Opinião & Análise

PF

Uso de softwares espiões pela polícia: prática legal?

Programas permitem controle remoto da câmera e microfone do aparelho

Geraldo Magela/Agência Senado

A recente notícia a respeito do interesse da Polícia Federal em instalar cavalos de troia nos smartphones de investigados, publicada no jornal Folha de São Paulo em 27 de abril, suscita de imediato inúmeras dúvidas técnicas e jurídicas: de que modo eles seriam instalados? Que informações seriam coletadas? Somente o smartphone ou outros aparelhos também seriam afetados? Quais os riscos para o cidadão? A infiltração seria precedida de autorização judicial? Qual o fundamento jurídico para a sua utilização?

Embora não tenha havido ainda manifestação oficial da Polícia Federal sobre a utilização de cavalos de troia, é fundamental a reflexão a respeito dos efeitos do emprego dessa ferramenta no Brasil e, especialmente, se a sua utilização poderia ser considerada lícita, dado o atual quadro normativo brasileiro.

Cavalo de troia é a expressão utilizada para designar softwares espiões infiltrados clandestinamente nos sistemas de informação – como computadores e celulares –, permitindo àquele que controla o software o acesso remoto a todas as informações armazenadas no aparelho, bem como às informações produzidas em tempo real, como mensagens e e-mails digitados, mas não enviados. Além disso, a infiltração pode possibilitar ao controlador o acionamento remoto da câmera e do microfone do aparelho sem qualquer conhecimento do afetado. Nesse sentido, a infiltração permite uma coleta de dados mais ampla que a interceptação telefônica ou telemática, pois não se trata apenas de interceptar um determinado tráfego de dados, mas de coletar todos os dados de um determinado aparelho já armazenados ou que estão sendo produzidos em tempo real, sem qualquer conhecimento da pessoa afetada. Estamos a falar, portanto, de uma ação ainda mais invasiva e sensível do que a interceptação de mensagens de voz ou eletrônica. É sob esse olhar do alto grau de interferência na vida das pessoas e da sensibilidade de informações que podem ser coletadas que deve ser analisada juridicamente a instalação desse dispositivo em aparelhos pessoais.

A utilização de softwares espiões para fins de investigação policial foi analisada em decisão da Corte Constitucional alemã de 2008, que repercutiu internacionalmente ao “criar” um novo direito fundamental relacionado à privacidade: o direito à confidencialidade e à integridade dos sistemas informáticos. O caso dizia respeito à análise de constitucionalidade da lei do Estado de Nordrhein-Westfalen, que permitia às autoridades locais de inteligência fazerem a busca remota de informações e o monitoramento online de computadores de suspeitos de cometerem práticas criminosas.

O Tribunal alemão declarou inconstitucional a referida lei sob o fundamento de violação do direito geral à personalidade protegido constitucionalmente. Em vez de aplicar o direito à autodeterminação informativa, que já estava consolidado na sua jurisprudência e que fundamentava inclusive a ação ajuizada, a Corte extraiu do direito geral à personalidade (Art. 2, I, c/c Art. 1, I, da Lei Fundamental alemã) um direito fundamental à garantia da confidencialidade e da integridade dos sistemas informáticos (Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme). Esse direito, que ficou conhecido na opinião pública alemã como “direito fundamental informático” (Computergrundrecht), chama a atenção pelo fato de que o objeto da proteção constitucional passa a ser o próprio sistema informático pessoal, e por consequência o indivíduo que o utiliza. A importante função que os sistemas informáticos pessoais – especialmente, o computador pessoal – adquiriram na vida das pessoas, assim como os riscos associados à utilização desses sistemas ensejaram, na visão da Corte, o desenvolvimento desse direito.

