Esse texto é uma primeira incursão em um tema que será objeto de uma pesquisa mais ampla sobre criminalidade na Internet. O objetivo dele é descrever a existência de um conjunto de normas internacionais que poderia ser mobilizado para facilitar a obtenção de dados digitais para investigações criminais e processos penais. Para traçar esse panorama, o texto contém o seguinte percurso. Na primeira parte será indicado que o tema dos crimes em computadores e por meio deles, em rede, deverá dominar uma boa parte do debate jurídico contemporâneo. Já existem dados que evidenciam que essa modalidade de crimes sofreu um acréscimo sensível durante a atual pandemia da COVID-19. Na segunda parte, serão descritos os mecanismos de acesso – disponíveis no Brasil – aos dados existentes no estrangeiro por autoridades policiais, do Ministério Público do Poder Judiciário. Ainda na segunda parte serão explicados dois mecanismos de cooperação, que o Brasil ainda não assinou. O primeiro é a Convenção de Budapeste, do Conselho da Europa. O segundo é um acordo executivo com os Estados Unidos da América (EUA) no contexto do CLOUD Act. O debate para a assinatura desse acordo exigiria algumas alterações na legislação nacional. Uma dessas mudanças seria a aprovação de uma Lei de Proteção de Dados Pessoais e Privacidade na Segurança Pública e na Investigação e Repressão Criminal. Já existe um Anteprojeto dessa Lei, apresentado para a Câmara dos Deputados[3]. A conclusão do texto é simples. É imperativo que o Congresso Nacional brasileiro se dedique ao tema de forma coerente e sistemática, bem como que o Poder Executivo e o Poder Judiciário dediquem esforços coordenados no sentido de constituir políticas públicas planejadas com um longo prazo de aplicação para efetivar a prevenção e o combate aos crimes em computadores e por meio deles, em rede.
A explosão de crimes contra sistemas eletrônicos e de fraudes por meio de computadores em rede.
No período recente, dois casos chamaram a atenção da opinião pública no que se refere aos crimes em computadores e por meio deles, em rede. O primeiro foi um ataque do tipo ransomware, cometido contra o Superior Tribunal de Justiça (STJ). O ataque se deu por meio de uma infiltração nos sistemas digitais do órgão, que foi seguida de uma cifração das bases de dados por meio de algoritmos avançados de criptografia. Esse tipo de ataque tem se tornado razoavelmente comum e várias empresas no exterior e no Brasil já haviam sido vitimadas por ação semelhante. O STJ mobilizou a sua equipe da área de informática para inviabilizar o acesso aos sistemas pelos infratores, ao mesmo tempo em que restaurou os bancos de dados a partir de cópias de segurança (backups). O custo social do ataque pode ser medido pela quantidade de tempo que o Tribunal ficou impedido de funcionar normalmente. Enquanto os sistemas de informática e de comunicação eram revistos, não foi possível manter a atuação judiciária. Apenas os casos urgentes foram apreciados, utilizando módulos específicos. Porém, o dia a dia de julgamentos parou. O segundo caso é o famoso ataque hacker contra os terminais de telefonia móvel de autoridades federais. Esse caso gerou a operação spoofing, da Polícia Federal, cujo nome se refere à técnica de violação. Nesses ataques, os hackers conseguem acessar sistemas, passando-se por usuários com credenciais legítimas de acesso. No caso em questão, essa ação deu acesso a todas as comunicações – havidas por meio de aplicações de Internet para mensagens – dos agentes públicos atacados, além de facultar o acesso aos dados de terceiros. Não obstante a relevância dos casos ocorridos contra o poder público e seus agentes, cabe notar que os cidadãos e as empresas também vêm sofrendo com ataques. De acordo com a Karpesky, uma empresa da área de segurança digital, o Brasil teria experimentado um aumento de 300% na incidência de violações perpetradas pela Internet[4]. Uma boa base de comparação de dados pode ser verificada no sítio eletrônico da SAFERNET[5], que é uma entidade da sociedade civil cuja atuação é bastante próxima do poder público brasileiro. De uma forma simplificada, é possível distinguir os crimes tradicionais, que podem ser cometidos com o uso de computadores em rede, daqueles que são denominados como crimes cibernéticos, ou seja, aqueles que são especificamente cometidos contra sistemas. A tabela abaixo sistematiza os tipos penais previstos no Brasil, com base nessa classificação, a partir do Código Penal (Decreto-Lei nº 2.848/1940).
