A recente formalização da adesão do Brasil à Convenção de Budapeste estimula o debate em torno dos desafios na investigação e persecução aos crimes cibernéticos e das ferramentas que poderão ser incorporadas ao ordenamento jurídico brasileiro.
A Convenção de Budapeste prevê a adoção de procedimentos específicos aos seus signatários em relação à investigação que envolva a análise de dados informáticos: (i) preservação e exibição; (ii) recolhimento em tempo real; (iii) interceptação de conteúdo; (iv) obrigação de comunicação de dados específicos, dos quais detenha posse; e, (v) busca e apreensão.
O Brasil já dispõe de alguns mecanismos específicos para o enfrentamento da criminalidade cibernética.
O Marco Civil da Internet (Lei 12.965/14) prevê as obrigações de: (i) guarda e disponibilização dos registros de conexão e acesso à internet, bem como de dados pessoais e conteúdo de comunicações, mediante ordem judicial; e, (ii) armazenamento dos registros de conexão à internet e dos registros de acesso à aplicação de internet pelos prazos, respectivamente, de seis meses e um ano.
O país também já conta com normas que disciplinam a busca e apreensão criminal de forma geral, no Código de Processo Penal, sendo frequentes os mandados judiciais terem como objeto dispositivos informáticos e eletrônicos de investigados, bem como servidores de empresas.
Porém, muitas vezes, as autoridades e técnicos que os cumprem acessam e extraem dados quando armazenados em servidores externos ou até mesmo em outras jurisdições, expandindo o conteúdo do mandado judicial. Essa prática representa um grave risco de conflito e violação as leis de outros países, sobretudo àquelas relativas à proteção de dados pessoais, podendo resultar na ilicitude da prova produzida, dentre outras ilegalidades.
A adesão à Convenção de Budapeste traz ao Brasil a necessidade da adoção de novas normas para conferir celeridade e eficiência no acesso aos dados informáticos que interessem à apuração de crimes cibernéticos, especialmente quando presentes razões para acreditar que eles estejam armazenados em sistema diverso do inicialmente alvo da busca, mas que sejam acessíveis a partir desse sistema inicial.
Essa previsão pode ser um critério para balizar se as expansões aos mandados judiciais podem ser utilizadas como critério para que as autoridades que realizam buscas e apreensões tenham parâmetros objetivos a serem seguidos para se evitar abusos e, consequentemente, assegurando a legalidade da prova produzida.
A Convenção inova ao dispor sobre a necessidade da adoção de medidas para preservar a integridade e realizar cópia dos dados, bem como tornar inacessíveis ou eliminar os dados do sistema alvo da busca. Não foram especificadas quais seriam essas medidas e, portanto, é necessário que sejam definidos parâmetros objetivos para garantir a incorporação de tais disposições ao ordenamento jurídico brasileiro dentro dos limites estabelecidos pela Constituição.
Para assegurar a integridade dos dados é indispensável obediência à cadeia de custódia. O Código de Processo Penal possui dispositivos genéricos nesse sentido, mas é omisso quanto as peculiaridades inerentes aos crimes cibernéticos. É crucial que sejam criados procedimentos específicos, sobretudo para garantia da integridade de provas no tocante ao uso de tecnologias mais avançadas para o rastreamento e processamento de vestígios.
O texto ainda trata sobre a adoção de medidas para que fornecedores de serviços provejam às autoridades dados relacionados aos usuários que estejam sob sua posse, tais quais tipo de serviço utilizado, cadastros e informações que permitam determinar a localização do equipamento utilizado em determinado acesso. Todavia, no Brasil, ainda há uma discussão judicial ainda não pacificada no Supremo Tribunal Federal sobre a necessidade de que pedidos dessa natureza sejam objeto de apreciação judicial ou não (a ADIn 5642 questiona a constitucionalidade do Art.13-A do Código de Processo Penal, que autoriza o acesso das autoridades a tais dados sem decisão judicial no caso de determinados crimes).
A respeito da interceptação de conteúdo, a Convenção de Budapeste prevê a adoção de medidas para que, em casos de crimes graves, seja disponibilizado em tempo real o conteúdo de comunicações transmitidas através de sistemas informáticos. Atualmente o país não dispõe de nenhuma lei específica regulamentando a interceptação de dados em tempo real, mas apenas a interceptação telefônica e a quebra de sigilo de dados.
Por fim, está em discussão um protocolo adicional à Convenção que visa aprimorar a cooperação internacional para a troca de informações sobre domínios, usuários e tráfico de informações.
Em síntese, no que diz respeito à adoção de procedimentos específicos para combate a crimes praticados no âmbito cibernético, é possível concluir que antes mesmo de se tornar signatário da Convenção de Budapeste o Brasil já dispunha de algumas normas processuais que permitem o acesso a dados informáticos e conteúdo de comunicações via internet. O desafio a ser enfrentado pelo legislador pátrio está na imprescindibilidade de expandi-las e atualizá-las, conferindo maior celeridade no acesso aos dados informáticos, mas sempre dentro limites constitucionais, especialmente a observância aos direitos fundamentais.