Ericson M. Scorsim. Doutor em Direito pela USP. Advogado. Sócio fundador do Escritório Meister Scorsim Advocacia. Autor da Coleção de Ebooks sobre Direito da Comunicação. Fundador do Portal Direito da Comunicação

O Supremo Tribunal Federal promoveu, em fevereiro de 2020, audiência pública para debater a questão do acesso por autoridades brasileiras ao conteúdo das comunicações eletrônicas privadas (exemplo: conteúdo de e-mails, conversas, imagens, áudios, vídeos, textos, etc.) armazenadas no exterior por empresas de tecnologia provedoras de serviços de aplicações de internet. Frequentemente, as autoridades judiciárias brasileiras determinam a quebra do sigilo das comunicações, em investigações e processos criminais e/ou civis e determinar o acesso ao conteúdo de comunicações privadas armazenadas por empresas provedoras de aplicações de internet, como o Google, Facebook, Microsoft e Apple, entre outras. A princípio, as comunicações privadas são invioláveis, conforme determina a garantia constitucional da inviolabilidade das comunicações, excetuadas as hipóteses determinadas em lei para obtenção de prova em investigações e processos criminais e civis. Assim, uma vez determinada a quebra do sigilo das comunicações, a princípio, todos os conteúdos das comunicações referentes à vida privada, vida financeira de pessoas naturais e jurídicas podem ser acessados pelas autoridades competentes. A Justiça brasileira tem alegado que a não entrega do conteúdo das comunicações eletrônicas privadas à autoridade judicial pelas empresas provedoras de aplicações de internet representa ofensa à soberania nacional. Assim, com base no Marco Civil da Internet, é feita a requisição direta às empresas provedoras de aplicações de internet o acesso ao conteúdo das comunicações armazenadas no exterior. Algumas das empresas provedoras de comunicações informam à Justiça brasileira que não possuem os conteúdos das comunicações, pois os mesmos estão armazenados no exterior. Destacam, ainda, a distinção entre a empresa filial e a empresa sede, para fins de definição das obrigações legais a partir da legislação do país aonde está a sede da empresa. Além disto, as empresas provedoras de aplicações de internet alegam que estão submetidas à legislação norte-americana, especificamente o Stored Communications Act (SCA), razão pela qual não podem fornecer o conteúdo das comunicações privadas. Em razão disto, a Justiça brasileira tem aplicado multas milionárias contra as empresas de tecnologia provedoras de aplicações de internet. Houve, inclusive, ordens judiciais que mandaram prender executivos das empresas provedoras de aplicações de internet pelo crime de desobediência de ordem judicial.

Ação Direta de Constitucionalidade nº. 51 no Supremo Tribunal Federal, cujo objeto é o Decreto nº. 3.810/2001 que aprova o Acordo de Assistência Judiciária em matéria penal entre Brasil e Estados Unidos.

O tema do controle sobre os dados está em debate na Ação Direta de Constitucionalidade nº. 51 promovida pela Federação das Associações das Empresas de Tecnologia da Informação. O objeto da ação é a declaração da constitucionalidade do Decreto nº. 3.810/2001, o qual demanda a observância do procedimento da expedição de carta rogatória para que as autoridades brasileiras possam solicitar às autoridades estrangeiras o conteúdo das comunicações eletrônicas privadas, armazenadas no exterior. Este decreto aprovou o Acordo de Assistência Judiciária em matéria penal (MLAT), firmado entre o Brasil e os Estados Unidos. O decreto prevê o procedimento de coleta de provas em matéria penal. Na justificativa da audiência pública, argumenta-se sobre a necessidade do debate sobre o tratado internacional entre Brasil e Estados Unidos em relação ao controle de dados e a interceptação das comunicações eletrônicas. Também, a aplicabilidade da lei nacional sobre as empresas provedoras de aplicações de internet. E a existência de riscos ao direito fundamental à privacidade decorrente das requisições dos conteúdos das comunicações armazenadas pelas provedoras de aplicações de internet. Além disto, outra questão é a definição dos limites da soberania nacional dos países envolvidos no cenário de fragmentação de fronteiras no espaço cibernético. Os dados são coletados em um determinado País, porém ocorre a transferência internacional dos mesmos e os dados acabam sendo armazenados em um terceiro país. Via regra, as principais empresas globais de tecnologias estão sediadas nos Estados Unidos, mas mantém filiais no Brasil que fazem a coleta, o processamento e a tratamento e transferência dos dados. Igualmente, é necessário o debate sobre os critérios para a definição do alcance da jurisdição brasileira sobre as comunicações eletrônicas, bem como os parâmetros da territorialidade, local de armazenamento físico dos dados, a definição da empresa controladora dos dados e o impacto das atividades de comunicação.

Assim, a autoridade jurisdicional brasileira deve requisitar ao Ministério da Justiça brasileiro para que o mesmo solicite as informações perante o governo norte-americano. O governo dos Estados dos Unidos, através de ato judicial, requer informações às empresas de tecnologia sediadas em seu território. Deste modo, a autoridade jurisdicional brasileira não pode requisitar diretamente à empresa provedora de aplicação de internet a entrega do conteúdo das comunicações.