| Exemplos de tipos penais criados ou modificados pela Lei nº 12.737/2012, no Código Penal | Exemplos de crimes comuns, no Código Penal, que podem cometidos por meio de computadores | ||
| Artigo 154-A | Invasão de dispositivo informático | Artigo 153 | Divulgação de segredo |
| Artigo 266 | Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública | Artigo 158 | Extorsão |
| Artigo 298 | Falsificação de documento particular | Artigo 171 | Estelionato |
| Crime previsto na Lei Geral de Telecomunicações e aplicável para oferta de serviços de Internet que requeiram licença | Artigo 184 | Violação de direito autoral | |
| Artigo 184 e seu parágrafo único | Desenvolver clandestinamente atividades de telecomunicação. (...). Considera-se clandestina a atividade desenvolvida sem a competente concessão, permissão ou autorização de serviço, de uso de radiofrequência e de exploração de satélite. | Artigo 185 | Usurpação de nome ou pseudônimo alheio |
O furto de sinal de telecomunicações constitui um caso peculiar. A Lei Geral de Telecomunicações proíbe a distribuição de sinal de TV a cabo ou de Internet, por alguém que não possua uma autorização de Serviço de Comunicação Multimídia (SCM). Logo, o distribuidor de uma “GatoNet” comete um ato típico, com pena prevista na Lei nº 9.472/1997[6]. Mas, o furto de TV a cabo, que está previsto no art. 35 da Lei nº 8.977/1995 (“constitui ilícito penal a interceptação ou a recepção não autorizada dos sinais de TV a Cabo”) não possui pena prevista. E, ainda, o Supremo Tribunal Federal houve por decidir que não seria cabível a analogia com o art. 155, § 3º, que trata do furto e previa a equiparação do sinal de telecomunicações com a energia elétrica (“Equipara-se à coisa móvel a energia elétrica ou qualquer outra que tenha valor econômico”)[7]. Por fim, um exercício interessante seria verificar se a legislação penal e processual penal brasileira já é adequada aos termos que estão descritos na Convenção de Budapeste, que será um dos tópicos da próxima seção.
O combate aos crimes cibernéticos e o problema da jurisdição
Um documento incontornável sobre o tema dos crimes na era digital é o relatório, produzido pelo Global Cyber Security Capacity Centre, para a Organização dos Estados Americanos (OEA), acerca da capacidade institucional do Brasil, no tema dos crimes em computadores e por meio deles[8]. Essa pesquisa foi produzida entre 2018 e 2020 e cobre uma ampla gama de aspectos. Um deles será especialmente relevante para a discussão desse texto: a questão dos meios formais e informais de cooperação internacional. No documento, esse tema está na seção D4.3 do Relatório, intitulada “Quadros institucionais de cooperação formal e informal para o combate ao cibercrime”. Essa seção – como todo o Relatório em geral – possui uma primeira parte descritiva e uma segunda parte com recomendações. O diagnóstico do Relatório acertadamente aponta que essa dimensão está em um estágio de formação no Brasil. Já existem iniciativas e ações concretas. Porém, ainda há que ser construído um conjunto de soluções para os problemas. Um dos temas cruciais se refere às aplicações de Internet, como citado no texto, em tradução livre dos autores:
Existe cooperação informal com provedores de serviços de Internet (ISP) a partir da vontade deles em ajudar, já que eles não têm tal responsabilidade jurídica e nem são obrigados a responder demandas das forças policiais, a não ser que recebam uma ordem oficial (e.g. uma ordem judicial ou um mandado de busca). Atualmente, o Brasil está em meio ao processo de desenvolver acordos bilaterais entre ISP e forças policiais para permitir aos primeiros compartilhar dados diretamente com os últimos. (...). Em nível operacional, o intercâmbio de informação com agências policiais e tribunais do exterior é descrito como efetivo. Não obstante, problemas surgem quando se requer informações de ISP no exterior e de empresas privadas de Internet (como o Facebook e o Google) sediadas nos EUA, uma vez que elas raramente respondem e evitam cooperar com as forças policiais do Brasil. Em outros termos, se as empresas são sediadas no Brasil, demandar informação é mais fácil, pois elas precisam obedecer ao direito brasileiro[9].
Esse problema não é exclusivo do Brasil, obviamente. Os dois documentos legais, que serão descritos a seguir, estão diretamente relacionados com a tentativa de resolver os dilemas de jurisdição, os quais estão muito presentes no combate aos crimes havidos em computadores, em rede, bem como cometidos por meio deles. O primeiro desses documentos é a Convenção sobre Cibercrime, do Conselho da Europa (a Convenção de Budapeste)[10]. Antes, cabe lembrar que o Conselho da Europa não é um órgão da União Europeia (UE). Ele é uma organização internacional, criada pelo Tratado de Londres, em 1949, para ser a base de construção de soluções pacíficas no continente europeu, após o fim da Segunda Guerra Mundial. Ele foi crucial para a construção da Convenção Europeia de Direitos do Homem, que é aplicada pelo Tribunal Europeu de Direitos do Homem, sediado em Estrasburgo (França). O segundo documento é o CLOUD Act, uma lei aprovada pelo Congresso dos EUA, que modificou e inseriu dispositivos no Título 18 (crimes e procedimento criminais federais) e no Título 47 (telecomunicações) do United States Code (USC), ou seja, a consolidação da legislação estatutária federal daquele país. Os dois próximos tópicos explicarão, em linhas sintéticas, esses dois documentos.
A Convenção sobre Crime do Conselho da Europa, de 2001.
A Convenção de Budapeste é um tratado internacional crucial para a cooperação jurídica contemporânea, em matéria criminal. Como será visto no tópico seguinte, não é possível realizar cooperação formal, por meio de um acordo executivo nos termos do CLOUD Act, sem que haja a adesão do país à Convenção. Os EUA assinaram esse Tratado em 23 de novembro de 2001, tendo o mesmo sido ratificado em 29 de setembro de 2006. Ele entrou em vigor no direito interno dos EUA em 1º de janeiro de 2007. O Brasil foi convidado a aderir ao Tratado e tem até 12 de dezembro de 2024 para aderir. O debate em prol da sua adesão está na Câmara dos Deputados, tendo sido enviada mensagem da Presidência da República em dezembro de 2020. A tramitação está definida como prioritária. Porém, não foram exarados quaisquer pareceres pelos relatores nas três comissões responsáveis (Constituição e Justiça e de Cidadania; Comissão de Defesa Nacional; Comissão de Relações Exteriores)[11]. A importância da Convenção de Budapeste é reforçada pelo Ministério Público Federal e pelo Procurador-Geral da República, que já apresentou Nota Técnica nesse sentido e tem pedido ao Congresso Nacional que priorize a tramitação da ratificação legislativa da adesão do Brasil ao Tratado[12].
A Convenção de Budapeste pode ser dividida em dois grandes eixos. O primeiro deles está contido em seu Capítulo I, que trata das adequações no direito dos Estados-membros. Vários tipos penais estão listados e devem existir no direito penal material interno. Da mesma forma, várias disposições jurídicas de cunho processual devem ser adequadas ou criadas. O detalhamento comparativo seria interessante; porém, em muito ultrapassaria o espaço disponível para esse texto. O segundo grande eixo da Convenção de Budapeste trata de sistemas de cooperação internacional e contém várias diretrizes para a realização dos acordos de cooperação entre os Estados-membros de modo a facilitar o intercâmbio de dados. Além de prever a assinatura de tratados de assistência jurídica mútua (ou Mutual Legal Assistance Treatries, MLAT), a Convenção de Budapeste prevê disposições sobre a concretização de cooperação mesmo sem esse tipo de arranjo jurídico, entre os Estados-membros. O que mais se espera do Congresso Nacional e do Poder Executivo é que haja uma tramitação célere para que se possa aderir, de forma plena à referida Convenção, de modo a facilitar a cooperação entre as forças policiais e de investigação do Brasil com os demais Estados-membros. O Brasil já possui acordos com a Interpol, com a Ameripol e com a Europol. Contudo, a adesão à Convenção de Budapeste irá dar ensejo a uma ampla revisão do direito penal material e do direito processual penal do Brasil, para que haja sintonia com as melhores práticas possíveis para o combate ao crime em computadores e por meio deles, em rede. Não obstante, seria ingênuo considerar que a simples adesão à Convenção de Budapeste resolverá todos os problemas nessa seara. A própria criação do CLOUD Act, nos EUA, é um exemplo da limitação dos tratados de assistência jurídica mútua. Ele será o tema do próximo tópico.
