Desvendando a quebra de sigilo telemático: um guia sobre suas modalidades e regimes jurídicos

Hoje vivemos em uma era de onipresença digital, na qual nossos smartphones, computadores e relógios não são mais meras ferramentas, mas extensões de nossas vidas, registrando incessantemente um rastro de dados que compõe nossa “sombra digital”. Cada passo rastreado por GPS, cada pesquisa em um motor de busca, cada mensagem trocada e cada foto armazenada na nuvem contribui para um acervo informacional vasto e profundamente pessoal, cuja proteção foi elevada ao status de direito fundamental autônomo pela Emenda Constitucional nº 115/2022.

Essa profusão de dados, contudo, possui uma dualidade intrínseca: se por um lado representa a esfera mais íntima do indivíduo, por outro, constitui um acervo de valor inestimável para a persecução penal. A mesma trilha digital que mapeia a rotina de um cidadão pode, em um contexto investigativo, revelar o modus operandi de uma organização criminosa ou desvendar a autoria de um delito complexo, notadamente os informáticos. O Estado, em seu dever de apurar infrações, naturalmente volta seus olhos para essa fonte de informações.

Nesse contexto, a “quebra de sigilo telemático” tornou-se onipresente no vocabulário jurídico, sendo invocada em incontáveis investigações como o instrumento-chave para a apuração de crimes das mais variadas naturezas. Contudo, sua aparente simplicidade esconde uma perigosa imprecisão. A aplicação do conceito pelos tribunais superiores brasileiros revela um cenário de casuísmo, falta de uniformidade e potenciais incoerências que podem gerar certo grau de insegurança jurídica.

A análise da prática jurisprudencial dos tribunais superiores demonstra que não há uma uniformização na terminologia e na abrangência do que se considera “quebra de sigilo telemático”. Por exemplo, no STF, o termo já foi relacionado estritamente ao conteúdo de comunicações privadas (voto da ministra Rosa Weber no HC 170.376 AgR), enquanto no STJ (AgRg no RMS 66.791), a mesma expressão já abrangeu uma gama maior de dados, até mesmo de terceiros — tema que está na pauta do dia, com o julgamento do RE 1.301.250, suspenso em abril de 2025. ^[1]

Essa fluidez conceitual é o primeiro sintoma de um problema mais profundo: a ausência de legislação específica para muitas das medidas investigativas digitais — em evidente prejuízo à reserva de lei ^[2] —, o que força o Judiciário a recorrer a analogias e a normas de caráter geral, consoante já apontado em monografia deste autor. ^[3]

Essa falta de clareza é agravada por um paradoxo gritante na proteção de dados em fluxo versus dados armazenados. A jurisprudência, ao aplicar regimes distintos, acaba por proteger com mais rigor a comunicação em trânsito (limitada a 15 dias pela Lei 9.296/96) do que o acesso a um histórico de anos de comunicações armazenadas, que, embora potencialmente mais devastador para a privacidade, não possui os mesmos limites temporais e requisitos autorizativos. ^[4]

É nesse cenário de tensão entre a privacidade e o dever de investigação, agravado pela imprecisão normativa, que se torna imperativo dissecar o conceito de “quebra de sigilo telemático”. O objetivo deste artigo é, portanto, trazer clareza a essa aparente confusão, demonstrando que não se trata de um instrumento único, mas de um espectro de intervenções com diferentes graus de invasão e, consequentemente, com diferentes regimes jurídicos. ^[5]

Acesso a dados telemáticos em fluxo (interceptação telemática)

Esta é a modalidade que possui o regime jurídico mais rigoroso, mas não necessariamente é a mais invasiva. Consiste na captação da comunicação em tempo real, enquanto ela está sendo transmitida entre os interlocutores. É o equivalente telemático da clássica interceptação telefônica. Um exemplo prático é a determinação judicial para que um provedor de e-mail crie uma “conta espelho”, permitindo que a autoridade policial receba, simultaneamente, todas as mensagens enviadas e recebidas por um investigado.

A sua base legal é a Lei 9.296/96 (Lei de Interceptação Telefônica), que em seu artigo 1º, parágrafo único, estende sua aplicação “ao fluxo de comunicações em sistemas de informática e telemática”. Os requisitos são estritos (artigo 2º da Lei 9.296/96): a medida só pode ser decretada por um juiz, para fins de investigação criminal ou instrução processual penal, quando houver indícios razoáveis de autoria em crimes punidos com reclusão e desde que a prova não possa ser obtida por outros meios (subsidiariedade). O prazo é de 15 dias, renovável por igual período mediante comprovação da indispensabilidade, embora o Supremo Tribunal Federal já tenha admitido renovações sucessivas em casos de investigações complexas (RE 625.263).

Porém, aqui cabe um apontamento sobre os limites da interceptação: a Lei 9.296/96, se respeitada a reserva de lei, não permite o chamado monitoramento de telecomunicações na fonte (Quellen-TKÜ). Conforme Hoffmann-Riem e Ribeiro, tal medida consiste em um processo de monitoramento que detecta a saída de telecomunicações antes que haja a criptografia ou a entrada de telecomunicações após a descriptografia pelo destinatário. ^[6] No contexto alemão, por exemplo, acrescentou-se um dispositivo específico autorizativo para a medida (§ 100a I 3 StPO).

