Backup forçado e velado de dados em investigações: um tema delicado

“A entrada no processo penal de manifestações das novas tecnologias, como o correio eletrônico, os ficheiros informáticos escritos ou de outro gênero e o próprio ambiente digital, imediatamente apelaram à analogia com as demais realidades referidas e, consequentemente, dificultaram a apreensão da autonomia ontológica destas novas realidades. O resultado foi a aplicação do regime vigente para as novas realidades ou a formulação de novas disposições que estabelecem uma mera adaptação das regras vigentes para o mundo físico ao mundo digital” [1]. Porém, essa adaptabilidade não se mostra tão simples, na medida em que as inúmeras inovações tecnológicas seguem em avanço contínuo, prático e em velocidade impressionante. O cuidado, portanto, deve perpassar por todos os envolvidos no sistema de justiça criminal em âmbito nacional e internacional.

Por isso, o exercício contemporâneo do contraditório impõe estudos e práticas de controle cada vez mais complexas pela defesa [2]. Não há mais espaço de redução do contraditório em sua forma “ação – reação”. Para que seja caracterizado como substancial, o contraditório deve consubstanciar o alcance de real influência na atividade decisória [3].

E, para que isso seja viável, o exercício de defesa efetiva deve realizar passos de controle cada vez mais apurado sobre todo o produto bruto do contexto probatório (quanto à legalidade sobre os meios de obtenção de informações e meios de prova, bem como a sua valoração). Neste ponto, o realce das provas digitais acaba sendo um estudo necessário para o exercício pleno da defesa criminal.

Necessidade de acesso a dados armazenados nas “nuvens”

Nos últimos anos, tornou-se cada vez mais comum, em investigações criminais complexas, o afastamento do sigilo de dados armazenados em servidores remotos, conhecidos popularmente como “nuvem”.

Essa modalidade de busca de vestígios muitas vezes representa a única forma de encontrar informações preciosas no intrincado ecossistema das complexas investigações. Como a forma de comunicação está cada vez mais diversificada, verifica-se que as pessoas (alvos) utilizam formas variadas também de armazenamento de dados, o que obriga a ampliação do espectro investigativo para a computação em nuvem.

Os dados armazenados na nuvem podem reunir não apenas o conteúdo de dispositivos móveis, mas também e-mails e conteúdo de computadores [4], sendo, portanto, um oceano para a construção do acervo informativo. Além disso, a nuvem possui uma capacidade de armazenamento quase ilimitada, tornando-a o principal repositório de dados atualmente em uso.

Neste contexto, a hipótese de novas medidas probatórias adaptadas à comunicação digital é uma realidade, como já advertiram Daniel de Avelar e Valdir Marinho nesta coluna (ver artigo aqui). Tal é a utilidade do material armazenado nos servidores remotos que até mesmo a clássica interceptação telefônica já é vista como fonte secundária de informações dentre os métodos de busca de evidências criminais.

Fato é que o foco de observância sobre a nuvem em investigações criminais complexas não é apenas uma tendência, mas uma necessidade imposta pela evolução tecnológica.

Limites

Porém, a facilidade de acesso remoto também levanta questões importantes sobre privacidade dos usuários e segurança dos dados armazenados, requerendo cuidadosa regulamentação para garantir que os direitos dos indivíduos submetidos às ações encobertas sejam protegidos [5].

É preciso entender, ainda, que o acesso das autoridades investigativas à nuvem do investigado/acusado encontra limites normativos em âmbito nacional e internacional [6]. Além da proteção constitucional da privacidade e vedação de provas ilícitas, as próprias empresas definem algumas balizas.

Há expressos limites definidos pelas empresas da rede global de servidores, em especial Apple (iCloud) [7] e Google (Google Drive) [8], principais custodiadoras de dados relacionados aos sistemas operacionais para celular.

Para que as autoridades consigam acesso aos dados de uma conta de serviço de sincronização em nuvem, como iCloud ou Google Drive, é necessária uma prévia ordem judicial (artigo 5º, XXXV, da CF — reserva de jurisdição) enviada às empresas custodiantes. Essas empresas, por sua vez, encaminham ou disponibilizam via link às autoridades judiciárias requisitantes o acervo armazenado no repositório digital quando todas as normas de proteção de dados e políticas internas forem respeitadas.

Outro ponto delicado: o backup velado

Muitos usuários optam por não manter o backup dos dados do seu celular em nuvem, preferindo que mensagens de WhatsApp, por exemplo, continuem sendo armazenadas apenas nos dispositivos.

Neste ponto, surge uma questão relevante: até que ponto a investigação pode interferir remota e veladamente nos celulares dos investigados? Seria possível, então, em atendimento à ordem judicial, que as mensagens de aplicativos mensageiros salvas no dispositivo fossem exportadas para a nuvem pelas empresas proprietárias dos sistemas operacionais Android e iOS (Google e Apple), através de backup forçado, remoto e velado, à revelia do usuário? Ou seja, essas empresas poderiam comandar o armazenamento em nuvem de mensagens de WhatsApp ou Telegram sem o consentimento e conhecimento do titular?

