Há atualmente a ampla utilização de novas tecnologias para comunicação e negócios, tais como criptomoedas, smart contracts e blockchain. No Canadá, por exemplo, há recente decisão judicial que reconheceu o envio de emoji de sinal positivo em conversa por meio de aplicativo de telefone celular como formalização contratual [1].
O meio digital, além de relações jurídicas lícitas, também é palco de crimes, tais como o “estupro virtual” (artigo 213 do Código Penal), que entendemos viável apesar de divergências sobre sua tipificação [2]; o “revanche pornô” (artigo 218-C do Código Penal); o cyberbullying e o cyberstalking.
Os dois últimos podem ser praticados para a consumação do crime do artigo 147-A do Código Penal. O meio digital também é utilizado para articulação de terrorismo, tendo o grupo Al Qaeda [3] adotado o “rascunho” (sem envio) de uma caixa de correio eletrônico para coordenar ataques.
É possível formular questionamento sobre a viabilidade, no ordenamento pátrio, da utilização de malware (“vírus espião”) [4] para acesso remoto a dispositivos digitais e coleta de dados para produção probatória. Quando um malware é instalado em um dispositivo, cria-se uma porta de acesso (backdoor) que permite a comunicação oculta e remota entre o dispositivo infectado e o invasor, possibilitando o monitoramento em tempo real e a captação de dados [5]. A dúvida é pertinente, na medida em que inexiste norma expressa contemplando esse método.
O mesmo questionamento pode ser aplicado à produção de provas por meio de geolocalização a partir de Estação Rádio Base (ERB), fora do âmbito do artigo 13-B do Código de Processo Penal. Afinal, como afirmam Valine Castaldelli Silva e Alexandre Ribas de Paulo [6], não há previsão legal para esse método probatório, que não pode ser confundido com dados informáticos estáticos, dados de comunicação via celular e localização pelo sistema GPS.
A questão se torna ainda mais relevante quando verificamos a necessidade de controle da compatibilidade das normas e ações estatais em face da Convenção Americana de Direitos Humanos (CADH) [7], especialmente artigo 11, item 02, que determinar o respeito à intimidade e vida privada.
Registre-se que, em comparação com países de tradição de civil law na Europa ocidental (constante fonte de inspiração do legislador pátrio), o referido método é previsto em lei na Alemanha (StrafprozeBordnung (Stpo) [8], §100b, conforme estudo de Juliana Filipa Souza Campos [9]; na Espanha, por meio da Ley de Enjuiciamiento Criminal [10], artigo 588 septies; na França em seu Código de Processo Penal, no artigo 706-102-1 [11] e na Itália no Codice di Procedura Penale [12], artigos 266 e 266 Bis.
No Brasil, o projeto do Novo Código de Processo Penal (com redação da Emenda Aglutinativa de Abril de 2021) [13] estabelece o método em seu artigo 304, II.
Em termos de common-law dos Estados Unidos, o Federal Rules of Criminal Procedure [14], na regra 41, contempla expressamente a possibilidade de acesso remoto a mídias digitais, viabilizando, portanto, o uso do malware.
Gustavo Alves Magalhães Ribeiro, Pedro Ivo Rodrigues Velloso Cordeiro e Débora Moretti Fumach [15] afirmam inexistir possibilidade de utilização de malware no direito pátrio, diante da impossibilidade de sua equiparação com captação ambiental, interceptação telemática e infiltração de agentes. É o mesmo posicionamento de Andreia Filipa Santos Duarte [16] ao tratar do ordenamento jurídico de Portugal, que apresenta o mesmo desafio aqui exposto, embora exista quem afirme [17] que o artigo 19, item 2 da “Lei do Cibercrime” [18] contempla o mecanismo de malware. Em síntese, para fins probatórios, seria vedada a interpretação ampliativa e analógica dos dispositivos vigentes.
A linha de pensamento exposta encontra respaldo na Corte Europeia de Direitos Humanos [19] que, em julgamento envolvendo a legislação da França e a utilização de monitoramento por GPS (geolocalização) como forma de produção probatória na esfera penal, afirmou que, à época dos fatos (anterior a 2010), a ausência de norma expressa na França sobre o tema impedia o uso da tecnologia, sendo insuficiente a mera existência de normas legais genéricas sobre provas.
Discordamos do entendimento acima exposto e acolhemos a possibilidade de aplicação imediata do malware no Brasil em sede processual penal. José Antônio Santos Cabral [20] afirma que, diante da ausência de norma legal expressa, bem como diante da necessidade de enfrentar um perigo concreto, admite-se que as novas tecnologias, que afetam direitos fundamentais, sejam aplicadas mediante ponderação sufragada no princípio da proporcionalidade.
