No cenário empresarial contemporâneo, a informação digital tornou-se um dos ativos mais valiosos e, ao mesmo tempo, um dos mais vulneráveis em qualquer organização. Tanto é verdade que a proteção desses dados, especialmente aqueles de natureza confidencial ou estratégica, é uma preocupação crescente, impulsionada pela digitalização das operações e intensificação da concorrência. Contudo, a evolução tecnológica e as novas formas de violação de dados frequentemente superam a capacidade de resposta do arcabouço jurídico, criando lacunas que expõem as empresas a riscos significativos.
Nesse contexto, destaca-se a recente e importante decisão proferida pelo STJ, nos autos do REsp 2.209.066/SP, sob a relatoria do ministro Rogerio Schietti, que lançou luz sobre um vácuo legislativo na tutela penal da integridade dos dados digitais corporativos no Brasil. Referida decisão discutiu a interpretação do conceito de "subtrair" no contexto digital e a inadequação das ferramentas penais atuais para lidar com a complexidade da proteção de dados corporativos.
Em brevíssimo resumo, uma ex-gerente de uma grande indústria aeroespacial foi denunciada pela suposta prática de furto, art. 155 do CP, teoricamente consumado em razão de cópia desautorizada de documentos digitais sigilosos. Tais cópias teriam sido realizadas durante seus últimos dias de companhia, quando, logo em seguida, foi contratada pela principal concorrente comercial da empresa.
Em primeira instância, a ex-gerente foi absolvida da acusação, tendo o Juízo concluído que a prova produzida durante a instrução era insuficiente para a demonstração do dolo nas condutas praticadas. A sentença, contudo, foi reformada pelo TJ/SP que, em sede de apelação, entendeu que “houve a efetiva inversão da posse atinente à cópia do arquivo de propriedade da empresa-vítima, não havendo se falar em atipicidade”.
Foi assim que o caso chegou ao STJ. Por meio do REsp 2.209.066/SP, a defesa sustentou que, dentre outros pontos, o art. 155, § 4º, inciso II, do CP não se subsumiria ao fato.
Ao se debruçar sobre a matéria, o relator deu provimento ao recurso, esmiuçando a compreensão que se deve ter sobre o verbo nuclear do tipo penal do furto - “subtrair”. Segundo o ministro, “A conduta de copiar um documento sem autorização do seu titular não se subsome à conduta de subtrair”, na medida em que, “Ao ser copiado, o documento original não é retirado da posse da vítima e, portanto, não sai da sua esfera de proteção ou disponibilidade”, para além do fato do resultado jurídico do crime de furto consistir no prejuízo patrimonial, o que não se dá pela cópia de documento, mas sim, eventualmente, por sua indevida utilização.
Correto ou não, referido julgado não apenas escancara um notório vácuo na tutela penal de um assunto tão delicado e sensível como a proteção de dados digitais corporativos, mas também serve de alerta, pois o legislador brasileiro precisa revisitar e modernizar o arcabouço jurídico-penal para acompanhar a velocidade e a complexidade das relações digitais e dos novos modelos de violação de ativos intangíveis.
A promulgação da LGPD (lei 13.709/18), estabeleceu parâmetros normativos e principiológicos que evidenciam a relevância da tutela de dados digitais. Todavia, o diploma legal, de natureza administrativa e civil, acabou por não tipificar condutas que, embora gravemente lesivas à segurança da informação das organizações, permanecem sem uma resposta penal adequada.
Por outro lado, a EC 115/22, em seu art. 5º, inciso LXXIX, estabeleceu a proteção de dados pessoais em meios digitais como garantia constitucional. Portanto, a integridade dos dados digitais de empresas é constitucionalmente assegurada.
É bem verdade que o ordenamento jurídico brasileiro já dispõe de instrumento que procura tutelar a confidencialidade de informações empresariais. O art. 195, inciso XI, da lei de propriedade industrial (lei 9.279/96), tipifica como delito de concorrência desleal a divulgação, exploração ou utilização desautorizada de dados confidenciais empregados na indústria, comércio ou prestação de serviços, por quem a eles teve acesso em virtude de relação contratual ou empregatícia.
No entanto, a despeito de ser crime de ação penal privada, que por si só já é um entrave, a eficácia dessa proteção esbarra em um obstáculo probatório colossal: a necessidade de comprovar o fim específico a que se destinou tal informação ou documento obtido de forma desautorizada. Tal exigência, sob pena de atipicidade da conduta, torna a persecução penal extremamente complexa, especialmente porque a utilização desses dados geralmente ocorre em ambientes privados e de maneira velada ou camuflada no universo digital, o que dificulta sobremaneira uma produção probatória robusta e apta a demonstrar a efetiva prática do delito de concorrência desleal.
