Backup forçado e velado de dados em investigações: um tema delicado

“A entrada no processo penal de manifestações das novas tecnologias, como o correio eletrônico, os ficheiros informáticos escritos ou de outro gênero e o próprio ambiente digital, imediatamente apelaram à analogia com as demais realidades referidas e, consequentemente, dificultaram a apreensão da autonomia ontológica destas novas realidades. O resultado foi a aplicação do regime vigente para as novas realidades ou a formulação de novas disposições que estabelecem uma mera adaptação das regras vigentes para o mundo físico ao mundo digital” [1]. Porém, essa adaptabilidade não se mostra tão simples, na medida em que as inúmeras inovações tecnológicas seguem em avanço contínuo, prático e em velocidade impressionante. O cuidado, portanto, deve perar por todos os envolvidos no sistema de justiça criminal em âmbito nacional e internacional.

Por isso, o exercício contemporâneo do contraditório impõe estudos e práticas de controle cada vez mais complexas pela defesa [2]. Não há mais espaço de redução do contraditório em sua forma “ação – reação”. Para que seja caracterizado como substancial, o contraditório deve consubstanciar o alcance de real influência na atividade decisória [3].

E, para que isso seja viável, o exercício de defesa efetiva deve realizar os de controle cada vez mais apurado sobre todo o produto bruto do contexto probatório (quanto à legalidade sobre os meios de obtenção de informações e meios de prova, bem como a sua valoração). Neste ponto, o realce das provas digitais acaba sendo um estudo necessário para o exercício pleno da defesa criminal.

Necessidade de o a dados armazenados nas “nuvens”

Nos últimos anos, tornou-se cada vez mais comum, em investigações criminais complexas, o afastamento do sigilo de dados armazenados em servidores remotos, conhecidos popularmente como “nuvem”.

Essa modalidade de busca de vestígios muitas vezes representa a única forma de encontrar informações preciosas no intrincado ecossistema das complexas investigações. Como a forma de comunicação está cada vez mais diversificada, verifica-se que as pessoas (alvos) utilizam formas variadas também de armazenamento de dados, o que obriga a ampliação do espectro investigativo para a computação em nuvem.

Os dados armazenados na nuvem podem reunir não apenas o conteúdo de dispositivos móveis, mas também e-mails e conteúdo de computadores [4], sendo, portanto, um oceano para a construção do acervo informativo. Além disso, a nuvem possui uma capacidade de armazenamento quase ilimitada, tornando-a o principal repositório de dados atualmente em uso.

Neste contexto, a hipótese de novas medidas probatórias adaptadas à comunicação digital é uma realidade, como já advertiram Daniel de Avelar e Valdir Marinho nesta coluna (ver artigo aqui). Tal é a utilidade do material armazenado nos servidores remotos que até mesmo a clássica interceptação telefônica já é vista como fonte secundária de informações dentre os métodos de busca de evidências criminais.

Fato é que o foco de observância sobre a nuvem em investigações criminais complexas não é apenas uma tendência, mas uma necessidade imposta pela evolução tecnológica.

Limites

Porém, a facilidade de o remoto também levanta questões importantes sobre privacidade dos usuários e segurança dos dados armazenados, requerendo cuidadosa regulamentação para garantir que os direitos dos indivíduos submetidos às ações encobertas sejam protegidos [5].

É preciso entender, ainda, que o o das autoridades investigativas à nuvem do investigado/acusado encontra limites normativos em âmbito nacional e internacional [6]. Além da proteção constitucional da privacidade e vedação de provas ilícitas, as próprias empresas definem algumas balizas.

Há expressos limites definidos pelas empresas da rede global de servidores, em especial Apple (iCloud) [7] e Google (Google Drive) [8], principais custodiadoras de dados relacionados aos sistemas operacionais para celular.

Para que as autoridades consigam o aos dados de uma conta de serviço de sincronização em nuvem, como iCloud ou Google Drive, é necessária uma prévia ordem judicial (artigo 5º, XXXV, da CF — reserva de jurisdição) enviada às empresas custodiantes. Essas empresas, por sua vez, encaminham ou disponibilizam via link às autoridades judiciárias requisitantes o acervo armazenado no repositório digital quando todas as normas de proteção de dados e políticas internas forem respeitadas.

Outro ponto delicado: o backup velado

Muitos usuários optam por não manter o backup dos dados do seu celular em nuvem, preferindo que mensagens de WhatsApp, por exemplo, continuem sendo armazenadas apenas nos dispositivos.

Neste ponto, surge uma questão relevante: até que ponto a investigação pode interferir remota e veladamente nos celulares dos investigados? Seria possível, então, em atendimento à ordem judicial, que as mensagens de aplicativos mensageiros salvas no dispositivo fossem exportadas para a nuvem pelas empresas proprietárias dos sistemas operacionais Android e iOS (Google e Apple), através de backup forçado, remoto e velado, à revelia do usuário? Ou seja, essas empresas poderiam comandar o armazenamento em nuvem de mensagens de WhatsApp ou Telegram sem o consentimento e conhecimento do titular?

