ADC 51 (STF) – Investigações Cibernéticas Transfronteiriças

Hoje eu tive a enorme alegria e honra de realizar o sonho de qualquer advogado: sustentar oralmente no Supremo Tribunal Federal, representando a Sociedade de Usuários de Tecnologia - SUCESU NACIONAL, que é amicus curiae na Ação Declaratória de Constitucionalidade 51.

Qual o objetivo do processo?

Resumidamente, confirmar que o Acordo de Assistência Judiciária em Matéria Penal BR e EUA (MLAT) é o competente para que o conteúdo de comunicações privadas existentes em servidores nos EUA seja provido às autoridades brasileiras, mesmo quando há sede dos provedores de serviços no Brasil e estes exploram o mercado brasileiro, impedindo, assim, que sejam sancionados no caso de descumprimento de leis, como o Marco Civil da Internet.

Qual a relevância do tema?

A rápida troca de informações entre autoridades e empresas de tecnologia em ilícitos praticados por meios cibernéticos, independentemente da localização física dos dados e comunicações, é pedra de toque para o sucesso de quase todas as investigações atualmente.

E uma questão grita: enquanto os criminosos utilizam as mais variadas tecnologias existentes para intercambiar informações entre si visando a prática de ilícitos, tornando cada vez mais complexa as investigações, as autoridades encontram uma profunda dificuldade de terem acesso a relevantes dados, como conteúdo de comunicação privada, para investigarem organizações criminosas, sofisticadas e perigosas.

O MLAT atende a necessidade?

Seguem números do Departamento de Recuperação de Ativos e Cooperação Jurídica Internacional do Ministério da Justiça (DRCI/MJ), providas nos autos da própria ação em questão, demonstrando que o MLAT não atende a necessidade das investigações de ilícitos cibernéticos:

-Dos pedidos de cooperação internacional, 97% têm base no MLAT;

-Deles, 7,5% envolveram quebra telemática;

-De 2014 a 2017, foram 120 solicitações com os seguintes resultados:

• Desses 22.5%, 50% envolviam metadados (como registros eletrônicos) e 50% conteúdo de comunicações;
• Média de tempo de respostas: 13 meses.

Nó jurídico?

O Stored Communications Act, dos EUA, veda que o conteúdo de comunicação armazenado em provedores nos EUA seja fornecido às autoridades brasileiras, senão por meio do MLAT ou Carta Rogatória.

Por outro lado:

1. O Marco Civil da Internet (MCI) é claro ao dispor em seu Art. 11, §2º, que em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverá ser obrigatoriamente respeitada a legislação brasileira, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. Ainda, no art. Art. 10, §2º, do MCI, que o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial.
2. Lei 9.296/96: interceptações de fluxo de comunicações, mediante ordem judicial. Mais restritiva.
3. O Código de Processo Civil dispõe que compete à autoridade judiciária brasileira processar e julgar as ações em que: I - o réu, qualquer que seja a sua nacionalidade, estiver domiciliado no Brasil. Parágrafo único. Para o fim do disposto no inciso I, considera-se domiciliada no Brasil a pessoa jurídica estrangeira que nele tiver agência, filial ou sucursal.
4. STJ (RMS 55.344/RJ): empresa constituída segundo as leis de nossa República, o que impera é a boa-fé que deve orientar a relação com a pessoa jurídica que se predispõe a incrementar seus negócios empresariais no Brasil, por meio de novos serviços da controlada que se somam à finalidade comercial de suas controladoras, a ponto de se conceber que também para fins de sua responsabilidade constitucional para com a persecução da polícia judiciária federal; Alegada impossibilidade material e jurídica para o cumprimento da ordem judicial pode e deve ser superada no âmbito das relações internas das empresas do grupo de fato, controladoras e controlada; Ausência de afronta aos princípios da razoabilidade, da proporcionalidade, da territorialidade e da separação de poderes.

O que foi o Microsoft Ireland Case?

O próprio EUA já esteve diante de situação extremamente semelhante, no caso conhecido como Microsoft Ireland. Vejamos:

• Departamento de Justiça Norte-Americano (DoJ) requereu o fornecimento de conteúdo de e-mails à Microsoft para a investigação de tráfico de drogas;
• A Microsoft, baseada justamente no Stored Communications Act, alegou que não poderia fornecer tal conteúdo por estar na Irlanda e protegido, portanto, pela Lei de Proteção de Dados local, exceto se com o uso do MLAT entre EUA e Irlanda;
• O litígio seria julgado pela Suprema Corte norte-americana, porém, antes que ocorresse, em março de 2018, foi sancionado o Clarifying Lawful Overseas Use of Data Act (CLOUD Act - HR 4943), culminando no encerramento do processo em abril de 2018, em razão do Cloud Act alterar o Capítulo 121 do Título 18, do SCA;
• A Suprema Corte dos EUA afirmou que o SCA não alcançava comunicações armazenadas em outros países, e que somente o Congresso poderia criar regras diferenciadas, como o CLOUD Act, que traz adequadamente o SCA para o século XXI.