A legislação dos Estados Unidos sobre a proteção à privacidade das comunicações armazenadas pelas empresas provedoras de aplicações de internet: o Stored Communications Act (SCA)

A legislação norte-americana citada pelas empresas de aplicações de internet é o denominado Stored Communications Act (SCA), seção do Eletronic Communications Privacy Act (ECPA). A lei norte-americana é aplicável às empresas provedoras de serviços de comunicação eletrônica, bem como às empresas provedoras de serviço de informática remota. As empresas provedoras de comunicações eletrônicas têm responsabilidade quanto à proteção do conteúdo das comunicações privadas que se encontram em sua posse. Somente nas hipóteses legais é que o conteúdo das comunicações pode ser divulgado para terceiros. Dentre as exceções legais autorizadas para a divulgação dos conteúdos estão: “i) a revelação pelo usuário ou destinatário da informação; ii) a divulgação autorizada por mandado ou ordem judicial conforme a legislação norte-americana; iii) por consentimento legal de quem encaminhou a comunicação ou do destinatário da comunicação (ou do respectivo assinante na hipótese de provedores de serviço de informação remota); iv) para uma pessoa contratada ou autorizada ou cujas instalações são utilizadas para enviar essa comunicação para o seu destino; v) de acordo com a necessidade de prestação do serviço ou a proteção dos direitos ou propriedade do provedor do serviço de comunicação; vi) atendimento ao National Center for Missing and Exploited Children (Centro Nacional de Crianças Desaparecidas ou Exploradas), vii) na hipótese de o provedor dos serviços de comunicação obter involuntariamente o conteúdo para a prática de um crime; vii) fornecimento a entidade governamental se o provedor entender que há situação de emergência que acarreta risco de morte ou ferimento físico grave.

Usualmente, nas hipóteses de emergência os provedores de aplicações de internet têm fornecido, de modo voluntário, as informações requeridas pelas autoridades jurisdicionais.

As empresas provedoras de aplicações de internet têm a capacidade de distinguir os metadados em relação aos dados (aos conteúdos das comunicações). Assim, é possível a divulgação para terceiros dos metadados. Em relação aos dados (e aos conteúdos das comunicações), a autorização da divulgação para terceiros somente é possível se houver uma ordem judicial da Justiça norte-americana.

O caso U.S government vs. Microsoft: a questão da requisição de dados armazenados no exterior.

Nos Estados Unidos, o governo norte-americano ordenou à Microsoft, em caso de investigação de tráfico de drogas, a entrega do conteúdo das comunicações em e-mail da pessoa suspeita de ter praticado o crime. A empresa recusou-se a entregar o conteúdo do e-mail, sob o fundamento de que os conteúdos das comunicações eletrônicas privadas estavam armazenados em servidores localizados na Irlanda. O caso foi levado à Suprema Corte dos Estados Unidos. A tese da Microsoft foi no sentido de que a lei dos Estados Unidos somente é aplicável aos atos praticados dentro do território norte-americano, conforme previsão da Stored Communication Act. E, ainda, argumentou a empresa que não há sinalização pelo legislador no sentido de que o Stored Communications Act tenha eficácia extraterritorial. Assim, a aplicação extraterritorial da lei no sentido de impor entrega do conteúdo das comunicações eletrônicas privadas armazenadas no exterior é ilegal. A União Europeia, o Reino Unido, Nova Zelândia e Irlanda solicitaram a participação como amicus curiae.

A questão apresentada à Suprema Corte dos Estados Unidos foi a seguinte: “Whether a United States provider of email services must comply with a problable-cause based warrant issued under 18 U.S.C 2703 by making disclosure in the United States of electronic communications within that provider’s control, even if the provider has decided to store that material abroad”.

Superveniência do Cloud Act

No decorrer do processo, o Congresso dos Estados Unidos aprovou o Cloud Act, denominado o Clarifying Lawful Overseas Use of Data Act, isto é, a lei que dispõe sobre o acesso pelos governos aos conteúdos das comunicações eletrônicas privadas armazenadas pelas empresas provedoras de serviços de computação em nuvem, modificando-se o Stored Communications Act.

Destaque-se que as empresas globais de tecnologia Apple, Facebook, Google, Microsoft e Otah aprovaram a edição do Cloud Act. Em carta aberta estas empresas manifestaram-se no sentido:

“The new Clarifying Lawful Overseas Use of Data (Cloud) Act reflects a growing consensus in favor of protecting internet users around the world and provides a logical solution for governing cross-border acess to data. Introduction of this bipartisan legislation is an important step toward enhancing and protecting individual privacy right, reducing international conflicts of law and keeping us all safer. If enacted, the CLOUD Act would create a concrete path for the U.S government to enter into modern bilateral agreements with other nations that better protect customers. Importantly, the legislation would require baseline privacy, human rights and rule of law standards in order for a country to enter into an agreement. That will ensure customers and data holders are protected by their own laws and that those laws are meaningful. The legislation would further allow law enforcement to investigate cross-border crime and terrorism in a way that avoids international legal conflicts”.

A seguir, a análise detalhada do Cloud Act dos Estados Unidos

Legislação dos Estados Unidos: do Stored Communication Act ao CLOUD Act

A lei denominada Cloud Act regulamenta a disponibilização do conteúdo das comunicações eletrônicas privadas armazenadas por empresas provedoras de serviços de comunicações online. Trata das hipóteses de acesso ao conteúdo das comunicações pelo governo norte-americano, bem como por governos estrangeiros. A finalidade da lei é evitar o conflito entre leis nacionais que representem o conflito entre obrigações legais quanto à entrega do conteúdo das comunicações pelos provedores de comunicações. Em verdade, o Cloud Act representa uma exceção ao Stored Communications Act. Isto porque o Stored Communications Act veda a requisição direta de dados ao provedor da aplicação de internet. Diversamente, o Cloud Act permite esta requisição direta se houver acordo bilateral entre os países. O Cloud Act exige direitos de reciprocidade nas garantias de acesso aos dados.

Segundo o Cloud Act:

“(1) Timely acess to electronic data held by communications-service providers is an essential componente of government efforts to protect safety and combat serious crime, including terrorism. (2) Such efforts by the United States Government are being impeded by the inability to acess to data stored outside the United States that is in the custody, control, or possession of communications-service providers that are subject to jurisdiction of the United States. (3) foreign governments also increasingly seek acess to electronic data held by communications-service providers in the United States for the purpose of combating serious crime. (4) Communications-service providers face potential conflicting legal obligations when a foreign government orders production of electronic data that United States Law may prohibit providers form disclosing. (5) Foreign law may create similarly conflicting legal obligations when chapter 121 of title 18, United States Code (commonly known as the ‘Stored Communications Act’), requires disclosure of electronic data that foreign law prohibits communications-service providers from disclosing. (6) International agreements provide a mecanishm for resolving these potential conflicting legal obligations where the United States and the relevant foreign government share a commom commitment to the rule of law and the protection of privacy and civil liberties”.

