Internet e jurisdição, acesso transfronteiriço a dados e o caso Irlanda Microsoft
| Autor | Melissa Garcia Blagitz de Abreu e Silva |
| Páginas | 356-374 |
356
INTERNET E JURISDIÇÃO, ACESSO
TRANSFRONTEIRIÇO A DADOS E O
CASO IRLANDA MICROSOFT
MELISSA GARCIA BLAGITZ DE ABREU E SILVA
INTRODUÇÃO
A Internet produziu uma revolução. A rede mudou a forma como a so-
ciedade pensa, age e interage. Ela permitiu ampla e irrestrita comunicação
e trocas de dados, ignorando fronteiras físicas. A nova realidade modificou
profundamente como dados e documentos eletrônicos são armazenados
e acessados. Nesse novo quadro, o conceito puramente territorial de ju-
risdição tornou-se inadequado e obsoleto, e o desenvolvimento de novos
critérios um tema urgente.
Enquanto o mundo lida há mais de uma década com os problemas relacio-
nados ao acesso transfronteiriço a provas eletrônicas, isto é, o acesso direto
a provas eletrônicas fora das fronteiras do Estado requisitante, o problema
apenas despertou maior atenção e interesse nas cortes norte-americanas
com o caso Microsoft Irlanda.
1
O longo debate entre Departamento de
Justiça e Microsoft nesse caso, embora aparentemente limitado a preceitos
da legislação norte-americana, em realidade refletiu a necessidade de novos
parâmetros para a definição de jurisdição em um mundo de computado-
res e nuvens, necessidade esta reconhecida recentemente pela Comissão
Europeia, com a apresentação em 17 de abril de 2018 de proposta legislativa
sobre provas eletrônicas, denominada E-Evidence.2
1 In the Matter of a Warrant to Search a Certain E-mail Account Controlled And Maintained
By Microsoft Corporation, United States Court of Appeals for the Second Circuit,
Docket N. 14-2985, julgado em 14 de julho de 2016.
2 Proposal for a Regulation of the European Parliament and of the Council on
European Production and Preservation Orders for Electronic Evidence in Criminal
Matters. Cf.: EUR-LEX. Document 52018PC0225. Disponível em:
europa.eu/legal-content/EN/TXT/?qid=1524129181403&uri=COM:2018:225:FIN>.
Acesso em: 3 jul. 2018.
TECNOLOGIA E SOCIEDADE EM DEBATE 357
Este artigo propõe-se ao breve exame dos principais argumentos apre-
sentados pelo governo norte-americano e a Microsoft, e de como esses
argumentos, embora aparentemente limitados à realidade local, espelham
questões mais amplas que vêm sendo discutidas em outros países e possuem
reflexos na legislação brasileira e no futuro da proteção à privacidade.
O CASO MICROSOFT IRLANDA
Resumidamente, o caso Microsoft Irlanda refere-se a um pedido e poste-
rior expedição de mandado de busca e apreensão para coletar informações
e conteúdo de uma conta de e-mail mantida e controlada pela empresa
Microsoft. A base legal para a decisão inicial, emitida por um magistrado
do Circuito de Nova Iorque, é a seção 18 U.S.C. § 2703(a),3 que impõe a
necessidade de mandado de busca e apreensão para a obtenção de con-
teúdo de e-mails com menos de 180 dias.4 Houve resistência da empresa
na entrega dos dados ao argumento de que eles, apesar de controlados
pela Microsoft nos Estados Unidos, estavam armazenados em servidores
mantidos pela empresa na República da Irlanda o que, na visão da com-
panhia, demandaria pedido formal de cooperação internacional, sem a
possibilidade de acesso direto.
3 18 U.S.C. § 2703(a) determina, em tradução livre: “CONTEÚDO DE COMUNICAÇÃO
VIA CABO OU ELETRÔNICA ARMAZENADA ELETRONICAMENTE – Um órgão do
governo pode requisitar que um serviço provedor de comunicação eletrônica apresente
o conteúdo de comunicação via cabo ou eletrônica armazenado eletronicamente em
sistema de comunicação eletrônica por menos de cento e oitenta dias apenas mediante
de mandado expedido pela corte competente através do procedimento descrito nas
Normas de Processo Penal Federal (ou no caso de cortes estaduais, conforme as
normas processuais estaduais).
No original: “CONTENTS OF WIRE OR ELECTRONIC COMMUNICATIONS IN
ELECTRONIC STORAGE. – A governmental entity may require the disclosure by a provider
of electronic communication service of the contents of a wire or electronic communication,
that is in electronic storage in an electronic communications system for one hundred and
eighty days or less, only pursuant to a warrant issued using the procedures described in
the Federal Rules of Criminal Procedure (or, in the case of a State court, issued using State
warrant procedures) by a court of competent jurisdiction”
4 É importante observar que a distinção feita pela legislação norte-americana entre
e-mails armazenados por mais ou menos de cento e oitenta dias foi modificada por
diversas decisões de Cortes Federais aplicando a Quarta Emenda constitucional e o
conceito de “expectativa de privacidade” definido em Katz v. United States (Suprema
Corte, 1967, 389 U.S. 347). Hoje, no sistema legal norte-americano, qualquer con-
teúdo de comunicação eletrônica somente pode ser obtido mediante mandado de
busca e apreensão expedido pela autoridade judiciária competente.
358 HORIZONTE PRESENTE
Assim, a principal questão em debate nos sucessivos recursos que se
seguiram após a autorização inicial se resume a como definir a obtenção
de dados guardados fisicamente em um país, mas controlados por empresa
que presta serviços no território local. Discute-se se haveria apenas uma
questão interna, de acesso a dados controlados por empresa local, inde-
pendentemente de onde estão fisicamente armazenados, ou uma questão
internacional a demandar envolvimento de autoridades estrangeiras e
pedido formal de cooperação.
