Reforma do Código de Processo Penal pode aumentar vigilância e precisa de equilíbrio em questões de tecnologia

Retenção de dados em massa, retrocessos nas garantias no âmbito da interceptação das comunicações, vulnerabilidades de segurança em sistemas e serviços e legitimação de hacking pelo Estado.

Tendo em vista a tramitação do texto do Projeto de Lei n.º 8045/2010, do Senado Federal, que trata do Código de Processo Penal – CPP, a Coalizão Direitos na Rede – CDR, que reúne cerca de 45 organizações acadêmicas e da sociedade civil que atuam em defesa dos direitos digitais e que participaram ativamente da construção dos processos de discussão e aprovação do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais, alerta para os riscos trazidos pela forma como temas de tecnologia e uso de dados foram abordados pela atual redação do texto, sobretudo no que concerne à expansão, legitimação e à institucionalização da vigilância estatal sobre as comunicações no Brasil. Da forma como está, a proposta busca dar uma pretensa efetividade na condução da persecução penal, mas falha em atualizar o processo penal brasileiro para a era digital e atingirá garantias constitucionais e o devido processo legal, que devem estar na base do Estado Democrático de Direito. Por isso, é fundamental que as discussões em torno da redação do texto do PL na Comissão Especial sejam ampliadas e promovidas de forma a abranger um debate multissetorial e multidisciplinar com vista a alcançar uma redação que reflita de sobremaneira a composição diversa e plural da sociedade brasileira.  

Em específico, os retrocessos mais evidentes ocorrem quando a proposta traz definições imprecisas e desequilíbrios na tutela jurídica da prova digital que podem abrir brechas para situações abusivas no curso de investigações e processos. Conforme o texto do relatório apresentado na Comissão Especial que discute o tema, o novo Código abre margem para as seguintes medidas problemáticas para direitos fundamentais, que detalharemos adiante:

  1. Expansão desproporcional da retenção massiva de dados para futuras investigações;
  2. Retrocesso em garantias no âmbito da interceptação das comunicações;
  3. Criação de exigências aos provedores que podem significar a introdução de  vulnerabilidades de segurança em seus sistemas e serviços; e
  4. Legitimação de hacking realizados por agentes estatais. 

1. Expansão das hipóteses autorizativas de medidas de retenção de dados de forma indeterminada

O texto do relatório promove expansão desmedida das hipóteses autorizativas de medidas de retenção de dados – ou seja, da guarda massiva e obrigatória de dados para posteriores investigações – sem conferir salvaguardas suficientes aos direitos fundamentais e aos princípios que devem ser aplicados em casos envolvendo a proteção de dados pessoais, como finalidade, adequação, necessidade, segurança e qualidade dos dados.

Em seu artigo 301, a minuta do Código visa possibilitar a concessão de ordem judicial para guarda e acesso à prova digital sob controle de terceiros, como empresas. Primeiro, a proposta falha em não apontar em quais circunstâncias esta intrusão seria adequada, abrindo espaço para que este tipo de pedido seja utilizado indiscriminadamente ou quando disponíveis métodos menos intrusivos. Em segundo, o texto é omisso a princípio importante para o tratamento de dados pessoais, como a qualidade dos dados. 

A proposta vai ainda mais longe, expandindo significativamente o regime de guarda em massa de dados por provedores de conexão e de aplicações de internet em seu artigo 302. Isto significa que todos os usuários de internet no Brasil terão mais dados retidos por provedores, independentemente de serem suspeitos de ilícitos.

Esta proposta também traz riscos para a segurança jurídica, por usar termos imprecisos e que podem causar confusão na aplicação da lei. Além de incluir uma categoria não disciplinada na legislação aplicável (“provedores de infraestrutura”), a proposta determina, de forma genérica, guarda por um ano de “registros de dados necessários e suficientes para a individualização inequívoca dos usuários”. Desta maneira, abre brecha para a discricionariedade e extensão da interpretação de quem deve guardar dados para futuras investigações e sobre quais dados devem ser retidos. 

Assim, a disposição não só dobra o tempo que os registros devem ser massivamente guardados por empresas de internet, como também determina que os provedores tratem todos os seus usuários como potenciais suspeitos que precisam ser fichados. 

Ainda neste ponto, o proposto artigo 303 possibilita a concessão de ordem judicial para a guarda de dados pelo prazo de até um ano se houver receio de que a prova digital possa perder-se, alterar-se ou deixar de estar disponível. Mais uma vez, o dispositivo é omisso quanto à necessidade de respeito à finalidade e à qualidade dos dados. Além disso, não prevê a obrigatoriedade de fundamentação da ordem judicial que autoriza a guarda, mostrando-se incompatível com o devido processo legal na persecução penal.

Nesse contexto, o Brasil já tem um modelo adequado para a retenção de registros que permitam a identificação de usuários de internet. O regime de guarda e acesso a dados associados à comunicação por provedores de conexão e de aplicações previsto no Marco Civil da Internet (Lei 12.965/2014) representa um equilíbrio entre a proteção de direitos fundamentais e a necessidade de obtenção de dados no âmbito de investigações, fruto de amplo debate entre diferentes setores da sociedade. Desconsiderando tal construção, a proposta ignora a complexidade do ecossistema da Internet, estabelecendo obrigação que vai na direção contrária do princípio da necessidade no tratamento de dados pessoais. Exige, ainda, a criação de bancos de dados por agentes que não necessariamente terão as condições de fazê-lo de forma segura para evitar incidentes de segurança, como redes comunitárias de acesso à Internet ou provedores de aplicação que sequer sejam constituídos como pessoa jurídica ou tenham finalidade econômica. O recorte das obrigações de guarda no artigos 13 e 15 do Marco Civil serve justamente para calibrar essas diferenças e nuances, devendo ser mantido como o regime aplicável. 

Por fim e tendo em vista o arcabouço normativo criado pelo MCI, a diferenciação feita pelo PL entre dados em repouso e dados em transmissão é ineficaz. Isto porque a classificação de dados dessa forma encontra-se ultrapassada e pode confundir a autoridade pública que utilizará esse conceito. Além disso, é possível que a aplicação do termo “dado em repouso”, da forma como prevista no projeto de lei, mostra-se demasiada abrangente e propicie eventuais abusos, abrindo inclusive a possibilidade de inaplicabilidade da Lei de Interceptação Telefônica. Portanto, faz-se necessária a manutenção da distinção doutrinária que se positivou em torno dos conceitos de dados e metadados.   

2. Retrocesso em garantias no âmbito da interceptação das comunicações 

Entre os requisitos atuais para a realização de interceptações telefônicas previstos na Lei 9.296/1996 está a exigência de que o fato investigado não pode constituir infração penal punida, no máximo, com pena de detenção. Considerando a natureza invasiva da medida de interceptação, a lei estabelece esse requisito como parâmetro de proporcionalidade para autorizar a sua realização. Assim, apenas fatos investigados que constituem crimes mais graves estariam sujeitos à interceptação. 

Contudo, o PL retira esse requisito e ainda admite que a medida seja adotada na investigação de infrações penais de menor potencial ofensivo (com pena máxima não superior a dois anos, conforme a Lei 9.099/1995) quando a conduta for realizada exclusivamente por meio dessa modalidade de comunicação. Trata-se de mais um exemplo da ampliação das capacidades de vigilância do Estado brasileiro, retrocedendo em garantia atualmente prevista para permitir que infrações penais consideradas menos gravosas pelo ordenamento brasileiro sejam objeto de medida invasiva de investigação. Tendo em vista que as regras do PL relativas à interceptação telefônica se aplicam subsidiariamente à interceptação telemática, dirigida a provedores de infraestrutura, conexão e de aplicações, a abrangência da medida se alarga ainda mais, ressaltando seu caráter desproporcional. 

3. Criação de exigências aos provedores que podem significar a introdução de vulnerabilidades de segurança em seus sistemas e serviços

Em situação grave para a segurança da informação e das comunicações de todos os cidadãos brasileiros, a proposta de novo CPP também pode criar exigências para que provedores introduzam vulnerabilidades propositais em seus sistemas e serviços. Sobre o pretexto  de buscar maior efetividade na obtenção de provas, a ideia também criará brechas que podem ser aproveitadas por agentes maliciosos.

Isso porque uma leitura conjunta dos artigos 305 e 288 do texto proposto leva à interpretação que em casos de interceptação telemática (que segue subsidiariamente o procedimento para a interceptação telefônica), os provedores de serviços de comunicações  devem disponibilizar, gratuitamente, os recursos e os meios tecnológicos necessários à interceptação. Em outras palavras, o novo Código poderia ser interpretado no sentido de que provedores desses serviços, incluindo de mensagens privadas, estivessem obrigados a criar brechas para “grampos” assim como empresas de telefonia.

