Possibilidade da requisição direta de dados feita por autoridades nacionais a provedores no exterior

As empresas de tecnologia que operam aplicações de internet no Brasil sujeitam-se à jurisdição nacional e, como tal, devem cumprir as determinações das autoridades nacionais do Poder Judiciário — inclusive as requisições feitas diretamente — quanto ao fornecimento de dados eletrônicos para a elucidação de investigações criminais, ainda que parte de seus armazenamentos esteja em servidores localizados em países estrangeiros.  

A utilização apenas de mecanismos diplomáticos de obtenção de prova, por se revelarem acordos complexos e morosos, dificulta a apuração de delitos cometidos em ambiente virtual, razão pela qual, uma vez considerado o avanço tecnológico, não devem ser ignoradas outras formas de cooperação jurídica internacional, previstas em tratados e convenções internacionais que objetivem dar maior celeridade à preservação da prova, tendo em vista que a demora na obtenção dos dados pode ensejar a sua supressão. 


Nesse contexto, nos termos do artigo 11 da Lei 12.965/2014, conhecida como “Marco Civil da Internet” (1), cuja previsão encontra respaldo na Convenção sobre Crimes Cibernéticos de Budapeste (art. 18), deverá ser obrigatoriamente respeitada a legislação brasileira relativamente a qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet, em que pelo menos um desses atos ocorra em território nacional. 


Ademais, inexiste inconstitucionalidade no procedimento do Acordo de Assistência Judiciária em Matéria Penal, previsto pelo Decreto 3.810/2001, nem nas normas fixadas em dispositivos do Código de Processo Civil e do Código de Processo Penal que tratam da cooperação jurídica internacional e da emissão de cartas rogatórias, em especial nos casos em que a comunicação ou a prestação de serviços tenham ocorrido fora do território nacional. 


Com base nesses entendimentos, o Plenário, por maioria, conheceu da ação e no mérito, por unanimidade, a julgou parcialmente procedente para declarar a constitucionalidade dos dispositivos indicados e a possibilidade de solicitação direta de dados e comunicações eletrônicas das autoridades nacionais a empresas de tecnologia, nas específicas hipóteses do art. 11 do Marco Civil da Internet e do art. 18 da Convenção de Budapeste, ou seja, nos casos de atividades de coleta e tratamento de dados no País, de posse ou controle dos dados por empresa com representação no Brasil e de crimes cometidos por indivíduos localizados em território nacional, com comunicação desta decisão ao Poder Legislativo e ao Poder Executivo, para que adotem as providências necessárias ao aperfeiçoamento do quadro legislativo, com a discussão e a aprovação do projeto da Lei Geral de Proteção de Dados para Fins Penais (LGPD Penal) e de novos acordos bilaterais ou multilaterais para a obtenção de dados e comunicações eletrônicas, como, por exemplo, a celebração do Acordo Executivo definido a partir do Cloud Act. 

 


(1) Lei 12.965/2014: “Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. § 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil. § 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. § 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações. § 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.”