No ano de 2018, foi publicado o primeiro acórdão pelo Superior Tribunal de Justiça com verdadeiro impacto sobre as raízes do Direito Penal Informático. Tal acórdão foi revolucionário em termos de construção dogmática. E parece que pouco se percebeu sua importância na dogmática penal ou não se deu o valor adequado.
A Ministra Laurita Vaz, ao julgar o Recurso de Habeas Corpus no. 99.735-SC corroborou alguns pressupostos que há quase uma década propugnamos como novos paradigmas fundamentais à esse novo ramo autônomo da ciência penal. Seu voto foi replicado em casos semelhantes como o RHC no 79.848 – PE e o EDcl no AgRg no RHC 133.430/PE.
O objetivo deste artigo é demonstrar a enorme importância desse julgado e apresentar de que modo ele impacta nos axiomas por nós apresentados em nosso Curso de Direito Penal Informático (SYDOW, 2021) no intento de colaborar para a compreensão e enfrentamento da nova realidade penal. Demonstraremos que a Ministra reconheceu indiretamente a existência do (i) Princípio da Relativização dos Elementos Informáticos, (ii) do Princípio da Dupla Presunção de Inocência e (iii) do Princípio da Sigilosidade Reflexa.
Em suma, tratou-se de recurso apresentado por conta de situação em que a Autoridade Policial apreendeu celular de investigado e, ao invés de periciá-lo no que se referia a seu conteúdo e nos limites autorizados judicialmente, utilizou-se do aplicativo de comunicação instantânea WhatsApp instalado no dispositivo para, a partir de QR Code gerado por este, ter acesso ao espelhamento das conversas feitas por aquele dispositivo a partir do site WhatsApp Web.
Assim, a autoridade policial passou a monitorar (e não interceptar) a comunicação telemática do investigado, no que culminou em Processo Crime pelos delitos capitulados nos artigos 33 e 35 da Lei no. 11.343/2006.
Ao invés de utilizar-se da autorizada busca e apreensão do dispositivo informático seguida de perícia do aparelho, a autoridade policial utilizou-se da apreensão para acionar o espelhamento das conversas em site e em seguida devolveu o aparelho ao investigado que, inadvertidamente e sem ser informado do ocorrido, passou a utilizá-lo normalmente, sem saber que estava sendo monitorado por tal meio.
Diversas questões se colocam no caso apreciado pela Ministra. Assim, se põem perguntas de ordem processual acerca da equiparação da interceptação da Lei no 9.296/96 à interceptação de conversas telemáticas por espelhamento, perguntas de ordem constitucional acerca da produção inadvertida de provas contra si, e perguntas penais acerca da validade da composição do indício de autoria e materialidade, bem como da presunção de inocência.
As respostas jurisdicionais dadas pela Ministra servem de paradigma para responder às questões anteriormente postas. Destaque-se, parece-nos também de extrema importância o impacto principiológico gerado pela decisão.
Observemos o motivo dessa importância.
Princípios são mandamentos que servem de regra intransponível pelo sistema. São regras a priori, que devem ser consideradas pelo operador do direito como pressuposto para a aplicação das normas e que permeiam toda a lógica e a racionalidade daquele ramo da ciência.
Nesse sentido, nos quase 20 (vinte) anos estudando a ciência penal informática concluímos por sua relativa autonomia em certos raciocínios e pela necessidade que se evolui de um pensamento puramente jurídico para lógicas mistas envolvendo a ciência penal, a ciência constitucional e as práticas e raciocínios informáticos. Por conseguinte, tornaram-se necessários novos princípios ou novas formas de se interpretar princípios ortodoxos sob uma ótica mais moderna.
Em nossas publicações, apresentamos entendimento pela necessidade de alguns princípios novos aos quais demos o nome de heterodoxos. Dentre eles, enumeramos os 3 (três) supracitados que aparecem direta ou indiretamente neste distinto julgado.
Apresentemos rapidamente cada um deles e apontemos em seguida os trechos nos quais a Ministra apresenta o raciocínio inerente a tais novos enunciados.
O princípio da dupla presunção de inocência apregoa que em situações envolvendo tecnologia da informação há um nível anterior ao processual em que deve existir uma criteriosa avaliação preliminar do judiciário, do dominus litis e da autoridade policial. Uma vez que os delitos informáticos tratam de realidades imateriais e que geram um distanciamento do autor em relação à vítima, os meios utilizados para sua execução admitem diversas dúvidas técnicas presumidas quanto à sua acuidade. Portanto, deve-se sempre e inicialmente afastar tais dúvidas técnicas acerca de autoria e materialidade antes mesmo de se iniciar um indiciamento de um usuário por conta de tais incertezas gerarem uma insegurança jurídica e violarem a lógica garantista.
