Preservação expedita de dados e cadeia de custódia em local de crime cibernético
Originalmente criada no âmbito do velho continente europeu, em 2001, desde a sua concepção a Convenção de Budapeste sobre o Crime Cibernético (CCIBER) sempre demonstrou pretensões de atender ao problema do crime cibernético em nível mundial. Nesse sentido é que devemos compreender sua formulação inicial com 41 países membros do Conselho da Europa, mas 4 nações estrangeiras, a saber Estados Unidos da América, Canadá, Japão e África do Sul. Além disso, essa intenção é manifestada quando estabelece uma plataforma pioneira de entendimento em três áreas principais: Direito Penal (Seção 1), Direito Processual (Seção 2) e Cooperação Internacional (Seção 3).
Ao estabelecer padrões mínimos em comum que devem ser perseguidos nos ordenamentos jurídicos internos dos Estados signatários, a Convenção busca harmonizar os diferentes sistemas jurídicos aos efeitos internacionais da criminalidade informática. Incentiva-se, porquanto necessário, a implementação e adoção de ferramentas processuais similares e métodos de coleta de provas que sejam ao mesmo tempo eficazes e acessíveis aos diferentes níveis de desenvolvimento, inclusive legislativo, de cada nação.
A Convenção contempla a introdução de estratégias de investigação criminal discretas, aplicáveis a diversos ambientes digitais. Dentre essas estratégicas, destacamos o Artigo 16 da CCIBER, que delineia o conceito de "Preservação expedita de dados de computador", tema de insofismável relevância diante dos processos de digitalização que permeiam a vida hodierna.
Veja-se que, apesar de estabelecida formalmente desde 2001, quando a rede mundial de computadores ainda dava os primeiros passos, a CCIBER já reconhecia a importância da determinação de preservação imediata de dados específicos armazenados em sistemas computacionais. Naturalmente, essa preservação deve ocorrer tanto na fase preliminar de investigação criminal, quanto na fase judicial do processo penal, é o que expressamente afirma o seu artigo 14, que cuida do âmbito de aplicação dos dispositivos processuais.
Em termos práticos, ao promulgar a Convenção, cada Estado-parte assume o compromisso internacional de estabelecer esse alicerce legal que autoriza entidades competentes a ordenar ou solicitar a preservação imediata de dados, desde a investigação criminal. Trata-se, aliás, de provisão vital, em face da volatilidade da natureza dos dados digitais, que podem ser facilmente alterados ou apagados, com comprometimento de sua utilização como evidências em processos judiciais.
Adicionalmente, o artigo 16 da CCIBER prevê a preservação desses dados por um período de até 90 dias, disposição que se mostra estratégica, ao reconhecer a complexidade das investigações de crimes cibernéticos. É o tempo necessário que as autoridades responsáveis pela investigação terão para solicitar ao judiciário o acesso ao conteúdo desses dados. Vale dizer, a preservação imediata do conteúdo armazenado não implica em acesso a este, que sempre dependerá de rigorosa e pertinente apreciação judicial.
Uma questão que deve ser ressaltada é a que se refere ao tema da confidencialidade da investigação. Uma vez que recebeu a ordem de preservação, o detentor dos dados está obrigado à manutenção do sigilo sobre o início do procedimento investigativo, conforme venha a ser estabelecido na legislação interna.
Trata-se de cláusula essencial, já prevista no art. 20, do Código de Processo Penal, que serve para prevenir que suspeitos sejam alertados sobre a investigação, o que poderia resultar na destruição de evidências ou na adoção de estratégias para obstruir a justiça. Em passado recente, algumas empresas, em especial aquelas sediadas no exterior, adotavam o procedimento de informar os usuários de seus serviços sobre eventual ordem policial ou judicial recebida, ainda que as informações prestadas somente pudessem impactar a efetividade dos procedimentos oficiais em curso.
Naturalmente, e essa é uma referência expressa no artigo 15 da CCIBER, há condições e salvaguardas que devem ser observadas para a proteção dos direitos humanos e liberdades fundamentais. Ações de combate ao crime cibernético devem sempre ser executadas de maneira proporcional e em respeito aos direitos e liberdades dos indivíduos.
A harmonização das leis entre diferentes nações no que tange à preservação de dados de computador é um aspecto essencial para viabilizar a cooperação internacional em investigações de crimes cibernéticos. Apesar do princípio de soberania nacional, também deve ser observado o princípio pacta sunt servanda, no qual é esperado que todas as medidas necessárias ao cumprimento das obrigações internacionais assinadas sejam perseguidas pelos países signatários.
Nesse sentido, entendemos como um precedente bastante preocupante a decisão monocrática proferida em 2022, pelo então Ministro Ricardo Lewandovski, do Supremo Tribunal Federal, no bojo do Habeas Corpus 222.141, no qual interpretou que a preservação de dados requisitada pelo Ministério Público no caso concreto, ali traduzida como “congelamento de contas da internet” dependeria de prévia autorização judicial.
Ressalte-se que a preservação expedita de dados prevista na recém-promulgada Convenção sobre o Crime Cibernético corresponde mutatis mutandis ao comando do art. 6º, I, do Código de Processo Penal, que determina que a autoridade policial deverá, logo que tiver conhecimento da infração penal, “dirigir-se ao local, providenciando para que não se alterem o estado e conservação das coisas, até a chegada dos peritos criminais”. Na hipótese em exame, preservação de local de crime cibernético.
Esse entendimento doutrinário pacífico foi reforçado pela Lei 13.964, de 2019, que incluiu ao CPP o art. 158-A, para dar tratamento ao tema da cadeia de custódia e estabeleceu claramente que ela tem início com a preservação do local do crime ou com procedimentos policiais nos quais seja detectada a existência de vestígio. Além disso, determinou a todo agente público “que reconhecer um elemento como de potencial interesse para a produção da prova pericial” a responsabilidade por sua preservação.
Em síntese, o Artigo 16 da Convenção sobre o Crime Cibernético configura um marco legal equilibrado, que pondera a eficácia das autoridades na investigação e combate ao crime cibernético, dependentes da imediata preservação de dados digitais, com a imperativa proteção dos direitos e liberdades fundamentais dos indivíduos envolvidos em situações criminais.
Convidado a participar da CCIBER como Estado-parte, após longo debate interno, o Brasil decidiu pela sua importância e concluiu o processo de adesão mediante promulgação do normativo internacional, por meio do Decreto 11.491, de 23 de abril de 2023. Agora oficialmente internalizada, a Convenção inaugura uma nova etapa nessa longa jornada de enfrentamento à criminalidade cibernética no Brasil, na qual deve-se seguir firmes e atentos aos princípios constitucionais pertinentes e às regras comezinhas de direito e cooperação internacional.
Protagonista para a criação de um mundo digital mais seguro.
