Em maio deste ano, o Supremo Tribunal Federal reconheceu a repercussão geral de recurso extraordinário1 que discute os “limites para decretação judicial da quebra de sigilo de dados telemáticos, no âmbito de procedimentos penais, em relação a pessoas indeterminadas”2. O recurso foi originado a partir de decisão da 4a Vara Criminal da Comarca do Rio de Janeiro que determinou, nos autos de inquérito policial, a quebra do sigilo telemático de diversas pessoas indeterminadas, ordenando à empresa Google Inc. que fornecesse a identificação de todo e qualquer IP ou “Device ID” que houvesse se utilizado de seu buscador, em um período de cerca de quatro dias, para consultar termos relacionados ao crime em investigação.
Entendendo que a requisição seria inconstitucional, uma vez que “inexiste autorização legal para a determinação de quebra de sigilo de uma gama de pessoas não identificadas e sequer individualizadas”, a defesa do Google Inc. impetrou Mandado de Segurança, que foi, no entanto, negado pelo Tribunal de Justiça do Rio de Janeiro3, por não haver violação a direito líquido e certo dos Impetrantes, já que os “direitos à privacidade e ao sigilo de dados, por não serem absolutos, podem ser relativizados em hipóteses excepcionais”. Diante da decisão, chegou-se ao Superior Tribunal de Justiça, que manteve o entendimento do Tribunal de Justiça fluminense4, sob o argumento de que a determinação do magistrado de primeira instância ? de quebra de dados informáticos estáticos, relacionados apenas a registros de conexões e dados pessoais de usuários ? seria diversa da ordem de interceptação de comunicações e, portanto, não estaria sujeita à mesma proteção, consolidada no artigo 5º, XII, da Constituição da República.
Além desse dispositivo, a disciplina legal relativa ao sigilo de dados no âmbito penal no Brasil decorre majoritariamente da lei 9.296/96, que trata da interceptação telefônica, da lei 12.965/14, que estabelece princípios, garantias, direitos e deveres para o uso da internet, e da lei 13.709/18, que dispõe sobre a proteção de dados pessoais. A partir de tal legislação e com base nas diferenças conceituais e práticas entre essas disciplinas, a jurisprudência se consolidou no sentido de diferenciar dados telemáticos “estáticos” do fluxo de comunicações: os primeiros seriam os “dados em si mesmos, ainda quando armazenados em computador”, e os segundos, as “comunicações de dados”,5 que envolvem a “interceptações de comunicações”.
Essa diferença é o que justifica, por exemplo, o fato de as Comissões Parlamentares de Inquérito possuírem competência, assistida constitucionalmente (artigo 58, §3º, Constituição da República), para quebrar sigilo de dados, mas não poderem autorizar interceptação telefônica.6 Nesse sentido, paradigmática decisão do Supremo Tribunal Federal de 2006 reconheceu que, como no caso julgado “não [teria] h[avido] ‘quebra de sigilo das comunicações de dados (interceptação das comunicações), mas sim apreensão de base física na qual se encontravam os dados, mediante prévia e fundamentada decisão judicial”, não se aplicaria a proteção a que se refere o artigo 5º, XII, da Constituição, já que sua proteção seria “da comunicação ‘de dados’ e não dos ‘dados em si mesmos’, ainda quando armazenados em computador”.7
Ao julgar o caso agora em discussão no Supremo Tribunal Federal para que se estabeleçam limites para a quebra de sigilo, o Superior Tribunal de Justiça aplicou justamente essa diferenciação entre dados “estáticos” e a interceptação de comunicações. Segundo a decisão, “hav[eria] uma distinção conceitual entre a quebra de sigilo de dados armazenados e a interceptação do fluxo de comunicações”, sendo que “a determinação do Magistrado de primeiro grau, de quebra de dados informáticos estáticos, relativos a arquivos digitais de registros de conexão ou acesso a aplicações de internet e eventuais dados pessoais a eles vinculados, é absolutamente distinta daquela que ocorre com as interceptações das comunicações, as quais dão acesso ao fluxo de comunicações de dados, isto é, ao conhecimento do conteúdo da comunicação travada com o seu destinatário”.
O Supremo Tribunal Federal, recentemente, parece caminhar alguns passos em direção a uma readequação desse conceito de “dados”.
No final de 2020, no julgamento da ADIn 6.3878, que discutia a (in)constitucionalidade da MP 954/20, a Corte deferiu medida cautelar para suspender a eficácia da MP, editada para permitir o compartilhamento, com o IBGE, dos nomes, números de telefone e endereços de todos os usuários das operadoras de telefonia durante a pandemia de Covid-19, para produção de estatísticas oficiais. Um dos principais fundamentos sustentados pelos Ministros foi a nova dimensão que o conceito de dados ganhou com o tempo e com o atingir de novos patamares tecnológicos.9
Segundo a ministra Relatora Rosa Weber: “é crucial ter presente que o que podia ser feito [antigamente] a partir da publicização de tais dados pessoais não se compara ao que pode ser feito no patamar tecnológico atual, em que poderosas tecnologias de processamento, cruzamento e filtragem de dados permitem a formação de perfis individuais extremamente detalhados”. Também o ministro Luiz Fux destacou: “dados, como nomes, telefones e endereços, são extremamente relevantes para a identificação pessoal e potencialmente perigosos quando cruzados com outras informações compartilhadas por pessoas e por entidades”. E o ministro Gilmar Mendes sintetizou a discussão com a conclusão de que “nunca foi estranha à jurisdição constitucional a ideia de que os parâmetros de proteção dos direitos fundamentais devem ser permanentemente abertos à evolução tecnológica”.