Em suas objeções ao mandado expedido, Microsoft apresentou, essen-
cialmente, quatro argumentos:
d.
seção 2703(a) exige a expedição de mandado de busca e apreensão,
que somente pode ser cumprido no território sob jurisdição do
Juízo expedidor;
e.
há presunção contra a aplicação extraterritorial de preceitos da le-
gislação norte-americana, presunção esta que somente pode ser
deixada de lado se há a clara intenção da norma legal, expressa em
sua linguagem5, de ser cumprida fora do território norte-americano
e nada na lei que autoriza a busca e nem nas regras de procedimento
que devem ser seguidas para sua execução contém essa indicação;
f. o mandado expedido autoriza a busca e apreensão no território de
outro país;
g.
ainda que fosse possível a aplicação extraterritorial da norma, razões
de cortesia internacional (international comity) a desaconselhariam,
pois o Direito Internacional não reconhece o acesso transfronteiri-
ço a dados.
O governo norte-americano, de sua parte, argumentou que:
a.
o mandado expedido nos termos da seção 2703(a) é executado como
uma requisição e não uma busca e apreensão: é uma ordem para o
fornecimento de dados (compelled disclosure) e não autorização para
entrada forçada e apreensão;
5 No caso Morrison v. National Australia Bank Ltd. (130 S.CT. 2869), a Suprema Corte
norte-americana decidiu que a legislação local, salvo se houver clara demonstração
do contrário pela redação ou intenção declarada do Legislador, somente deve ser
aplicada no território sob jurisdição dos Estados Unidos e que tal princípio deve ser
observado em todos os casos em que as partes buscam efeitos extraterritoriais na
aplicação da lei norte-americana.
TECNOLOGIA E SOCIEDADE EM DEBATE 359
b.
como tal, o critério a ser empregado é quem controla os documentos
ou dados e não o local onde eles estão fisicamente mantidos (control,
not location).
Na última decisão de mérito proferida no caso, datada de 14 de julho
de 2016,6 a Corte de Apelações do Segundo Circuito concordou com os
argumentos da Microsoft e considerou o caso apenas uma questão de
extraterritorialidade de norma, aplicando a ele a presunção contra extra-
territorialidade acima mencionada. Embora reconhecendo que a questão
representa um problema novo que precisa ser analisado com urgência pelo
Legislador, a corte concluiu que nem a seção 2703(a), nem a regra 41 do
Processo Penal Federal, que disciplina a expedição e o cumprimento de
mandados de busca e apreensão, traziam indicativos que permitissem a
aplicação extraterritorial, e como o mandado deveria ser cumprido em
território irlandês, onde armazenados os dados, sem a extraterritorialidade
o Juízo não poderia expedir ordem a ser cumprida fora de sua jurisdição.7
Sem adentrar em análise mais profunda da legislação estadunidense, é
certo que o argumento utilizado pelo governo norte-americano, de controle
ao invés de localização, para definir a jurisdição sobre a prova eletrônica
tem respaldo no Direito Internacional, na Convenção de Budapeste sobre
Cibercriminalidade, e legislações de diversos países, inclusive o Brasil. Ele
também representa uma mudança de paradigma que reflete as peculiarida-
des da prova eletrônica e as necessidades do mundo conectado nas nuvens.
6 A íntegra da decisão pode ser acessada em: DEPARTMENT OF JUSTICE. Case
14-2985, Document 286-1, 07/14/2016, 1815361, Page1 of 43. Disponível em:
em: 3 jul. 2018.
Em 24 de janeiro de 2017, o 2º Circuito negou pedido do governo norte-ame-
ricano para que o caso fosse ouvido em banc, ou seja, por todos os membros da
corte. Ver: KERR, Orin. 2nd Circuit denies rehearing in Microsoft Ireland case by
an evenly divided vote. The Washington Post, 24 jan. 2017. Disponível em: -
tps://www.washingtonpost.com/news/volokh-conspiracy/wp/2017/01/24/2nd-cir-
cuit-denies-rehearing-in-microsoft-ireland-case-by-an-evenly-divided-vote/?utm_ter-
m=.678da86781c8>. Acesso em: 3 jul. 2018.
7 Após essa decisão, o caso foi aceito pela Suprema Corte norte-americana, que ouviu
argumentos orais em 27 de fevereiro de 2018. Entretanto, em 17 de abril de 2018, a
Corte considerou o caso prejudicado, após pedido das partes, em razão da entrada
em vigor do CLOUD Act, sancionado em 22 de março de 2018, que deixou expressa
a possibilidade de acesso a dados controlados por empresas estadunidenses, ainda
que armazenados em outros países, exatamente como defendido pelo Departamento
de Justiça daquele país.
360 HORIZONTE PRESENTE
A CONVENÇÃO DE BUDAPESTE SOBRE CIBERCRIMINALIDADE
E O ACESSO À PROVA ELETRÔNICA
A Convenção de Budapeste sobre Cibercriminalidade do Conselho da
Europa (CETS no. 185) foi um dos primeiros e até o momento é um dos
únicos instrumentos internacionais sobre crimes cibernéticos e prova
eletrônica. Originalmente gestada no Conselho da Europa, foi assinada
por 63 países, incluindo 17 não europeus.8
A Convenção regula detalhadamente crimes cibernéticos e prova ele-
trônica.9 Seu principal objetivo é harmonizar a legislação mundial sobre
crimes cibernéticos, permitindo melhor uso de mecanismos de cooperação
internacional e extradição. Ela contém dispositivos de direito material, des-
crevendo ofensas criminais, e também dispositivos processuais, incluindo
ferramentas de investigação, preservação de dados, requisições de provas,
busca e apreensão, e jurisdição internacional e cooperação.
O PRINCÍPIO TERRITORIAL, PROVA
ELETRÔNICA E CRIMES CIBERNÉTICOS
O princípio territorial é a regra mais básica para definição de jurisdição.
Todo Estado é soberano em seu território e consequência necessária da
soberania é a habilidade de legislar, julgar e executar seus julgamentos
dentro de seu território. Ele é baseado no fato de que um Estado tem
controle sobre as ações, pessoas e coisas dentro de suas fronteiras. Como
consequência, um documento ou prova armazenada no território de um
Estado e necessária para um procedimento em outro Estado deve ser objeto
de um pedido de cooperação internacional em matéria judicial.
O princípio territorial funciona sem maiores problemas em investigações
convencionais. Normalmente, crimes são cometidos em um território, por
uma pessoa dentro desse território, tendo como vítimas pessoas no território.