O julgamento esclareceu que a infiltração dos sistemas informáticos não estaria completamente vedada pela Lei fundamental alemã, mas somente poderia ser realizada se presentes determinadas condições: a existência de uma base legal específica, a emissão de autorização judicial e a identificação de um perigo concreto a um bem jurídico fundamental, como a vida e a liberdade individuais ou a segurança da coletividade. De toda forma, ainda que atendidos esses requisitos, em nenhuma hipótese poderia tal monitoramento violar o núcleo da intimidade e das formas de vida privada do indivíduo. Isso significa que medidas adicionais de segurança devem ser adotadas para que informações íntimas e excessivas não sejam coletadas durante a infiltração ou – caso isso não seja possível – que tais informações sejam descartadas ou desconsideradas no processo de avaliação dos dados.

Na sua fundamentação, a Corte constitucional argumentou que o enorme desenvolvimento das tecnologias da informação nos últimos anos alterou os comportamentos e os hábitos dos indivíduos, ampliando especialmente a relação de dependência entre o homem e a tecnologia. A palavra chave que tem sido usada para caracterizar esse processo é ubiquidade. Trata-se do processamento onipresente de dados, que designa o fenômeno segundo o qual a tecnologia da informação e o processamento de dados perpassam todas as áreas da vida de um indivíduo. Os exemplos de ubiquidade são inúmeros: redes sociais, sites de produção do conhecimento com estrutura colaborativa, computação em nuvem, chips de identificação por radiofrequência e a crescente utilização de objetos cotidianos e domésticos associados à internet, que abrangem desde os smartphones a aparelhos domésticos e sistemas de energia em rede. O principal efeito do fenômeno da ubiquidade da tecnologia da informação é o desequilíbrio de poderes entre o indivíduo e os organismos que processam os dados pessoais e a consequente perda de controle individual sobre o fluxo de seus dados. Percebe-se, assim, que essas novas condições tecnológicas alteram o pressuposto central no qual se baseia o conceito clássico de privacidade e proteção de dados pessoais: a possibilidade do indivíduo efetivamente controlar o fluxo de seus dados pessoais na sociedade.

Nesse contexto de dependência das pessoas em relação aos sistemas informáticos, faz-se necessário assegurar a confiança dos indivíduos nesses sistemas, de modo a garantir que o funcionamento dos sistemas de informação pessoais atendam às expectativas dos indivíduos, protegendo a confidencialidade e integridade desses sistemas. Enquanto a confidencialidade diz respeito à limitação do acesso da informação apenas às pessoas autorizadas, a integridade refere-se à proteção do sistema contra manipulações. Isto é, o funcionamento adequado desses sistemas pressupõe que quem os utiliza pode confiar que as informações produzidas não sofrem interferência, interceptação, nem manipulação de qualquer tipo.

Dessa forma, a decisão do Tribunal constitucional alemão ficou conhecida não apenas por ter indicado os parâmetros mínimos de uma legislação sobre o assunto, mas especialmente por ter estabelecido um verdadeiro direito fundamental do século XXI. Nesse sentido, a decisão é de extrema relevância para a reflexão no contexto brasileiro sobre os riscos à privacidade de tecnologias da informação utilizadas para fins de investigação policial.

De acordo com a referida notícia do jornal Folha de São Paulo, a Polícia Federal estaria planejando instalar o software cavalo de troia nos aparelhos celulares já grampeados, isto é, cuja interceptação telefônica já foi autorizada. Ocorre que por se tratar de prática mais invasiva e com riscos superiores à privacidade do cidadão, a infiltração clandestina necessitaria não apenas uma legislação específica, mas também uma ordem judicial especial que permitisse esse monitoramento. Não obstante, uma rápida análise do marco normativo brasileiro indica a ausência de qualquer legislação no país que autorizaria a infiltração clandestina. No que se refere à coleta de dados por autoridades policias para fins de investigação, há no país a Lei n° 9.296/96, que disciplina as interceptações telefônicas ou telemáticas, bem como Lei n° 12.850/2013 – que revogou a Lei n° 9.034/95 – referente aos crimes praticados por organizações criminosas e que autoriza a utilização de captação e interceptação ambiental de sinais eletromagnéticos ópticos ou acústicos. Nenhuma delas, no entanto, trata da utilização de softwares espiões para o monitoramento online e busca remota de informações em sistemas informáticos pessoais.