O que é o CLOUD Act - HR 4943?

Algumas das justificativas para a existência do Cloud Act, segundo a própria Lei, são:

• O acesso a dados eletrônicos mantidos por provedores de serviços de comunicações é um componente essencial dos esforços do governo para proteger a segurança pública e combater crimes graves, incluindo o terrorismo;
• Tais esforços do governo estão sendo impedidos pela incapacidade de acessar dados armazenados fora dos Estados Unidos que estão sob custódia, controle ou posse de provedores de serviços de comunicações sujeitos à jurisdição dos Estados Unidos;
• Os governos estrangeiros também buscam cada vez mais acesso a dados eletrônicos mantidos por provedores de serviços de comunicações nos Estados Unidos com o objetivo de combater crimes graves.

Diante de tais considerações, prevê que:

Um provedor de serviço deve, entre outras questões, disponibilizar o conteúdo de comunicação eletrônica de seus clientes, localizado dentro ou fora dos Estados Unidos (§2713).

E qual foi a opinião defendida na sustentação oral de hoje (28/09/22)?

Felizmente, em regra, não há nos Estados Democráticos de Direito, como Brasil, EUA e países da União Europeia, qualquer obrigação de se armazenar dados ou comunicações privadas dos clientes-usuários dos provedores de aplicações da internet no respectivo país de prestação do serviço, mas sim de cumprir as legislações estrangeiras a partir da oferta desses serviços no respectivo mercado local.

Ou seja, coerentemente, as decisões da região ou das regiões de hospedagem de dados e de conteúdo de comunicações dos usuários das plataformas digitais são corporativas, conforme interesses empresariais dos provedores de aplicações.

Referidos provedores desempenham atividade exclusivamente privada e gozam de livre iniciativa para definirem seus modelos de negócios. Portanto, podem decidir se hospedam os dados nos EUA, na Irlanda, no Brasil ou em qualquer outra localidade do mundo.

A partir desse momento, estão sujeitos à aplicação das normas do país em que elegeram hospedar seus dados por questões de territorialidade, mas também dos países em que ofertam bens e serviços, de acordo com a aplicação extraterritorial das legislações locais.  

Esse modelo regulatório de aplicação extraterritorial é utilizado pelo Brasil (conforme o Marco Civil da Internet e a Lei Geral de Proteção de Dados), UE (conforme o Regulamento Geral de Proteção de Dados) e EUA (conforme interpretação do Cloud Act), apenas para citar alguns exemplos.  

Por isso,

assim como o provedor de aplicação estrangeiro pode decidir modificar o local que hospeda os dados e informações dos seus clientes-usuários, também pode e deve ter mecanismos internos que regulem o trânsito de dados e de conteúdo de comunicações para cumprir ordens judiciais, por exemplo, a partir do momento em que se tenha decisão judicial legítima intimando a sua filial local.

No caso do Brasil, na forma do art. 5º, XII, da Constituição Federal, da Lei nº 9.296/1996 e do Marco Civil da Internet para determinações de fornecimento de conteúdo de comunicações privadas.

O referido mecanismo interna corporis pode ser formalizado por meio das denominadas Binding Corporate Rules, que são regras corporativas vinculativas para transferência internacional de dados e informações. Diversas delas, inclusive já aprovadas por autoridades da UE, já preveem a possibilidade de transferência de dados mediante ordem judicial de autoridades de outros países.[1] No mesmo sentido, já há guidelines de autoridades de proteção de dados, como a ICO, do Reino Unido[2].

Portanto, a decisão acerca da transferência internacional de dados é corporativa e ela pode e deve ser feita por meio de regras internas vinculantes, seguindo rígidos padrões de proteção das comunicações, de dados e da privacidade, bem como de forma transparente ao público, por meio dos termos de uso e avisos de privacidade que regulam a relação com os seus clientes-usuários.

A utilização obrigatória e exclusiva dos mecanismos suscitados na petição inicial (MLAT e Carta Rogatória)[3] é ineficaz e insuficiente para responder às necessidades do presente, em respeito ao avanço tecnológico e, infelizmente, aos crimes praticados por meios digitais. Também não são instrumentos indispensáveis ou de utilização obrigatória para a obtenção do conteúdo das comunicações privadas, convivendo com outros inerentes à jurisdição brasileira e à soberania do Estado brasileiro, conforme exposto.

Assim, não há controvérsia constitucional relevante. Há convivência harmônica entre os mecanismos que se busca a declaração de constitucionalidade e outros instrumentos jurisdicionais igualmente constitucionais aptos à obtenção de conteúdo de comunicações e informações para investigações praticadas por meios cibernéticos, como o Marco Civil da Internet.

-------------------------------- 

Sobre o tema, vale também a leitura do artigo "STF - conteúdo de comunicações privadas hospedadas nos EUA para investigação de ilícitos cibernéticos (ADC 51)", que publiquei em 10/02/20.

[1] https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en

[2] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers-after-uk-exit/

[3] Decreto nº 3.810/2001 e aos arts. 780 e 783 do Código de Processo Penal e 237, II, do Código de Processo Civil