O mesmo Estado que tem jurisdição territorial para legislar, terá jurisdição
territorial para julgar o caso e executar a pena eventualmente imposta.
8 Ver: COUNCIL OF EUROPE. Chart of signatures and ratifications of Treaty 185.
Disponível em:
treaty/185/signatures?p_auth=VsTdZN6J>. Acesso em: 3 jul. 2018.
9 O texto completo em português pode ser encontrado em: COUNCIL OF
EUROPE. CONVENÇÃO SOBRE O CIBERCRIME. Disponível em:
coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?
documentId=09000016802fa428>. Acesso em: 3 jul. 2018.
TECNOLOGIA E SOCIEDADE EM DEBATE 361
Quando mais de um Estado está envolvido, usualmente há uma liga-
ção territorial que torna fácil identificar qual deles tem jurisdição sobre
o caso – o local onde estão as vítimas geralmente está relacionado com
o local da prova, ainda que o autor do fato esteja em outro lugar, e essas
questões são resolvidas com regras sedimentadas. Crimes tradicionais não
representam grandes desafios ao princípio.
O princípio territorial puro, no entanto, simplesmente não funciona para
provas eletrônicas e crimes cibernéticos internacionais.10
Primeiro, porque crimes cibernéticos, em regra, atingem vítimas por todo
o mundo, usando equipamentos espalhados globalmente, com autores co-
nectados na rede a partir de diferentes países. Provas eletrônicas, ainda que
relacionadas a crimes tradicionais locais, são normalmente armazenadas
em diferentes lugares, por diferentes empresas, de diferentes países, com
base em critérios puramente coorporativos – o que funcionar melhor para
a operação da empresa responsável pela armazenagem.11
Segundo, porque provas eletrônicas podem ser acessadas de qualquer
lugar. Independentemente do local onde esteja mantido fisicamente o
servidor que armazena os dados, desde que conectado em qualquer tipo
de rede, eles poderão ser acessados de qualquer ponto do mundo.
Essa afirmativa um tanto quanto óbvia é crucial e pode levar a resul-
tados desconcertantes quando o princípio territorial é aplicado de forma
pura a crimes com provas eletrônicas. De acordo com o princípio em seu
conceito mais básico, se um órgão de investigação possui um mandado de
busca e apreensão legalmente expedido para apreender um computador
e o encontra ligado, exibindo o acesso a uma conta de e-mail mantida em
servidores localizados em outro país, os agentes não poderão acessar, coletar
ou mesmo ler os e-mails. Os e-mails, nesse exemplo, mesmo nas vistas dos
investigadores e acessíveis às pontas dos seus dedos, são na verdade docu-
mentos internacionais, sob a jurisdição de outro país, e somente poderão
10 A expressão “crimes cibernéticos internacionais” é até certo ponto um paradoxo
porque todos os crimes cibernéticos hoje têm um componente internacional, em
maior ou menor grau.
11 Cada vez mais frequente é a utilização de CDN (content delivery networks), nas quais
o conteúdo fica espalhado em diversos pontos e é enviado ao usuário de forma otimi-
zada conforme sua localização: WIKIPEDIA. Content delivery network. Disponível
em:. Acesso em: 3 jul.
2018. Nesses casos, a empresa responsável pelos dados simplesmente não sabe onde
eles estão fisicamente armazenados, pois a localização é determinada por algoritmos
e pode ser alterada a qualquer momento, independente de comando humano.
362 HORIZONTE PRESENTE
ser lidos ou acessados mediante autorização desse país, após demorado e
laborioso pedido de cooperação internacional.
A conclusão aqui é simples: o princípio territorial em sua forma tradicio-
nal não atende às peculiaridades das provas eletrônicas e dos crimes ciberné-
ticos, e a necessidade de novos instrumentos funcionais tem sido objeto de
constantes debates entre órgãos de investigação e a academia. A Convenção
de Budapeste deu um primeiro passo para solucionar esse dilema.
A CONVENÇÃO DE BUDAPESTE
A Convenção de Budapeste contém dois artigos que precisam ser ana-
lisados em conjunto quando se pretende entender o novo parâmetro in-
ternacional para acesso a provas eletrônicas, que substitui o critério de
localização pura da prova por controle da prova, sem perder de vista a
jurisdição territorial ao considerar o local de prestação do serviço.
O primeiro artigo expressamente admite o que é referido como “acesso
transfronteiriço a dados informáticos armazenados”. Em outras palavras, o
dispositivo reconhece que a prova eletrônica é acessível de qualquer lugar
do mundo e estabelece, ex ante, que os Estados signatários da Convenção
poderão, atendidas determinadas circunstâncias, acessar arquivos e docu-
mentos que estão fisicamente localizados em outros Estados signatários,
mas que podem ser acessados através da rede.12 A alínea (b) disciplina o
exemplo mencionado acima e também estabelece o critério controle para a
determinação da jurisdição. Nos termos da Convenção, os Estados signa-
tários autorizam previamente que os outros Estados signatários acessem
diretamente dados armazenados em seus territórios se a pessoa legalmente
autorizada a fornecer esses dados consentir voluntariamente. Isto é, se a
pessoa que controla a informação consentir, órgãos de investigação poderão
acessar a informação, mesmo que armazenada no exterior.
12 In verbis:
Artigo 32
o
. – Acesso transfronteiriço a dados informáticos armazenados, com con
-
sentimento ou quando são acessíveis ao público
Uma parte pode, sem autorização de outra parte:
a. Aceder a dados informáticos armazenados acessíveis ao público (fonte aberta),
seja qual for a localização geográfica desses dados; ou
b. Aceder ou receber, através de um sistema informático situado no seu território,
dados informáticos armazenados situados no território de outra Parte, se obtiver o
consentimento legal e voluntário da pessoa legalmente autorizada a divulgar esses
dados, através deste sistema informático.
TECNOLOGIA E SOCIEDADE EM DEBATE 363
Esse dispositivo, entretanto, tem limitações. A primeira é que ele não
pode ser aplicado a dados armazenados em países que não são signatários
da Convenção. Isso limita o escopo do dispositivo, ainda que a Convenção
tenha sido assinada por países que representam grande parte do fluxo de
dados via Internet.