Acesso a dados de comunicações armazenadas

Aqui reside um dos pontos mais paradoxais e juridicamente cinzentos da legislação brasileira quanto ao tema. Trata-se do acesso ao conteúdo de comunicações que já foram concluídas e estão guardadas em um dispositivo (celular, computador, etc.) ou em um servidor de um provedor (e-mails na caixa de entrada, mensagens salvas em backup na nuvem, etc.). Um exemplo é a ordem judicial para que uma empresa de tecnologia forneça o conteúdo de todas as mensagens trocadas por um investigado nos últimos cinco anos.

A controvérsia sobre sua base legal é imensa. A Lei 9.296/96, com seu prazo restrito, foi desenhada para o fluxo. O Marco Civil da Internet (Lei nº 12.965/2014), em seu artigo 10, § 2º, c/c art. 7º, III, prevê que o conteúdo de comunicações privadas armazenadas só pode ser disponibilizado por ordem judicial, “nas hipóteses e na forma que a lei estabelecer”. O problema é que essa lei específica ainda não existe. Na prática, os tribunais têm autorizado a medida com base no próprio Marco Civil, mas sem os requisitos rigorosos da Lei de Interceptação, criando um paradoxo: o acesso a um histórico de anos de conversas (potencialmente mais invasivo) acaba tendo menos requisitos que a interceptação de um fluxo de 15 dias.

Não obstante, digno de nota é o posicionamento do ministro Gilmar Mendes no MS 38.061 MC-AgR, que afirma ser o § 2º do artigo 10 do Marco Civil da Internet não autoaplicável, carecendo de regulamentação.^[7] Tem-se, assim, um estado de coisas de violação à reserva de lei no tocante à quebra de sigilo de dados de comunicações armazenados.

Acesso a dados de conteúdo não relacionados a comunicações

Semelhante à modalidade anterior por visar à obtenção de dados armazenados, o acesso a dados de conteúdo não relacionados a comunicações se diferencia principalmente em um aspecto: a medida não visa à obtenção da comunicação entre pessoas, mas à coleta de outros dados guardados pelo usuário. É o acesso a arquivos e informações armazenados em um dispositivo eletrônico que não são, em si, um processo de comunicação, como fotos, vídeos, documentos de texto, planilhas, agenda de contatos, histórico de navegação na internet, notas, etc.

Os dados armazenados podem ser obtidos, basicamente, de duas maneiras principais: com a busca ou a partir de requisição. O meio mais direto é a busca e apreensão da base física na qual constam os dados. Caso o sistema operacional do dispositivo ou os próprios arquivos estejam protegidos por senhas, padrões ou outras formas de segurança, a obtenção dos dados ou a compreensão do conteúdo dos arquivos pode requerer a colaboração do investigado ou o acesso forçado, mediante quebra de segurança.

Há outra possibilidade mais sofisticada, que é a coleta remota dos dados, a partir da rede telemática. Mesmo que as informações estejam na máquina do investigado ou de um provedor, podem ser acessadas à distância pelas autoridades. Tais medidas de infiltração online, conforme já delineado na jurisprudência do Tribunal Constitucional Federal Alemão, intervêm no direito à confidencialidade e integridade dos sistemas informáticos, o qual é uma das derivações do direito à proteção de dados. ^[8]

Há uma hipótese excepcional no CPP, em seu artigo 13-B, que autoriza a requisição pelo Ministério Público ou pela Polícia Judiciária, se necessário à prevenção e à repressão dos crimes relacionados ao tráfico de pessoas, mediante autorização judicial, às empresas prestadoras de serviço de telecomunicações e/ou telemática que disponibilizem imediatamente os meios técnicos adequados que permitam a localização da vítima ou dos suspeitos do delito em curso. ^[9] Para além dessa hipótese, não há disciplina específica no ordenamento jurídico brasileiro para a quebra de sigilo dos dados de conteúdo armazenados diversos da comunicação.

Outra hipótese excepcional, não regulamentada em lei — o que a torna de questionável constitucionalidade, principalmente pela sua alta invasão à privacidade — é a quebra de sigilo em massa de terceiros, a exemplo da medida de reverse location search (busca por localização reversa), por meio da qual se requisita ao provedor os dados de todos os usuários que realizaram conexão ou acesso em determinado lugar e hora. A permissibilidade dessa modalidade de quebra de sigilo genérica está em julgamento no STF, por meio do RE 1.301.250, com dois votos favoráveis (ministros Alexandre de Moraes e Cristiano Zanin) e dois votos contrários (ministro André Mendonça e ministra Rosa Weber) até a data deste artigo.

Destaca-se ainda o comum desacerto de ser utilizado o artigo 22 do Marco Civil da Internet para fundamentar esta modalidade de quebra de sigilo, tendo em vista que o citado dispositivo se refere ao fornecimento de registros de conexão ou de registros de acesso a aplicações de internet — metadados que não se confundem com os dados de conteúdo.