Publicamente, a empresa Google afirma não ser possível efetuar um backup forçado. Assevera, ainda, que não possui capacidade técnica para fazer com que um dispositivo seja objeto de tal interferência contra a vontade do usuário. Continua destacando que mesmo que o usuário ative o backup em seu dispositivo, ele seguirá critérios pré-determinados e não é possível forçar ou manipular essa transferência de dados remotamente por ninguém, até mesmo pela própria empresa [9].

A Apple igualmente aponta que “nunca criou um o por backdoor ou chave-mestra para nenhum de nossos produtos ou serviços. Também nunca permitimos que qualquer autoridade federal tivesse o aos nossos servidores” [10].

É possível inferir que a transparência é um tema fundamental para garantir a confiança dos usuários nos serviços de armazenamento em nuvem. As empresas de tecnologia devem ser claras sobre suas práticas de privacidade e segurança e devem estar dispostas a cooperar com investigações para garantir que seus serviços não sejam usados de maneira inadequada.

As investigações criminais, por sua vez, devem seguir os limites protetivos impostos na nossa Constituição e nos atos normativos pertinentes ao tema, sobretudo aqueles relacionados ao registro da cadeia de custódia dos indícios digitais colhidos, tema já enfrentando nesta coluna (clique aqui para ar o artigo).

No controle desses atos, a defesa e os próprios usuários possuem papel importante a desempenhar acerca da garantia de privacidade e a segurança dos dados armazenados na nuvem. A investigação defensiva é uma ferramenta crucial para garantir que as evidências produzidas pelos órgãos de persecução sejam válidas e respeitem os direitos fundamentais dos indivíduos.

Porém, a mera suspeita de que essas empresas possam realizar backups forçados e velados para atender as autoridades de investigação levanta sérias preocupações sobre a integridade de suas práticas de privacidade e também sobre o resultado probatório.

Constata-se que a discussão sobre a possibilidade de backup forçado e velado de dados em nuvem é complexa e envolve diversas questões técnicas e legais.

Conclusão

Em qualquer que seja o cenário, a ausência de limites claros sobre o uso de métodos sub-reptícios de apuração criminal traz consigo a necessidade urgente de regulação das investigações em meio digital, seja porque pode violar direitos fundamentais, seja pelo risco de enfraquecimento das próprias instituições incumbidas da persecução penal.

O tema, portanto, exige maiores discussões acerca da aplicabilidade e da regulação dos meios intrusivos de investigação no mundo digital, a fim de permitir maior transparência e controle sobre essa nova forma de atividade investigativa.

[1] RAMALHO, David Silva. Métodos Ocultos de Investigação em Ambiente Digital. Coimbra: Almedina, 2017, p. 241.

[2] Advertência necessária sobre o tema do controle da legalidade e confiabilidade da prova penal realizada por PRADO, Geraldo. A cadeia de custódia da prova no processo penal. 1a. ed.São Paulo: Marcial Pons. 2019, p. 67 e segs.

[3] Tema que já enfrentamos em SAMPAIO, Denis. A Valoração da Prova Penal. O problema do livre convencimento e a necessidade de fixação do método de constatação probatório como viável controle decisório.  1ª ed. Florianópolis: Emais, 2022, cap. 3.6.

[4] Sobre o tema ver STEFANO, Leandro Morales Baier. Integridade das provas – Conceitos Importantes de Perícia Digital para Operadores do Direito, 2024, editora independente, 1a. edição.

[5] “As práticas penais do gênero tendem a violar o âmbito essencial de configuração da vida privada e a legalidade penal não se desenvolve na mesma velocidade para estipular critérios e definir mecanismos que protejam este âmbito essencial contra as intrusões repudiadas constitucionalmente.” PRADO, Geraldo. A cadeia de custódia da prova no processo penal. 1a. ed.São Paulo: Marcial Pons. 2019, p. 106.

[6] Ponto de necessária análise diz respeito ao controle da cadeia de custódia da prova digital e o Decreto nº 11.491/23 que regulamenta, em solo brasileiro, a Convenção de Budapeste.

[7] https://www.apple.com/legal/privacy/law-enforcement-guidelines-outside-us-br.pdf (o em 21/06/2024).

[8] https://policies.google.com//information-requests?sjid=17887161661821568424-SA (o em 21/06/2024).

[9] “O WhatsApp e o Telegram não são operados pela Google LLC ou por qualquer empresa da Google. A Google LLC não dispõe de meios técnicos para habilitar, remotamente, a funcionalidade de realização de backup de dados do WhatsApp e de Telegram no Google Drive para os seus usuários que utilizam esses aplicativos”. Disponível em https://legis.senado.leg.br/sdleg-getter/documento//fff5c989-1035-4435-9697-13c52c43a612#:~:text=A%20Google%20LLC%20n%C3%A3o%20possui,provedor%20de%20conex%C3%A3o%20%C3%A0%20Internet (o em 21.06.2024).

[10] Disponível em  https://www.apple.com/br/privacy/government-information-requests/. o em 21/06/2024.