O Clarifying the Lawful Overseas Usage of Data Act, de 2018.
É possível dizer que um caso aparentemente simples deu azo para a aprovação de um novo meio para realizar a cooperação em matéria criminal e processual penal, nos EUA. Em 2013, o Federal Bureau of Investigations (FBI) estava envolvido em uma investigação sobre tráfico de drogas. Para a continuidade da investigação seria necessária a concessão de um Warrant, ou seja, de uma ordem judicial qualificada, que possui a sua previsão na Quarta Emenda da Constituição dos EUA. Essa ordem foi pedida contra a Microsoft que, alegadamente, detinha os dados cruciais para a investigação. A empresa não concordou com a ordem judicial recebida e ajuizou uma ação para sua nulificação. Esse processo tramitou na Justiça Federal dos EUA e o Tribunal de Apelação do Segundo Circuito houve por concordar com a empresa. A defesa da Microsoft alegava que os dados requeridos estavam armazenados em seus servidores na Irlanda. Logo, segundo ela, não seria possível que a empresa os fornecesse sem violar o direito daquele país e o direito da UE. Ainda, a empresa alegava que um Warrant, emanado por um juiz nos EUA, não poderia ter a pretensão de extraterritorialidade. Após a derrota, a Administração dos EUA ajuizou um Writ of Certiorari para postular a apreciação da sua demanda pela Suprema Corte dos EUA. Ele foi concedido e o caso foi a julgamento. Porém, antes que o caso fosse decidido, o Congresso dos EUA aprovou o CLOUD Act e houve um acordo entre a Microsoft e a Administração Federal. O tema não chegou a ser apreciado pela Suprema Corte. A nova lei criou a possibilidade de que fossem feitos acordos executivos entre os países, ao invés de tratados. É possível considerar que esses acordos executivos não conflitam com a Convenção de Budapeste, pois a mesma prevê dois tipos de documentos jurídicos para realização da cooperação. O primeiro tipo é um tratado. O segundo é um acordo pactuado com base em legislação uniforme e recíproca (“arrangements agreed on the basis of uniform or reciprocal legislation”). O acordo executivo do CLOUD Act se encaixa exatamente nessa segunda categoria[13]. Em termos simplificados, o CLOUD Act prevê que os acordos executivos serão firmados pela Administração Federal para permitir que os EUA possam cooperar diretamente com o Estado-signatário e vice-versa. Para que um acordo seja feito, há que o outro Estado-parte atenda vários requisitos, que estão listados na Seção 2533 do Título 18 (crimes e procedimentos criminais federais) do USC, em tradução livre pelos autores:
(...)
(b) Requisitos para o acordo executivo. – Para os propósitos desse capítulo, do capítulo 121 e do capítulo 206, um acordo executivo regulando o acesso, por um governo estrangeiro, de dados sujeitos a esse capítulo, ao capítulo 121 ou ao capítulo 206, deverá ser considerado a satisfazer os requisitos dessa Seção, caso o Procurador-geral (Attorney General), com a concordância do Secretário de Estado, determinar, bem como submeter uma certificação escrita dessa determinação ao Congresso, na qual:
(1) o direito nacional do governo estrangeiro, incluindo a implementação desse direito, oferece uma robusta proteção à privacidade e às liberdades civis, substantivas e procedimentais, à luz da coleta de dados e demais atividades desse governo estrangeiro, as quais estarão sujeitas ao acordo; se –
(A) tal determinação sob essa Seção levar em consideração, como apropriado, informação confiável e opiniões de especialistas; e
(B) os fatores a serem considerados na produção dessa determinação incluem se o governo estrangeiro –
(i) tem direitos e leis adequados, substantivos e processuais, sobre cibercrime e provas eletrônico, como evidenciado por figurar como Estado-parte da Convenção sobre Cibercrime, firmada em Budapeste, em 23 de novembro de 2001, com entrada em vigor em 7 de janeiro de 2004, ou, por meio de um direito nacional que seja consistente com as definições e com os requisitos fixados nos capítulos I e II dessa Convenção;
(ii) demonstra respeito pelo Estado de Direito (Rule of Law) e princípios de não-discriminação;
(iii) adere às obrigações e compromissos aplicáveis dos direitos humanos internacionais ou demonstra respeito aos direitos humanos internacionais de cunho universal, incluindo – (I) proteção contra interferência arbitrária e ilícita na privacidade; (II) direitos referentes a julgamentos justos; (III) liberdade de expressão, associação e de reunião pacífica; (IV) proibição contra prisões e detenções arbitrárias; e (V) proibição contra a tortura e tratamentos e penas cruéis, desumanos e degradantes.
