Justiça

Proteção de dados

O que é o Cloud Act – e como a lei americana pode refletir no Brasil?

Aprovada em março, lei obriga apresentação de dados independente se servidores estejam fora de sua jurisdição

Cloud Act, lei americana que abre acesso a dados virtuais em outros países, foi aprovada em março. Crédito: Tim Pearce/Flickr
Crédito: Tim Pearce/Flickr

Na difícil escolha entre segurança e privacidade, a lei começa aos poucos a pender para o primeiro lado: o Congresso dos Estados Unidos aprovou, em março desse ano, o acesso a dados virtuais armazenados fora de sua jurisdição, quando o conteúdo for relevante à Justiça local. Chamado de Cloud Act (sigla para Clarifying Lawful Overseas Use of Data Act, ou “Lei para Esclarecer o Uso Legal de Dados no Exterior”, em tradução livre), o projeto foi apresentado e aprovado sem muita tramitação ou debate. Apesar disso, os efeitos da nova legislação podem ter efeitos imediatos não apenas no Judiciário de lá, como em investigações criminais ocorridas em outros países, inclusive o Brasil.

O texto prevê que a Justiça americana, ao emitir um mandado solicitando arquivos digitais, tenha acesso a dados armazenados também em servidores de outros países. Ao mesmo tempo, a legislação prevê que os Estados Unidos façam acordos com países para a troca de informações coletadas no ambiente virtual – o que pode ir de encontro com as leis que regulam a privacidade de dados em outras nações soberanas.

+JOTA: Assine o JOTA e não deixe de ler nenhum destaque!

A lei não especifica se a empresa precisa ou não estar sob a jurisdição americana para ser alvo do mandado e ceder as informações que forem pedidas. Mas estabelece critérios para que a requerida conteste o pedido – para tal, a empresa pode alegar que não cumprirá a determinação caso o alvo do mandado não seja americano, ou quando os dados a serem apresentados possam violar a lei do país onde ele está armazenado.

Entidades norte-americanas de proteção à privacidade, porém, enxergam no Cloud Act uma grave ameaça aos direitos individuais. Em março, antes de o projeto ser aprovado, um grupo de 24 entidades lideradas pela União Americana pelas Liberdades Civis (ACLU), uma das mais importantes organizações de defesa dos direitos individuais no país, enviou uma carta aos congressistas alertando sobre os possíveis riscos que a aprovação poderia gerar. A jurisprudência americana é amparada pela chamada “quarta emenda à Constituição”, onde há previsão expressa para que buscas e mandados sejam concedidos mediante devido processo legal.

Segundo as entidades contrárias ao Cloud Act, a lei permite a Casa Branca compartilhar dados com Estados que violem os direitos humanos, além de possibilitar que tais governos tenham acesso aos dados armazenados sob a jurisprudência dos Estados Unidos sem que um acordo mútuo seja tratado pelo Congresso. No mesmo sentido, países que violem garantias fundamentais de seus cidadãos (e que espionem a atividade de potenciais criminosos) podem entregar e-mails e conversas comprometedoras entre alvos e cidadãos americanos para Washington, sem que a suposta prova tenha sido gerada dentro dos ditames da Carta Magna americana.

O projeto não chegou a contar com debate ou tramitação na Câmara e no Senado local antes de sua promulgação: o texto foi incluído, em março, dentro de uma Lei de Gastos – dispositivo comum no legislativo local que libera verba para o funcionamento do governo, com poder de englobar outros projetos de lei em seu interior. Como uma Lei de Gastos precisa de uma única votação nas duas casas para sua aprovação, a norma foi promulgada sem grandes dificuldades.

O Cloud Act altera uma lei de 1986 sobre privacidade de comunicação, e nasceu de um caso analisado pela Suprema Corte Americana em 2013: em Microsoft Corp. x United States, a empresa de informática se negou a entregar dados de um investigado pelo FBI pelo crime de tráfico de drogas, uma vez que as informações guardadas pelo suposto criminoso estariam em servidor da companhia localizado na Irlanda. O caso estava pendente mas, com a entrada em vigor da nova lei, a empresa de informática foi obrigada a ceder os arquivos requeridos pelo FBI. 