Do direito fundamental à privacidade protegido constitucionalmente extrai-se como princípio básico, que quanto mais grave for a intervenção, maiores devem ser os requisitos para a intervenção nesse direito e mais específica deve ser a lei que prevê tal interferência. Essa regra, deduzida do princípio da proporcionalidade, está presente também no inciso XII, do art. 5° da Constituição Federal, que exige a reserva legal qualificada para a intervenção na garantia da inviolabilidade do sigilo das comunicações telegráficas, de dados e das comunicações telefônicas, ao prescrever o requisito “da ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.

Se o STF no RE 418.416/SC já entendeu que a garantia da inviolabilidade de sigilo art. 5°, XII, referia-se à comunicação de dados e não aos dados em si, é porque certamente o cenário dos riscos ao cidadão era bastante diverso tendo em vista as tecnologias então existentes. Afinal, usualmente os dados sofrem maior risco de interceptação durante o processo de comunicação – isto é, no tráfego – e não enquanto eles estão armazenados. Ocorre que com o advento da internet e dos aparelhos pessoais conectados em rede, a constelação de riscos alterou-se radicalmente e os programas espiões são o maior exemplo do risco de acesso clandestino e de manipulação dos dados armazenados em sistemas pessoais, que na vida moderna, guardam praticamente todas as informações a respeito de seu usuário. Nesse contexto, a efetividade da garantia constitucional da inviolabilidade do sigilo pressupõe que ela alcance também os dados armazenados em sistemas informáticos pessoais – tais como computadores, smartphones e agendas eletrônicas – cujo acesso passa a ser possível por meio desses programas e que podem acarretar riscos gravíssimos de monitoramento e vigilância ao cidadão sem que ele tome sequer conhecimento a respeito.

Para possibilitar a resposta adequada aos desafios sociais atuais, é fundamental que a teoria do direito se reconstrua e se reinterprete a ponto de compreender e solucionar os novos problemas enfrentados pelo indivíduo na era da informação. Esse desafio se apresenta de forma ainda mais premente no nível constitucional. Assim, é sob a perspectiva de uma compreensão dinâmica da Constituição, como um projeto inacabado e sujeito a alterações interpretativas que refletem um processo de aprendizagem falível, que é preciso interpretar o direito à privacidade na Constituição Federal. Nesse contexto, seria importante revisitar a interpretação relativa à proteção constitucional dedicada aos dados pessoais, permitindo a partir da leitura conjunta dos dispositivos constitucionais relativas à privacidade (art. 5°, X e XII) e da garantia processual do habeas data (art. 5°, LXXII) uma tutela ampla da personalidade e da vida privada do cidadão, apta a proteger os cidadãos contra novas formas de poder que surgem na sociedade da informação.

A infiltração clandestina constitui uma forma extremamente invasiva de monitoramento e coleta de informações, acarretando graves riscos à privacidade e à liberdade do cidadão. Sem uma legislação que autorize a instalação de softwares espiões, que fixe os seus limites e que preveja garantias adequadas de proteção contra formas de abuso, é possível considerar ilegal de antemão a utilização desses programas por autoridades policias ou por qualquer outro ente, por carecer de fundamento legal.

* Laura Schertel Mendes é Coordenadora do Centro de Direito, Internet e Sociedade – CEDIS-EDB/IDP, doutora em direito privado pela Universidade Humboldt de Berlim e Mestre em Direito, Estado e Constituição pela Universidade de Brasília – UnB.


Este artigo foi produzido no âmbito das atividades desenvolvidas no Centro de Direito, Internet e Sociedade do Instituto Brasiliense de Direito Público (CEDIS/IDP). O CEDIS é um espaço acadêmico voltado à pesquisa interdisciplinar sobre Internet e novas tecnologias. As opiniões são de responsabilidade exclusiva de seus autores.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito