A disputa por acesso a dados armazenados em diferentes países tem ganhado relevância no país devido a um grande número de provedores de redes sociais e de serviços de mensageria privada populares serem ofertados aos brasileiros por empresas estrangeiras, em especial, norte-americanas. Diante da necessidade de efetividade e resolução das investigações do Estado brasileiro e a persecução de potenciais crimes independentemente de onde estejam os dados e eventuais provas, é fundamental ter clareza sobre a extensão e os limites que o direito internacional, a geopolítica e os aspectos técnicos da rede impõem ao acesso a dados distribuídos pelo mundo – uma característica inerente ao funcionamento de uma Internet global e descentralizada, que deve ser preservada.
Se, por um lado, a soberania nacional tem o seu papel crucial ao estabelecer, em leis brasileiras, o que autoridades nacionais podem requerer e quais procedimentos devem seguir em esforços investigativos, por outro lado, o fato de dados estarem espalhados pelo mundo pode submeter seu acesso também a regras de outros países. Esses dois fatores devem ser compatibilizados, para que haja um eficaz acesso às informações e as autoridades possam, sim, realizar suas funções de investigação e persecução criminal, respeitando a soberania de outros países. Vale destacar que nosso ordenamento jurídico reconhece o caráter global da internet, definindo que os tratados internacionais também devem ser seguidos para sua regulação (Art. 3 do Marco Civil da Internet), e que a ordem constitucional também reconhece a soberania dos Estados e se compromete com a cooperação entre eles.
A redação do artigo 32 do PL 2630/20, em discussão na Câmara dos Deputados, entretanto, obriga empresas de internet que atuem no Brasil a disponibilizar um mecanismo de acesso remoto a dados que desconsidera i) a forma como os dados são operados pela rede, distribuídos em várias jurisdições, e ii) que uma lei brasileira que obrigue acesso a data centers localizados em outros países vai, necessariamente, para ser cumprida, exigir sua harmonização com jurisdições dessas localidades.
Neste documento, procuramos mostrar por que a solução proposta pelo PL 2630/20 para uma questão de jurisdição concorrente será, ao mesmo tempo, ineficaz e potencialmente problemática para diversos esforços diplomáticos internacionais. Esforços esses que não apenas podem melhorar o acesso a esses dados pela via da cooperação jurídica internacional como também ampliam o potencial de desenvolvimento econômico do país através do acesso a novos mercados digitais.
A presente nota técnica busca, assim, contribuir com o debate e sugerir, além de uma nova redação para o Art 32 do referido PL, ações mais efetivas ao Estado brasileiro na busca por melhores soluções no que tange o acesso de dados de brasileiros coletados no Brasil e distribuídos pelo mundo – questão que parece ser o foco do problema em discussão.
1. O Marco Civil da Internet e as regras atuais da cooperação jurídica internacional
O Marco Civil da Internet (Lei 12.965/14) estabelece, em seu Art. 11, que qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de aplicações de internet em que pelo menos um desses atos ocorra em território nacional deverá respeitar a legislação brasileira. E explicita que, “mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil”, a legislação brasileira deverá ser cumprida.
A mesma lei determina ainda, em seu Art. 10, que os registros de acesso a aplicações de Internet e o conteúdo das comunicações privadas serão disponibilizados mediante ordem judicial, e que dados cadastrais que informem qualificação pessoal, filiação e endereço poderão ser requeridos por autoridades administrativas que detenham competência legal para tal. O requerimento para fornecimento de registros de acesso a aplicações deverá conter, de acordo com o Art. 22 do MCI, sob pena de inadmissibilidade, fundados indícios da ocorrência do ilícito; justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e período ao qual se referem os registros.
Um acompanhamento da jurisprudência dos tribunais brasileiros mostra que, em geral, os registros de acesso a aplicações, assim como dados cadastrais armazenados pelas chamadas plataformas digitais têm sido disponibilizados pelas empresas mediante ordem judicial de autoridades brasileiras. Já requerimentos de acesso aos conteúdos de mensagens vêm sendo negados por empresas com sede nos Estados Unidos porque, naquele país, o “Stored Communications Act” (SCA) estabelece critérios diferentes para tal acesso.
Nesses casos, as empresas norte-americanas têm apontado que o acesso a tais dados deve seguir os procedimentos estabelecidos no Acordo de Cooperação jurídica entre Brasil e EUA, incorporado ao direito brasileiro pelo Decreto 3.810/2004 – ou seja, um instrumento previsto na legislação nacional. Acordos de Cooperação Jurídica Mútua (chamados de MLATs) são tratados bilaterais entre países igualmente soberanos, visando ao auxílio mútuo entre suas autoridades. O Brasil tem dezenas de MLATs com diversos países do mundo. É este acordo que promoverá a compatibilização entre os sistemas jurídicos em conflito em cada caso específico.