Em outras palavras, referido artigo não tutela de forma eficaz o furto de informação.
O próprio caso trazido para discussão é exemplo paradigmático dessa dificuldade, pois, o Juízo de primeiro grau, ao proferir a sentença absolutória, observou justamente a ausência de provas de que os documentos copiados haviam sido, de fato, utilizados pela empresa concorrente.
Embora seja plausível que, em algumas situações, a comprovação não tenha ocorrido porque realmente não se compartilhou as informações, a realidade demonstra que inúmeros são os casos em que dados empresariais replicados indevidamente são sabidamente compartilhados com concorrentes, mas a natureza intangível e a facilidade de ocultação da prova impedem a devida responsabilização penal.
É nesse ponto que se torna imperativo argumentar que o simples ato de copiar a informação confidencial, por si só, já é profundamente lesivo e deve ser tutelado pelo direito penal. Não se trata apenas de uma questão de potencial prejuízo futuro, mas de uma violação imediata e intolerável da propriedade e da confiança.
Informações são ativos estratégicos, desenvolvidos e mantidos pela empresa, e sua confidencialidade é a base de seu valor competitivo. Permitir que tais dados sejam replicados e levados para a esfera particular de um colaborador, mesmo que sem uma intenção comprovada de uso ou divulgação imediata, representa uma quebra irremediável da segurança e da exclusividade.
A partir do momento em que um dado estratégico é replicado sem autorização, a empresa detentora perde o controle sobre sua confidencialidade, independentemente de haver ou não uma utilização imediata. A mera existência de uma cópia não autorizada fora da esfera de proteção legítima já representa uma violação da segurança e da exclusividade da informação e gera risco iminente e até mesmo incalculável de dano futuro - seja por vazamento, venda a terceiros ou uso anticompetitivo.
Em um cenário onde a informação é um ativo intangível de valor inestimável, a replicação indevida não subtrai o original, mas destrói seu caráter de exclusividade e segredo, elementos essenciais para sua valoração econômica.
Criminalizar o ato da cópia desautorizada não só ofereceria um mecanismo de dissuasão mais eficaz contra a apropriação indevida de segredos comerciais, mas também simplificaria a prova do delito, focando na conduta de violação da confidencialidade e não na subsequente e muitas vezes indetectável utilização, alinhando a legislação penal à dinâmica da era digital e à proteção efetiva do patrimônio informacional das empresas.
Na vanguarda do tema, os Estado Unidos, há anos, dispõem, no Título 18, Seção 1832, do U.S. Code, que a cópia, duplicação, fotografia ou download desautorizado de segredo comercial relacionado a um produto ou serviço utilizado ou destinado ao uso no comércio interestadual ou internacional, em benefício econômico de qualquer pessoa que não seja o proprietário deste segredo, e com a intenção ou conhecimento de que a ofensa prejudicará o proprietário, constitui crime (18 U.S. Code § 1832 - Theft of trade secrets).
Evidente que a interpretação restritiva do conceito de furto pelo STJ, somada às limitações da LGPD no âmbito penal e às dificuldades probatórias da lei de propriedade industrial, expõe uma perigosa fragilidade na proteção dos ativos digitais corporativos no Brasil.
É inegável que a criminalização de condutas como a cópia desautorizada de dados no Brasil representaria não só um avanço significativo no combate à criminalidade contra empresas, mas a concretização da efetiva proteção constitucionalmente assegurada pelo art. 5º, inciso LXXIX, da Constituição Federal. Cabe, portanto, ao legislador, atuar para suprir essa importante lacuna normativa. A mera cópia desautorizada de informações confidenciais, longe de ser um ato inócuo, representa uma violação direta da propriedade intelectual e da segurança empresarial, pois gera um risco sistêmico e inaceitável. Em um cenário onde a proteção de dados pessoais já ascendeu ao patamar constitucional há tempo, é imperativo que o legislador brasileiro reconheça o valor estratégico da informação corporativa e, consequentemente, promova a readequação do arcabouço penal. A criminalização do simples ato de replicar dados confidenciais sem permissão, à semelhança de legislações mais avançadas, não apenas alinharia nosso ordenamento jurídico à realidade da economia digital, mas também conferiria às empresas a segurança jurídica indispensável para inovar, concorrer lealmente e prosperar.