Pelo princípio da relativização dos elementos informáticos, a imaterialidade dos delitos e seus indícios somada à possibilidade de quaisquer sujeitos com algum conhecimento e acesso à elementos informáticos alterá-los deve entregar aos operadores do direito a obrigação a priori de duvidar da idoneidade e da autenticidade de quaisquer indícios produzidos informaticamente, registrados através deste meio ou capturados por tal meio, até que seja demonstrada a lisura técnica de sua inserção através de meios de validação ou perícia. Tal enunciado é conhecido também como ZERO TRUST, em Segurança da Informação.
Finalmente, em linhas rasas, o princípio da sigilosidade reflexa busca demonstrar que sempre que os fins da ferramenta ou do sistema informáticos forem utilizados além das expectativas razoáveis, não se pode utilizar o comportamento registrado pelo usuário ou os dados por ele criados em prejuízo dele próprio sendo, pois, obrigado o titular da ferramenta ou o controlador do sistema a manter sigilo sobre todos os dados ali armazenados sob pena de considerar-se que o usuário fez prova contra si inconscientemente.
Da ilegalidade do monitoramento via WhatsApp Web
A Lei no 9.296/96 trata das situações de interceptação telefônica (art. 1o) e interceptação do fluxo de comunicações em sistemas de informática e telemática (parágrafo único do art. 1o).
Etimologicamente, a palavra INTERCEPTAR significa “colocar-se entre” os atos, no caso, de comunicação. Ou seja, trata-se de situação em que alguém ou algum dispositivo é colocado entre a comunicação feita entre o remetente dos sinais e seu destinatário e tem acesso passivo a esses dados comunicativos.
Não há qualquer dúvida, por força de expressa disposição legal (artigos 3o e 10), de que a interceptação é ato subsidiário e de legalidade especial, dado que seu deferimento apenas pode se dar se não houver outros meios para a obtenção dos elementos indiciários.
O uso de aplicativos de comunicação instantânea criptografada na origem gerou simultaneamente um grande avanço para a privacidade dos comunicantes e uma imensa dificuldade para a investigação através da interceptação.
Isso porque a sistemática de troca de informações criptografada ocorre de modo que o dispositivo emissor e o dispositivo receptor de mensagens trocam entre si uma chave única que serve para criptografar e descriptografar essa mensagem, e, pois, apenas os dois locutores são capazes de ter acesso ao conteúdo ideológico da comunicação. Assim, a mensagem sai criptografada do dispositivo de origem e chega também criptografada no dispositivo destino. Apenas emissor e receptor têm a capacidade técnica de fechar e abrir a mensagem a partir de suas chaves privadas.
Isso significa que uma eventual interceptação desses dados será inócua posto que ainda que se consiga ter acesso ao conteúdo trocado, este encontra-se ilegível por parte de qualquer agente interceptador não possuidor da chave de descriptografia apta a permitir leitura e compreensão da mensagem trocada. A isso, chamamos conversabilidade (em sua esfera legibilidade): apenas o dispositivo que possua a chave de descriptografia consegue compreender a mensagem que nele chega, deixando aqueles dispositivos sem tal chave na situação de não conversabilidade.
No intuito de buscar contornar essa limitação, três situações seriam tecnicamente possíveis: (i) obter-se a chave que se encontra armazenada em um dos dispositivos (origem ou destino), para, então, interceptar e descriptografar as mensagens trocadas, fazendo sua leitura; (ii) apreender o dispositivo e, com autorização judicial e competência técnica, superar seu mecanismo de segurança de modo a ter acesso às mensagens ali recebidas e armazenadas (contudo apenas mensagens já armazenadas); e (iii) conseguir acesso às mensagens após a etapa de descriptografia ter ocorrido em um dos dispositivos através de uma captura/leitura da mensagem já legível no próprio aparelho ou em outro.
No caso do julgado em tela, as autoridades policiais optaram pela 3a alternativa, apesar de terem recebido autorização para a 2a alternativa: requereram ao juízo competente a busca e apreensão do dispositivo, porém não para ter acesso à troca de mensagens, mas sim para ter acesso ao código QR único que ativaria o sistema de espelhamento de mensagens através do ferramenta WhatsApp Web. Assim, excedeu-se à autorização judicial de busca e apreensão evoluindo-a para um monitoramento. Diz o excerto do voto da Ministra:
(…) ausência de autorização, por parte da decisão do Juízo de primeira instância, de interceptação de comunicações telefônicas, de fluxo de comunicações em sistemas de informática e telemática, por ter sido utilizada a expressa “quebra dos dados do celular” e por não terem sido indicados meios de operacionalização e execução das medidas: autorizar Busca e Apreensão é diferente de autorizar Interceptação.