A segunda limitação traduz-se na impossibilidade de a informação ser
obtida sem o consentimento da pessoa que a controla, o que é agravado
pelo fato de, na maioria dos países, os provedores de serviço e de apli-
cativos não poderem legalmente consentir e ceder informações de seus
usuários. O dispositivo, assim, é limitado à pessoa que legalmente controla
e detém a informação e consente em auxiliar. Ele não prevê a possibilidade
de requisição, mesmo judicial (compelled disclosure), e nem de extensão
da autorização a terceiros que controlam a informação porque prestam
serviços, ausente autorização específica do usuário.13
Apesar desses problemas, o dispositivo representa avanço notável, es-
pecialmente quando considerado que foi escrito no início dos anos 2000.
O segundo dispositivo está no artigo 18 da Convenção e a legislação
doméstica editada para implementá-lo está criando novos dispositivos de
Direito Internacional costumeiro e modificando a forma como é definida
a jurisdição sobre a prova eletrônica.
O artigo 18 determina que cada Estado signatário “adotará” as medidas
legislativas necessárias para “habilitar as suas autoridades competentes”
para ordenar a uma pessoa em seu território que forneça “dados infor-
máticos específicos, na sua posse ou sob o seu controle e armazenados num
sistema informático ou um outro suporte de armazenamento de dados
informáticos” (grifo nosso).14
13 Diversas discussões estão correndo dentro do Conselho da Europa visando apri-
morar o acesso transfronteiriço a dados. Relatórios das discussões em inglês podem
ser acessados em: crime/t-cy-reports>. Acesso em:
3 jul. 2018.
14 In verbis:
Artigo 18o. – Injunção
1. Cada Parte adotará as medidas legislativas e outras que se revelem necessárias para
habilitar as suas autoridades competentes para ordenar:
a. A uma pessoa que se encontre no seu território que comunique os dados infor-
máticos específicos, na sua posse ou sob o seu controle e armazenados num sistema
informático ou num outro suporte de armazenamento de dados informáticos; e
364 HORIZONTE PRESENTE
O artigo não menciona onde a informação deve estar armazenada, se
fora ou dentro do território do requisitante, mencionando apenas que a
pessoa requisitada deve ter controle sobre os dados e tanto as legislações
que implementaram nos Estados-parte os termos da Convenção, como
visto abaixo, como o próprio comitê responsável,15 têm considerado que
o local físico de armazenamentos dos dados não define a jurisdição.
Na realidade, as legislações domésticas dos países signatários estão dan-
do força plena ao critério controle, estabelecendo, primeiro, que o fator
determinante para a definição de jurisdição sobre prova eletrônica é con-
trole e não localização; e segundo, que um Estado tem plena jurisdição
para acessar diretamente essa prova se a empresa que a controla estiver
localizada em seu território ou nele prestar serviços, independentemente
do local em que estiver fisicamente armazenada. Em verdade, no mundo
da computação nas nuvens, o local físico de armazenamento torna-se
cada vez mais irrelevante, pois pode mudar em questão de minutos ou
b. A um fornecedor de serviços que preste serviços no território da Parte, que co-
munique os dados na sua posse ou sob o seu controle, relativos aos assinantes e
respeitantes a esses serviços.
1. Os poderes e procedimentos referidos no presente artigo devem estar sujeitos aos
artigos 14o. e 15o.
2. Para os fins do presente artigo, a expressão “dados relativos aos assinantes” designa
qualquer informação, contida sob a forma de dados informáticos ou sob qualquer
outra forma, detida por um fornecedor de serviços e que diga respeito aos assinantes
dos seus serviços, diferentes dos dados relativos ao tráfego ou ao conteúdo e que
permitam determinar:
a. O tipo de serviço de comunicação utilizado, as medidas técnicas tomadas a esse
respeito e o período de serviço;
b. A identidade, a morada postal ou geográfica e o número de telefone do assinante e
qualquer outro número de acesso, os dados respeitantes à faturação e ao pagamento,
disponíveis com base num contrato ou acordo de serviços;
c. Qualquer outra informação sobre a localização do equipamento de comunicação,
disponível com base num contrato ou acordo de serviços.
15 Em março de 2017, o T-CY editou a Guidance Note # 10, contendo normas para
a interpretação do artigo 18: COUNCIL OF EUROPE. T-CY Guidance Note #10.
Production orders for subscriber information. (Article 18 Budapest Convention).
Disponível em: . Acesso em: 3 jul. 2018. Segundo
os novos termos, os Estados parte poderão expedir ordens para obter dados cadas-
trais, incluindo números IP, localizados outro território desde que o provedor que
controla os dados preste serviços no território da parte e os dados se refiram a serviço
prestado no território do requisitante.
TECNOLOGIA E SOCIEDADE EM DEBATE 365
ser completamente desconhecido, tornando-se essencial quem controla
as informações e onde esse controlador presta serviços.16
A LEGISLAÇÃO DOMÉSTICA17 E A
JURISPRUDÊNCIA DE PAÍSES EUROPEUS
Como mencionado, na esteira dos dispositivos da Convenção de Budapeste,
diversos Estados europeus, signatários ou não da Convenção, elaboraram
legislações adotando e expandindo o acesso transfronteiriço a dados e o cri-
tério controle.
Os Estados utilizam o artigo 18 para requisitar que empresas prestadoras
de serviço em seus territórios forneçam diretamente dados eletrônicos
necessários a investigações.18 Austrália, Espanha e Canadá permitem que
16 A legislação sobre E-Evidence proposta pela Comissão Europeia e ora em discussão
no parlamento europeu também contém disposições semelhantes, que permitem o
acesso a dados controlados por empresas que prestam serviços em território euro-
peu, independente do local de efetivo armazenamento dos dados e mesmo da sede
da empresa. A legislação proposta contém soluções para cumprimento de decisões
mesmo quando a empresa controladora não possui sede em países do bloco euro-
peu e traz, ainda, dispositivos que permitem solução para hipóteses de conflito de
leis quando, por exemplo, a legislação do país onde mantidos fisicamente os dados
impede ou dificulta a transferência direta para outros países. A proposta reconhece
poucas hipóteses em que as oposições baseadas em conflito de leis apresentadas
pelas empresas controladoras dos dados serão aceitas, e mesmo nessas, a depender
de efetiva oposição do país onde localizados os dados. A íntegra da proposta, diretriz
e regulamento, pode ser encontrada em: EUROPEAN COMMISSION. E-evidence
- cross-border access to electronic evidence. Disponível em:
info/policies/justice-and-fundamental-rights/criminal-justice/e-evidence-cross-bor-
der-access-electronic-evidence_en>. Acesso em 3 jul. 2018.
