Na Europa ocorrem, atualmente, diversas operações policiais e judiciárias que se valem de escutas telefônicas. Entretanto, uma boa parte dessas investigações afeta os direitos dos cidadãos à sua intimidade, privacidade, além de ser realizada de forma ilegal diante das leis locais. E essa conduta vem gerando uma série de discussões nos tribunais europeus, que além de criar uma insegurança jurídica, provoca a nulidade dos procedimentos judiciais. 

Algumas dessas escutas são efetuadas por um país, que em muitos casos não é o país em que efetivamente tramita o processo judicial. A exemplo disso, na França houve a intervenção dos terminais/comunicações que fizeram uso do sistema EncroChat e, nesta mesma esteira, as autoridades americanas intervieram no sistema Anom 

O sistema Anom, embora sua função seja a mesma, ao contrário do EncroChat, foi criado pelas autoridades americanas para processar os crimes de quem usou esse sistema, perseguindo os distribuidores. É um crime provocado e também acompanhado de uma investigação generalizada e prospectiva.  

Outro exemplo é o sistema Sky ECC, que foi infiltrado pela Gendarmerie francesa, polícia holandesa e pela Agência Nacional de Crimes do Reino Unido (NCA) para quebrar a criptografia dos usuários. Nesse caso, a empresa Sky ECC afirma que as autoridades invadiram o software de comunicação de forma ilegal e abusiva, pois a empresa não autorizou ou cooperou com nenhuma investigação ou pessoas envolvidas na distribuição de falso aplicativo de pishing.

As três intervenções representam uma clara violação das normas constitucionais e substantivas. Portanto, a declaração de nulidade é necessária e suas consequências são a anulação de toda prova que advenha da intervenção do chamado sistema EncroChat, Sky ECC e Anom 

O EncroChat é um sistema de comunicação criptografado. Ele opera usando telefones dedicados fornecidos pelo operador do sistema e funciona com base no fato de que os dispositivos EncroChat só podem se comunicar com outros dispositivos do mesmo sistema. Os dispositivos têm sistemas operacionais duplos. Um deles é o próprio EncroChat e o segundo, um Android padrão sem funcionalidade.  

Dependendo de como o telefone está ligado, ele inicializará no modo de sistema EncroChat ou Android. Para que um usuário do EncroChat fale com outro é necessário que eles conheçam a identificação ou manipulação de usuário exclusiva. Assim como outros sistemas de comunicação criptografada, qualquer mensagem que utilize o sistema EncroChat é criptografada conforme passa pelo servidor entre um telefone e outro, sendo decodificada ou descriptografada no telefone receptor para que o usuário possa lê-la.

Com o avanço dos smartphones, podemos fazer quase todas as nossas transações, incluindo as bancárias e de compras on-line, usando nossos telefones. Portanto, a segurança do telefone, e consequentemente dos dados, tornou-se mais importante do que nunca.

Obviamente, os criminosos usam telefones criptografados para atividades criminosas, mas sugerir que esse é o único uso deles, é enganoso.

A prova dessa afirmação é que a National Crime Agency (NCA) do Reino Unido disse à Sky News que a própria empresa não foi acusada de atividade criminosa, mas que sua plataforma foi usada por criminosos (leia aqui)A empresa manteve uma página na web oficialmente aberta a qualquer cliente ou consumidor que precisasse de seus serviços ou desejasse contratá-los.

Os servidores EncroChat estavam na França e a polícia francesa encontrou uma maneira de enviar um implante para cada dispositivo do mundo sob a cobertura de uma aparente atualização de software. Esse implante fez com que o dispositivo transmitisse todos os dados que possuía para a polícia francesa.

Embora o EncroChat possa agora ser oficialmente encerrado, os smartphones seguros continuarão avançando. A segurança de dados está se tornando cada vez mais importante, principalmente no mundo após a da Covid-19, pois a demanda por plataformas e serviços digitais remotos está aumentando exponencialmente. Existem muitos exemplos de empresas semelhantes que preencherão as lacunas deixadas pelo EncroChat, como WhatsApp, Snatchap, Telegram, Signal e muitos outros aplicativos.

Já as autoridades norte-americanas foram mais longe: criaram diretamente o sistema Anom para processar imediatamente seus distribuidores e interceptar, indistintamente, todas as comunicações. Em outras palavras, envolveu o envio massivo, indiscriminado e prospectivo de todas as mensagens de todos os usuários, estejam na França ou não, de todas as suas mensagens pelo mesmo fato de usar um aplicativo objetivamente legal.

Reprodução

As comunicações foram removidas diretamente do telefone do usuário e não durante a viagem para, através ou de qualquer outra parte do sistema. No caso do remetente, o material foi recuperado na forma de mensagens não criptografadas armazenadas na memória RAM do aparelho na forma em que existiam antes de serem transmitidas do aparelho para os servidores da Roubaix, via sistema de telecomunicações.

Na França, uma equipe de 60 oficiais capturou 70 milhões de mensagens de mais de 32 mil telefones em 121 países dentro de um mês, após o hacking, de acordo com documentos legais franceses. Eles simplesmente capturaram tudo sem nenhum tipo de discriminação, todos os dados de pessoas sem nenhuma ligação com nenhum crime. E isso não é permitido por lei.

