Por Hermann Santos de Almirante,
Em todo o mundo, debruçamo-nos sobre a complexa interação entre as demandas da segurança pública e o direito fundamental à proteção de dados é imperativo. No contexto brasileiro, essa discussão ganha contornos específicos à luz da Lei Geral de Proteção de Dados (LGPD), da influência da General Data Protection Regulation (GDPR) e das recentes decisões do Supremo Tribunal Federal (STF), bem como da postura de grandes empresas de tecnologia como Google, Meta e Apple.
Defende-se aqui o fornecimento criterioso e legalmente embasado de dados cadastrais por empresas e instituições aos órgãos de segurança pública no âmbito de investigações criminais, resguardados os princípios e limites legais.
A investigação criminal eficaz é pilar essencial de um Estado Democrático de Direito, buscando a apuração de delitos e a responsabilização de seus autores para a manutenção da ordem social. Em um cenário crescentemente digitalizado, informações armazenadas por empresas e instituições tornam-se, muitas vezes, cruciais para desvendar crimes.
Contudo, o acesso a esses dados não é irrestrito, encontrando limites na proteção da privacidade e dos dados pessoais dos cidadãos, direitos alçados à categoria de fundamentais pela Constituição Federal e reforçados pela LGPD.
A LGPD (Lei nº 13.709/2018), inspirada em grande medida pela GDPR europeia, estabelece um marco legal para o tratamento de dados pessoais no Brasil. É importante ressaltar que, de acordo com o Artigo 4º, inciso III, a LGPD não se aplica ao tratamento de dados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e persecução penal.
A lei prevê que esse tratamento deverá ser regido por legislação específica, que até o momento não foi plenamente desenvolvida no ordenamento jurídico brasileiro, restando apenas discussões iniciais sobre a necessidade de uma regulamentação especial, por vezes informalmente referida como “LGPD Penal”.
A GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia – Regulamento UE 2016/679), por sua vez, prevê bases legais para o tratamento de dados para fins de prevenção e combate ao crime, mas sempre exigindo que este seja necessário e proporcional, com garantias adequadas para os direitos e liberdades dos titulares. A influência da GDPR reside na consagração da proteção de dados como um direito fundamental e na necessidade de bases legais claras e específicas para qualquer tipo de tratamento, incluindo o realizado para fins de segurança pública.
Nesse cenário, a posição mais atual do Supremo Tribunal Federal sobre o tema é de suma importância. Recentemente, ao julgar a Ação Direta de Inconstitucionalidade (ADI) 4906, o STF validou a constitucionalidade do dispositivo legal que permite a autoridades policiais e membros do Ministério Público requisitarem diretamente a empresas de telecomunicações dados cadastrais de investigados (qualificação pessoal, filiação e endereço) sem a necessidade de prévia autorização judicial.
O entendimento da Corte se baseou na distinção entre dados cadastrais básicos e o sigilo das comunicações (conteúdo das conversas), este sim demandando reserva de jurisdição. É fundamental ressaltar que essa decisão possui escopo específico, aplicando-se diretamente às empresas de telecomunicações no contexto da Lei nº 9.472/1997 (Lei Geral de Telecomunicações) e da Lei nº 12.850/2013 (Lei de Organizações Criminosas), não sendo automaticamente extensível a outros setores.
Ademais, o Marco Civil da Internet (Lei nº 12.965/2014), anterior à LGPD, estabelece em seu artigo 10, § 3º que “o disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.”
A expressão “na forma da lei” exige previsão legal específica para cada autoridade que pretenda ter acesso direto a dados cadastrais, não sendo automaticamente extensível por analogia.
O Marco Civil também prevê em seus artigos 13 e 15 a necessidade de ordem judicial para acesso aos registros de conexão e de acesso a aplicações de internet, definindo prazos e requisitos para a sua guarda e disponibilização. Esta distinção entre o regime aplicável aos dados cadastrais e aos registros de conexão/acesso é fundamental para a compreensão adequada do tema.