17 Extraído de “Transborder access and jurisdiction: What are the options”, relatório
do Subgrupo em Jurisdição e Acesso Transfronteiríço a Dados do Comitê T-CY da
Convenção de Budapeste, adotado em dezembro de 2012. Disponível em: CYBERCRIME
CONVENTION COMMITTEE. Transborder access and jurisdiction: What are the
options? Disponível em:
DisplayDCTMContent?documentId=09000016802e79e8>. Acesso em: 3 jul. 2018.
18 Maxwell, Winston/Wolf, Christopher (2012): A Global Reality: Governmental
Access to Data in the Cloud (Hogan Lovells White Paper, 23 May 2012), mencionado
pelo relatório do T-CY. O documento original, em inglês, está disponível em: HOGAN
LOVELLS. Hogan Lovells White Paper - Government access to Data in the Cloud.
Disponível em:
te-paper-government-access-to-data-in-the-cloud>. Acesso em: 3 jul. 2018.
366 HORIZONTE PRESENTE
órgãos de investigação requisitem de empresas localizadas em seu território
informações, independentemente do local de armazenamento. Dinamarca,
França e Reino Unido trazem dispositivos semelhantes, com um requisito
a mais, permitindo a requisição e o acesso direto quando os dados estão
sob o controle de empresa local e podem ser acessados de seus territórios.
Ironicamente, no caso Microsoft Irlanda, o próprio governo irlandês apre-
sentou petição como amicus curiae informando à Corte de Apelação que,
apesar das preocupações da empresa ré com questões diplomáticas que pu-
dessem advir do acesso direto aos dados armazenados no exterior, a legislação
irlandesa também autoriza o acesso direto, mediante o critério de controle.
O documento, citando decisão da Suprema Corte irlandesa no caso Walsh v.
Irish National Bank, afirma que a legislação local permite o acesso a dados
controlados por empresa irlandesa, independentemente do local em que estão
fisicamente armazenados.
19
Importante salientar que a Irlanda assinou, mas
não ratificou a Convenção de Budapeste.
Em todos os casos citados, as legislações locais reconhecem que o que
determina a possibilidade de acesso direto a provas eletrônicas não é o local
de armazenamento destas, mas o local em que está estabelecida, de qualquer
forma, ou prestando serviços a empresa que controla esses dados. Aplica-se,
assim, o princípio territorial, mas não mais focado no local onde fisicamente
guardadas as provas, e sim no local de prestação do serviço e de presença da
empresa: os fatores considerados passam a ser o local em que prestado o serviço,
e ordinariamente colhidos os dados, e o local em que a empresa controladora
se faz presente. Órgãos de investigação desses países podem requisitar dados
controlados por empresas que prestam serviços em seus territórios indepen-
dentemente do local onde os dados estão fisicamente armazenados.
O uso do critério controle/local de prestação do serviço também tem sido
reconhecido pela Jurisprudência dos países europeus.
No caso Licra – Ligue Contre le Racisme et l’Antisémitisme et Union
des Édutiants Juifs de France v. Yahoo! Inc. et Société Yahoo! France, o
Tribunal de Grande Instance expediu uma ordem determinando que a
empresa Yahoo! tomasse todas as medidas necessárias a dissuadir e “tor-
19 O original afirma que: “[h]owever on the central point whether it had power to
order production of documents by an Irish registered company by one of its branches
situated in a foreign country, the Supreme Court found that it did. The Supreme
Court found that the Taxes Consolidation Act empowers the Irish taxation autho-
rities to seek an order that an Irish bank produce records of accounts held by its
customers wherever the information is situated”. O texto, em inglês, pode ser acessado
em:
Ireland-AmicusBrief.pdf>. Acesso em: 3 jul. 2018. (grifo nosso)
TECNOLOGIA E SOCIEDADE EM DEBATE 367
nar impossível” a visualização e venda de artigos nazistas na França.20 O
caso prosseguiu em litígio nos Estados Unidos, onde a Corte do Nono
Circuito decidiu que Yahoo! não poderia utilizar a Primeira Emenda à
Constituição Norte-Americana, que trata da liberdade de expressão, para
descumprir a legislação francesa.21 Em outras palavras, ambas as cortes
reconheceram que uma empresa prestando serviços em um determinado
país precisa obedecer à legislação desse país, mesmo que sua operação e
seus servidores estejam localizados ou sediados em outro país.
Em outro caso envolvendo o Yahoo!, a Suprema Corte da Bélgica con-
firmou que se uma empresa presta serviços em território belga, ela precisa
obedecer à lei local fornecendo todos os dados e documentos controlados
por ela.
22
Interessante notar que a decisão não exigiu que a empresa tivesse
sede ou subsidiária na Bélgica, mas apenas que ali prestasse serviços – à
época, Yahoo! não possuía representantes na Bélgica e foi citada por e-mail.
Mais recentemente, a Corte Europeia de Justiça decidiu que um pro-
vedor estabelecido em um Estado Membro deve obedecer às diretrizes
europeias, independentemente do local físico de seus equipamentos ou do
local em que sua operação é mantida.23 Em 14 de abril de 2016, a União
Europeia aprovou como lei pacote de Proteção de Dados – Regulation
(EU) 2016/679, conhecido pela sigla General Data Protection Regulation
(GDPR) – que segue os mesmos critérios, estabelecendo a jurisdição dos
Estados membros quanto à proteção de dados sobre empresas que prestam
serviços em seus territórios ou são ali sediadas.24
20 WIKIPÉDIA. LICRA contre Yahoo! Disponível em:
LICRA_contre_Yahoo!>. Acesso em: 3 jul. 2018.
