InternetLab contribui no STF sobre o Controle de Dados por Provedores de Internet no Exterior
Na última segunda-feira (10), aconteceu no Supremo Tribunal Federal (STF) a Audiência Pública da Ação Declaratória de Constitucionalidade (ADC) 51 sobre o acesso a dados e provas armazenados no exterior por provedores de aplicação de internet.
A ação, ajuizada pela Federação das Associações das Empresas de Tecnologia da Informação (Assespro Nacional), pede que o Acordo de Assistência Judiciária em Matéria Penal (MLAT, na sigla em inglês) seja declarado constitucional. Segundo a autora, os tribunais brasileiros têm desconsiderado o acordo, ao requisitar informações diretamente à pessoa jurídica afiliada à provedora de serviços de comunicações eletrônicas, ainda que o conteúdo de comunicações privadas esteja armazenado no exterior e sob controle de provedor estabelecido fora do território nacional. Para debater esta questão, o Ministro do STF Gilmar Mendes convocou a Audiência Pública e deferiu as participações segundo os critérios de “representatividade, especialização técnica, diversidade de gênero, expertise e garantia de pluralidade de opiniões, com paridade dos pontos de vista a serem defendidos”.
O InternetLab, representado pela coordenadora da área de privacidade e vigilância, Dra. Nathalie Fragoso, contribuiu junto ao grupo de membros da Academia e Sociedade Civil. Dentre outros nomes, participaram da AP Erik Holder, ex-chefe do departamento de justiça dos EUA, os ex-ministros do Supremo Tribunal Federal, Francisco Rezek e Ayres Brito e o Ministro da Justiça, Sérgio Moro.
Assista nossa contribuição:
Faça o download em PDF da Manifestação do InternetLab para a ADC 51 ou leia na íntegra abaixo:
Cooperação mútua, jurisdição na internet e devido processo legal: o acesso a comunicações armazenadas no exterior
Contribuição ao Supremo Tribunal Federal por ocasião da audiência pública, no âmbito da ADC 51, para discussão da constitucionalidade do Decreto 3.810/2001, do art. 273, II, do CPC e dos arts. 780 a 783 do CPP, no que se refere à requisição, por parte de autoridades brasileiras, de comunicações armazenadas no exterior.
O InternetLab, centro independente de pesquisa interdisciplinar que promove o debate acadêmico e a produção de conhecimento nas áreas de direito e tecnologia, sobretudo no campo da Internet, vem prestar suas contribuições para a adequada e exaustiva instrução da Ação Declaratória de Constitucionalidade (ADC) nº 51. Constituído como uma entidade sem fins lucrativos, o InternetLab atua como ponto de articulação entre acadêmicos e representantes dos setores público, privado e da sociedade civil, incentivando e promovendo o desenvolvimento de pesquisas que abordam os desafios de elaboração e implementação de políticas públicas em novas tecnologias, como privacidade, liberdade de expressão e questões ligadas a gênero e identidade.
1. A perspectiva da contribuição do InternetLab
A internet, e o processamento transnacional de dados frequentemente implicado, tem desafiado as pretensões jurisdicionais dos Estados e os contornos tradicionais dos princípios da soberania e da territorialidade. Um ato juridicamente relevante, afinal, pode ser cometido num país, através de aplicações de provedores sediados num outro, produzindo ainda efeitos sobre indivíduos em um terceiro. O resultado comum deste arranjo é a concorrência entre diversos Estados com reivindicações de jurisdição legítimas, quando se trata de critérios de conexão territoriais.
Nesta manifestação pretende-se, de maneira sintética, abordar algumas das questões jurídicas implicadas no acesso a comunicações armazenadas no exterior e colaborar com a questão em discussão, isto é, a constitucionalidade dos dispositivos sob análise nesta ADC 51.
O Brasil firmou, por meio do Decreto Executivo Federal nº 3.810/2001, o “Acordo de Assistência Judiciária em Matéria Penal” com o governo dos Estados Unidos da América, acordo conhecido pelo seu acrônimo na língua inglesa: MLAT, ou Mutual Legal Assistance Treaty. O acordo, em conjunto com os procedimentos descritos no artigo 237, inciso II, do Código de Processo Civil (Lei nº 13.105/2015) e nos artigos 780 e 783 do Código de Processo Penal (Decreto Lei nº 3.689/1941) – que estabelecem a necessidade de expedição de carta rogatória para que órgão jurisdicional estrangeiro pratique ato de cooperação jurídica internacional, ou para que sejam cumpridas diligências necessárias à instrução de processo penal – estipula procedimentos de cooperação mútua para a execução conjunta de atos processuais cujos conteúdos fáticos encontrem-se em ambos territórios. É a constitucionalidade destes dispositivos que se encontra sob análise nesta ADC nº 51.