Assim, ao invés de apreender o dispositivo e pericia-lo (como autorizado), as autoridades abriram o aplicativo de mensagens e validaram o espelhamento, excedendo. Com isso, as autoridades passaram a ter acesso às mensagens que, após serem descriptografadas pelo dispositivo do investigado, eram armazenadas nele.
O sistema de espelhamento funciona elementarmente assim: após a mensagem critografada chegar ao dispositivo, ela é descriptografada pela chave única constante naquele aparelho. Em seguida, a mensagem já aberta é enviada – sem criptografia e pois, aberta e legível – para um outro dispositivo autorizado, sendo replicada neste terceiro dispositivo (espelhada) de modo a poder ser lida sem restrições.
Contudo, três questões se puseram.
A primeira foi o fato de que as autoridades não informaram ao titular do dispositivo que tinham se utilizado do Código QR de seu aplicativo e acionado o espelhamento de suas conversas em um dispositivo externo, deixando o investigado em situação de total desconhecimento acerca de sua situação de fato. Assim, aponta a Ministra Laurita Vaz que
(…) do direito constitucional de ficar calado e não produzir prova contra si mesmo e muito menos do direito de não permitir que os policiais acessem seu aparelho celular para espelhamento (para a própria operacionalização já há violação da privacidade e intimidade) e
(…) a Autoridade Policial procedeu em sigilo – isto é, sem comunicar ao Recorrente – ao emparelhamento das plataformas, tendo, logo após, devolvido a ele a posse do aparelho.
A segunda foi o fato de que o espelhamento entrega a qualquer pessoa que detém o acesso espelhado a faculdade de modificar as conversas entre aqueles interlocutores em comunicação, seja participando ativamente produzindo e enviando mensagens, seja participando ativamente apagando registros. Há possibilidade de interação, pois. Com isso, perde-se a fiabilidade dos dados obtidos por pura desconstrução de premissa de Segurança da Informação. Nesse sentido:
(…) ao contrário da interceptação telefônica, no âmbito da qual o investigador de polícia atua como mero observador de conversas empreendidas por terceiros, no espelhamento via WhatsApp Web o investigador de polícia tem a concreta possibilidade de atuar como participante tanto das conversas que vêm a ser realizadas quanto das conversas que já estão registradas no aparelho celular, haja vista ter o poder, conferido pela própria plataforma online, de interagir diretamente com conversas que estão sendo travadas, de enviar novas mensagens a qualquer contato presente no celular, e de excluir, com total liberdade, e sem deixar vestígios, qualquer mensagem passada, presente ou futura.
A terceira foi o fato de que interceptações são judicialmente autorizadas para que haja acesso à mensagens FUTURAS e não às mensagens passadas. Ocorre que o espelhamento de mensagens do modo ocorrido dá acesso integral tanto à todas as mensagens trocadas após a autorização do terceiro dispositivo, quanto também dá acesso à todas as mensagens trocadas ANTERIORMENTE à autorização judicial. Aponta o voto:
Isso permitiu aos investigadores não apenas o acesso a todas as conversas – conteúdo das mensagens e dados anexados – que já estavam registradas no WhatsApp do Recorrente (ex tunc), independentemente da antiguidade ou do destinatário, como também o acompanhamento, dali para frente (ex nunc), de todas as conversas que fossem iniciadas pelo Recorrente ou por algum de seus contatos.
Isso porque a interceptação trata de autorização para ter acesso àquilo que é trocado posteriormente à autorização e todo o acesso antecedente consequentemente é da modalidade “não autorizado” e, portanto, excessivo, podendo, inclusive constituir crime posto que se trata de realização de interceptação de comunicações de informática sem autorização judicial.
Não resta dúvida, por conseguinte, que quando a Ministra aponta tais 3 (três) argumentos, corrobora ela os pressupostos que por nós têm sido apontados há quase duas décadas.
Ao apresentar que o acesso remoto ao aplicativo de WhatsApp ou seja, conversas passadas, presentes e futuras, “podendo, inclusive, serem editadas, alteradas, enviadas, excluídas, (…), está- se reconhecendo a necessidade de se relativizar os elementos informáticos, posto que, em sede criminal, deve-se sempre abrir-se a dúvida razoável acerca da manipulação daquilo que é trazido de modo imaterial e, mesmo que tais indícios sejam validados por uma ferramenta de autenticação, deve-se no máximo reconhecer uma natureza iuris tantum na presunção de veracidade. Já apontamos que
Desse modo, seria possível dizer que o princípio da manipulação seria aquele a partir do qual se deve sempre considerar que os elementos informáticos admitem modificações de ordem ideológica ou formal, de modo a comprometer a veracidade direta ou indireta de seu conteúdo; sendo assim, é necessário que se sigam protocolos de verificação de integridade e autenticidade dos elementos informáticos para que se possa considerá-los (juridicamente falando) como capazes de demonstrar um fato.
A Corte Constitucional Colombiana, na Sentença T-043 de 10 de fevereiro de 2020 também já trouxe que (…) les ha concedido el valor de prueba indiciaria ante la debilidad de dichos elementos frente a la posibilidad de realizar alteraciones en el contenido, por lo cual deben ser valoradas de forma conjunta con los demás medios de prueba (…).
No mesmo sentido, a Ministra apresentou que
(…) tanto no aplicativo, quanto no navegador, é possível, com total liberdade, o envio de novas mensagens e a exclusão de mensagens antigas (registradas antes do emparelhamento) ou recentes (registradas após), tenham elas sido enviadas pelo usuário, tenham elas sido recebidas de algum contato.
Tais argumentos corroboram a importância de sempre se ter em mente que o meio informático permite etapas modificadoras e, com isso, a composição probatória é impactada e pode sofrer abalos em sua solidez. Isto posto, a regra é nunca confiar no elemento informático e sim questionar, duvidar e verificar. Na impossibilidade de verificação ou na persistência de dúvida razoável, o mandamental é descartar tal prova ou indício.
Outro ponto importante apresentado é a questão de que, no caso concreto, o investigado teve seu celular espelhado sem o seu conhecimento, o que gerou uma situação de violação de segurança jurídica e, por conseguinte, de expectativa razoável do processo investigativo.
Por certo, uma investigação tem pressupostos de sigilosidade em determinadas etapas. Contudo, a partir do momento em que um investigado passa a ter ciência de que é alvo de perquirições – e por óbvio a busca e apreensão de um celular entrega essa realidade ao proprietário do dispositivo a partir da busca – passa este a ter direitos como o de permanecer calado e o de não fazer provas contra si (equivalentes, inclusive), além de diversos outros.
No caso julgado, todavia, o investigado teve seu celular acessado a partir de uma ordem de busca e apreensão, mas tal ordem foi excedida, gerando uma violação de confidencialidade pelo espelhamento não autorizado nem judicialmente nem pelo titular e pelo acompanhamento subreptício.
Por certo, soubesse o investigado que seu celular estaria sendo monitorado a partir do breve acesso da polícia a seu dispositivo, teria ele podido exercer seus direitos de não autoincriminação. Mas da forma como foi deslindada a investigação, houve superação das expectativas razoáveis de garantias constitucionais.
No Estados Unidos da América do Norte, a 4a Emenda Constitucional aponta para o fato de que medidas constritivas como a busca e apreensão (incluindo até mesmo a prisão) devem ter seu alcance baseado nos limites específicos determinados pelo órgão judiciário. Nesse sentido aquilo que é exposto conscientemente a público não é objeto de proteção de tal emenda, não havendo expectativa legítima de privacidade em tais informações. A contra senso, pois, aquilo sobre o que alguém POSSUI expectativa legítima de privacidade deve ser objeto de proteção e incidir a prerrogativa da não autoincriminação.
É o caso apresentado. Apresentamos outrora tal necessidade de sigilosidade de dados a partir de trechos como o a seguir
Por esse Princípio, dados coletados que ultrapassem a expectativa contratada pelo usuário não podem ser compartilhados com nenhum dos Poderes da Federação sob pena de implicar em uma autoincriminação indireta.
Também
As pessoas não assumem riscos espontaneamente, mas sim os assumem no momento em que os tribunais dizem que devemos assumir ou que deveríamos ter agido de modo diverso para não assumi-los. As expectativas de privacidade das pessoas e os riscos que elas assumem são “reflexos” das leis estabelecidas. Mas isso é uma postura irresponsável diante da realidade informática. Os riscos devem ser primeiramente entendidos. O uso dos dados precisa ser esclarecido para a população e para a própria estrutura dos Poderes. Não é, portanto, possível dizer que alguém assume um risco que não conhece e, destarte, não se pode impor consequências jurídicas para cessões em que não se compreende o quanto autoincriminador isso pode ser.
Importante lembrarmos que a autodeterminação informativa do artigo 2o, II da Lei Geral de Proteção de Dados pode e deve ser aliada ao princípio da não autoincriminação bem como todos os princípios ali presentes como o de consentimento expresso e finalidade.
Aliás, a mesma argumentação pode ser utilizada para o caso das mais de 800 pessoas presas ao redor do planeta na operação Trojan Shield das polícias australiana e norte americana, que, se feita no Brasil, deveria ser anulada pelo mesmo argumento.
Finalmente, a questão da presunção dupla de inocência.
A consequência da possibilidade ativa de agentes investigativos modificarem e conteúdo de uma conversa e a necessidade de desconsideração de indícios obtidos além da legalidade em situações de afronta à garantia de não se precisar fazer prova contra si e qualquer outra situação em que não se pode afirmar com segurança estar-se diante de um caso de autoria certa por conta de tais limitações faz nascer, também, a ideia de que naqueles processos penais que possuem elementos informáticos inseridos nos autos ou obtidos em sede de investigação, é preciso sempre partir-se do pressuposto de que toda e qualquer dúvida técnica sobre um elemento utilizado para apontar autoria deve ser afastada nos primeiros momentos da investigação. Há uma necessidade de apenas se indiciar ou acusar alguém identificado por elementos informáticos após um primeiro filtro de presunção de inocência técnica, que apenas pode ser afastado também de modo técnico.
Já apresentamos que
Os caminhos adequados para a investigação e as dúvidas razoáveis existentes num ambiente de difícil compreensão como a Internet devem ser profundamente compreendidos para, então, se aliar à acurácia procedimental caso se queira atingir a adequada persecução criminal através de um devido processo legal.
Qualquer espaço de presunção de inocência não explorado, em contrapartida, deverá ser interpretado favoravelmente ao acusado/ investigado. O não esgotamento das hipóteses objetivas de hipóteses de não responsabilidade não pode ser admitido numa sociedade democrática de direito sob pretexto de um eficientismo inconstitucional. Portanto, ainda em fase persecutória deve-se afastar tais dúvidas para evitar desenvolvimento de procedimentos ilegais e violadores das prerrogativas dos acusados.
Afora a questão da denúncia anônima do caso em tela, é necessário ser trazido à baila o raciocínio de que, na troca comunicativa de mensagens de um dispositivo informático pode haver diversas dúvidas técnicas.
Na informática existe uma anonimidade propter rem, ou “por causa da coisa”, ou ainda, “em decorrência da coisa”, sendo que a “coisa” é o dispositivo informático utilizado. Explicamos. O uso de um dispositivo informático não garante ou assegura identificação ou autoria. Pelo contrário: levanta dúvidas por sua natureza.
Dispositivos informáticos, bem como contas de comunicadores instantâneos, emails e redes sociais podem ser de propriedades de uma pessoa física ou jurídica, mas estarem sendo manipuladas por outra (ou outras) pessoas que não àquelas identificadas.
Isso se dá pela questão denominada “portabilidade” ou utilização não identificada dos dispositivos, contas ou sistemas. Ainda, o uso de tais pode ser feito de modo autorizado ou não autorizado e ainda, de modo conhecido ou não conhecido (sub-reptício). Exemplificativamente, alguém pode ser proprietário de um aparelho de telefonia celular mas deixá-lo com outra pessoa, que nele instala seus programas e contas. Ou alguém pode ter contas e programas mas permitir que outras pessoas o utilizem. Ou, ainda, alguém pode ser invadido e ter seus programas e contas utilizados sem conhecimento para tanto.
Todas essas dúvidas técnicas de autoria devem ser levadas em consideração também em um processo criminal ainda que haja uma interceptação legal um monitoramento consciente ou a garantia de não alteração de uma conversa.
Em suma, andou muito bem a Ministra Laurita Vaz demonstrando compreender as características novas e especiais da informática e seus impactos no direito penal, julgando com pleno respeito ao garantismo e consolidando as bases para o novo segmento do direito penal.
Referências Bibliográficas
- ABNT NBR ISO/IEC 27037:2013
- Brasília. Superior Tribunal de Justiça. Recurso em Habeas Corpus n. No 735 – SC. A.C. da C. et al versus Ministério Público do Estado de Santa Catarina. 6a Turma Criminal. Relatora: Laurita Vaz. Santa Catarina, 28 de novembro de 2018. Disponível em https://processo.stj.jus.br/processo/ revista/documento/mediado/? componente=ITA&sequencial=1777437&num_registro=201801533498&data=20181212&peticao_ numero=-1&formato=PDF
- Geraldo. A cadeia de custódia de prova no processo penal. 1a ed. São Paulo: Marcial Pons, 2019.
- SYDOW, Spencer Curso de Direito Penal Informático. 2a ed. São Paulo: Juspodivm, 2021.