21 Yahoo! Inc. v. La Ligue Contre Le Racisme et L’Antisémitisme (433 F.3ed 1199).
22 GAV LAW – GEERT VAN CALSTER. It’s true! Belgian Supreme Court confir-
ms order for Yahoo! to hand over IP-addresses. Disponível em: .
com/2015/12/07/its-true-belgian-supreme-court-confirms-order-for-yahoo-to-hand-
over-ip-addresses/>. Acesso em: 3 jul. 2018.
23 COURT OF JUSTICE OF THE EUROPEAN UNION. An internet search engine
operator is responsible for the processing that it carries out of personal data which
appear on web pages published by third parties. Disponível em: -
ropa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf>. Acesso em:
3 jul. 2018.
24 O GDPR entrou em vigor em 25 de maio de 2018. Nos termos do artigo 3
o
.
do Regulamento, as regras ali previstas aplicam-se a empresas europeias, ain-
da que as atividades de processamento sejam desenvolvidas em outros territó-
rios (controle) e aos dados colhidos na União Europeia referentes a serviços ali
prestados, ainda que as empresas estejam sediadas em outros países (critério da
368 HORIZONTE PRESENTE
Em resumo, países europeus, há mais de uma década, reconhecem o critério
controle/prestação de serviço para a obtenção direta de provas eletrônicas,
adotando-o em suas legislações e em decisões judiciais. Se uma empresa
presta serviços ou está localizada em determinado país, ela precisa atender
às requisições de documentos eletrônicos apresentadas legalmente pelos
órgãos de investigação desse país, não importando onde esses documentos
estão fisicamente armazenados, se no próprio Estado requisitante ou em
outro local. Esse mesmo critério foi adotado pelo Marco Civil da Internet.
A LEGISLAÇÃO BRASILEIRA
O artigo 11 da Lei no. 12.965/2014, Marco Civil da Internet, estabelece que:
Artigo 11. Em qualquer operação de coleta, armazenamento, guarda e trata-
mento de registros, de dados pessoais ou de comunicações por provedores
de conexão e de aplicações de internet em que pelo menos um desses atos
ocorra em território nacional, deverão ser obrigatoriamente respeitados
a legislação brasileira e dos direitos à privacidade, à proteção dos dados
pessoais e ao sigilo das comunicações privadas e dos registros.
Análise superficial do dispositivo pode levar à conclusão de que ele
apenas reproduz o princípio territorial puro. Se a empresa presta serviços
no Brasil, deve adequar-se à legislação brasileira, à legislação local, o que
em si não contém nenhuma inovação.
Essa conclusão, porém, é equivocada, pois o dispositivo tem alcance
muito maior do que a simples aplicação do princípio territorial. Em ver-
dade, o artigo reflete posicionamento jurisprudencial, inclusive das cortes
superiores, de que a empresa que presta serviços no país precisa cumprir
a legislação nacional. A norma apenas deixa tal obrigação mais clara, de-
terminando em seu § 2o., que a lei brasileira será aplicada “mesmo que as
atividades sejam realizadas por pessoa jurídica sediada no exterior, desde
que oferte serviço ao público brasileiro ou pelo menos uma integrante do
mesmo grupo econômico possua estabelecimento no Brasil”. Assim, ainda
que a operação da empresa ocorra toda no exterior, e ali sejam tomadas as
decisões corporativas e mantidos os servidores que coletam e armazenam
os dados necessários para a prestação dos serviços, deverá ser observada
a legislação brasileira para os dados coletados no Brasil, inclusive quanto
às requisições judicias descritas no artigo 10.
prestação de serviço). A íntegra do documento pode ser acessada em: EUR-LEX.
Document 32016R0679. Disponível em:
EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC
>. Acesso em: 3 jul. 2018.
TECNOLOGIA E SOCIEDADE EM DEBATE 369
Nesse contexto, as sucessivas negativas de provedores constituídos sob
as leis brasileiras, mas com sede de operação em outros países em fornecer
dados diretamente às autoridades brasileiras carecem de completo funda-
mento, quer na legislação nacional, quer na legislação internacional. Cada
vez mais é irrelevante onde os dados são armazenados, restando apenas a
questão de quem controla esses dados e onde o serviço é prestado.
Imperioso concluir, dessa forma, que a legislação brasileira, ainda que
preservando certos aspectos do princípio territorial, também adotou o
critério controle e nisso está em absoluta harmonia com a legislação eu-
ropeia, em vigor – GDPR – e proposta – E-Evidence –, com a nova legis-
lação norte-americana sancionada em março de 2018,25 e com o Direito
Internacional. Terá jurisdição para requisitar dados diretamente o Estado
em que a empresa que controla os dados presta serviços, independente-
mente do local físico em que mantidos seus equipamentos e armazenados
os documentos. A regra é controle, não localização.
E A PRIVACIDADE?
Questão frequente quando se debate o acesso transfronteiriço a dados e pro-
vas eletrônicas é a proteção da privacidade. O argumento é simples: permitir
que qualquer país possa ter acesso a dados armazenados independentemente da
localização física dos documentos pode abrir as portas para violações. O pen-
samento é: e se um país que não observa regras básicas do Estado Democrático
de Direito exigir a entrega de documentos a empresa sediada ou mantida em
país onde essas regras são seguidas, a empresa é obrigada a fornecê-los?
A adoção do critério controle conduz à resposta afirmativa: desde que
preenchidos os requisitos básicos, a empresa deverá fornecer os dados. Isso,
evidentemente, provoca inúmeras reações, pois parece violar nossas con-
vicções mais íntimas sobre a aplicação e o respeito aos Direitos Humanos.
Como podemos permitir uma violação a princípios que elegemos seguir
em nosso próprio território? Entretanto, há mais camadas nessa discussão.
