Como a Constituição deve ser aplicada no caso do uso de tecnologias de monitoramento secreto (conhecidos por softwares espiões ou spywares) pelo Estado brasileiro? Esses spywares podem ser utilizados em investigações sobre crimes? Quais direitos constitucionais estão em jogo quando isso acontece? A adoção de programas espiões por autoridades brasileiras e recentes escândalos envolvendo o seu uso para monitorar indevidamente autoridades, ativistas e jornalistas colocaram estas perguntas na ordem do dia.

Ao final de 2023, após investigações da Polícia Federal envolvendo a Agência Brasileira de Inteligência (Abin) e a utilização de spyware como o First Mile, a Procuradoria-Geral da República ingressou com uma Ação Direta de Inconstitucionalidade por Omissão (ADO 84, posteriormente convertida em ADPF 1143) questionando ao Supremo Tribunal Federal (STF) a ausência de legislação sobre o uso de spywares por órgãos e agentes públicos. Ainda, a PGR argumentou que a compra e o uso das tecnologias espiãs sem regulamentação não oferece proteção adequada à garantia da inviolabilidade da vida privada, da intimidade e do sigilo de comunicações e dados pessoais, pedindo a fixação de prazo razoável para que o Congresso Nacional aprove lei sobre a temática. 

Em junho e julho de 2024 o InternetLab buscou contribuir com o STF em duas modalidades: (i) participando de audiência pública sobre o tema realizada pelo Supremo Tribunal Federal, ; e (ii) na condição de amicus curiae, peticionando junto à Data Privacy Brasil  — e com o apoio do escritório Mudrovitsch Advogados — para apresentar à Corte subsídios e argumentos relevantes à sua futura decisão. As atividades fazem parte da Iniciativa de Defesa Digital, projeto conjunto do InternetLab e da Data que visa aprimorar as capacidades da sociedade brasileira de defender seus direitos no âmbito das comunicações digitais.

A audiência pública sobre o caso

A audiência foi convocada pelo ministro relator Cristiano Zanin, que destacou a relevância jurídica e social do tema que envolve direitos fundamentais à intimidade e à vida privada e a inviolabilidade do sigilo das comunicações pessoais. Na ocasião, destacamos a capacidade dos spywares de possibilitar uma intrusão ainda mais grave à privacidade dos cidadãos, se comparados, por exemplo, à interceptação telefônica e à invasão de domicílio. Então, chamamos a atenção para o conjunto de regras nacionais e internacionais que estabelece critérios e limites que as autoridades devem observar nos casos em que a violação de sigilo de dados seja necessária para fins de investigação criminal. Por fim, sustentamos que, ao adquirir e utilizar os spywares, o Estado incentiva um mercado que gera vulnerabilidades nas comunicações e nos sistemas informacionais das pessoas e assim deteriora a infraestrutura do debate público e a confiança nas instituições democráticas.

“Os casos ocorridos no Brasil e no mundo evidenciam como o aparato de vigilância do Estado, quando não limitado e condicionado a regras estritas, pode ser desvirtuado. Em vez de servir para fins institucionais lícitos, como o combate a crimes graves, pode ser usado para fins individuais e até mesmo de perseguição política que ameacem o Estado Democrático de Direito e os princípios da impessoalidade e legalidade da administração pública”  — Bárbara Simão na audiência pública. 

Por sua vez, a Data Privacy Brasil apresentou uma tipologia com seis categorias de spywares, que ajudam a entender os diferentes tipos de ferramentas de vigilância direcionada e suas capacidades de extração de dados. 

“No caso Pegasus e Harpia Tech nós percebemos uma confusão entre spywares e Inteligência em Fontes Abertas (OSINTs), sendo necessário reforçar as diferenças entre tais categorias. (…) Os spywares podem ser definidos como programas  com capacidades intrusivas de extração de informações e invasão de dispositivos ou sistemas eletrônicos. O seu objetivo é explorar falhas de segurança para a coleta de informações sobre seus alvos, que dificilmente conseguem identificar a invasão. (…) Podemos separar diferentes modalidades de spywares a partir de suas características e capacidades auxiliando a identificar os riscos que cada uma promove a direitos fundamentais”   — Pedro Saliba na audiência pública 

Os argumentos elencados acima serão detalhados no tópico abaixo. Além do InternetLab e da Data Privacy Brasil, a audiência contou com 33 expositores, dentre representantes da sociedade civil, da academia, do governo e do setor privado. Confira aqui a lista completa dos expositores da audiência pública. 