(iv) existe competência jurídica e procedimentos claros que regulem as entidades do governo estrangeiro que são autorizadas a buscar dados sob o acordo executivo, incluindo procedimentos por meio dos quais essas autoridades coletam, retém, usam e compartilham dados, bem como supervisão dessas atividades;
(v) há mecanismos suficientes para garantir responsabilidade e transparência apropriada no que se refere à coleta e ao uso dos dados eletrônicos pelo governo estrangeiro; e
(vi) demonstra um compromisso para promover e proteger o fluxo global e livre de informações, bem como as características de abertura, distribuição e interconectividade da Internet; (...)[14]
Está evidente no texto da legislação federal dos EUA que a adesão à Convenção de Budapeste é um passo necessário para se firmar um acordo executivo com os EUA, cujo objetivo primário é a realização de uma cooperação célere em matéria de cibercrime. Merece especial preocupação o tema atinente aos mecanismos de controle e supervisão desse intercâmbio de dados – que, no final das contas e na maior parte dos casos, poderão ser dados pessoais.
Atualmente, como mencionado no início desse texto, o Brasil não possui um marco normativo para proteção específica dos direitos dos titulares de dados pessoais, quando os mesmos são tratados para fins de segurança pública, de defesa nacional, de defesa do Estado e de investigações criminais.
Há, então, a necessidade de que o tema – na futura legislação brasileira a ser aprovada – seja tratado de uma forma ampla, ou seja, que considere as questões que estão colocadas no direito internacional e no direito dos EUA, respectivamente, a Convenção de Budapeste e o CLOUD Act.
Existe uma insatisfação generalizada na comunidade jurídica, em nível global com os tratados de assistência jurídica mútua (MLAT, como já indicado nesse texto). Assim, por exemplo, Dados do Ministério da Justiça, apresentados ao Supremo Tribunal Federal (STF) na audiência pública realizada sobre a Ação Declaratória de Constitucionalidade (ADC) nº 51, indicam que apenas aproximadamente 20% dos pedidos de cooperação, por meio de MLAT em prol da a obtenção de dados telemáticos, têm sido efetivamente atendidos[15]. Parece evidente que a solução para o problema passa pelo aumento quantitativo de meios, ou seja, pela criação de outros mecanismos de cooperação. Esse parece ser um caminho sem volta. É verdade que o STF ainda vai deliberar sobre esse debate no âmbito da ADC nº 51, cujo pedido da parte autora reside na declaração do tratado de assistência jurídica mútua, pactuado entre o Brasil e EUA, como o único caminho aceitável. Se a deliberação do STF for nesse sentido, há o risco de que sejam proibidos vários meios novos de cooperação policial, investigativa e criminal. Caso o STF considere improcedente o pedido – ou, ainda, que nem sequer conheça da ADC – ficaria aberta a pergunta: toda e qualquer cooperação pode ser feita? É nesse quadrante que reside o problema central. Assim como os EUA possuem uma legislação que demanda requisitos para cooperar com outros países, a UE também possui padrões. No caso da UE, quase todos os seus diversos Estados-membros já transpuseram a Diretiva (UE) 2016/680 para seus ordenamentos jurídicos nacionais. Somente a Espanha e a Grécia ficaram atrasadas e poderiam sofrer sanções por isso[16]. Assim, é fácil verificar que existe uma necessidade imperativa de aprovação não apenas de uma Lei de Proteção de Dados Pessoais e Privacidade na Segurança Pública e na Investigação e Repressão Criminal; mas, também, de uma legislação-quadro que determine parâmetros, em sintonia com a Convenção de Budapeste e com a legislação da UE, para a realização de acordos de cooperação. Ainda, uma parte muito importante nessas duas leis – proteção de dados pessoais e meios de cooperação – se refere à previsão de um sistema de supervisão que seja eficiente, autônomo e transparente. É somente por meio da atenção a esses três elementos que será possível inserir – de forma responsável e segura – o Brasil em meios de investigação e de repressão criminal compatíveis com a era digital.