25 O CLOUD Act, além de outras disposições, introduziu o § 2713, que determina que
provedores de comunicação eletrônica ou serviço informatizado remoto devem atender
às ordens legalmente expedidas pelas autoridades norte-americanas referentes a dados
sob seu controle, independente da localização. In verbis: CONGRESS.GOV. H.R.4943
- CLOUD Act. Disponível em: ess/hou-
se-bill/4943/text>. Acesso em: 3 jul. 2018. “A provider of electronic communication
service or remote computing service shall comply with the obligations of this chapter
to preserve, backup, or disclose the contents of a wire or electronic communication
and any record or other information pertaining to a customer or subscriber within
such provider’s possession, custody, or control, regardless of whether such communi-
cation, record, or other information is located within or outside of the United States”.
370 HORIZONTE PRESENTE
Em primeiro lugar é importante lembrar que nem sempre o país que
requisita as informações protege a privacidade de forma menos adequada,
ou menos abrangente, do que aquele onde sediada a empresa que con-
trola os dados. Um exemplo claro é a legislação brasileira. O artigo 22 do
Marco Civil da Internet, estabelece que o acesso a dados de registro de
conexão, incluindo aí dados de IP, depende de ordem judicial baseada em
fundados indícios da ocorrência do ilícito e motivada com indicação da
utilidade dos registros para fins de investigação. Os mesmos dados básicos
de conexão, ou subscriber information, como registro de logs de acesso a IP,
segundo a legislação norte-americana,
26
dependem apenas de requisição de
autoridade – subpoena –, seja ela policial ou do Ministério Público, sendo
desnecessário o controle judicial.
Em segundo lugar, deve-se ter em mente que as empresas prestadoras de
serviços não são as guardiãs da proteção do direito à privacidade. Muito
pelo contrário. Em muitas ocasiões, elas são as principais responsáveis por
violações e abusos. Empresas visam lucro e, por vezes, na busca de seus
objetivos, deixam de lado a proteção integral da intimidade, ainda que não
a violem diretamente.
27
E não há nada de errado nisso. Entretanto, é sempre
necessário ver com ceticismo a defesa incondicional do direito à privacidade
por empresas privadas. Enquanto essa defesa atender aos seus próprios obje-
tivos, as empresas serão aliadas; quando deixar de existir essa similaridade, a
situação será outra. O melhor defensor do direito à privacidade é seu titular.
Em terceiro lugar, a entrada em vigor do GDPR, que prevê expressamente
ampla aplicação da legislação e da jurisdição de países europeus sobre a
proteção de dados para serviços prestados em território europeu, trouxe
mudanças significativas na forma como os dados são tratados mesmo
em países fora do bloco. Os efeitos completos da efetiva implementação
das regras ainda precisarão ser estudados, mas parece desde já evidente
que as empresas que prestam serviços globalmente acabarão seguindo as
diretrizes europeias no resto do mundo. Isso demonstra que há uma certa
convergência no Direito Internacional para aceitar os critérios de controle
e prestação de serviços para a definição de jurisdição, tanto para proteção
quanto para fornecimento de dados às autoridades.
26 18 U.S.C. § 2703(c)(2).
27 Os casos recentes envolvendo a rede social Facebook, a empresa Cambridge Analytica
e as eleições norte-americanas, são apenas um exemplo de muitos. STATT, Nick.
Federal investigators want to know if Facebook lied about Cambridge Analytica.
Disponível em: ge.com/2018/7/2/17528610/federal-investiga-
tion-facebook-cambridge-analytica-doj-fbi-sec>. Acesso em: 3 jul. 2018.
TECNOLOGIA E SOCIEDADE EM DEBATE 371
Apesar dessas nuances, as preocupações são válidas. No entanto, elas
podem ser amenizadas com o estabelecimento de limites para a obtenção
das provas. A já citada Guidance Note #10 traz alguns parâmetros que
têm sido aceitos como norteadores do acesso transfronteiriço a dados.
Um Estado poderá exigir esses dados desde que a empresa controladora
preste serviços em seu território de algum modo direcionado a seus
habitantes, o que se justifica porque a empresa, nesse caso, tem que
atender às exigências do local onde executa o serviço, em situação aná-
loga, por exemplo, a de um banco com matriz em outo país mas que,
nem por isso, deixa de se submeter às autoridades reguladoras do local
onde presta o serviço. Disposição semelhante está contida na proposta
da Comissão Europeia sobre E-Evidence e de forma mais ampla, como
já citado, no próprio GDPR.
Esses limites já encontram respaldo na legislação brasileira, no artigo
11 da Lei 12.965/2014 e nas regras de competência do Código Penal e do
Código de Processo Penal. A possibilidade de acesso transfronteiriço a
provas, assim, não significa violação indiscriminada de direitos, mas pre-
servação da capacidade de investigação e de responsabilização de delitos
cometidos em determinado território.
CONCLUSÃO: O FUTURO DO ACESSO A DADOS
O problema do acesso direto a dados e à prova eletrônica é urgente e
afeta não apenas os crimes propriamente considerados cibernéticos, como
a persecução penal de crimes comuns, mas com provas armazenadas em
sistemas informáticos. O critério controle, aliado ao local da prestação de
serviço, não é a única solução para esse problema, mas tem sido a mais
adotado por legislações em todo o mundo.
Existem duas razões principais para a adoção do critério controle/local
de prestação de serviço. A primeira delas é a realidade da prova eletrônica.
Dados e documentos eletrônicos são, por essência, móveis. Eles podem
ser armazenados em qualquer lugar e também podem ser movimentados
para qualquer lugar, a qualquer tempo, em questão de minutos, com um
único clique. Eles podem ser movidos para o território de um Estado
observador de obrigações internacionais, para Sealand28 ou para o alto
28 WIKIPÉDIA. Principality of Sealand. Disponível em:
wiki/Principality_of_Sealand>. Acesso em: 3 jul. 2018.
372 HORIZONTE PRESENTE
mar.
29
Com frequência, é impossível determinar onde os dados estão
fisicamente localizados – servidores que utilizam redes de anonimato
como TOR 2 e i2p, por exemplo, ou nos casos de Content Delivery
Networks –, ou mesmo autenticar a localização declarada – nem todos
os servidores de aplicativos são transparentes quanto ao local de sua
operação. A lei não pode ignorar a realidade e o único critério dispo-
nível hoje é controle.