O Marco Civil da Internet, no seu Art. 11, caput, estabelece por sua vez que “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.” O § 2º deste mesmo artigo determina que “o disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.”
Estes dispositivos do Marco Civil da Internet vêm sendo interpretados como lastro para solicitação direta de comunicações detidas por empresas estrangeiras – geralmente estadunidenses – a suas filiais brasileiras. Ou seja, os dispositivos vêm sendo interpretados de modo a submeter as empresas à observância da lei nacional, não somente no que diz respeito ao tratamento de dados, conforme o sentido literal da norma, mas também à legislação processual para o acesso a dados de usuários. Nessa esteira, destacamos o Recurso em Mandado de Segurança nº 46.685/MT, no Superior Tribunal de Justiça, rel. Min. Leopoldo de Arruda Raposo, j. em 26.03.2015 e o Inquérito nº 784/DF, no Superior Tribunal de Justiça, rel. Min. Laurita Vaz, j. em 17.4.2013, dentre tantos outros já trazidos a lume dessa ADC em sua exordial e outros documentos.
2. A internet é uma rede global e a comunicação de dados que advém de seu funcionamento atinge diferentes jurisdições
Todas informações digitais demandam servidores para seu armazenamento e processamento, do que decorre que as aplicações da internet precisam de uma contrapartida física. A “nuvem” em que dados pessoais são armazenados não é um conceito abstrato: não se refere a um local indeterminado onde informações são processadas paralelamente, como se estivessem em todos os computadores e em nenhum ao mesmo tempo. A “nuvem” nada mais é do que um conjunto de servidores operados em favor de determinada aplicação, fisicamente localizados em locais determinados, com custos de manutenção e energéticos reais.
Naturalmente, grandes aplicações de internet, que engajam milhões de usuários, necessitam de um sistema sofisticado e robusto para armazenar e processar dados. Tais informações digitais necessárias à sua operação (o que inclui dados sobre seus usuários) estarão frequentemente armazenadas em mais de um deles, seja por razão de segurança ou por backup, para que se evite que falhas em um servidor prejudiquem o uso da aplicação, seja por razões de eficiência. Mecanismos de transparência como os estabelecidos no Marco Civil da Internet e na já aprovada Lei Geral de Proteção de Dados, a Lei nº 13.709/2018, podem ser utilizados para que usuários obtenham melhor ciência sobre todo estes procedimentos.
Em diversos casos e por razões decorrentes do próprio funcionamento da internet como infraestrutura em rede global, no entanto, provedores de aplicação de internet não mantém cópias de dados pessoais em servidores localizados no território nacional. Com efeito, os dados necessários para a condução de determinado processo no Brasil poderão estar armazenados em servidores localizados em outros países, controlados por empresas ou conglomerados de empresas de tecnologia, que podem tanto não estar presentes juridicamente no Brasil como podem estar simultaneamente sujeitas a outras jurisdições. Isso pode ocorrer inclusive em situações nas quais pretensões jurisdicionais brasileiras se colocam como inteiramente legítimas. Esta situação é enfrentada por todos os países que se conectam à internet e é nesse contexto que ganha relevância a cooperação mútua.
3. O respeito à legislação brasileira impõe o respeito ao rito de cooperação jurídica internacional positivado no sistema jurídico nacional
O artigo 11 do Marco Civil, mencionado acima, de fato, estabelece que o tratamento de dados realizado em território nacional deve “respeitar a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”, “mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior”. A obrigação de respeito à lei brasileira, inclusive por pessoas jurídicas sediadas no exterior, caso ofertem serviços ao público brasileiro ou tenham estabelecimento no Brasil, não se opõe ao cumprimento do rito estabelecido em outros diplomas legais brasileiros para obtenção de cooperação internacional nos casos em que dados necessários para determinado procedimento nacional estejam armazenados em solo estrangeiro. Muito pelo contrário: segundo o art. 3º, parágrafo único, do Marco Civil da Internet, “os princípios expressos na Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte”.