[3] CORDEIRO, Nefi et alli. Anteprojeto de Lei de proteção de dados para segurança pública e persecução penal. Brasília: Poder 360, 2020. Disponível: https://static.poder360.com.br/2020/11/DADOS-Anteprojeto-comissao-protecao-dados-seguranca-persecucao-FINAL.pdf.
[4] ROLFINI, Fabiana. Cibercrime: ataques no Brasil aumentam mais de 300% com a pandemia, 3 jul. 2020. Disponível: https://olhardigital.com.br/2020/07/03/seguranca/cibercrime-ataques-no-brasil-aumentam-mais-de-300-com-a-pandemia.
[5] SAFERNET. Indicadores. DataSafer, 2021. Disponível: https://indicadores.safernet.org.br/indicadores.html.
[6] VERONESE, Alexandre; MOUNZER, Samia; PEREIRA, Daniel Nunes. O sinal de TV a cabo entre o legal e o ilegal: furto e regulação de telecomunicações. Cadernos de Estudos Sociais, FUNDAJ, v. 26, n. 2, p. 407-422, 2011. Disponível: https://periodicos.fundaj.gov.br/CAD/article/view/1469.
[7] BRASIL: Supremo Tribunal Federal. Habeas Corpus nº 97.261, Relator: Ministro Joaquim Barbosa, Segunda Turma, publicado no Diário da Justiça Eletrônico em 2 maio 2011.
[8] Global Cyber Security Capacity Centre. Cybersecurity capacity review: Federative Republic of Brazil. Washington, DC: OAS, 2020. Disponível: http://www.oas.org/en/sms/cicte/docs/ENG-CYBERSECURITY-CAPACITY-REVIEW-BRAZIL.pdf.
[9] Idem, p. 83-84.
[10] CONSELHO DA EUROPA. Details of Treaty No. 185: Convention on Cybercrime. Estrasburgo: Conselho da Europa, 2021. Disponível: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185.
[11] BRASIL: Câmara dos Deputados. MSC 412/2020: texto da Convenção sobre o Crime Cibernético, celebrada em Budapeste, em 23 de novembro de 2001, com fins de adesão brasileira ao instrumento. Brasília: Câmara dos Deputados, 2021. Disponível: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2258985.
[12] BRASIL: Ministério Público Federal. MPF defende adesão do Brasil à Convenção internacional para combate a crimes cibernéticos. Brasília, MPF, 11 set. 2018. Disponível: http://www.mpf.mp.br/to/sala-de-imprensa/noticias-to/mpf-defende-adesao-do-brasil-a-convencao-internacional-para-combate-a-crimes-ciberneticos
[13] ESTADOS UNIDOS DA AMÉRICA: Congresso. H.R. 4943 – 115th Congress (2017-2018). Washington, DC: Congresso, 2021. Disponível:https://www.congress.gov/bill/115th-congress/house-bill/4943/text
[14] CORNELL LAW SCHOOL: Legal Information Institute. 18 U.S. Code § 2523 – Executive agreements on access to data by foreign governments. Ithaca, NY: Cornell University, 2021. Disponível: https://www.law.cornell.edu/uscode/text/18/2523.
[15] SUPREMO TRIBUNAL FEDERAL. Audiência pública – controle de dados de usuários por provedores de Internet no exterior (1/2). Brasília: STF, 12 fev. 2020. Disponível: (a partir de 1h16m).
[16] WAHL, Thomas. Infringement proceedings for not having transposed EU Data Protection Directive. EUcrim. Max Plank Institute for the Study of Crime, Security, and Law. Freiburg, 2021. Disponível: https://eucrim.eu/news/infringement-proceedings-not-having-transposed-eu-data-protection-directive.