Publicamente, a empresa Google afirma não ser possível efetuar um backup forçado. Assevera, ainda, que não possui capacidade técnica para fazer com que um dispositivo seja objeto de tal interferência contra a vontade do usuário. Continua destacando que mesmo que o usuário ative o backup em seu dispositivo, ele seguirá critérios pré-determinados e não é possível forçar ou manipular essa transferência de dados remotamente por ninguém, até mesmo pela própria empresa [9].

A Apple igualmente aponta que “nunca criou um acesso por backdoor ou chave-mestra para nenhum de nossos produtos ou serviços. Também nunca permitimos que qualquer autoridade federal tivesse acesso aos nossos servidores” [10].

É possível inferir que a transparência é um tema fundamental para garantir a confiança dos usuários nos serviços de armazenamento em nuvem. As empresas de tecnologia devem ser claras sobre suas práticas de privacidade e segurança e devem estar dispostas a cooperar com investigações para garantir que seus serviços não sejam usados de maneira inadequada.

As investigações criminais, por sua vez, devem seguir os limites protetivos impostos na nossa Constituição e nos atos normativos pertinentes ao tema, sobretudo aqueles relacionados ao registro da cadeia de custódia dos indícios digitais colhidos, tema já enfrentando nesta coluna (clique aqui para acessar o artigo).

No controle desses atos, a defesa e os próprios usuários possuem papel importante a desempenhar acerca da garantia de privacidade e a segurança dos dados armazenados na nuvem. A investigação defensiva é uma ferramenta crucial para garantir que as evidências produzidas pelos órgãos de persecução sejam válidas e respeitem os direitos fundamentais dos indivíduos.

Porém, a mera suspeita de que essas empresas possam realizar backups forçados e velados para atender as autoridades de investigação levanta sérias preocupações sobre a integridade de suas práticas de privacidade e também sobre o resultado probatório.

Constata-se que a discussão sobre a possibilidade de backup forçado e velado de dados em nuvem é complexa e envolve diversas questões técnicas e legais.

Conclusão

Em qualquer que seja o cenário, a ausência de limites claros sobre o uso de métodos sub-reptícios de apuração criminal traz consigo a necessidade urgente de regulação das investigações em meio digital, seja porque pode violar direitos fundamentais, seja pelo risco de enfraquecimento das próprias instituições incumbidas da persecução penal.

O tema, portanto, exige maiores discussões acerca da aplicabilidade e da regulação dos meios intrusivos de investigação no mundo digital, a fim de permitir maior transparência e controle sobre essa nova forma de atividade investigativa.

[1] RAMALHO, David Silva. Métodos Ocultos de Investigação em Ambiente Digital. Coimbra: Almedina, 2017, p. 241.

[2] Advertência necessária sobre o tema do controle da legalidade e confiabilidade da prova penal realizada por PRADO, Geraldo. A cadeia de custódia da prova no processo penal. 1a. ed.São Paulo: Marcial Pons. 2019, p. 67 e segs.

[3] Tema que já enfrentamos em SAMPAIO, Denis. A Valoração da Prova Penal. O problema do livre convencimento e a necessidade de fixação do método de constatação probatório como viável controle decisório.  1ª ed. Florianópolis: Emais, 2022, cap. 3.6.

[4] Sobre o tema ver STEFANO, Leandro Morales Baier. Integridade das provas – Conceitos Importantes de Perícia Digital para Operadores do Direito, 2024, editora independente, 1a. edição.

[5] “As práticas penais do gênero tendem a violar o âmbito essencial de configuração da vida privada e a legalidade penal não se desenvolve na mesma velocidade para estipular critérios e definir mecanismos que protejam este âmbito essencial contra as intrusões repudiadas constitucionalmente.” PRADO, Geraldo. A cadeia de custódia da prova no processo penal. 1a. ed.São Paulo: Marcial Pons. 2019, p. 106.

[6] Ponto de necessária análise diz respeito ao controle da cadeia de custódia da prova digital e o Decreto nº 11.491/23 que regulamenta, em solo brasileiro, a Convenção de Budapeste.

[7] https://www.apple.com/legal/privacy/law-enforcement-guidelines-outside-us-br.pdf (acesso em 21/06/2024).

[8] https://policies.google.com/terms/information-requests?sjid=17887161661821568424-SA (acesso em 21/06/2024).

[9] “O WhatsApp e o Telegram não são operados pela Google LLC ou por qualquer empresa da Google. A Google LLC não dispõe de meios técnicos para habilitar, remotamente, a funcionalidade de realização de backup de dados do WhatsApp e de Telegram no Google Drive para os seus usuários que utilizam esses aplicativos”. Disponível em https://legis.senado.leg.br/sdleg-getter/documento/download/fff5c989-1035-4435-9697-13c52c43a612#:~:text=A%20Google%20LLC%20n%C3%A3o%20possui,provedor%20de%20conex%C3%A3o%20%C3%A0%20Internet (acesso em 21.06.2024).

[10] Disponível em  https://www.apple.com/br/privacy/government-information-requests/. acesso em 21/06/2024.