É de se esperar das empresas de tecnologia que têm acesso ao mercado brasileiro, um dos maiores do mundo, e aos dados pessoais dos cidadãos brasileiros, que cooperem com as autoridades brasileiras. De fato, se respeitados os direitos fundamentais dos cidadãos usuários de internet, em especial os direitos à privacidade e os associados à proteção de seus dados pessoais, tal cooperação é imprescindível para a adequada prestação jurisdicional – e deve ocorrer, como ressaltamos acima, com respeito à totalidade do ordenamento jurídico brasileiro, o que inclui os tratados internacionais efetuados pelo governo brasileiro no exercício de suas funções executivas e os Códigos de Processo Penal e Civil aprovados pelo Congresso Nacional.
O Marco Civil é, como visto, aberto à normação internacional e, em seu texto, é harmonizável aos procedimentos de cooperação tal como previstos. A interpretação que confere efeito extraterritorial às obrigações de cooperação com autoridades estatais na entrega de dados de usuários e a consequente exposição de provedores transnacionais à “escolha” de obediência entre as legislações nacionais a que estão simultaneamente submetidos falha em considerar que os efeitos adversos da recusa em aplicar um tratado internacional negociado e assinado pelo Estado brasileiro, no exercício da sua soberania.
Isso porque a proteção da soberania não é via de mão única, mas um delicado equilíbrio que deve ser atingido com todos os estados-nação envolvidos. As práticas adotadas pelo Brasil em relação às empresas estrangeiras com presença nacional poderão ser espelhadas por outros entes estatais, o que coloca em xeque o funcionamento da internet enquanto tecnologia que tem como uma de suas maiores virtudes ser uma rede de interconexão global. Se o Judiciário brasileiro busca o afastamento de tratados de cooperação jurídica internacional em casos que envolvam empresas cujos dados requisitados se encontram em servidores localizados no Estados Unidos da América, por exemplo, abrir-se-á espaço para que esse mesmo governo proceda dessa maneira na via oposta.
A tentativa de resolução do conflito de jurisdição de forma unilateral falha em promover a coordenação entre os Estados-nação e endereçar as questões postas pelas novas tecnologias de informação e comunicação como desafio ao processo penal e ao direito internacional de maneira consistente e estrutural.
A título ilustrativo, mencionamos caso muito similar a essa ADC nº 51, ocorrido perante a Suprema Corte dos Estados Unidos. Trata-se do United States of America vs. Microsoft (584 U.S. ___, 138 S. Ct. 1186 (2018). Nessa situação, a Microsoft recebeu ordem judicial (warrant) de autoridades policiais deste país para que entregasse dados de cidadãos estadunidenses armazenados em servidores localizados na Irlanda. Tendo questionado a legalidade do pedido e ganhado em segunda instância, o caso foi levado à Suprema Corte, que aceitou o caso para ser julgado em outubro de 2017. A principal questão em querela era se a ordem emitida pelo juiz norte-americano para o acesso do conteúdo das comunicações armazenadas fora dos EUA poderia ser considerada “extraterritorial”, e, portanto, ilegal.
O caso não chegou a ser decidido, dada a promulgação do “Cloud Act” – lei que altera o “Stored Communications Act” para determinar que empresas estadunidenses devem fornecer dados armazenados em qualquer servidor que operem quando requisitadas mediante ordem judicial. A norma, convém notar, compreende a possibilidade de recusa, caso a entrega dos dados viole as leis do país estrangeiro, e cria uma alternativa ao MLATs, permitindo que o Poder Executivo, observados determinados limites, celebre acordos bilaterais simplificados para a obtenção desses dados.
Na ocasião, movido pela preocupação com o respeito à privacidade e à proteção de dados, o InternetLab foi admitido como amicus curiae no caso perante a Suprema Corte dos Estados Unidos. A decisão naquele caso, se favorável ao governo estadunidense, poderia representar um alarmante precedente, pois reconheceria o poder de um governo (neste caso, dos EUA) de acessar informações independentemente de estarem sob a jurisdição de outros países cuja legislação possa estabelecer diferentes graus de proteção à privacidade e o devido processo legal. Na prática, a decisão seria um forte argumento para que as autoridades de investigação de outros países exigissem o mesmo tipo de prerrogativa, estabelecendo uma dinâmica de acesso a dados que suplantaria os tratados de cooperação internacional existentes, precisamente pensada para a equalização deste tipo de conflitos jurisdicionais.