A confiança em sistemas, produtos e serviços ocorre quando eles são projetados para serem seguros, e não construídos com brechas propositais de segurança para facilitar o acesso à informação. Estes valores são  cruciais tanto para a proteção de direitos quanto para o desenvolvimento da atividade econômica, em especial no ambiente digital. Quanto menos confiáveis ou seguros os serviços, mais os direitos dos cidadãos e a economia digital correm riscos. 

Obrigações de assistência à interceptação telemática minam a confiança e a segurança de serviços digitais de uma forma geral, implicando o comprometimento de mecanismos de segurança que protegem a toda a sociedade, como a criptografia de ponta-a-ponta. 

A criptografia cumpre papel central na garantia da segurança de transações financeiras, comerciais, no uso de dispositivos no âmbito da Internet das Coisas e na operação de infraestruturas críticas. Ela também assegura que informações e comunicações sensíveis das pessoas em geral, de autoridades políticas e de agentes de investigação e aplicação da lei não sejam acessadas por atores maliciosos. Em um mundo onde todos os nossos passos são rastreados digitalmente, a criptografia que opera em serviços de mensagens privadas é hoje uma das últimas fronteiras na proteção da privacidade e do sigilo em comunicações privadas. Esta mesma criptografia é o que protege inclusive a troca segura de mensagens entre agentes do Estado que legitimamente investigam ilícitos – vulnerabilizá-la significa tornar estas e outras conversas mais fáceis de serem acessadas por agentes maliciosos de uma maneira geral. 

Sistemas de comunicação e informação devem ser projetados para serem seguros e não vulneráveis, pois a necessidade de acesso a dados ou comunicações ocorre na exceção, e não em todos os casos. Assim, a proposta do novo CPP precisa de urgente revisão neste ponto, de forma que não crie obrigações para que provedores de serviços e aplicações na internet ou empresa de tecnologia comprometam ou fragilizem a segurança de seus serviços. A investigação de crimes e a persecução penal não podem servir a estes propósitos, pois não há qualquer garantia de que tais fragilidades não serão exploradas por agentes não autorizados e criminosos, mesmo que sirvam também a agentes estatais em investigações legítimas. 

4. Legitimação de hacking e fishing expedition realizados por agentes estatais

Em um de seus pontos de maior risco a direitos fundamentais, o texto do novo CPP poderá legitimar práticas de hacking e e fishing expedition quando estas são realizadas por agentes estatais, em clara violação dos preceitos constitucionais, como o direito à privacidade, ao sigilo nas comunicações e ao devido processo legal. Esta legitimação ocorreria, em uma primeira frente, a partir do artigo 304 do texto do novo CPP. Ao dispor dos meios de obtenção da prova digital, abrange-as, por exemplo, para possibilitar (i) a coleta remota, oculta ou não, de dados em repouso acessados à distância; (ii) a coleta por acesso forçado de sistema informático ou de redes de dados e (iii) o tratamento de dados disponibilizados em fontes abertas, independentemente de autorização judicial. 

O que poderia significar “coleta oculta de dados”, “acesso forçado de sistema informático” ou “tratamento em fontes abertas” senão sinônimos de possíveis hacking facilitados por ferramentas vendidas no mercado privado de ferramentas de vigilância? Estas ferramentas funcionam para abrir enormes brechas para abusos do poder estatal de maneira descontrolada, como a espionagem de jornalistas e ativistas, e para a diminuição da segurança e confiança em sistemas informáticos.

Em uma segunda frente, o texto poderá legitimar práticas de fishing expedition a partir de uma interpretação da atual redação do art. 320, que permite que dados relacionados a infração penal obtidos por meio de “encontro fortuito” sejam remetidos como notícia crime ao órgão de investigação. Nesse contexto, sem uma imposição de necessária continência e conexão com o delito o qual se investiga, corre-se o risco de minar a justa causa. Portanto, faz-se premente a modificação da atual redação de forma a (i) reafirmar que sobre a prova obtida por encontro fortuito incida a disciplina jurídica de elemento indiciário e (ii) impor limitações aos laudos periciais a fim de eliminar eventuais incentivos à prática de fishing expedition.       

O novo Código de Processo Penal brasileiro tem, portanto, a oportunidade de ser um modelo global na restrição de hacking e outras práticas abusivas por parte de agentes estatais, traçando limites a um mercado global baseado na criação e exploração de fragilidades em sistemas e comunicações, mas segue na contramão. A legitimação em lei destes meios de obtenção de prova significaria um passe livre para que autoridades em todo país buscassem a aquisição de equipamentos e softwares projetados para tornar serviços digitais mais vulneráveis com recursos públicos.

Não apenas restrita ao âmbito nacional, a prerrogativa genérica de hacking poderia também se estender no plano internacional. Embora o texto de reforma do Código de Processo Penal afirme o princípio da territorialidade em seu art. 1º, o art. 307, que trata em específico do acesso forçado, autoriza autoridades brasileiras a “hackearem” sistemas e redes localizados fora do território nacional, contornando garantias de cooperação internacional. O cuidado com a privacidade é fundamental, já que há risco de adoção de práticas antidemocráticas por meio de um policiamento cibernético indiscriminado. Essa prática utiliza mecanismos de vigilância e controle para investigar pessoas por meio da invasão de seus dispositivos eletrônicos. Pode ainda criar brechas para que o Estado manipule informações trocadas no meio digital, bem como inclua ou delete dados por mero acesso remoto. Representam, assim, uma grande ameaça à privacidade e à segurança dos cidadãos, investigados ou não. 

Por fim, o quadro atual de uso político da máquina estatal para a perseguição de ativistas e jornalistas torna a proposta ainda mais desequilibrada. A possibilidade de “acesso forçado” e de outros meios de prova genéricos por autoridades abre margem para a espionagem direcionada a atividades legítimas ocorridas pela sociedade civil, cujo interesse já tem sido sinalizado pelo governo

Se aprovada, a legitimação desses usos pode criar capacidades extremamente intrusivas em um cenário que abusos já existem, como o de autoridades policiais que indevidamente abrem inquéritos aplicando de forma abusiva a Lei de Segurança Nacional. Não é difícil imaginar que estes ataques cibernéticos possam ser utilizados em hipóteses como estas, em radical incompatibilidade com o Estado Democrático de Direito.  Assim, é urgente que o Congresso Nacional atue para limitar estas possibilidades, excluindo estas hipóteses de meios de prova do texto do projeto de lei do novo Código de Processo Penal. Portanto, faz-se necessário, para além da ampliação do debate público e participativo em torno do tema das provas digitais, maiores e mais amplas discussões sobre as demais disposições da reforma, inclusive para dar espaço a demais organizações representativas da sociedade civil, como o Instituto Brasileiro de Ciências Criminais (IBCCRIM) e o Instituto de Defesa do Direito de Defesa (IDDD).   

*       *       * 

Ante os motivos acima mencionados, as organizações que integram a Coalizão Direitos na Rede requerem o seguinte:

  • O aprimoramento do relatório apresentado na Comissão Especial destinada a proferir parecer ao Projeto de Lei nº 8045, de 2010, do Senado Federal, que trata do “Código de Processo Penal” (versão apresentada 26 de abril de 2021), ante os riscos que o texto apresenta para a privacidade, direito a proteção de dados pessoais e para o desenvolvimento de um ambiente digital robusto e seguro.
  • Ampliação e promoção do debate em torno do texto no que se refere à tutela jurídica da prova digital, ante a premência de que a redação final seja fruto de um debate multissetorial e multidisciplinar com vista a refletir de sobremaneira a composição diversa e plural da sociedade brasileira e os alicerces do Estado Democrático de Direito.   
  • A supressão dos artigos 302, 304, inciso IV, e 307, ante as potenciais contradições com textos como o Marco Civil da Internet e outras legislações protetivas de direitos como a Lei Geral de Proteção de Dados Pessoais, que apresentam riscos para a o provimento de direitos humanos na era digital e desconsideram o amplo trabalho de construção multissetorial destes textos.

Entendemos que o atendimento aos pedidos apresentados na presente nota representaria um compromisso do relator do presente projeto de lei e da Comissão Especial  destinada a proferir parecer ao Projeto de Lei nº 8045, de 2010, do Senado Federal, que trata do “Código de Processo Penal” com a proteção dos direitos humanos na era digital e nos colocamos à disposição para eventuais esclarecimentos que se façam necessários. 

Brasília, 20 de maio de 2021.