A reforma do Código de Processo Penal e suas implicações para a produção de provas digitais

Pedro Amaral* e Gustavo Rodrigues **

Desde 2010 tramita no Legislativo Federal a proposta de reforma do Código de Processo Penal. Recentemente, o debate foi reaquecido pela publicação do parecer do relator da Comissão Especial. Ainda que a Comissão tenha sido extinta em favor da criação de um grupo de trabalho com o objetivo de construir uma nova versão da proposta legislativa, o último relatório possuía um conjunto de questões problemáticas sobre interceptação e produção de provas digitais, o que demanda análise e reflexão. Agora, o novo GT tem a oportunidade de superar esses erros e construir uma redação adequada, constitucional e que respeite as possibilidades tecnológicas.

Ameaças à criptografia 

O esforço de atualização dos procedimentos do sistema de justiça criminal relacionados às novas tecnologias e novas formas de organização por vezes envolve questões técnicas. A criptografia - conjunto de técnicas para tornar a informação e comunicação seguras - tem posição de destaque entre essas questões, mas é frequentemente apontada como um obstáculo. Não raro, autoridades argumentam que a difusão e uso massivo de ferramentas de comunicação encriptada barram e impedem a aplicação da lei e fomentam a impunidade. Existem diversos problemas lógicos, políticos, jurídicos e técnicos nesta afirmação. Mas esses problemas parecem ser ignorados pelas propostas de mudança da legislação penal, como no caso da reforma do Código de Processo Penal, que acabam justamente por enfraquecer a criptografia.

É o caso do art. 305 do Código de Processo Penal, que dispõe que não só serviços de infraestrutura, conexão e aplicação, mas também dispositivos e sistemas informáticos deverão seguir os procedimentos de interceptação telefônica. Se já não fosse problemático impor procedimentos iguais a um conjunto tão diferente de ferramentas e técnicas, o art. 288, que versa sobre a interceptação telefônica, ordena que os operadores dos serviços forneçam “os recursos e meios tecnológicos necessários à interceptação”. Essa previsão cria vulnerabilidades aos serviços de comunicação digital que empregam criptografia de ponta a ponta que, na prática, quebram a segurança da comunicação encriptada.

Outra preocupação diz respeito ao art. 307, que trata da coleta por acesso forçado. Dentre outros problemas, que trataremos mais à frente, o texto emprega confusões técnicas que podem prejudicar as aplicações da criptografia forte por padrão, ao determinar que a coleta forçada pode ocorrer após desobediência a decisão judicial anterior. É preciso diferenciar desobediência de impossibilidade técnica na produção de provas, para que não ocorram casos de bloqueios como os ocorridos com o aplicativo WhatsApp entre 2015 e 2016. Nesse período, a impossibilidade técnica de fornecimento das informações requeridas pela Justiça, quais sejam, o conteúdo das comunicações entre investigados, resultou em quatro ordens de bloqueio, as quais impediram o acesso de brasileiros e de pessoas de outros países ao aplicativo.

Ainda que as novas tecnologias possam, em certos contextos, criar desafios para a aplicação da lei, o sistema legal não deve refrear a inovação tecnológica, pelo contrário. Ainda mais graves são as propostas que sugerem enfraquecer a criptografia, pois também incorrem em violação de direitos consagrados, como a inviolabilidade da intimidade e da vida privada, direito à liberdade de expressão e o sigilo das informações. Além disso, a criptografia é talvez a mais importante camada de proteção, resguardando não apenas as comunicações, mas uma ampla gama de serviços digitais, desde o comércio, serviços bancários, sistema elétrico, entre outros, cada vez mais usados na transformação digital em que vivemos.

Enfraquecer a criptografia para facilitar a persecução penal é, na prática, enfraquecer a segurança de todas as pessoas que usam esses serviços, inclusive de autoridades e agentes do Estado. Como argumenta a ministra Rosa Weber, em seu voto na Ação Direta de Inconstitucionalidade nº 5527, o Estado não pode obrigar aplicativos a oferecer serviços menos seguros e a facilitar a violação dos direitos à liberdade de expressão e ao sigilo das informações.

Riscos do hacking governamental 

Ainda no âmbito da produção de provas, outro aspecto que chama atenção é a exploração de vulnerabilidades de segurança na tecnologia por parte das autoridades policiais para a obtenção de dados - o chamado hacking governamental. O art. 304, em seus incisos 2 e 4, forneceria base legal para essas práticas, ao instituir como meios de produção de prova, respectivamente, a “coleta remota, oculta ou não, de dados em repouso acessados à distância” e a “coleta por acesso forçado de sistema informático ou de redes de dados”.

O que essas previsões criariam concretamente é uma autorização genérica para que o Estado brasileiro se valha de técnicas e ferramentas de hacking, muitas das quais fornecidas por empresas privadas e frequentemente utilizadas para repressão política por regimes antidemocráticos, para investigar seus próprios cidadãos. Embora o artigo 308 estabeleça parâmetros a serem observados pela ordem judicial para obtenção da prova, é notória no texto legal a inexistência de quaisquer requisitos específicos para o hacking governamental, diferente do que ocorre com as interceptações telefônicas e telemáticas, por exemplo.

A invasão de dispositivos pelas autoridades pode resultar na coleta massiva de dados, sobre uma miríade de aspectos da vida das pessoas investigadas e de terceiros, alcançando inclusive dados irrelevantes para a investigação. O enorme potencial abusivo desses métodos é evidente, num cenário global de crescimento tanto do uso das tecnologias de informação e comunicação quanto do autoritarismo viabilizado pela tecnologia. Isso se agrava pelo volume e diversidade de dados coletados por nossos dispositivos, especialmente com a tendência de uma progressiva interconexão digital entre objetos de uso cotidiano compartilhados em nossos lares.

Diante do princípio da proporcionalidade, bem como das garantias à intimidade, à inviolabilidade do domicílio, à presunção de inocência e ao devido processo legal, afirmadas na Constituição Federal e na Lei de Abuso de Autoridade (Lei nº 13.869/2019), a incorporação dessa prerrogativa genérica de hacking governamental é estarrecedora. Mais do que isso, é indicativa da urgência de aprofundamento e maturação do debate sobre a modernização do processo penal na era digital e do compromisso do Brasil, inclusive internacional, com desenhos mais arrojados.

Igualmente espantoso é essa limitação não se restringir à jurisdição nacional. O já mencionado art. 307 autorizaria o emprego da “coleta por acesso forçado” quando for impossível identificar, em território nacional, o responsável pelo dispositivo, sistema ou rede, o que contradiz tanto o princípio da territorialidade afirmado no art. 1º do texto quanto as garantias e procedimentos existentes na cooperação jurídica internacional. Além disso, pode ferir a soberania de outros países, abrindo brechas contra o próprio Brasil em termos de reciprocidade nas relações internacionais.

A modernização do processo penal brasileiro deve acompanhar os padrões técnicos internacionais mais avançados. Em que pese sua inaplicabilidade ao tratamento de dados realizados para fins exclusivos de segurança pública, a Lei Geral de Proteção de Dados (art. 4º, inciso III, § 1º) sinaliza a importância de um alinhamento entre a normatização da matéria, sua própria principiologia e o devido processo legal. No contexto europeu, a Diretiva 680/2016 disciplinou extensamente a matéria, em termos coerentes com o Regulamento Geral de Proteção de Dados da União Europeia.

No Brasil, ainda carecemos de instrumento equivalente. Por isso há urgência nesse debate, já que corremos o risco de construir um ecossistema de proteção de dados robusto na esfera civil, mas deficitário na esfera penal, precisamente onde reside o maior potencial lesivo da coleta e do uso indevido de dados pessoais. Ademais, cabe recordar que a existência de um nível adequado de proteção de dados neste campo é condição para uma cooperação efetiva (e tão desejada) entre Brasil e autoridades internacionais de referência no tema, como Europol e Interpol.

O texto acima expressa a visão de quem o assina, não necessariamente do Congresso em Foco. Se você quer publicar algo sobre o mesmo tema, mas com um diferente ponto de vista, envie sua sugestão de texto para redacao@congressoemfoco.com.br.

> Mais textos da coluna Intervozes

*Pedro Amaral é mestre e doutorando em sociologia pela Universidade Federal de Pernambuco (UFPE). É pesquisador no Observatório da Criptografia (ObCrypto) do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec), e no Núcleo de Estudos e Pesquisas em Políticas de Segurança Pública  (NEPS - UFPE).

**Gustavo Rodrigues é coordenador de políticas públicas no Instituto de Referência em Internet e Sociedade (IRIS). É bacharel em antropologia pela Universidade Federal de Minas Gerais e mestrando em divulgação científica e cultural pela Unicamp.

Se você chegou até aqui, uma pergunta: qual o único veículo brasileiro voltado exclusivamente para cobertura do Parlamento? Isso mesmo, é o Congresso em Foco. Estamos há 17 anos em Brasília de olho no centro do poder. Nosso jornalismo é único, comprometido e independente. Porque o Congresso em Foco é sempre o primeiro a saber. Precisamos muito do seu apoio para continuarmos firmes nessa missão, entregando a você e a todos um jornalismo de qualidade, comprometido com a sociedade e gratuito. Mantenha o Congresso em Foco na frente.

JUNTE-SE A NÓS

Continuar lendo