Esses dados foram destacados pelo Tribunal Regional de Berlim em uma primeira decisão dos tribunais europeus, em julgamento proferido em 1º de julho de 2021 (despacho de 07.1.2021 – (525 KLs) 254 Js 592/20 (10/21), que declarou a inadmissibilidade em processo penal de todos os resultados oferecidos pela investigação francesa/holandesa do EncroChat.

De acordo com o acórdão do referido tribunal, a investigação em território alemão foi realizada sem ter em conta as normas de proteção individual e sem a “necessária suspeita concreta”.

Mesmo que o serviço EncroChat fosse particularmente atraente para os criminosos, a posse de um telefone celular criptografado por si só não permite tirar conclusões sobre o comportamento criminoso. Portanto, não havia razão para monitorar. No preâmbulo, os juízes dão um exemplo: “Se uma pessoa carrega um pé de cabra com ele, isso não é suficiente para uma busca devido a um possível roubo”.

Na verdade, antes que os bate-papos secretos fossem hackeados, geralmente não havia suspeitas contra os participantes, que ainda não se conheciam antes do hack do estado.

Outro ponto central para o Tribunal Regional de Berlim é que se um estado estrangeiro, neste caso a França, quiser monitorar uma pessoa em solo alemão, deve informar as autoridades alemãs com antecedência. O que não aconteceu em violação das disposições dos regulamentos europeus.

Especificamente, a ilegalidade neste caso já é derivada do fato de que os dados foram obtidos em violação da Diretiva 2014/41/UE sobre a ordem europeia de investigação e do regulamento aprovado para implementação da lei de assistência mútua internacional em matéria penal.

A referida Diretiva 2014/41/UE do Parlamento Europeu e do Conselho, de 3 de abril de 2014, relativa à ordem europeia de investigação em matéria penal, estabelece no Capítulo V sobre a Intervenção nas Telecomunicações, artigo 31º que:  

“1. Quando, para efeitos de execução de uma medida de investigação, a autoridade competente de um Estado-Membro (“o Estado que conduz a intervenção”) autorizar a intervenção de telecomunicações, e o endereço de comunicações da pessoa que é objecto da intervenção processos penais constantes da ordem de intervenção no território de outro Estado Membro (‘o Estado notificado’) cuja assistência técnica não seja necessária para a realização da referida intervenção, O ESTADO REALIZADOR DA INTERVENÇÃO DEVE NOTIFICAR A AUTORIDADE COMPETENTE DO ESTADO NOTIFICADO DE TAL INTERVENÇÃO:

a) antes da intervenção, nos casos em que a autoridade competente do Estado membro que procede à intervenção já tenha sido informada, aquando da ordenação da intervenção, de que a pessoa que é objecto do processo penal da mesma se encontra ou se encontra em o território do Estado notificado;

b) durante ou após a intervenção, imediatamente após tomar conhecimento de que a pessoa sujeita ao processo de intervenção penal se encontra ou foi encontrada durante a intervenção no território do Estado-membro notificado.

2. A notificação a que se refere o n.º 1 deve ser efetuada através do formulário constante do Anexo C.” 

É evidente que a autoridade francesa tinha pleno conhecimento de que a intervenção de todos os usuários de um servidor de uma empresa jurídica que oferecia software na Internet a quem quisesse contratá-lo, afetaria os usuários em todos os países europeus e não europeus. Não sabemos se a França cumpriu o protocolo com a Bélgica, mas é evidente que não, pois a informação era conhecida e prestada uma vez que alguns telefones foram apreendidos na Bélgica em cartório, fato este que serviu de gatilho para a coleta da informação contida nos terminais das Autoridades em francês, mas nada se diz sobre o cumprimento do protocolo para a intervenção dos mímicos quando ocorreu.

As autoridades francesas iniciaram esta investigação nos anos 2016/17, portanto, não lhes era estranho ter conhecimento de que a intervenção dos telefones de todos os usuários do software e do serviço através da implementação de um vírus para todos os usuários afetaria pessoas que residem em dezenas de países.

Se um estado-membro pretender interceptar o tráfego de telecomunicações de pessoas no território de outro estado-membro, deve informar a autoridade competente do Estado destinatário da medida antes do início da medida (ou logo que tome conhecimento do paradeiro da pessoa), nos termos do artigo 31 nº 1 da Diretiva 2014/41/UE.

Em particular, tal não pode ser justificado pelo fato de as “pessoas-alvo” da medida serem os operadores. A essa altura, nem importa se os usuários dos dispositivos finais tinham o status formal de réus no julgamento francês ou se havia pelo menos uma suspeita de crime contra eles. O artigo 31º da Diretiva Europeia não está vinculado ao estatuto processual do titular dos dados, mas baseia-se apenas no facto de o utilizador do equipamento terminal monitorizado se encontrar em território estrangeiro.