Acesso a metadados (ou dados de tráfego)

Muitas vezes, os dados sobre os dados são tão ou mais reveladores que o seu conteúdo. Metadados são as informações periféricas: não se acessa “o que” foi dito, mas “quem” falou com “quem”, “quando”, “de onde” e “por quanto tempo”. São os registros gerados pela própria infraestrutura de comunicação.

Exemplos práticos incluem a requisição a uma operadora de telefonia dos registros de todas as Estações Rádio Base (ERBs), às quais um celular se conectou, permitindo traçar um mapa de geolocalização do usuário, ou a solicitação dos endereços de IP, data e hora de conexão de um usuário a uma rede social. A principal base legal é o Marco Civil da Internet, especialmente em seu artigo 22, que exige ordem judicial, indícios da ocorrência de um ilícito e a delimitação do período. Embora exija controle judicial, os requisitos são menos rigorosos do que para o acesso ao conteúdo.

Acesso a dados cadastrais

Esta é a camada de informação mais básica e, consequentemente, a menos protegida juridicamente. São os dados de qualificação pessoal do usuário, fornecidos no momento do cadastro em um serviço, como nome completo, endereço, CPF e filiação.

Esta é a única modalidade que, em hipóteses específicas, pode dispensar a autorização judicial. Leis como a de Lavagem de Dinheiro (artigo 17-B da Lei 9.613/98) e de Organizações Criminosas (artigo 15 Lei da 12.850/13), bem como o próprio CPP (artigo 13-A), permitem que a autoridade policial e o Ministério Público requisitem diretamente aos provedores os dados cadastrais, prescindindo de autorização judicial.

Conclusão

Como se vê, a expressão “quebra de sigilo telemático” é um gênero que acoberta um espectro de medidas investigativas distintas, cada uma com um grau de invasão à privacidade e, por consequência, com um conjunto de limitações jurídicas próprias. Da interceptação em tempo real, rigidamente controlada, ao acesso a dados cadastrais, que pode até dispensar ordem judicial, há um universo de nuances.

^[1] Sobre essa problemática de quebra de sigilo em massa, atingindo terceiros, cf. MOURA, Maria Thereza de Assis; MARCHIONATTI, Daniel. Quebra de sigilo em massa e proteção de dados de terceiros: como minimizar o impacto da medida sem prejudicar a ampla defesa. In: ASSOCIAÇÃO NACIONAL DOS PROCURADORES DA REPÚBLICA. Proteção de dados e investigação criminal. Brasília: ANPR, 2020.

^[2] Sobre a problemática da reserva de lei no âmbito da proteção de dados, cf. GLEIZER, Orlandino; MONTENEGRO, Lucas; VIANA, Eduardo. O direito de proteção de dados no processo penal e na segurança pública. 1. ed. Rio de Janeiro: Marcial Pons, 2021, p. 40-48.

^[3] MENDONÇA, Lawrence Lino Monteiro de. Quebra de sigilo de dados telemáticos na persecução penal e o direito à proteção de dados pessoais na jurisprudência dos tribunais superiores. Orientadora: Keity Mara Ferreira de Souza e Saboya. 2022. Trabalho de Conclusão de Curso (Graduação em Direito). Universidade Federal do Rio Grande do Norte, Natal, 2023.

^[4] Paradoxo já evidenciado em: QUITO, Carina. As quebras de sigilo telemático no processo penal e o paradoxo do acesso irrestrito às comunicações armazenadas. In: WOLKART, Erik Navarro et al. (coord.). Direito, processo e tecnologia. 2. ed. São Paulo: Thomson Reuters Brasil, 2021. E-book.

^[5] Este artigo seguirá a divisão proposta em: QUITO, 2021.

^[6] HOFFMANN-RIEM, Wolfgang; RIBEIRO, Pedro Henrique. A proteção de direitos fundamentais da confidencialidade e da integridade dos sistemas próprios de tecnologia da informação. Revista de Direito Civil Contemporâneo, v. 23, p. 329-365, abr.-jun. 2020. Disponível aqui.

^[7] Trecho do voto do Ministro Gilmar Mendes no MS 38.061 MC-AgR: “Já o § 2º do art. 10, por sua vez, trata do conteúdo das comunicações privadas. Ocorre que esse parágrafo, diferente do anterior, não é autoaplicável, mas claramente carece de regulamentação. Depreende-se da sua redação que “o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º”. Ao prever que o conteúdo poderá (e não deverá) ser disponibilizado, o Marco Civil da Internet remete o dispositivo a uma eventual regulamentação futura (“que a lei estabelecer”). […] Assim, podemos afirmar que, pelo menos no âmbito do Marco Civil da Internet, é discutível, ao menos em tese, se os provedores de aplicações podem ou não ser obrigados, e sob em que circunstâncias, a disponibilizarem o acesso a dados pessoais e ao conteúdo de comunicações privadas armazenadas”.

^[8] HOFFMANN-RIEM; RIBEIRO, 2020.

^[9] Ressalta-se que dados de localização tanto podem ser dados de conteúdo quanto metadados.