O caso foi encerrado em meados de abril, tornando-se o primeiro exemplo prático após a promulgação da lei. Em artigo publicado no início de abril no blog da Microsoft, o presidente e Chief Legal Officer da empresa, Brad Smith, afirmou que “a aprovação [da Lei] surpreendeu muitos, e a velocidade com que aconteceu foi um pouco chocante”, mas que o texto “preserva e expande o papel das empresas de tecnologia, em relação à privacidade, com maior certeza legal”.

O momento ainda não permite uma análise adequada da lei, na visão do diretor do Instituto de Tecnologia e Sociedade do Rio (ITS Rio), Carlos Affonso. “É cedo ainda para entender se os benefícios do acesso a dados de forma mais facilitada serão superiores aos riscos de violação à privacidade e direitos fundamentais. A grande preocupação aqui, ecoada por entidades de direitos civis americanas, é que essa é uma lei que não teve amplo debate e participação setorial, parecendo ser uma decorrência imediata de necessidades de investigação por parte de quem aplica a lei”.

“A gente tem um balanço que vai ser testado brevemente”, advertiu Affonso, “e não me parece que o Cloud Act, do jeito que está redigido, acertou nesse equilíbrio entre necessidade de segurança e proteção a privacidade e direitos humanos.”

Brasil pode se beneficiar com o Cloud Act?

O Brasil mantém um acordo de assistência judiciária com o governo americano conhecido como Mutual Legal Assistance Treaty, ou MLAT, promulgada pelo Decreto nº 3.810/2001. Cobrindo não apenas a área digital, o dispositivo é considerado falho: de acordo com dados enviados pelo Departamento de Recuperação de Ativos e Cooperação Jurídica Internacional do Ministério da Justiça ao Supremo Tribunal Federal (STF), de 80 casos de cooperação remetidos pelo Brasil aos EUA até fevereiro deste ano com base no MLAT, 62 não tiveram resultados efetivos – uma taxa de resultados negativos de 77%, número considerado “extremamente relevante” pela pasta. O resultado é praticamente inverso quando se tratam de dados remetidos pelos EUA ao Brasil em investigações comandadas pela Justiça brasileira.

O tema da legalidade ou não do tratado perante outras leis que regulamentam o uso de dados pela Justiça é o tema de debate da Ação Direta de Constitucionalidade (ADC) nº51, proposta por empresas de tecnologia da informação no STF em novembro de 2017. “A alegação em debate na ADC nº 51 é que as recorrentes, que estão no Brasil, não poderiam ser sancionadas para forçar a matriz, onde está a jurisdição, a descumprir a legislação americana. O que elas pedem então é que seja cumprido o MLAT”, afirma o sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, Rony Vainzof.

A ADC, que já contou com uma audiência fracassada de mediação no Supremo, foi protocolada antes da criação e aprovação do Cloud Act nos Estados Unidos. A novidade é vista como uma oportunidade para agilizar o debate. “O Cloud Act veio para trazer um pouco mais de transparência, e facilitar o trabalho dos provedores, porque muitas vezes o que gera a insegurança jurídica é a incerteza quanto aos procedimentos”, afirmou a sócia do Pigão, Ferrão e Fioravante Advogados Associados, Rubia Ferrão, que ressalta que o intuito da legislação é “o combate a crimes graves, como terrorismo, pedofilia, fraudes de alto valor, corrupção e tráfico”.

Segundo Vainzof, a nova lei americana praticamente conclui o debate. “Se antes as empresas americanas alegavam que seus braços brasileiros não podem receber intimações judiciais no Brasil para investigar dados presentes no exterior, já há a legislação americana garantindo o fornecimento dos dados onde quer que eles estejam, para países como o Brasil”, pontuou o advogado, lembrando que o Brasil preenche requisitos dentro do Cloud Act para a troca de dados. “Ficou mais fácil no Brasil alegar que não é necessário o MLAT para a vinda das informações, pois agora basta o Marco Civil da Internet, que obriga o cumprimento da legislação brasileira às empresas que prestam serviços aqui. O Cloud Act, nos Estados Unidos, reforça esta fundamentação jurídica.”