Assim, a lei denominada Cloud Act contém dispositivo para a preservação e divulgação das comunicações e respectivas gravações, armazenadas dentro ou fora do território dos Estados Unidos: “A. provider of electronic communication service or remote computing serv ice shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of wheter such communication, record, or other information is located within or outside of the United States”.

Procedimento de divulgação do conteúdo das comunicações em requisições por autoridades no Cloud Act

Além disto, a lei denominada Cloud Act contém o procedimento de divulgação do conteúdo das informações armazenadas nas comunicações eletrônicas quando requisitadas pelas autoridades competentes:

“A provider of eletronic communication service to the public or remote computing service, including a foreign electronic communication service or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes – (i) that the customer or subscriber is not a United States person and does not reside in the United States; and (ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government”.

Licitude da entrega do conteúdo das comunicações pelas empresas provedoras de comunicações em requisições por governos estrangeiros

E, ainda, a lei denominada Cloud Act dispõe sobre a licitude da entrega do conteúdo das comunicações eletrônicas pelo provedor de serviços na hipótese de requisição por governos estrangeiros determinadas em casos de interceptação das comunicações, desde que haja um acordo de cooperação internacional.

Eis o teor do texto legal: “It shall not be unlawful under this chapter for a provider of electronic communication service to the public or remote computing service to intercept or disclose the contents of a wire or electronic communication in response to an order from a foreign government that is subject to an executive agreement that the Attorney General has determined and certified to Congress satisfies section 2523”.

Acordos de Cooperação international para o acesso de dados por governos estrangeiros

Além disto, o Cloud Act contém parte dispositiva sobre os acordos de cooperação internacional quanto ao acesso de dados por governos estrangeiros, com a definição dos requisitos para a celebração destes acordos:

“the domestic law of the foreign government, including the implementation of that law, affords robust substantive and procedural protections for privacy and civil liberties in light of the data collection and activities of the foreign government that will be subject to the agreement if (a) such a determination under this section takes into account, as appropriate, credible information and expert input; and (b) the facts to be met in making such a determination include whether the foreign government – (i) has adequate substantive and procedural laws on cybercrime and electronic evidence, as demonstrated by being a party to the Convention on Cybercrime, done at Budapest November 23, 2001, and entered into force january 7, 2004, or through domestic laws that ared consistent with definitions and the requirements set forth in chapters I and II of that Convention; ii) demonstrates respect for the rule of law and principles of nondiscrimination; iii) adhres to applicable international human rights obligations and commitments or demonstrates respect for international universal human rights, including I) protection from arbitrary and unlawful interference with privacy; II) fair trial rights; III) freedom of expression, association and peaceful assembly; IV) prohibitions on arbitrary arrest and detection; and iii) prohibitions against torture and cruel, inhuman, or degrading treatment or punishment; (iv) has clear mandates and procedures governing those entities of the foreign government that are authorized to seek data under the executive agreement, including procedures through which those authorities collect, retain, use, and share data, and effective oversight of these activities; v) has sufficient mechanisms to provide accountability and appropriate transparency regarding the collection and use of electronic data by the foreign government; and (vi) demonstrates a commitment to promote and protect the global free flow of information and the open, distributed, and interconnected nature of the internet (2) the foreign government has adopted appropriate procedures to minimize the acquisition, retention, and dissemination of information concerning United States persons subject to the agreements; (3) the terms of the agreement shall not create any obligation that providers be capable of decrypting data or limitation that prevents providers from decrypting data.

A Convenção sobre Cibercrimes contém medidas para a coleta de provas entre os países em matéria penal, estabelece os crimes contra a confidencialidade, integridade e disponibilidade de sistemas informáticos e dados informáticos, interceptação ilegítima, uso abusivo de dispositivos, medidas de conservação de dados de tráfego, busca e apreensão de dados informáticos armazenados, interceptação dados em relação ao conteúdo, procedimentos de colaboração mútua na ausência de acordos internacionais aplicáveis, procedimentos de colaboração mútua em relação aos poderes de investigação, etc.

Em dezembro de 2019, o governo do Brasil sinalizou, através de ato do Ministério das Relações Exteriores e Ministério da Justiça e Segurança Pública, o seu interesse em aderir à Convenção Budapeste.

Restrições à requisições de dados solicitadas por governos estrangeiros em relação aos norte-americanos ou pessoas localizadas nos Estados Unidos no Cloud Act

E, em relação às ordens de requisição de acesso a dados expedidas pelos governos estrangeiros, há a seguinte disposição legislativa: “(4) the agreement requires that, with respect to any order that is subject to the agreement. (A) the foreign government may not intentionally target a United States person or a person located in the United States, and shall adopt targeting procedures designed to meet this requirement; (B) the foreign government may not target a non-United States person located outside the United States if the purpose is to obtain information concerning a United States person or a person located in the United States; (C) the foreign government may not issue an order at the request of or to obtain information to provide to the United States Government or a third-party government, nor shall the foreign government be required to share any information produced with the United States Government or a third-party government”.

Como se nota da leitura do acordo, o governo estrangeiro não pode definir como alvo um cidadão norte-americano ou uma pessoa localizada nos Estados Unidos.

Critérios e limites das requisições de dados dos governos estrangeiros no Cloud Act

Também, o ato legislativo Cloud Act trata dos requisitos da ordem de requisição de informações por governos estrangeiros: “(D) an order issued by the foreign government – i) shall be for the purpose of obtaining information relating to the prevention, detection, investigation, or prosecution of serious crime, including terrorism; ii) shall identify a specific person, account, address, or personal device, or any other specific identifier as the object of the order; iii) shall be in compliance with the domestic law of that country, and any obligation for a provider of an electronic communications service or a remote computing service to produce data shall derive solely from that law; iv) shall be based on requirements for a reasonable justification based on articulable and credible facts, particularity, legality, and severity regarding the conduct under investigation; v) shall be subject to review or oversight by a court, judge, magistrate, or other independent authority prior to, or in proceedings regarding, enforcement of the order; and vi) in the case of an order for the interception of wire or electronic communications, and any extensions thereof, shall require that the interception order (I) be for a fixed, limited duration; and (II) may not last longer than is reasonably necessary to accomplish the aprovved purposes of the order; and (III) be issued only if the same information could not reasonably be obtained by another less intrusive method; e) an order issued by the foreign government may not be used to infringe freedom of speech. f) the foreign government shall promptly review material collected pursuant to the agreement and any unreviewed communication on a secure system acessible only to those persons trained in applicable procedures.

Requisição de dados em casos de serviços de inteligência e vigilância no exterior no Cloud Act

E, ainda, há parte do Cloud Act que trata da questão relacionada aos serviços de inteligência e vigilância no exterior que coletam informações:

“(G) the foreign government shall, using procedures that, to the maximum extent possible, meet the definition of minimization procedures in section 101 of the Foreign Intelligence Surveillance Act of 1978 (50 U.S.C 1801), seggregate, seal, or delete, and not disseminate material found not to be information thatis, or is necessary to understand or assess the importance of information that is relevant to the prevention, detection, investigation, or prosecution of serious crime, including terrorism, or necessary to protect against a threat of death or serious bodily harm to any person”.

Restrições de divulgação de informações sobre conteúdo das comunicações de norte-americanos no Cloud Act

Também, há restrições quanto à divulgação de informações sobre os conteúdos das comunicações de norte-americanos: “(H) the foreign government may not disseminate the content of communication of a United States person to United States authorities unless the communication may be disseminated pursuant to subparagraph (G) and relates to significant harm, or the threat threof, to the United States or United States persons, including crimes involving national security such as terrorism, significant violent crime, child exploitation, transnational organized crime, or significant financial fraud”.

Da reciprocidade no direito de acesso aos dados entre o governo norte-americano e o estrangeiro

Ademais, exige-se a reciprocidade na garantia de acesso aos dados pelos governos estrangeiros:

“(I) the foreign government shall afford reciprocal rights of data acess, to include, where applicable, removing restrictions on communications service providers, including providers subject to United States jurisdiction, and thereby allow them to respond to valid legal process sought by a government entity (as defined in section 2711) if foreign law would otherwise prohibit communications-service providers from disclosing the data; (J) the foreign government shall agree to periodic review of compliance by the foreign government with the terms of the agreement to be conducted by the United States government and (K) the United States Government shall reserve the right to render the agreement inapplicable as to any order for which the United States Government concludes the agreement may not properly be invoked”.

União Europeia – General Data Protection Regulation – GDPR

Em 2018, a União Europeia aprovou a regulamentação da proteção de dados, o que causou impacto significativo sobre as empresas globais de tecnologia provedoras de serviços de comunicações online.

Assim, a União Europeia do ponto de vista geopolítico definiu uma geoestratégia inteligente em relação aos Estados Unidos, principal país exportador de serviços digitais, por empresas provedoras de aplicações de internet.

Neste sentido, é importante verificar a compatibilidade entre o Cloud Act dos Estados Unidos em relação ao Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation). De certa forma, o Regulamento Geral de Proteção de Dados da União Europeia é um passo significativo de afirmação da soberania sobre os dados europeus. Por sua vez, o Regulamento Geral de Proteção da União Europeia (GDPR).

O texto normativo dispõe sobre a aplicabilidade do GDPR nas atividades de processamento de dados ainda que a empresa controladora e/ou processadora dos dados não esteja localizada na União Européia. Ou seja, em certo aspecto, há a aplicação extraterritorial do GDPR sobre as empresas controladoras de dados localizados foram do território da União Européia.

O art. 48 do GDPR dispõe que uma ordem judicial de governo estrangeiro ou de autoridade administrativa não é automaticamente reconhecida e aplicável no âmbito da União Europeia, excetuada se estiver em conformidade com tratados de cooperação mútua em matéria penal. Segundo o texto normativo: “Art. 48. Transfers or disclosures not authorised by Union Law. Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enfoceable in any manner if based on and internacional agreeement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter”.

Além disto, há uma série de requisitos para a legalidade do processamento de dados. Segundo o art. 6º do Regulamento de Proteção de Dados: “1. Processing shall be lawful only if and to the extent that at least one of the following applies: (a) the data subject has given consent to the processing of his or her personal data for one or more specific purpose; (b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; (c) processing is necessary for compliance with a legal obligation to which the controller is subject; (d) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vest in the controller; f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child”.

A princípio, portanto, uma decisão relacionada ao Stored Communications Act (SCA) dos Estados Unidos de entrega do conteúdo das comunicações privadas relacionadas aos europeus não é diretamente aplicável aos países membros da União Europeia. Mas, é possível, em hipóteses de emergência, quando existir risco à vida ou perigo de dano físico que o provedor dos serviços de computação em nuvem forneça as informações requisitadas. Há riscos de o provedor de serviços em nuvem fornecer informações em cumprimento às ordens SCA dos Estados Unidos receber uma multa por violar o Regulamento de Proteção de Dados da União Europeia. Mas, existem algumas alternativas para os provedores dos serviços de computação em nuvem questionem às ordens do SCA, tais como: a relevância da informação requisitada, a existência de outras alternativas para a obtenção da informação. Mas, na hipótese de existir acordo bilateral de cooperação não é possível invocar estes fundamentos. Também, a parte pode invocar o risco de violação à legislação estrangeira, para fins de recusa do fornecimento dos dados.

Acordo entre Estados Unidos, Reino Unido e Irlanda do Norte: acesso direto aos dados.

Os governos dos Estados Unidos, Reino Unido e Irlanda do Norte celebraram acordo de acesso a dados eletrônicos para fins de combate a crimes. Segundo o acordo, o objetivo é a proteção da segurança pública e o combate a graves crimes, aí incluído o terrorismo. O acesso a dados eletrônicos refere-se aos sistemas informatizados bem como os sistemas de telecomunicações. Há regras quanto à aplicação da lei nacional e os respectivos efeitos do acordo. E, ainda, regras sobre a interceptação das comunicações. Existem regras quanto à produção e preservação de dados/provas. Há regra de limites quanto à utilização e transferência dos dados. Também, medidas de proteção à privacidade dos dados. Há referência ao acordo de cooperação mútua em matéria penal entre os Estados Unidos, União Europeia, Reino Unido e Irlanda do Norte.

Em síntese, o acordo internacional tem o propósito de compartilhar dados em temas relacionados às investigações criminais, especialmente para a coleta e conservação de provas. Os principais destinatários do acordo internacional são as empresas de provedoras de aplicações de internet e as empresas de telecomunicações.

Riscos geopolíticos do Acordo Estados Unidos e Reino Unidos em matéria de coleta de dados e acesso às provas digitais: o impacto sobre o Brasil.

Uma questão interessante é relação ao impacto do Cloud Act e do acordo internacional entre Estados Unidos, Reino Unido e Irlanda do Norte, em relação a terceiros países.

A título exemplificativo, o que pode acontecer com a interceptação das comunicações, realizada por uma agência e/ou autoridade dos Estados Unidos e/ou Reino Unidos, em relação ao Brasil, devido ao fato de a comunicação ter passado por um roteador de empresa provedora de aplicações de internet americana ou britânica?

O provedor de aplicações de internet e/ou operadora de telecomunicações, situado o Brasil, é obrigado a atender a requisição de dados efetuada pelo governo dos Estados Unidos e/ou Reino Unido?

Há a hipótese de uma agência /ou autoridade britânica determinarem a interceptação das comunicações de um brasileiro e/ou empresa brasileira que utilize roteadores de empresa norte-americana.

Especialistas recomendam que o grampeamento das comunicações de usuários localizados em terceiros países deveriam ser excluídos do acordo.

Esta visão crítica do acordo é apresentada pelo Professor Albert Gidari:

“Nothing in the agreement even appears to require the issuing party to inform the issuing court that the intercept target is located outside the country. A court likely only be told that the target is a user of the subject provider, which is a covered under the agreement. Lastly, the agreement does not require that a provider be told that the issuing country has give notice to a third country. Why is it important? In most countries, including the US, it is unlawful to intercept the contents of a communication unless authorized by a court or specified authority. Is there any doubt that the US, for example, would consider the acquisition of the content of communication by a third country for someone located in the US as a violation of its sovereignty and the Wiretap Act? It’s why US-based providers offering services accessible like Brazil, for example, don’t conduct wiretaps for their law enforcement agencies. Indeed, US-based providers don’t even flip the switch so to speak in the US to facilitate a tap on a device located in Brazil or any other country because of the broad definition of interception under US law. So is there any doubt that a thrird country will consider such electronic surveillance to be an unlawful interception? The surveillance network made possible under the CLOUD Act is about to be extended yet again as the US and Australia jointly announced that they are negotiating an agreement as well. While the CLOUD Act may have made sense in regard to the disclosure of stored communications under the custody or control of a provider who built its network in a way to distribute data globally for its own business purposes, it is another thing entirely to target users outside the US or UK for the prospective acquisition of their communications. And in the case of UK, such acquisition is not limited in the agreement to 30 days as under US law. It would have been more reasonable do limit interceptions to targets within the borders of the requesting country (e.g., interception conducted by US provider on its user located within the UK.”.¹

E prossegue o autor:

“Provider should not assume the risk that the third country has no objection to or law against such surveillance. Where notice has been withheld, it is imprudent for a provider to take the risk that the third country will be forgiving. The third country’s remedies against the US and UK largely are political, but remedies against the provider who cooperated in the surveillance are criminal. The immunity provisions in the CLOUD Act are for actions brought in the US and UK not in third countries. While providers may ask for certifications that third countries have been notified, the better course is to reject interceptions on targets known to the provider to be outside the US or UK. For those that decide to accept such orders, it will be interesting to see whether CLOUD Act orders become part of their transparency reporting, including details on whether the orders where for stored of prospective acquision of content, and whether the targets were outside the US or UK”.²

Da necessidade de limites para o controle democrático das interceptações das comunicações. As assimetrias entre os países na capacidade de interceptação das comunicações.

A questão essencial é o estabelecimento de limites para o controle das interceptações das comunicações realizadas tanto pelos Estados Unidos e/ou Reino Unido. Daí a necessidade de um procedimento de notificação ao terceiro país a respeito da interceptação das comunicações que possam lhe afetar, a fim de possibilitar o respectivo controle ou objeção contra a vigilância eletrônica e coleta de dados. Assim, a questão é preocupante diante da assimetria da capacidade cibernética entre os países. Estados Unidos e Reino Unido sabidamente contam com elevada capacidade de realizar operações cibernéticas de coleta de dados em massa, vigilância eletrônica e interceptação das comunicações em âmbito global. Porém, o Brasil não possui esta capacidade cibernética, seja no âmbito defensivo ou ofensivo. Assim, eventual novo acordo internacional entre Brasil e Estados Unidos em matéria penal deve estar submetido severo controle democrático pelo Congresso Nacional. Aliás, há inclusive sério precedente representado pela espionagem realizado pela National Security Agency dos Estados contra cidadãos brasileiros, empresas brasileiras e órgãos públicos, tal como representado pela Comissão Parlamentar de Inquérito do Senado Federal.