Nesse contexto, é relevante mencionar a Lei 12.830/2013, que dispõe sobre a investigação criminal conduzida pelo delegado de polícia e estabelece em seu art. 2º, §2º que “durante a investigação criminal, cabe ao delegado de polícia a requisição de perícia, informações, documentos e dados que interessem à apuração dos fatos”. Esta lei é frequentemente invocada como base legal para requisição direta de dados cadastrais por autoridades policiais.
Quanto à posição de grandes empresas de tecnologia com atuação no Brasil, como Google, Meta (Facebook, Instagram, WhatsApp) e Apple, observa-se uma postura que varia conforme o tipo de dado solicitado e as bases legais aplicáveis. Para dados cadastrais básicos, várias destas empresas aceitam requisições administrativas legalmente fundamentadas, sem necessidade de ordem judicial, em conformidade com suas políticas de transparência e com a legislação brasileira aplicável.
Já para dados de conteúdo e outros tipos de informações protegidas, geralmente condicionam o fornecimento à apresentação de ordens judiciais válidas, em linha com o que prevê o Marco Civil da Internet.
Estas empresas publicam regularmente relatórios de transparência detalhando o volume de requisições governamentais que recebem e, em situações de emergência com iminente risco à vida ou integridade física, podem colaborar com as autoridades fornecendo informações com base em requisições emergenciais, mesmo sem ordem judicial prévia, analisando cada caso conforme suas políticas internas e a legislação aplicável.
É notório que essas empresas frequentemente analisam a amplitude dos pedidos governamentais e podem contestar aqueles que consideram excessivos ou que não possuem base legal adequada, buscando proteger a privacidade de seus usuários. No Brasil, já houve casos públicos de embates judiciais envolvendo a requisição de dados por autoridades policiais e do Ministério Público a essas empresas, especialmente no que tange a dados de conteúdo ou metadados que não se enquadram na categoria de dados cadastrais básicos.
Diante do exposto, defende-se que o fornecimento de dados cadastrais (limitados à qualificação pessoal, filiação e endereço) por empresas de telecomunicações aos órgãos de segurança pública, no contexto de investigações criminais no Brasil, possui respaldo legal na decisão do STF na ADI 4906. Para outros setores, como provedores de aplicações de internet, a requisição direta de dados cadastrais deve estar fundamentada em previsão legal específica que atribua competência à autoridade requisitante, conforme exigido pelo Marco Civil da Internet.
Este fornecimento de dados cadastrais, independentemente do setor, deve ser pautado pela estrita necessidade para a investigação, pela proporcionalidade dos dados requeridos em relação ao delito investigado e pela observância dos princípios gerais aplicáveis à proteção de dados, mesmo na ausência de uma legislação específica para o tratamento de dados no âmbito da segurança pública.
A ausência de uma legislação específica para o tratamento de dados no âmbito da segurança pública e persecução criminal cria um vácuo regulatório que precisa ser preenchido pelo legislador, a fim de estabelecer com clareza as bases legais, os limites, os procedimentos e as garantias para o tratamento e compartilhamento de dados pessoais, incluindo os cadastrais, por parte dos órgãos estatais.
Em suma, a defesa do fornecimento de dados cadastrais se ancora na necessidade de conciliar a proteção de dados com a eficácia da investigação criminal. A posição do STF na ADI 4906 oferece uma base sólida para a requisição direta de dados cadastrais básicos por parte das autoridades junto às empresas de telecomunicações, reconhecendo a natureza distinta dessas informações em relação a outros dados mais sensíveis ou ao conteúdo de comunicações. Para outros setores, é necessária previsão legal específica, conforme exigido pelo Marco Civil da Internet.
As empresas, por sua vez, devem atuar em conformidade com a legislação brasileira aplicável ao seu setor específico, incluindo as decisões judiciais, mantendo a transparência em suas interações com o poder público e zelando pela segurança dos dados sob sua guarda, sempre atentas aos limites legais e à proteção dos direitos fundamentais dos titulares de dados.
O desafio reside em encontrar o ponto ótimo nesse equilíbrio, garantindo que o acesso a dados sirva efetivamente à justiça e à segurança, sem se converter em uma violação desproporcional da privacidade dos cidadãos.