Em segundo lugar, o critério controle/prestação de serviço preserva a
territorialidade e a soberania dos Estados. Uma empresa não pode ser
constituída, manter escritórios ou subsidiárias, ou prestar serviços em um
país, dirigidos especificamente a seus residentes, sem se submeter à lei
local. Do contrário, empresas não apenas poderiam escolher a jurisdição,
como também a lei que as regula, escolhendo aquela que mais lhes favo-
rece, não necessariamente aquela que melhor protege seus consumidores
e usuários. Se é inconcebível que uma empresa possa prestar qualquer
tipo de serviço físico sem obedecer à lei local, o mesmo é válido para
empresas de internet. O modelo de negócios possui peculiaridades, mas
não demanda tratamento preferencial.
De outro lado, a aplicação do critério controle com o norte definido pelo
Guidance Note #10 e com as regras previstas na proposta de E-Evidence,
inclusive quanto à solução de conflito de normas, pode auxiliar na preser-
vação do direito à privacidade. Restringe-se o acesso às situações em que
o prestador de serviços direciona sua atividade aos habitantes do Estado
requisitante e estes, cientes de sua própria legislação, também estarão cien-
tes de que as empresas que lhes prestam serviços poderão ser compelidas
a fornecer dados, conforme as regras locais. Esse critério dá segurança ao
usuário, que não precisará se preocupar com a legislação de outros países
para descobrir se seus dados estão ou não protegidos.
O atual quadro da legislação internacional apresenta desafios e o cri-
tério controle pode gerar distorções. Entretanto, ele é hoje o principal
instrumento aceito internacionalmente e que, na prática, se mostra mais
adequado às peculiaridades da prova eletrônica.
29 HRUSKA, Joel. Under the Sea: Microsoft testing underwater data centers.
Extreme Tech, 1 fev. 2016. Disponível em: .extremetech.com/extre-
me/222251-under-the-sea-microsoft-testing-underwater-data-centers>. Acesso em:
3 jul. 2018.
TECNOLOGIA E SOCIEDADE EM DEBATE 373
REFERÊNCIAS
CONGRESS.GOV. H.R.4943 - CLOUD Act. Disponível em:
gov/bill/115th-congress/house-bill/4943/text>. Acesso em: 3 jul. 2018.
COUNCIL OF EUROPE. Chart of signatures and ratifications of Treaty 185. Disponível
em: eaty/185/
signatures?p_auth=VsTdZN6J>. Acesso em: 3 jul. 2018.
COUNCIL OF EUROPE. CONVENÇÃO SOBRE O CIBERCRIME. Disponível
em:
DisplayDCTMContent?documentId=09000016802fa428>. Acesso em: 3
jul. 2018.
COUNCIL OF EUROPE. T-CY Guidance Note #10. Production orders for subscriber
information. (Article 18 Budapest Convention). Disponível em:
int/16806f943e>. Acesso em: 3 jul. 2018.
COURT OF JUSTICE OF THE EUROPEAN UNION. An internet search engine
operator is responsible for the processing that it carries out of personal data
which appear on web pages published by third parties. Disponível em:
curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf>.
Acesso em: 3 jul. 2018.
CYBERCRIME CONVENTION COMMITTEE. Transborder access and ju-
risdiction: What are the options? Disponível em:
coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?
documentId=09000016802e79e8>. Acesso em: 3 jul. 2018.
DEPARTMENT OF JUSTICE. Case 14-2985, Document 286-1, 07/14/2016, 1815361,
Page1 of 43. Disponível em: chives/opa/blog-entry/
file/937006/download>. Acesso em: 3 jul. 2018.
EUR-LEX. Document 32016R0679. Disponível em: -
pa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.
ENG&toc=OJ:L:2016:119:TOC >. Acesso em: 3 jul. 2018.
EUR-LEX. Document 52018PC0225. Disponível em:
legal-content/EN/TXT/?qid=1524129181403&uri=COM:2018:225:FIN>. Acesso
em: 3 jul. 2018.
EUROPEAN COMMISSION. E-evidence - cross-border access to electronic evidence.
Disponível em:
criminal-justice/e-evidence-cross-border-access-electronic-evidence_en>. Acesso
em 3 jul. 2018.
GAV LAW – GEERT VAN CALSTER. It’s true! Belgian Supreme Court confirms
order for Yahoo! to hand over IP-addresses. Disponível em: .
com/2015/12/07/its-true-belgian-supreme-court-confirms-order-for-yahoo-to-
-hand-over-ip-addresses/>. Acesso em: 3 jul. 2018.
374 HORIZONTE PRESENTE
HOGAN LOVELLS. Hogan Lovells White Paper - Government access to Data in
the Cloud. Disponível em:
hogan-lovells-white-paper-government-access-to-data-in-the-cloud>. Acesso
em: 3 jul. 2018.
HRUSKA, Joel. Under the Sea: Microsoft testing underwater data centers. Extreme
Tech, 1 fev. 2016. Disponível em: .extremetech.com/extreme/
222251-under-the-sea-microsoft-testing-underwater-data-centers>. Acesso
em: 3 jul. 2018.
KERR, Orin. 2nd Circuit denies rehearing in Microsoft Ireland case by an evenly
divided vote. The Washington Post, 24 jan. 2017. Disponível em:
www.washingtonpost.com/news/volokh-conspiracy/wp/2017/01/24/2nd-cir-
cuit-denies-rehearing-in-microsoft-ireland-case-by-an-evenly-divided-vote/?utm_
term=.678da86781c8>. Acesso em: 3 jul. 2018.
STATT, Nick. Federal investigators want to know if Facebook lied about Cambridge
Analytica. Disponível em: ge.com/2018/7/2/17528610/
federal-investigation-facebook-cambridge-analytica-doj-fbi-sec>. Acesso em:
3 jul. 2018.
WIKIPEDIA. Content delivery network. Disponível em:
wiki/Content_delivery_network>. Acesso em: 3 jul. 2018.
WIKIPÉDIA. LICRA contre Yahoo! Disponível em: g/wiki/
LICRA_contre_Yahoo!>. Acesso em: 3 jul. 2018.
WIKIPÉDIA. Principality of Sealand. Disponível em:
Principality_of_Sealand>. Acesso em: 3 jul. 2018.
Para continuar a ler
PEÇA SUA AVALIAÇÃO