O que apresentamos e argumentamos ao STF em nosso o amicus curiae?

Em nossa petição ao STF, argumentamos que o Estado, ao adquirir e usar ferramentas que invadem e extraem informações de dispositivos eletrônicos pessoais, incentiva um mercado que cria vulnerabilidades nas comunicações e sistemas informacionais das pessoas. Para tanto, elaboramos uma tipologia, isto é, categorias para auxiliar a compreensão dos diferentes tipos e das capacidades de extração de dados das ferramentas de vigilância direcionada identificadas em contratos da administração pública brasileira. Então, defendemos que os spywares estão entre as tecnologias mais intrusivas a direitos fundamentais — privacidade, inviolabilidade do sigilo das comunicações pessoais e de dados, liberdade de expressão — à  disposição do Estado:

“Informações de um dispositivo eletrônico podem revelar aspectos profundos da identidade digital de seu titular, desde sua moradia a seus costumes, renda, pessoas com quem se encontra etc. Assim, compõem e formam um retrato abrangente e particular da vida privada de um indivíduo: seus hábitos de vida, interesses, preferências, associações familiares, políticas, profissionais, religiosas e sexuais podem ser revelados ou inferidos.” — Contribuição ao STF (amicus curiae) p. 47

Traçamos um panorama de como os casos brasileiros de aquisição de spywares, por exemplo, as investigações da PF contra a Abin, se inserem em um cenário global de parcerias opacas entre Estados e o mercado internacional de exploração de vulnerabilidades de segurança nos sistemas e protocolos de comunicação digital. A partir de uma exposição de exemplos notadamente conhecidos, como os casos Pegasus e First Mile nos cenário internacional e brasileiro, ilustramos como a compra e uso dessas ferramentas, qualificadas pela falta de transparência e parâmetros legais, resultam em violações a direitos fundamentais e em um ambiente informacional menos seguro e confiável a todos os cidadãos.

Após a apresentação da tipologia dos spywares e do cenário do mercado internacional de vigilância, argumentamos como a democracia e direitos fundamentais são ameaçados e violados pelo uso de spywares. Defendemos que além das garantias constitucionais à privacidade e à proteção de dados pessoais, há um direito à integridade dos sistemas informacionais que impõe como dever ao Estado agir de forma a proteger — e não vulnerabilizar — a segurança das comunicações de seus cidadãos. Assim, considerando-se o grau de intrusividade e risco de tais medidas em relação aos seus potenciais benefícios para investigações criminais, entendemos que não há como compatibilizar a proteção dos direitos fundamentais com a possibilidade de aquisição e uso de spywares pelo Estado brasileiro.

“Há, na atualidade, inúmeras outras técnicas e ferramentas de investigação à disposição do Estado, menos gravosas que a invasão direta a um dispositivo eletrônico. Diante do avanço de tecnologias de informação e comunicação, e da profusão de meios de obtenção de provas digitais, é possível identificar a autoria de crimes por meios ordinários de investigação, em especial por procedimentos menos restritivos de direitos. (…) Não há, portanto, razoabilidade em se supor que a utilização de spywares seria ‘necessária e proporcional’ em qualquer caso.” — Contribuição ao STF (amicus curiae) p. 47

Por fim, na hipótese do STF rejeitar o argumento da inconstitucionalidade total da aquisição e uso de spywares, defendemos que tais ferramentas só poderão ser usadas pelas autoridade públicas se figurar como a única medida disponível, e após a elaboração de critérios rígidos e coerentes com a legislação brasileira, a fim de conferir proteção adequada e eficiente aos direitos fundamentais atingidos por elas. Argumentamos que as legislações e decisões judiciais que busquem oferecer as balizas contra o uso ilegal dos spywares devem observar, ao menos:

“(i) a necessidade de decisão judicial prévia e de respeito à rigidez similar às demais situações de quebra de sigilo; (ii) a interpretação constitucional sobre o sigilo das comunicações atualizada aos padrões de intrusividade contemporâneos; (iii) inclusão de mecanismos de respeito à cadeia de custódia; (iv) a individualização de sujeitos à procedimento de intrusão; (v) a construção de demais parâmetros compatíveis com a ordem constitucional.” — Contribuição ao STF (amicus curiae) p. 48

Confira a íntegra da petição, de nossa fala na audiência pública e mais sobre a Iniciativa de Defesa Digital (em parceria com a Data Privacy Brasil).