relator, ministro Gilmar Mendes, ouviu-se os diferentes pontos de vista. Não parece haver discordância que o MLAT – internalizado pelo Decreto nº 3.810/2001 – é constitucional, mas existe divergência se existe a possibilidade de obrigar às empresas (algumas sem sede no Brasil ou somente como uma representação voltada para a venda de anúncios nas plataformas) a entregar as mensagens que estão armazenadas no exterior.
Por um lado, integrantes do MPF e da Polícia Federal argumentam que o Brasil já possui legislação que permite a requisição e acesso a essas provas, prescindindo da cooperação jurídica internacional (ou outras vias diplomáticas).
Por outro, uma série de manifestações foi no sentido de que há a necessidade de melhoria do sistema de cooperação jurídica, seja nos moldes da adesão a um sistema multilateral de cooperação com a Convenção de Budapeste sobre Crimes Cibernéticos (2001), ou com acordos bilaterais mais específicos e atualizados que os MLATs.
Enquanto isso, outro movimento revela como o assunto se encontra em transformação: a esperada adesão do Brasil à Convenção de Budapeste.
3. O primeiro movimento internacional: Adesão à Convenção de Budapeste sobre Crimes Cibernéticos (2001)
Em dezembro do ano passado (2019), o Brasil foi convidado a aderir à Convenção de Budapeste sobre Crimes Cibernéticos. Ao se confirmar a adesão, o país se junta ao grupo de 63 países que inclui Estados Unidos, a maioria dos países da Europa e vários dos nossos vizinhos (como Argentina, Chile e Uruguai). E por que a Convenção de Budapeste é relevante?
A Convenção prevê um mecanismo muito mais eficiente e veloz para ter acesso à dados armazenados em outro país. Segundo nota do governo federal, “o ingresso nesse acordo de cooperação proporcionará às autoridades brasileiras acesso mais ágil a provas eletrônicas sob jurisdição estrangeira, além de mais efetiva cooperação jurídica internacional voltada à persecução penal dos crimes cibernéticos”.
Existem dois instrumentos jurídicos na Convenção que aperfeiçoam a dinâmica de cooperação jurídica internacional: (i) informação espontânea – uma parte informa a outra de um fato e repassa informações que obteve no marco de investigações conduzidas em seu território; e (ii) auxílio mútuo em que uma parte a pedido da outra pode realizar certas funções e repassar os dados necessários, como preservação da informação, busca e apreensão e interceptação de dados.
Na Convenção há espaço para inclusive requerer o acesso expedito a certos dados. Por fim, esse instrumento também cria uma rede de contatos que deve funcionar 24 horas, 7 dias por semana para casos em que existe uma urgência na ação.
A adesão a esse tratado internacional não só faculta ao Brasil mais um mecanismo de acesso a uma rede que envolve a maior parte dos países dos quais o Brasil requer dados para investigações, mas também permite que participe ativamente das discussões de como será o próximo marco sobre a matéria.
4. O segundo movimento internacional: acordos bilaterais (EUA – CLOUD Act e EU – e-Evidence Project)
Igualmente relevante é o movimento de participar de acordos bilaterais com os principais países em que se requer dados para investigações criminais. No caso dos Estados Unidos, por exemplo, a sua lei de 2018 (conhecida como CLOUD Act – Clarifying Lawful Overseas Use of Data Act) prevê que o presidente possa assinar acordos executivos com outros países considerados respeitadores de direitos para facilitar o acesso de ambos a dados para investigações.
Essa é uma forma de criar um arranjo de acesso mais eficaz. Essa medida tem a vantagem de driblar as leis que impedem a entrega de certos dados (os “blocking statutes”) dos EUA. As plataformas estariam então obrigadas e legalmente poderiam entregar os dados requisitados dentro desse procedimento.
Alguns pontos controversos existem. Os EUA têm um espaço análise para saber quais países eles consideram aderentes a um sistema de respeito de direitos que seja compatível com os seus requisitos. Vale lembrar que, dentro desses elementos de análise, a participação na Convenção de Budapeste é vista como crucial.
Do outro lado do oceano, a União Europeia também vem aprofundando o debate sobre acesso mais expedito (e seguro) a dados necessários para investigações criminais.
Para tanto, iniciou um processo de negociação de um texto de acordo internacional para o auxilio mútuo de preservação e acesso responsável a provas eletrônicas. O projeto, chamado e-Evidence, busca negociar mecanismos de acesso direto transfronteriço a dados em contexto de investigações criminais.
A lógica é facultar a requisição direta de acesso a dados em situações determinadas. Igualmente nesse caso há uma relação direta com a Convenção de Budapeste que serve como pré-requisito para acesso a esse sistema mais prático e ágil.
5. Os procedimentos de cooperação e o futuro do combate às fake news
Como se percebe, o Brasil já está discutindo o tema de acesso a dados armazenados internacionalmente para investigações criminais. Por um lado, a ADC nº 51 busca eliminar dúvidas quanto a constitucionalidade do sistema de cooperação estabelecido em acordos como o MLAT entre Brasil e os EUA.
Por outro, a busca do País pela adesão ao sistema da Convenção de Budapeste deve facilitar em muito o acesso a dados. Frise-se que a maior parte dos países para os quais as autoridades brasileiras requerem dados já integra o grupo de países membros da Convenção.
Igualmente, a participação no arranjo da Convenção de Budapeste serve como porta de entrada para qualquer futura negociação de novos acordos bilaterais, seja no marco do Cloud Act norte-americano, seja no e-Evidence Project da União Europeia.
Esse tipo de solução de caráter internacional tem enormes vantagens quanto a qualquer marco que se possa realizar internamente, como pretende o Congresso Nacional com o PL nº 2630/20.
Isso porque sem o auxilio internacional, em ultimo caso, não é possível efetivamente ter acesso a esses dados. A requisição direta de dados, forçando o acesso a servidores localizados no exterior sem combinar com o outro país é medida que vai na contramão dos esforços de aperfeiçoamento da cooperação internacional que o próprio país vem empreendendo.
Mais prudente do que introduzir nova legislação que acirra uma queda de braços jurisdicional seria concluir a adesão do Brasil à Convenção de Budapeste e, a partir dela, progressivamente ampliar as facilidades para acesso a dados localizados no exterior via mecanismos de cooperação internacional.
O mal causado pela desinformação não conhece fronteiras e o remédio para isso é justamente o estabelecimento de padrões de cooperação internacional que respeitem a soberania dos países envolvidos em atividades investigativas e processos judiciais. Querer passar por cima da soberania dos outros países, impondo acesso forçado de dados, aproxima o Brasil das piores experiências regulatórias sobre o tema.