Diego Roberto Barbiero [21] admite novas tecnologias como meio probatório em casos complexos que envolvam crime organizado. Felipe Giardini [22] admite a utilização do método em questão como prova atípica; afirma que a omissão legislativa sobre o meio probatório é involuntária e, dessa forma, não pode ser interpretada como vedação.
O malware, quando aplicado em dispositivos digitais, permite, conforme programação, a coleta dos seguintes elementos: 1) dados armazenados no dispositivo, 2) registros de comunicações realizadas entre presentes (gravação de áudio e vídeo) e 3) interceptação de dados de voz ou telemáticos transmitidos. A Lei 9.296/1996 [23], artigos 1º e 8-A, permitem a interceptação de voz, dados telemáticos, além da captação ambiental de sinais eletromagnéticos, ópticos ou acústicos. Há, ainda, no ordenamento pátrio, a possibilidade de busca e apreensão de equipamentos eletrônicos para acesso aos dados armazenados [24].
Assim, os procedimentos viabilizados por meio de malware estão previstos e admitidos na legislação processual penal. O fato do uso do ‘vírus espião’ não estar expressamente previsto em lei, em nosso entender, não afasta a legalidade da sua utilização, na medida em que simplesmente vai proporcionar, por meio remoto, a realização de diligências autorizadas em lei. Em outras palavras, não gera inovação quanto à prova produzida, apenas viabiliza sua produção por meio remoto.
O malware, portanto, pode ser utilizado como forma de produção probatória na esfera penal, respeitadas as mesmas exigências previstas na Lei 9.296/96 para interceptação de voz e telemática, bem como captação ambiental de sinais eletromagnéticos, ópticos e acústicos.
Importante destacar que não se concebe, em face dos métodos já aplicados, o “vírus espião” como uma forma mais invasiva. Não se pode acolher argumento no sentido de que, diante de sua lesividade à intimidade e vida privada, haveria necessidade de expressa autorização legal. O malware não opera qualquer prática não contemplada na Lei 9.296/96.
O STJ (Superior Tribunal de Justiça) [25], em recente decisão, entendeu como válida a prova produzida por meio remoto, mediante o “espelhamento” de um aplicativo de mensagens. Considerou, em síntese, que a medida realizada com autorização judicial estava abarcada pelo instituto do “agente infiltrado”. Embora o malware, em nosso entender, não possa ser equiparado ao “agente infiltrado” (trata-se de um “vírus malicioso” e não da atividade de um agente), a decisão demonstra evolução do Poder Judiciário sobre a aplicação de tecnologias não expressamente contempladas na lei para produção de provas na esfera penal.
A verdade é que a demora do Poder Legislativo não pode impedir a aplicação de tecnologias que, simplesmente, buscam produzir provas já contempladas na legislação.
Por fim, caso o legislador pátrio pretenda modificar a legislação penal, deveria elaborar norma consolidando e sistematizando as provas digitais na esfera penal. Poderia tomar como base as legislações dos países da Europa ocidental. Não ignoramos as dificuldades decorrentes do transplante de normas para o Brasil, conforme obra de Watson [26]. Contudo, com as cautelas recomendadas pelo citado autor (atentar ao contexto sociocultural), entendemos possível a importação dos institutos, com a vantagem de aproveitarmos as experiências adquiridas pelos referidos países.
[2] MARODIN, Tayla Schuste. O Crime de Estupro Virtual: (Des)necessidade de Tipificação pelo Ordenamento Jurídico Brasileiro. Dissertação de Mestrado. Pontifícia Universidade Católica do Rio Grande do Sul: 2021. Passim.
[3] UCHOA DE BRITO, Auriney. Direito Penal Informático. São Paulo: SaraivaJur, 2017. Ebook Kindle. Posição 774.
Eloísa de Sousa Arruda é procuradora de Justiça do Ministério Público de São Paulo. Participou do Tribunal da ONU no Timor Leste.
Marcelo Carita Correra é doutorando em Direito Processual Penal pela Pontifícia Universidade Católica de São Paulo (PUC-SP), mestre em Direito Penal pela PUC-SP, especialista em Direto Penal e Econômico pela Escola de Direito da Fundação Getúlio Vargas de São Paulo e em Direito Tributário pela PUC-SP, professor Convidado da Universidade Presbiteriana Mackenzie de São Paulo e procurador Federal em São Paulo.