Proposta da União Europeia sobre a cooperação internacional em termos de acesso a provas digitais.

A Comissão Europeia, em fevereiro de 2019, autorizou negociações para realizar um acordo entre a União Europeia e os Estados Unidos em relação ao acesso transfronteiras às provas digitais (electronic evidence), para fins de cooperação judicial em assuntos criminais.³ Segundo relata a Comissão Europeia já existe o Acordo de Assistência Legal Mútua entre a União Europeia e os Estados Unidos Porém, os procedimentos para obtenção da prova são demorados (na média leva cerca de 10 meses) e produzem desproporcionalmente gastos. Assim, mecanismos de cooperação direta das autoridades públicas dos países-membros da União Europeia com as empresas provedoras de aplicações de internet dos Estados Unidos foram criados como um canal alternativo de obtenção de dados. Mas, esta cooperação é limitada a metadados (dados não relacionados ao conteúdo). A legislação dos Estados Unidos permite que provedores de aplicações de internet cooperem diretamente com as autoridades públicas europeias apenas no que tange aos metadados. Mas, esta cooperação é voluntária, razão pela qual os provedores de aplicações de internet criaram suas políticas para decidir caso a caso a forma de cooperação. Em 2017, as requisições de dados chegaram a, aproximadamente, 124.000. Há o cenário de fragmentação nos mecanismos de cooperação, baseados no Acordo de Assistência Legal Mútua, o que cria um cenário de incerteza e compromete a legalidade das investigações, bem como preocupações quanto à proteção de direitos fundamentais e garantias procedimentais das pessoas alvo das requisições de dados.

Legislação de telecomunicações dos países europeus proíbem operadores entreguem dados a autoridades estrangeiras

Em diversos países-membros da União Europeia, o marco regulatório das telecomunicações normalmente proíbe que uma operadora de serviços de telecomunicações responda diretamente a uma autoridade estrangeira, inclusive em relação a metadados (dados não relacionados ao conteúdo). Entretanto, não há marco legal que permita a colaboração direta em outros setores de comunicações. Deste modo, autoridades norte-americanas podem usualmente somente obter tais dados dos provedores de serviços europeus através de uma requisição via Acordo de Cooperação Legal Mútua.

Objetivo da proposta da União Europeia é coleta de provas em investigações criminais

Assim, o objetivo da proposta normativa é a obtenção de provas em procedimentos investigatórios criminais (e-evidente proposals), em matéria de crimes cibernéticos.⁴ Provedores de aplicações de internet que não possuam sede e/ou filiais na União Europeia serão obrigados a manter representantes legais. A proposta objetiva reduzir os riscos de conflitos de leis quanto às obrigações dos provedores de serviços de internet, especialmente em relação a terceiros países. Os Estados Unidos são considerados um terceiro país nos termos da proposta de obtenção de prova digital. Segundo a Recomendação da Comissão Europeia: “Major service providers holding relevante evidence for criminal investigations operate under U.S jurisdiction. The Stored Communications Act of 1986 prohibited the disclosure of content data, whereas non-content data can be provided on a voluntary basis. The United States CLOUD Act (Clarifying Lawful Overseas Use of Data), adopted by United States Congress on 23 March 2018, clarifies through an amendment of the Stored Communications Act of 1986 that U.S service providers are obliged to comply with U.S orders to disclose content and non-content data, regardless of where such data is stored, including in the European Union. The CLOUD Act also allows the conclusion of executive agreements with foreign governments, on the basis of which U.S service providers would be able to deliver content data directly to these foreign governments. The scope of data covered by the CLOUD Act is stored data and interception of wire or electronic communication, while the offences covered are ‘serious crimes’. The executive agreements with foreign governments are subject to certain conditions, that the foreign country has sufficient protection in place, including to restrict acess to data related to U.S citizens”.⁵

E prossegue a Recomendação da União Europeia quanto ao acesso à prova digital: “The purpose of this iniciate is to address, through common rules, the specific legal issue of acess to content and non-content data held by service providers in the European Union or the United States of America. This iniciative would, in the context of an international agreement, complement the EU’s electronic evidence proposals by addressing conflicts of law, in particular as regards content data and speeding up acess to electronic evidence. This recommendation includes negotiating directives for the opening of negotiations on an EU-wide agreement with the United States of America on cross-border acess to electronic evidence. The European Union has an interest in a comprehensive agreement with the United States of America, both from the perspective of protecting European rights and values such as privacy and personal data protection and from the perspective of our own security interests. In terms of content data, as outlined above, U.S law (Stored Communications Act of 1986) as it currently stands, bars U.S service providers from responding to requests from foreign law enforcement authorities. U.S law currently requires that probable cause be shown before a Mutual Legal Assistance request from a third country can be executed. European Union Member State service providers cannot currently respond to direct requests from third country authorities. An EU-US Agreement would complement the objective and the effectiveness of the e-evidence proposals, in particular when it comes to content data held by U.S service providers in the United States of America. It would allow direct cooperation with a service provider by creating a more efficient legal framework for judicial authorities as EU practitioners currently face difficulties in obtaining content data through Mutual Legal Assistance requests”.⁶

E, ainda, a Recomendação da União Européia dispõe o seguinte:

“As regards non-content data, due to the growing number of Mutual Legal Assistance requets addressed to the United States of America, the U.S authorities have encouraged EU law enforcement and juditial authorities to request non-content data from U.S service providers directly, and U.S law allows but does not require U.S based service providers to respond to such requests. An EU-U.S Agreement would provide more certainty, clear procedural safeguards and reduce fragmentation for EU authorities to acess non-content data held by U.S service providers. It would also allow for reciprocal acess by U.S authorities to data held by EU service providers. The recommendation for a Council decision is to launch negotiations between the European Union and the United States do America, so that a transatlantic agreement can be reached on cross-border acess to electronic evidence directly from service providers for use in criminal proceedings. It seeks to adapt cooperation mechanisms to the digital age, giving the judiciary and law enforcement tools to address the way criminals communicate today and to counter modern forms of criminality”.⁷

Por fim, a Recomendação da União Europeia apresenta as vantagens do acordo entre União Europeia e os Estados Unidos: “An agreement between the European Union and the United States would offer a number of practical advantages: It would provide for reciprocal acess for judicial authorities to content data; it would address acess to non-content data on the basis of orders from judicial authorities, ensure reciprocal acess by EU and U.S authorities and review the conditions and safeguards for direct cooperation to service providers; it would contribute to improving timely acess to data for judicial authorities; it would address the risk of conflict of laws; it would reduce the risk of fragmentation of rules, procedures, and harmonise the rights and safeguards through a single negotiation mandate for all European Union Member States with the United States ensuring non-discrimination between European Union Member States and their nationals; It would clarify the binding nature and enforcement of orders on service providers while also detailing the obligations for judicial authorities. The agreement should be conditional on strong protection mechanisms for fundamental rights. These negotiating directives aim to improve legal certainty for authorities and service providers”.⁸

Em síntese, a União Europeia a atualização da regulamentação do tema do acesso às provas digitais, com a busca da melhoria da justiça criminal no âmbito do espaço cibernético e no contexto das infraestruturas digitais de computação em nuvem. Há proposta de regras que estabelecem a possibilidade de uma autoridade judicial de um Estado-membro obter prova digital (tal como e-mails, textos ou mensagens, ou identidade de alguém) diretamente de um provedor de serviço digital ou de seu representante legal, num prazo máximo de 10 (dez) dias e dentro de 6 (seis) horas em casos de emergência. Há normas para a preservação da prova digital. Também, há salvaguardas em relação aos direitos fundamentais relacionados à proteção de dados pessoais, bem como garantias para os provedores de serviços digitais. Além disto, deve ser criada uma plataforma digital para possibilitar a transferência de dados entre as autoridades jurisdicionais dos diversos países da União Europeia. Mas, a proposta de regulamentação destina-se aos dados armazenados pelos provedores de serviços, para fins de investigação criminal.

Deste modo, a proposta não alcança dados em tempo real, isto é, a interceptação das telecomunicações não é objeto da regulamentação. Segundo a proposta de regulamentação não é considerado o critério da localização dos dados, para fins de incidência da normativa: “The data ordered through a European Production Order should be provided directly to the authorities without the involvement of authorities in the Member State where the service provider is established or represented. The Regulation also moves away from data location as a determining connecting factor, as data storage normally does not result in any control by the state on whose territory data is stored. Such storage is determined in most cases by the provider alone, on the basis of business considerations”.⁹

E, além disto, a proposta da União Europeia prevê o alcance sobre os seguintes dados: “The categories of data this Regulation covers include subscriber data, acess data, transactional data (these three categories being referred to as ‘non-content data’) and content data. This distinction, apart form the acess data, exists in the legal laws of many Member States and also in the current US legal framework that allows service providers to share non-content data with foreign law enforcement authorities on a voluntary basis”. E, ainda, a normativa trata dos serviços prestados pelos provedores de comunicações eletrônicas, conforme definição do European Electronic Communications Code, o que inclusive voice-over-IP, instant messaging and e-mail services. Destaca-se, novamente, que a proposta que a jurisdição do direito europeu é aplicável independentemente da localização dos dados dentro do território da União Europeia: “In many cases, data is no longer stored or processed on a user’s device but made available on cloud-based infrastructure for acess form anywhere. To run those services, service providers do not need to be established or to have servers in a specific jurisdiction. Thus, the application of this Regulation should not depend on the actual location of the provider’s establishment or of the data processing or storage facility”.¹⁰

Operações cibernéticas de hacking conduzidas por governos: a concepção singular sobre a interpretação da extraterritorialidade dos dados

No contexto, de operações cibernéticas de hacking realizadas pelos governos há uma concepção diferente a respeito da extraterritorialidade dos dados. Para a proposta denominada Tallin Manual 2.0 on the International Law to Cyber Operations, os dados mesmo estando localizados no exterior são acessíveis por um estado soberano, se estiverem disponíveis na internet, em servidores e/ou roteadores. O acesso aos dados é territorial e não extraterritorial, se um computador estiver ligado à internet. Assim, o governo tem a autoridade legal para exercer a sua jurisdição de modo extraterritorial, no contexto do espaço cibernético. Em outras palavras, se uma autoridade encarregada da aplicação da lei tem a capacidade de acessar uma rede de computadores, ainda que localizados em outro país, mas a partir de seu próprio território, este acesso é considerado o exercício da jurisdição territorial. Esta tese foi defendida pelo governo dos Estados Unidos contra a Microsoft para acessar dados armazenados em servidores na Irlanda. O caso já referido foi parar na Suprema Corte dos Estados Unidos. Mas, devido à superveniência do Cloud Act, o litígio foi encerrado.¹¹

Brasil: a Lei Geral de Proteção de Dados

No Brasil, foi aprovada a Lei Geral de Proteção de Dados (Lei n. 13.709/2018), a qual contém previsões sobre o acesso a dados e ao conteúdo das comunicações por autoridades públicas. Há as regras de proteção à privacidade, à inviolabilidade da intimidade, honra e imagem.

A Lei Geral de Proteção de Dados define as espécies de atividades econômicas das empresas provedoras de aplicações de internet. Há atividades de coleta, processamento, tratamento e armazenamento de dados e das comunicações privadas. A lei é aplicável nas hipóteses: i) operação de tratamento de dados realizada no território nacional; ii) atividade de tratamento cujo objetivo é a oferta ou fornecimento de bens ou serviços ou tratamento de dados de pessoas localizados no território nacional; iii) dados pessoais objeto de tratamento tenham sido coletados no território nacional; iv. Quanto à transferência internacional de dados, a lei dispõe que é permitida, dentre outras, nas seguintes hipóteses: “para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto nesta lei”, “quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto nesta lei”, “quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional”; “quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro”, “quando a autoridade nacional autorizar a transferência”; “quando transferência resultar em compromisso assumido em acordo de cooperação internacional”.

Na Lei de Proteção de Dados não há regras que obriguem a localização dos dados dentro do território brasileiro. Há apenas regras sobre as responsabilidades das empresas que controlam os dados.

Também, no Marco Civil da Internet (Lei n. 12.965/2014) não há regras sobre a localização de dados no território brasileiro. Mas, o Marco Civil da Internet dispõe sobre a garantia do direito à inviolabilidade da intimidade e vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação, a inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma lei, a inviolabilidade e sigilo de suas comunicações armazenadas, salvo por ordem judicial. A referida lei dispõe apenas sobre a responsabilidade legal dos provedores de aplicações e internet quanto à guarda de registros de acesso a aplicações de internet e os registros de conexão. E, ainda, há regra sobre a proteção aos registros, aos dados pessoais e às comunicações privadas. Assim, conforme o Marco Civil da Internet: “o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma da lei estabelecer, respeitado o disposto nos incisos II e II do art. 7º”.¹²

Em outro artigo legal: “Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que, pelo menos, um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. §1º. O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que, pelo menos, um dos terminais esteja localizado no Brasil. §2º. O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou, pelo menos, uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. §3º. Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo das comunicações”.

Quanto à questão específica do caso concreto. Ora, o Decreto n. 3.810/2001 que trata da cooperação internacional entre o Brasil e os Estados Unidos em matéria de assistência penal define o procedimento legal para a obtenção de provas armazenadas no exterior. Logo, a garantia constitucional do devido processo legal deve ser respeitado. Se há falhas no Decreto e/ou no acordo internacional acima referido então os mesmos podem ser modificados. Além disto, destaque-se que somente são válidas as provas obtidas por meios lícitos, razão para a observância do devido processo legal, caso contrário haverá a invalidade da prova.

Conclusões.

Como se observa, o tema objeto da ADC n. 51 em trâmite no Supremo Tribunal Federal enquadra-se no contexto da transferência internacional de dados, na parte específica do acesso às provas digitais, em hipóteses de investigações para aplicação da lei penal. Na economia global e, respectivamente, no comércio internacional, há a intensificação do fluxo transnacional de dados. Além disto, há a ampliação da demanda na obtenção de provas digitais, bem como o aumento do fluxo internacional de pagamentos digitais. Dados referentes a pessoas (naturais e jurídicas) de um país são transferidos para empresas situadas em outros países. Dados bancários/financeiros são objeto de transações internacionais. As estratégias das empresas globais provedoras de aplicações de internet definem a política para a instalação de data centers em determinado país, aonde estão armazenados os dados em computadores servidores. Assim, a escolha do local de armazenamento dos dados integra a liberdade na definição do modelo de negócios da empresa global de tecnologia.

Paradoxalmente, a localização dos dados (embora eles sejam digitais) é um fator estratégico para as empresas globais de tecnologia. Há países com legislação que obriga a instalação de data centers locais pelos provedores de aplicações de internet. É o caso da China, India¹³ e Rússia que contém legislação sobre a localização nacional dos dados. Neste sentido, certos países são mais enfáticos no exercício de sua soberania sobre os dados de seus consumidores, cidadãos, empresas e respectivos governos. Outros países são mais liberais, deixando-se aberto a livre iniciativa a questão. Para alguns críticos, estamos vivendo uma era de novo colonialismo digital, isto é, empresas globais de tecnologias, com sede nos Estados Unidos estão aproveitando de suas vantagens competitivas para obter dados econômicos e financeiros e da vida privada em âmbito global. As soluções devem ser construídas. Talvez, um dos caminhos seja a edição e aprovação de uma lei de incentivos à instalação de data centers em território nacional, em parcerias com as empresas provedoras de aplicações de internet.

Enfim, há imensos desafios quanto o exercício da soberania e jurisdição para a aplicação da lei nacional em relação aos temas relacionados ao espaço cibernético e a prestação de serviços digitais por empresas provedoras de aplicações de internet. A princípio, a legislação nacional segue o princípio da territorialidade, isto é, projeta sua eficácia sobre o território nacional. Daí porque o acordo internacional, nos termos do Decreto n. 3.810/2001 (Acordo de Assistência Judiciária em matéria penal) foi celebrado entre o Brasil e os Estados Unidos para que a legislação nacional possa produzir efeitos naquele país e, assim, obter provas que estão sediadas fora do território nacional. Por outro lado, o Brasil não é signatário da Convenção Internacional de Budapeste sobre crimes cibernéticos. Porém, encaminhou, em dezembro de 2019, solicitação de adesão à Convenção de Budapeste.

Por ora, no caso concreto em debate na ADC nº. 51, não há eficácia extraterritorial das decisões da Justiça brasileira. Em vigor, o critério do país-sede do controlador dos dados pessoais, conjuntamente com o local de armazenamento dos dados pessoais, para fins de incidência da respectiva legislação aplicável ao caso. Uma das alternativas é a modificação do acordo internacional entre o Brasil e os Estados Unidos em matéria penal, para a mudança do critério legal. De todo modo, é fundamental o estabelecimento de limites ao acordo de cooperação internacional, para fins de proteção aos direitos fundamentais de defesa, sigilo das comunicações, privacidade, confidencialidade e integridade das comunicações. E, também, qualquer novo acordo internacional deve respeitar os limites impostos pela soberania nacional sobre os dados e as infraestruturas de redes de comunicações brasileiras.