Supremo Tribunal Federal realizou, em 10.02.2020, audiência pública para debater o controle de dados de usuários armazenados no exterior por empresas provedoras de aplicações de internet.

O tema é discutido no âmbito da Ação Direta de Constitucionalidade n. 51, movida pela Federação das Associações de Empresas de Tecnologia da Informação (Assespro Nacional), a qual requer a declaração de constitucionalidade do Decreto n. 3.810/2001, o qual trata do procedimento jurisdicional para a requisição de dados e/ou provas localizadas no exterior, mediante o rito da expedição de carta rogatória.

O Decreto n. 3.810 aprovou o Acordo de Cooperação Mútua Internacional entre Brasil e Estados Unidos em matéria criminal. De um lado, os representantes das empresas provedoras de aplicações de internet com sede no exterior, ainda que possuam subsidiárias no Brasil, defenderam a tese no sentido de serem vedadas pela legislação norte-americana (Stored Communications Act – SCA), em proteção à privacidade, a divulgação do conteúdo das comunicações para terceiros, no caso, governos estrangeiros, pois se descumprirem a lei norte-americana podem ser responsabilizadas civilmente e criminalmente, mediante sanções como multa. Deste modo, as empresas norte-americanas sustentaram que estão obrigadas a cumprir com a legislação norte-americana, bem como estão subordinadas à jurisdição norte-americana.  Assim, somente as empresas provedoras de aplicações de internet explicaram que somente podem divulgar o conteúdo das comunicações para terceiros, mediante ordem judicial válida da Justiça norte-americana. Apenas em hipóteses excepcionais, como o risco de morte ou de grave perigo físico é que a legislação norte-americana autoriza a divulgação dos dados para terceiros. Também, destacaram que as suas empresas subsidiárias localizadas no Brasil não possuem o controle sobre os dados dos usuários. Unicamente, a empresa matriz sediada nos Estados Unidos é quem controla estes dados. Mas, explicaram que o Stored Communications Act autoriza a divulgação de metadados para terceiros. Deste modo, é possível distinguir no campo operacional entre os metadados e os conteúdos das mensagens armazenadas. Igualmente, explicaram que frequentemente há ordens judiciais determinando o pagamento de elevadas multas pelo descumprimento de ordens judiciais, inclusive com a determinação do pagamento para fundos do Poder Judiciário e não da União, o que causa o estado de insegurança jurídica.

Por outro lado, os representantes do governo brasileiro, juntamente, com as autoridades responsáveis pela segurança pública, manifestaram-se no sentido da possibilidade de requisição direta do acesso aos dados armazenados pelas empresas provedoras de aplicações de internet, ainda que os mesmos estejam localizados no exterior, haja vista a soberania e jurisdição nacional. Afirmaram, ainda, a ineficácia do procedimento previsto no Acordo de Cooperação Mútua Internacional entre Estados Unidos e Brasil em matéria penal.  Segundo eles, somente 20% (vinte por cento) das requisições de dados destinadas às autoridades norte-americanas são atendidas. Alega, ainda, que o procedimento de coleta de prova no exterior é demorado, o que prejudica as investigações. Além disto, defenderam métodos alternativos de coleta de provas no exterior, para além daqueles previstos no Decreto n. 3.810/2001. Por sua vez, o representante dos consumidores apresentou a perspectiva da proteção dos respectivos consumidores diante de crimes cibernéticos, razão para o interesse nas investigações criminais. Mas, por outro lado, destacou-se a necessidade de proteção aos dados pessoais. Debateu-se a respeito da aplicabilidade do Marco Civil da Internet, especialmente o art. 11, §2º. Para as autoridades públicas brasileiras, o mesmo permite a requisição direta do acesso aos dados armazenados no exterior.  Diversamente, há entendimento no sentido contrário.

O Marco Civil da Internet considera a existência de tratados internacionais celebrados pelo Brasil, razão pela qual não é possível a requisição direta dos dados, diante do comando normativo do Tratado Internacional entre Brasil e Estados Unidos.  Em síntese, o objeto da ação é a declaração de constitucionalidade do Decreto n. 3.810/2001 que aprova o Acordo Internacional de Mútua Assistência entre Brasil e Estados Unidos em matéria penal. Uma vez declarada a sua constitucionalidade, o mesmo deverá ser aplicado em sua integralidade pelo Poder Judiciário brasileiro. Mas, por outro lado, outra alternativa é decretação  a sua inconstitucionalidade. Eventuais deficiências do acordo de cooperação entre Brasil e Estados Unidos em matéria penal podem ensejar a denúncia do tratado internacional e a busca de formalização de um novo acordo judicial entre os países quanto à obtenção de provas digitais. A título ilustrativo, citou-se na audiência pública que os Estados Unidos aprovaram o Cloud Act, uma nova lei que modifica o Stored Communications Act e possibilita o acesso ao conteúdo das comunicações eletrônicas armazenadas no exterior. E prevê a realização de acordos bilaterais para a obtenção do acesso de dados no exterior. Assim, o Cloud Act representa uma exceção ao Stored Communications Act à medida que possibilita a requisição direta de dados se houver acordo internacional entre as partes. Neste sentido, em 2019, os Estados Unidos e o Reino Unido celebraram acordo internacional para possibilitar a requisição direta de dados. Também, no direito internacional, há a Convenção de Budapeste, a qual trata do combate aos crimes cibernéticos e dispõe sobre as medidas de acesso às provas em outras jurisdições. Por ora, o Brasil não aderiu à Convenção de Budapeste, mas já requereu sua adesão. Enfim, o tema do acesso às provas no cenário da internet envolve distintos critérios.  Tradicionalmente, o cenário era fácil. Soberania, legislação e jurisdição seguem o critério da territorialidade. Porém, devido à internet, há questão mais complexas em relação à territorialidade e extraterritorialidade. Razão para a necessidade do direito internacional revolver estas questões difíceis. De um lado, em um país ocorrem as investigações criminais e seus respectivos órgãos de segurança pública demandam o acesso às prova.

Há outro país sede da empresa provedora de aplicações de internet controladora dos dados. E, ainda, pode haver na relação um terceiro país onde estejam armazenados os dados. Assim, a normativa e/ou acordo internacional deve definir os critérios para a incidência da legislação e jurisdição nacional, no caso de coleta de dados. Não há prazo definido para o julgamento final da ADC n. 51.