4. Em nome do devido processo legal, o STF deve reafirmar a validade da cooperação jurídica internacional, mesmo que sinalize uma necessidade de atualização deste sistema em tempos de internet
O caso em tela suscita preocupação similar. De fato, conforme arguem e demonstram as autoridades brasileiras, a expedição de cartas rogatórias e os ritos estabelecidos pelo MLAT, na forma como hoje são processados, podem frustrar as expectativas das autoridades brasileiras de acesso célere a meios de prova. O legítimo objetivo de promover a adequada persecução penal diante do cometimento de crimes não pode ser ignorado. Quanto a isso, a modernização destes procedimentos para a cooperação jurídica internacional, hoje burocráticos e demorados, é responsabilidade premente do Estado brasileiro, a quem cabe o papel de defender a soberania brasileira e negociar tratados internacionais – inclusive enquanto instrumentos de política pública.
Assim, incumbe aos poderes Executivo e Legislativo, no limite de suas competências, o engajamento em iniciativas internacionais, que ponderam modelos alternativos de cooperação, de forma a garantir a preservação dos interesses dos Estados soberanos e suas autoridades de investigação, mas também o direito à privacidade e ao devido processo legal nos casos que envolvam o acesso aos dados dos usuários da Internet. Iniciativas importantes de negociação têm sido conduzidas em diversos foros internacionais, inclusive com pronunciada participação multissetorial brasileira, o que é essencial considerando a complexidade da internet e dos autores envolvidos na sua governança.
Ao Judiciário brasileiro, por outro lado, incumbe a garantia dos direitos do acusado, conforme sua missão constitucional. As insuficiências que se manifestam no cotidiano da justiça criminal, embora profundamente relevantes, não bastam para que se abdique do devido processo. Isto é, da observância de formas instrumentais adequadas a assegurar uma prestação jurisdicional justa. A incerteza quanto ao procedimento, ao contrário, fragiliza e infirma garantias processuais penais e abre espaço para mecanismos de cooperação informais que padecem da falta de transparência e previsibilidade, e falham em considerar garantias processuais.
5. O devido processo legal
A pretensão de acesso direto aos diálogos armazenados em território estrangeiro, sob custódia de empresa estrangeira, isto é, a pretensão de exercer poder jurisdicional sobre coisas e pessoas submetidas a outra jurisdição desafia princípios de direito internacional reconhecidos pela Constituição Federal, tal como o respeito à soberania. Isto decorre dos princípios que orientam a relações internacionais do Brasil, como a autodeterminação dos povos, não-intervenção, igualdade entre os Estados (art. 4o, III, IV, V da Constituição Federal). As estratégias de acesso fora dos canais de cooperação, além disso, violam acordos e fomentam desconfiança entre estados.
Há, por outro lado, relevantes implicações internas ainda a considerar, que desaconselham a inobservância de procedimentos como meio de promoção de desburocratização.
A coleta de meios de prova fora das balizas estipuladas no MLAT viola a Constituição. Seja pelo desrespeito aos já referidos princípios da soberania (art. 1o da CRFB), da autodeterminação dos povos, da não-intervenção, igualdade entre os Estados (art. 4o , III, IV, V da CRFB), seja pela inobservância do procedimento capaz de submeter as provas oriundas de outra jurisdição a filtros garantidores de credibilidade e de direitos.
A inobservância das regras na obtenção desses elementos pode frustrar, ademais, a sua admissão e valoração como prova no processo penal e, ao invés de colaborar aos fins do processo, o mina. Afinal, pode ensejar a sanção que decorre da violação de regras que orientam a produção da prova, nesse caso inclusive normas constitucionais (art. 5, inciso LVI da CF).
Eventual modernização, reforma ou aperfeiçoamento deve permanecer atenta ao devido processo legal, às garantias fundamentais. Enquanto isso, do Judiciário, espera-se que exerça a função de tutela dos direitos fundamentais e de garantia as regras do jogo, enquanto essas regras não se alteram.
Francisco Brito Cruz
Diretor do InternetLabNathalie Fragoso
Coordenadora de Pesquisa
Enrico Roberto
Pesquisador