Vainzof argumenta que uma a apresentação  do Cloud Act como um substituto ao MLAT ainda depende de estudo e de novos acordos internacionais, mas que a Lei americana poderá cobrir lacunas importantes. “Em uma forma geral, essa legislação é necessária. Independente de onde esteja o dado virtual, a investigação que está ocorrendo em um Estado Democrático de Direito, onde estão vítima e infrator”, pontua. “Não importa onde a evidência esteja – havendo uma ordem judicial e o devido processo legal, a empresa tem de ser intimada, e os dados entregues”. 

Rubia também enxerga um ponto positivo na entrada em vigor da lei. “A segurança e a privacidade estão no mesmo patamar constitucional e, quando há colisão de direitos equivalentes, há que se analisar o caso concreto. Se, no caso concreto, a privacidade está sendo mitigada para que haja o combate contra ilícitos, feitos por pessoas que se valem do escudo da privacidade, entendo que a segurança deve prevalecer”, ponderou a especialista em Direito Digital.

Inspiração para modelo europeu

A aprovação do Cloud Act pode ser apenas o primeiro passo no afrouxamento das legislações sobre a proteção de dados e privacidade das comunicações em governos que são historicamente conhecidos pela defesa aos direitos democráticos e individuais. Em meados de abril, poucos meses após a apresentação da lei americana, foi a vez de a União Europeia (UE) lançar proposta semelhante.

Por lá, a proposta foi apresentada pela Comissão Europeia, órgão que formula políticas específicas para serem implementadas no bloco econômico. As duas leis a serem apreciadas pelo parlamento europeu são mais detalhadas que a americana: empresas que prestam serviço dentro da UE ou estejam sediadas em seus países-membros deverão apresentar as chamadas chamadas “e-evidences” (termo cunhado pela Comissão para as evidências virtuais) no prazo de 10 dias (ou em seis horas, em casos emergenciais), independente do local onde elas estejam armazenadas. Outra diretiva permitirá a um país-membro do grupo a impedir que esses dados sejam apagados.

O primeiro vice-presidente da Comissão Europeia, Hans Timmermans, afirmou que a medida é necessária para a atualização da Justiça europeia. “As provas eletrônicas são cada vez mais importantes nos processos penais. Não podemos permitir que os criminosos e terroristas se aproveitem das tecnologias modernas e dos meios de comunicação eletrônicos para ocultar as suas atividades e escapar à Justiça”, afirmou Timmermans em nota à imprensa. “Não deve existir qualquer lugar na Europa, em linha ou fora de linha, onde os criminosos e terroristas possam se esconder”.

Carlos Affonso lembra que há pontos em comum entre o Cloud Act e seu correlato europeu. “Há uma comparação que podemos fazer que é a necessidade dos órgãos de investigação, tanto americanos quanto europeus, de ter maior agilidade”, disse.

O problema, porém, seria colocar os dois modelos em sintonia entre si, e com as diversas outras propostas de acesso a dados no mundo, da intervenção estatal chinesa ao Marco Civil do Brasil. “A gente ainda vai ver uma diversidade maior de modelos sendo sugeridos, e a minha preocupação é como a natureza de preservação global da rede será mantida, quando diferentes países, para atingir questões nacionais, começarem a dar acesso mais facilitado para autoridades policiais. Diferentes estratégias nacionais podem entrar em xeque dentro dessa padronização americana e europeia”, afirmou.

No caso europeu, as medidas precisam ser aprovadas pelo parlamento conjunto, composto por 751 membros, antes de virar lei. Se aprovada, será aplicável nos 28 países-membros do bloco.


Você leu 1 de 3 matérias a que tem direito no mês.

Login

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito