Casos que chegam até o Supremo Tribunal Federal (STF) nem sempre são fáceis. De fato, muitas vezes os remédios usados deixam um gosto amargo na boca. No último dia 22 de setembro, o voto da ministra Rosa Weber, no Recurso Extraordinário nº 1.301.250, foi um desses. O recurso versa especificamente sobre a possibilidade do uso da quebra massiva da privacidade de usuários de aplicações de busca como método de obtenção de prova penal.
Tudo começou na 4ª Vara Criminal da Capital do TJ-RJ (Tribunal de Justiça do Rio de Janeiro), ao se acolher representação formulada pela autoridade policial avalizada pelo MP, e se determinar que a Google entregasse ao juízo a identificação dos IPs ou device IDs que acessaram a ferramenta de busca, entre 10/3/2018 e 14/3/2018 (data da prática do fato), e pesquisaram termos como o nome da vítima, sua agenda pública semanal, ou o nome da rua onde o crime seria cometido.
O tema é atual, relevante e necessário. O caso concreto subjacente, contudo, é sensibilíssimo: tem como pano de fundo o assassinato da vereadora Marielle Franco, em 2018, no Rio de Janeiro. O recurso, contudo, vai muito além do caso da vereadora. Ao se conferir repercussão geral, será determinado não apenas o desfecho do caso Marielle, mas o de qualquer processo em que se tente compelir a entrega, por parte dos provedores de busca, de dados em massa de usuários tão somente a partir de termos que estes pesquisaram. A questão aqui se relaciona a ser ou não necessário outro elemento concreto, individualizado, para quebrar a privacidade de potencialmente centenas de milhares de pessoas.
Tenha-se em mente que a Google corresponde a mais de 96% do mercado de buscas na internet no Brasil [1]. Pesquisas realizadas pelo buscador são capazes de deixar rastros tanto na máquina utilizada (computador, smartphone, etc.) quanto no banco de dados do provedor de aplicações. Significa dizer que, ainda que a máquina utilizada esteja programada para não armazenar dados, o provedor de aplicações pode identificar os resultados a partir da associação ao endereço de IP e seu respectivo horário [2].
A ministra assim delimitou a controvérsia: “a discussão veiculada na presente sede recursal restringe-se a perquirir os limites e o alcance de decisão judicial que determina o fornecimento de endereços de IPs e Devices ID’s de usuários indeterminados, que pesquisaram certas expressões em provedores de aplicação, em lapso temporal demarcado, sem a indicação, portanto, de qualquer outro elemento concreto apto a correlacionar os usuários alvo da determinação ao ilícito investigado“[3].
O voto da ministra Rosa Weber perpassou quatro temas: (1) o princípio da legalidade no processo penal e os meios de obtenção de prova; (2) o direito fundamental à proteção de dados pessoais; (3) o escopo de abrangência do artigo 22 do Marco Civil da Internet; e (4) a gravidade concreta do crime e a possibilidade de uma violação em massa de direitos fundamentais para solucioná-lo. Cada um deles apto, por si só, a fundamentar a cassação do acórdão recorrido.
Primeiramente, a ministra salientou que toda regulação de direitos fundamentais individuais (em negrito no voto) é, no fundo, um tipo de restrição. Desse modo, sublinhou que, de acordo com a Constituição, apenas a lei em sentido formal poderia restringir direitos fundamentais individuais e disciplinar matéria processual penal, de modo a permitir que o Estado dispusesse, efetivamente, do meio prova empregado no caso em questão. Trata-se do princípio da tipicidade (nulla coactio sine lege). É dizer, sem lei que autorize uma busca em massa, e sem motivação individualizada, o Estado simplesmente não poderia, na visão da ministra, requerer uma medida que impactasse tão significativamente direitos individuais.
Em segundo lugar, a ministra também asseverou que o STF adota uma concepção expansionista de dados pessoais. Assim, concluiu que o conceito de dados pessoais também engloba os identificadores requisitados pela autoridade policial mencionando entendimento do Tribunal Europeu de Direitos Humanos nesse sentido [4]. E que, inerentemente à lógica de proteção de dados pessoais, qualquer tratamento que se faça deve obedecer ao princípio da finalidade, mormente ao decorrente nexo de conexidade entre a utilização do dado e a finalidade informada ao titular quando da sua coleta.
Em seguida, a ministra registrou que o Marco Civil da Internet impôs aos provedores de aplicação e aos provedores de conexão uma série de deveres de guarda de dados [5]. O artigo 22 do Marco Civil [6] de fato permite que o Poder Judiciário requeira dados aos provedores, quando constatados indícios de prática de ilícito, quando motivada a utilidade dos dados, e em lapso temporal determinado. Contudo, isso não significa que outros requisitos legais (observação que consta expressamente do caput do artigo) devam ser negligenciados.
Aplicando diretamente a sistemática inerente à proteção de dados pessoais, a ministra assentou que o artigo 22 do Marco Civil não ampara ordens de caráter geral, sem a indicação de usuários específicos. Referenciando o ministro Celso de Mello, a ministra ressaltou que uma quebra de sigilo nunca pode se transformar em um instrumento de busca generalizada e de devassa indiscriminada e ilimitada da esfera de intimidade dos cidadãos.
Por fim, a ministra concluiu que, conquanto o crime tenha sido gravíssimo, e tenha havido clamor popular constante nos últimos cinco anos desde o fato, não se pode admitir uma “devassa generalizada sobre pessoas relativamente às quais inexiste causa provável a legitimar o afastamento dos respectivos sigilos“, e que o provimento do recurso do Google não significa um bloqueio à investigação do assassinato, mas a “concretização do direito fundamental de proteção de dados a incontáveis cidadãos brasileiros”. De acordo com a ministra, a observância às leis e à Constituição serve, justamente, para evitar que nulidades indesejáveis impeçam a punição dos responsáveis nos termos da lei.
Após votar pela cassação do trecho da decisão proferida pela 4ª Vara Criminal que exigia a entrega dos dados pelo Google, a ministra propôs, então, a seguinte tese: “À luz dos direitos fundamentais à privacidade, à proteção dos dados pessoais e ao devido processo legal, o art. 22 da Lei 12.965/2014 (Marco Civil da Internet) não ampara ordem judicial genérica e não individualizada de fornecimento dos registros de conexão e de acesso dos usuários que, em lapso temporal demarcado, tenham pesquisado vocábulos ou expressões específicas em provedores de aplicação”.
Divulgado o voto no plenário virtual em 22/9/2023, aguardam-se as cenas dos próximos capítulos. O ministro Alexandre de Moraes logo pediu vista, o que suspendeu o julgamento. Mas é importante que se frise que não se trata de uma questão isolada. Julgado em repercussão geral, o caso será marco no processo penal digital brasileiro, aplicando-se a todos os casos semelhantes.
A constante “datificação” da vida quotidiana torna possível algo antes considerado inimaginável: a reconstrução quase por completo dos trajetos e das buscas de milhões de cidadãos. Esse grande avanço em termos de possibilidade pode, todavia, corresponder a um verdadeiro retrocesso em termos de liberdades individuais. Conquanto movida por nobre motivo, não se pode permitir que a requisições policiais como a em comento devassem a vida de dezenas de milhares de pessoas a pretexto de se chegar ao autor do fato. Como bem pontuou a ministra, seu voto não impede que a persecução penal se utilize de outros meios — desde que legítimos — para encontrar os responsáveis pelo crime de março de 2018.
Os remédios têm mesmo dessas coisas, as vezes remédio bom é amargo. Ainda que por um motivo nobre, não se deve combater violações de direitos humanos com mais restrições. Eventual adoção da tese proposta pela ministra deverá fortalecer a cultura de proteção de dados (e de demais garantias individuais) em nosso país.
[2] “Quando você usa a Pesquisa, podemos coletar diferentes tipos de informação sobre seu local. Dependendo das suas configurações, isso pode incluir itens como endereço IP, dados de GPS, ou informação sobre pontos de acesso Wi-Fi perto de você.” GOOGLE. Como a Pesquisa usa as informações sobre seu local atual. Disponível em: <https://myaccount.google.com/yourdata/search>. Acesso em: 13.04.2023.
[4] Especialmente nas páginas 22 e 40 do voto.
[5] Mais especificamente, que o Marco Civil da Internet impôs aos provedores de aplicação o dever de guardar os registros de acesso de seus usuários, bem como o endereço de IP e a respectiva porta lógica de origem. E que os provedores de conexão têm a obrigação de, ao habilitar um terminal para acesso à Internet, atribuir-lhe um IP, uma porta lógica, e manter registro do início e término da conexão
[6] Art. 22. A parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.
Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de inadmissibilidade:
I – fundados indícios da ocorrência do ilícito;
II – justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e
III – período ao qual se referem os registros.
Bernardo Diniz Accioli de Vasconcellos é professor convidado e assistente acadêmico do Programa de Pós-graduação em Direito Digital do Instituto de Tecnologia e Sociedade (ITS Rio) em parceria com o Centro de Estudos e Pesquisas no Ensino do Direito da Universidade do Estado do Rio de Janeiro (Ceped/UERJ), mestrando em Direito Civil pela Uerj, bacharel em Direito, com ênfase em contencioso, pela Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio), com parte da graduação na Uerj e na Université Paris II – Panthéon-Assas (França), membro e coordenador de cursos da Comissão de Crimes Digitais da OAB-RJ (biênio 2023-2024), advogado e consultor em Direito e tecnologia.
Christian Perrone é professor de Direito Internacional e Regulação da Tecnologia. Pesquisador Fulbright (Universidade Georgetown, EUA), doutor em Direito Internacional (Uerj), mestre em Direito Internacional (L.L.M/Universidade de Cambridge, no Reino Unido), ex-secretário da Comissão Jurídica Interamericana da OEA, pesquisador head de Direito e tecnologia no Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS).