A importância dos dados pessoais na sociedade atual pode ser notada, por exemplo, pelo crescente número de golpes online que se popularizaram nos últimos anos, sofisticados e respaldados através da utilização de dados pessoais de usuários da internet. Uma pesquisa realizada pelo site de vendas OLX em parceria com a AllowMe, plataforma de auxílio à prevenção de fraudes e mitigação de riscos digitais, concluiu que, após o vazamento dos dados de mais de 200 milhões de brasileiros em janeiro de 202110, as denúncias dos internautas sobre tentativas de roubo de contas eletrônicas cresceram 93%.11 Note-se que esse vazamento de dados, inclusive, foi realizado por hackers interessados na venda de informações pessoais dos brasileiros.12 A crescente preocupação com crimes cometidos pela internet levou, inclusive, à sanção da lei 14.155/21, que alterou o Código Penal para ampliar as penas dos crimes de furto e estelionato praticados com o uso de dispositivos eletrônicos como celulares, computadores e tablets.13
Nesse sentido, quando o Superior Tribunal de Justiça entende que os “dados informáticos estáticos” mereceriam uma proteção menos rigorosa do que o “fluxo de comunicações”, parece ignorar a ressalva corretamente apontada pelo ministro Gilmar Mendes de que “parâmetros de proteção dos direitos fundamentais devem ser permanentemente abertos à evolução tecnológica”.
É hora, portanto, de discutir se não caberia ao Supremo Tribunal Federal revisar o entendimento sobre os requisitos necessários para a quebra de dados telemáticos. O julgamento do recurso extraordinário 1.301.250, ao discutir a necessidade de individualização dos alvos da quebra de sigilo de dados telemáticos, pode ser uma boa oportunidade para isso. Numa época em que tudo é guardado em computadores e celulares, parece ser necessário revisitar o conceito de dados “estáticos” fixado em tempos bastante diversos pela jurisprudência.
____________
2 Conforme ficou redigido o Tema de Repercussão Geral n.º 1.148.
3 Mandado de Segurança n.º 0072968-96.2018.8.19.0000, 1a Câmara Criminal, Rel. Des. KATYA MARIA DE PAULA MENEZES MONNERAT, julgado em 19.3.19.
4 RMS n.º 60698, Sexta Turma, Rel. Min. ROGÉRIO SCHIETTI CRUZ, DJe 4.9.20.
5 STF, RE n.º 418.416-8/SC, Rel. Min. SEPÚLVEDA PERTENCE, Plenário, julgado em 10.5.06.
6 “[...] o princípio constitucional da reserva de jurisdição — que incide sobre as hipóteses de busca domiciliar (CF, artigo 5º, XI), de interceptação telefônica (CF, artigo 5º, XII) e de decretação da prisão, ressalvada a situação de flagrância penal (CF, artigo 5º, LXI) — não se estende ao tema da quebra de sigilo, pois, em tal matéria, e por efeito de expressa autorização dada pela própria Constituição da República (CF, artigo 58, §3º), assiste competência à Comissão Parlamentar de Inquérito, para decretar, sempre em ato necessariamente motivado, a excepcional ruptura dessa esfera de privacidade das pessoas” (STF, MS n.º 23652, Plenário, Relator Min. CELSO DE MELLO, Plenário, julgado em 22.11.00).
7 STF, RE n.º 418.416-8/SC, Rel. Min. SEPÚLVEDA PERTENCE, Plenário, julgado em 10.5.06.
8 Referendo na MC na ADI n.º 6387, Rel. Min. ROSA WEBER, Plenário, DJe em 12.11.20.
9 Essa mudança geral no conceito de dados e a consequente necessidade de disciplinar seu tratamento levou, inclusive, à edição da Lei Geral de Proteção de Dados (Lei n.º 13.709/18).
10 Disponível em: https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/01/25/vazamentos-de-dados-expoem-informacoes-de-223-milhoes-de-numeros-de-cpf.ghtml. Acesso em 2.11.21.
11 Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2021/06/14/estudo-vazamento-de-dados-quase-dobra-tentativas-de-roubo-pela-internet.htm. Acesso em 2.11.21.
12 Disponível em: https://tecnoblog.net/418731/exclusivo-vazamento-de-223-milhoes-de-cpfs-e-vendido-por-preco-menor/. Acesso em 2.11.21.
13 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14155.htm. Acesso em 2.11.21.