No caso do MLAT com os Estados Unidos, ele permite que sejam requeridos dados e conteúdos mesmo que estejam originalmente protegidos pela lei de bloqueio mencionada anteriormente (SCA). Neste contexto, as empresas norte-americanas entendem que, se entregarem conteúdos de mensagens sem que o MLAT seja observado pelas autoridades brasileiras solicitantes dos dados, estariam em desacordo com a lei dos EUA – o que poderia resultar em sanções e responsabilidade civil. A cooperação jurídica através do MLAT é que facilita e permite a entrega dos dados de acordo com os procedimentos nacionais de ambos países, respeitando a soberania e a legitimidade tanto do Brasil quanto dos EUA. Esse procedimento é o mesmo seguido, por exemplo, por estrangeiros quando precisam de documentos localizados no Brasil.
Há quem entenda, entretanto, que, a aprovação do Marco Civil da Internet reduziu o escopo do MLAT, de forma que este último não se aplicaria a casos de dados de brasileiros coletados no Brasil e posteriormente enviados a outras jurisdições, devendo se restringir a dados coletados no exterior e necessários para investigações realizadas por autoridades brasileiras. Nesses últimos é que haveria a necessidade da cooperação jurídica internacional.
A questão é objeto de debates em curso neste momento no Supremo Tribunal Federal, que analisa a ADC 51 (Ação Declaratória de Constitucionalidade), para avaliar o controle de dados de usuários por provedores de internet no exterior. A ação tem em bojo justamente um questionamento sobre a existência da possibilidade de requisição unilateral de acesso a dados por parte de juízes brasileiros ou se o procedimento deve seguir sendo o MLAT.
2. Problemas do Artigo 32 do PL 2630/20
O artigo 32 do PL 2630/20, em sua versão aprovada no Senado, estabelece duas obrigações para as empresas multinacionais em operação no país incluídas no escopo da lei: (i) ter sede e nomear um representante legal no Brasil; e (ii) garantir acesso remoto, a partir do Brasil, aos seus bancos de dados para atendimento “especialmente” – e não unicamente – de ordens de autoridade judicial brasileira.
A obrigação de ter uma sede no Brasil somente faz sentido em uma economia não digital. Ela nasce do mesmo lugar de uma ideia corriqueiramente apontada para se evitar a aplicação de acordos de cooperação jurídica internacional em caso de jurisdições compartilhadas: obrigar que empresas multinacionais mantenham data centers no Brasil, para que armazenem aqui todos os dados coletados em nosso território. Tal proposta, debatida exaustivamente pelo Congresso Nacional na ocasião da aprovação do Marco Civil da Internet, foi descartada por diferentes razões.
Uma delas é a de que a medida desconsidera a natureza global da Internet, que envolve a constante troca transfronteiriça de informações, reduzindo a Internet a um fenômeno local. Diferentemente de muitos que dependem do meio físico como as indústrias, o comércio, entre outros, os serviços online não dependem de uma presença física no país. É da própria natureza da Internet poder fluir sem estar restrita às fronteiras territoriais. Um dos aspectos mais positivos da economia digital é precisamente permitir a escalabilidade e a existência de usuários e clientes independente das fronteiras territoriais, uma vez que o fluxo é projetado de acordo com padrões técnicos, protocolos internacionais, sobrecarga do tráfego e integridade dos pacotes, por exemplo.
A obrigação de criação de sedes no país poderá levar à exclusão dos usuários brasileiros (consumidores ou empresas) dos serviços mais modernos e inovadores desenvolvidos e mantidos no exterior, já que somente aquelas empresas e serviços já consolidados e com busca ativa de presença no país é que terão incentivos para arcar com os custos decorrentes da medida. Adicionalmente, a obrigação poderá incrementar o já alto custo Brasil. Em um momento em que a economia internacional está se posicionando para um novo salto tecnológico relacionado à inteligência artificial e à Internet das Coisas, em que as empresas que tiverem mais escala serão as mais competitivas, incremento de custos pode prejudicar o país de se incluir nas cadeias internacionais de geração de valor, relegando o país a um status de mero consumidor de serviços e somente os serviços de empresas dominantes do mercado.
Já a inclusão no PL do dever de acesso remoto obrigatório a dados, a partir do Brasil, não solucionará a disputa em curso em casos de jurisprudência compartilhada. Isso porque, por mais que o Marco Civil da Internet já determine que, em caso de dados ao menos coletados no Brasil, as empresas multinacionais devem entregá-los se ordem judicial específica assim ordenar, as mesmas não o fazem, sob risco de serem responsabilizadas pela lei dos Estados Unidos, onde estão sediadas e onde armazenam os dados.
Ou seja, a solução unilateral de incluir este dispositivo, como tal, no PL 2630 vai esbarrar nos mesmos problemas que as requisições atuais, perdendo sua eficácia. Ao mesmo tempo, a depender da solução apontada pelo STF na ADC 51, acima mencionada, o art.32 poderá ter sua constitucionalidade questionada, inclusive quanto à cooperação jurídica internacional, princípio da ordem constitucional brasileira. Sem contar que tal medida poderá dificultar os esforços diplomáticos do Estado brasileiro na negociação de novos instrumentos de cooperação jurídica, também em andamento no país, de facilitação de acesso a dados localizados no exterior para fins de persecução penal.
A atual redação do Artigo 32 também pode trazer impactos de ordem econômica e comercial numa economia digital internacional. O Brasil quer se integrar mais à economia internacional de dados. Para tanto, deve negociar chamados “acordos de adequação”, que permitem o país ser considerado adequado para a circulação de dados pessoais. A economia digital pressupõe que se possa ter acesso a serviços de Internet em diversos países e tem como fundamento a circulação de dados. Esses acordos são pedra de toque, que facilita a economia no momento digital que estamos.
Recentemente, uma decisão da Corte de Justiça da União Europeia considerou que o acordo que permitia a adequação dos EUA com o sistema de proteção de dados da Europa deveria ser invalidado, porque a lei dos EUA requer acesso a dados para investigação criminal independente das proteção de dados pessoais e dos padrões de proteção. O Artigo 32 vai na mesma linha equivocada desta lei norte-americana, ao requerer acesso direto a dados independente de condicionantes. Assim, da forma como está, o Artigo 32 também será uma barreira para um acordo que permita a adequação do Brasil ao sistema Europeu e a livre circulação de dados, impactando nossa economia.
Tal provisão também está em descompasso com os padrões internacionais de proteção de dados. Ela não estabelece qualquer provisão de cuidados com proteção de dados, inclusive fala em “manter acesso remoto […] especialmente para atender a ordem judicial brasileira”, sugerindo que não é somente para ordens judiciais. Isso pode, ainda, esbarrar na conformidade do Brasil para adentrar a organizações internacionais que prezam por padrões internacionais de proteção de dados, como a OCDE (Organização para a Cooperação e o Desenvolvimento e Econômico).
3. Recomendações
1. Devido aos esforços diplomáticos atuais do Brasil, a discussão do tema de acesso a dados no exterior se coaduna melhor com outros foros, diversos do PL 2630/20. Vale lembrar que já há uma discussão em curso na Câmara dos Deputados sobre um projeto de lei sobre proteção de dados no contexto de segurança pública e segurança nacional, assim como a Comissão Parlamentar de Inquérito sobre Fake News. Esses seriam espaços mais apropriados para a discussão sobre esse tipo de tema.
2. Havendo uma decisão da Câmara dos Deputados em manter uma previsão desta natureza no PL em questão, o caminho deveria ser o de uma redação alternativa, que reconheça a soberania e a jurisdição do país sobre dados relacionados a brasileiros coletados no país assim como os desafios da dimensão internacional da questão, nos seguintes termos:
Art. 32 Os provedores de redes sociais e de serviços de mensageria privada de que trata esta Lei deverão nomear representantes legais no Brasil, disponibilizando informações sobre os mesmos em seus sítios na internet.
Parágrafo único – O Código de Conduta previsto no artigo XX desta lei estabelecerá prazos de adaptação aos provedores de redes sociais e de serviços de mensageria privada para fins de cumprimento no caput deste artigo.
Art. 32-A Os provedores de redes sociais e de serviços de mensageria privada que ofertarem serviços a indivíduos localizados no território nacional fornecerão, em atendimento a ordem de autoridade judiciária competente, respeitando normas e procedimentos nacionais, dados de usuários brasileiros cujas conexões estejam exclusivamente ligadas ao território nacional.
3. Visando solucionar outros problemas apontados nesta nota técnica, também sugerimos uma redação alternativa ao § 1º do Art. 1o da Lei, qual seja:
§ 1º Esta Lei se aplica a provedores de redes sociais e de serviços de mensageria constituídos na forma de pessoa jurídica, que ofertem serviços ao público brasileiro e exerçam atividade de forma organizada, profissionalmente e com fins econômicos, cujo número de usuários registrados no país seja equivalente, no mínimo, a 1% da população.
Materiais para aprofundamento
– “A internet e suas repercussões sobre cooperação jurídica internacional” (IRIS, 2018)
– Estudo do IRIS sobre Portas Lógicas e Registros de Acesso (2017)
– Sigilo online, investigações criminais e cooperação internacional (IRIS, 2018)
Coalizão Direitos na Rede
- Centro de Estudos da Mídia Alternativa Barão de Itararé
- Fórum Nacional pela Democratização da Comunicação
- Instituto Beta: Internet & Democracia
- Instituto de Pesquisa em Direito e Tecnologia do Recife – IP.rec
- Internetlab
- Intervozes – Coletivo Brasil de Comunicação Social
- IRIS – Instituto de Referência em Internet e Sociedade
- ITS-Rio – Instituto de Tecnologia e Sociedade do Rio de Janeiro
- LAPIN/UnB – Laboratório de Pesquisa em Políticas Públicas e Internet da UnB