Este é o caso do pesquisador e da maioria dos outros supostos usuários. Portanto, mesmo que os usuários fossem apenas pessoas de contato do réu, a obrigação de informação prévia, nos termos do artigo 31, não teria sido devidamente cumprida pela França. 

Só por este fato, precederia declarar a nulidade imediata de todas as provas relacionadas com os serviços EncroChat e o conteúdo das mensagens fornecidas a este tribunal através do cumprimento de um OEI preenchido por comunicação da autoridade judiciária de Lille (França). Após isso, a efetiva transmissão dos dados objeto da OEI. citados, que foram recebidos pelas autoridades belgas com base na imputação.

Mas o problema em questão é que a investigação francesa foi lançada no EncroChat em 2016 e 2017 após a recuperação de vários telefones na posse de traficantes de drogas. Os investigadores conseguiram rastrear os servidores usados pelo EncroChat até um data center administrado pela OVH em Roubaix, na França. 

Em janeiro de 2020, um Tribunal em Lille autorizou a instalação de um implante de software direcionado aos telefones Android BQ Aquaris X2 usados por mais de 32 mil usuários do EncroChat em 122 países. O implante, fornecido pela agência de inteligência francesa DGSE, inicialmente coletava dados históricos da memória do telefone, incluindo mensagens de bate-papo armazenadas, catálogos de endereços, notas e o número Imei exclusivo de cada telefone.

Na segunda etapa, o implante interceptou as mensagens de bate-papo recebidas e enviadas, provavelmente capturando prints de tela ou chaves de registro, e as transmitiu a um servidor gerenciado pela C3N (leia aqui, 3 de julho de 2021 e Acórdão do Tribunal Regional de Berlim já citado). 

Assim, essa forma de investigar e seus resultados não são os únicos problemas de irregularidade. Como expõe a própria Corte alemã em aplicação de doutrina semelhante à seguida em outros países europeus, como a Espanha e Portugal (não poderia ser de outra forma dada a influência que o direito penal alemão teve em muitas leis de nosso continente). A investigação francesa suspeita genericamente do uso de um aplicativo ou software legal, deduzindo que todos os usuários que o utilizam são ou fazem parte de organizações criminosas. Os réus específicos não são nomeados, conhecidos ou identificados nas ordens judiciais. 

Nas palavras do Tribunal alemão: “Não havia factos suficientes que justificassem o acesso indiscriminado aos dados de todos os utilizadores de determinado modelo de aparelho, incluindo o arguido. As suspeitas contra os utilizadores dos dispositivos terminais limitavam-se ao facto de o … sistema estar equipado com backups particularmente complexos e comparativamente dispendiosos para os utilizadores, de a utilização dos referidos terminais para fins criminais ter sido apurada em vários processos penais  predominantemente por crimes de drogas, mas também por outros crimes  e que os destinatários da medida também usaram os referidos dispositivos terminais”.

As tecnologias de criptografia também não são em si um ponto de partida adequado para a suspeita de um crime porque seu uso não é indesejável do ponto de vista do Estado, mas deve ser fortalecido para proteger dados confidenciais do acesso de terceiros.

Por exemplo, a Resolução do Conselho da União Europeia sobre criptografia de 24 de novembro de 2020  13084/1/20  afirma que a UE “apoia plenamente o desenvolvimento, implementação e uso de criptografia forte”; é “um meio necessário para proteger os direitos fundamentais e a segurança digital dos governos, indústria e sociedade”. Os usuários de comunicações criptografadas não “entram visivelmente em uma esfera que não vale a pena proteger” e não expõem nenhum “direito legal” ao uso da criptografia. 

Certamente, pode-se ficar tentado ou relutante em entrar em avaliações sobre a legalidade de uma medida investigativa realizada por um Estado estrangeiro, especialmente se esse Estado fizer parte da esfera europeia (princípio da não indagação), mas a polêmica que tem surgido e que as diferentes legislações e os diferentes tratamentos afetam normas comuns no quadro jurídico europeu. Ou seja, exige-se homogeneidade nas decisões, pois o contrário, como está a acontecer, implica um elevado risco de insegurança jurídica. 

Vale destacar, então, que qualquer pessoa presa, ou com problemas em uma investigação policial (inquérito) ou até mesmo ação penal já instaurada nesses casos acima citados, deve contratar um advogado criminalista especialista no assunto, com conhecimento técnico jurídico a âmbito europeu, visando anular os processos ou investigações, e até mesmo evitar ou revogar um pedido de prisão preventiva no curso do processo.

Eduardo Mauricio é advogado, mestre em Direito (Ciências Jurídico Criminais) pela Universidade de Coimbra (Portugal); pós-graduado em Direito Penal e Criminologia pela PUC-RS; pós-graduado em Direito Penal econômico europeu, Direito das Contraordenações e Direito Penal e Compliance, pela Universidade de Coimbra (Portugal); pós-graduado pela CBF Academy (intermediário de futebol), inscrito na CBF e na FPF (Federação Portuguesa de Futebol) como intermediário; presidente da Comissão de Direito Penal Internacional da Abracrim (SP) e membro da International Association Penal Law (AIDP) em Lisboa e Paris.

Consultor Júridico