STF deve reconhecer acordo para acesso a dados no exterior

Fonte da Imagem: Agência Brasil

Requisições diretas às empresas estrangeiras que violem legislação local não devem prosperar.

O Supremo Tribunal Federal (STF) está prestes a decidir sobre mais um tema crucial para a definição dos contornos da aplicação das leis na Internet. Dessa vez está no centro dos debates a forma pela qual autoridades brasileiras podem acessar dados localizados no exterior.

Através da Ação Direta de Constitucionalidade (ADC) nº 51, a ASSESPRO Nacional (Federação das Empresas Brasileiras de Tecnologia da Informação) busca o reconhecimento da constitucionalidade do Decreto nº 3.810/2001, que promulgou o Acordo de Assistência Judiciária em Matéria Penal (MLAT) entre Brasil e Estados Unidos.

Na verdade, o que está em jogo é muito mais do que o reconhecimento da constitucionalidade do Decreto que incorpora o MLAT ao Direito pátrio. O caso pode ser definidor para questões como inovação, competitividade e como o país entende a chamada soberania digital em uma rede verdadeiramente global.

Depois de tanto se repetir que dados são o novo petróleo, autoridades do mundo afora despertaram para a importância do debate sobre quem tem acesso aos dados, onde eles estão localizados e o que pode ser feito com eles. As respostas que elas vêm encontrando nem sempre conciliam a territorialidade que marca os limites dos Estados com o aspecto transfronteiriço da rede.

Estamos acostumados a imaginar a Internet como algo etéreo, que paira acima das nossas cabeças e que aterrissa em celulares, computadores e demais dispositivos. É lá, nas nuvens, que ficaria a Internet. E assim como as nuvens, a rede também atravessaria fronteiras.

Essa imagem, muito reforçada pela expressão “computação em nuvem”, disfarça que a Internet é composta por cabos (terrestres ou submarinos), servidores espalhados pelo mundo todo, pontos de interconexão, satélites, antenas e uma série de outros componentes de infraestrutura que permitem o acesso a dados e demais conteúdos em uma camada de aplicações que roda acima dessa camada física que sustenta a Internet conforme todos conhecemos.

Os centros de armazenamento de dados (data centers) são uma peça fundamental na revolução que a Internet gerou para os mais diversos negócios, em especial quando tratados em conjunto com a computação em nuvem.

Para acessar um determinado serviço o usuário pode estar em qualquer lugar do globo, basta que tenha uma conexão à rede. Isso mudou a forma como empresas, grandes e pequenas, operam em escala global.

Seus aplicativos e conteúdos podem chegar aos cidadãos dos mais distintos países sem que a empresa tenha que estabelecer escritórios em cada um desses países. O mesmo vale para os servidores que hospedam os dados relativos a esses negócios e de seus usuários.

Uma parte importante dos data centers está localizada nos Estados Unidos, por razões que incluem a capacidade dos serviços de rede, a confiabilidade da fonte de alimentação reserva, a flexibilidade e escalabilidade de operação. Com a expansão dos serviços em nuvem, é cada vez mais comum que empresas brasileiras, por exemplo, tenham CNPJ, escritório no Brasil, funcionários brasileiros, mas armazene dados em algum serviço de cloud norte-americano.

De outro lado, percebe-se que muitas empresas estrangeiras, para alavancar seus negócios no Brasil, passaram a abrir escritórios locais. A existência de um escritório no Brasil também faz parte de uma escolha comercial legítima, mas não necessariamente envolve o processamento de dados no Brasil.

Assim, é perfeitamente possível e legal que uma empresa ofereça serviços a usuários brasileiros, processe seus dados no exterior, mas tenha registro ou escritório local.

Caso seja necessário ter acesso ao dado de algum usuário para uma investigação criminal ou para cumprir ordem judicial a primeira pergunta é: quem pode acessar esse dado? Essa pergunta é geralmente sucedida pela indagação sobre onde estaria o controlador do dado.

E aqui as coisas ficam mais complexas porque diferentes países podem ter diferentes leis que regulam quais dados podem ser acessados e de que maneira isso pode ser feito.

É o caso dos Estados Unidos, que, por força do Stored Communications Act, apenas permite, em regra, a entrega do conteúdo de comunicações a autoridades estrangeiras por meio de ordem sujeita aos trâmites de acordos como o MLAT. O MLAT é uma ferramenta que popularizou a cooperação judicial entre os países nos anos 90.

Ele busca garantir não apenas o cumprimento de diligências que necessitam a cooperação da autoridade estrangeira, como também delimita a forma e o conteúdo das solicitações.

Isso gera, de fato, um ônus para a autoridade judiciária – medida necessária tanto pela perspectiva de cooperação internacional, como pela garantia do devido processo legal.

A operação dos MLATs hoje enfrenta críticas e movimentos por sua revisão vem surgindo tanto aqui como lá fora. Segundo o relatório Internet & Jurisdiction and ECLAC Regional Status Report 2020, o Brasil não é o único país da região a apontar a baixa eficiência procedimental de acordos bilaterais de cooperação mútua, como aquele que deu ensejo à ADC 51.

Diversos especialistas concordam que o sistema hoje existente requer melhorias, apontando a necessidade de observância do devido processo legal e da privacidade.[1]

Nesse sentido, a solução não deve ser feita de atalhos, mas de instrumentos úteis e coerentes com as normas nacionais de cada país e a natureza transfronteiriça da rede.

O tempo para a produção do dado requisitado e os mecanismos burocráticos do MLAT podem ser melhorados. Todavia, nos últimos anos, a velocidade das transformações tecnológicas, casada com o acirramento das relações entre Estados e empresas globais de tecnologia, vem incentivando soluções que procuram driblar as exigências do MLAT. Isso afeta um ecossistema que vai além das big techs.

Para garantir rápido acesso aos dados detidos por empresas, países vem adotando leis de localização forçada de dados em território nacional. Rússia e China são exemplos sempre lembrados. No Brasil não há qualquer norma que obrigue uma prestadora de serviços na rede a manter os dados em servidores localizados nacionalmente.

Essa obrigatoriedade seria, por diversos motivos, prejudicial para a atratividade e desenvolvimento dos serviços ofertados para usuários conectados à Internet no Brasil.[2]

Se cada país pudesse obrigar uma empresa a estabelecer servidores com os dados de seus nacionais em seu próprio território estaria fatalmente comprometido o caráter global da rede, que se transformaria em um conjunto de intranets nacionais.

Mas se não existem leis de localização forçada de dados no Brasil, o país vem flertando com outra forma de escapar do modelo estabelecido no MLAT: a requisição direta de dados por autoridades brasileiras às empresas estrangeiras, filiais ou outras empresas do grupo econômico que estejam estabelecidas no país.

Na perspectiva do titular de dados pessoais, o processamento no exterior não significa necessariamente a aplicação de uma legislação diversa da brasileira, nem um panorama normativo menos protetivo.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) estabelece normas de conexão claras para sua aplicação, quais sejam: (i) a operação de tratamento ser realizada no território nacional (art. 3º, I), (ii) a atividade de tratamento ter como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional (art. 3º, II) e (iii) a coleta de dados pessoais ser referente a dados de um indivíduo localizado em território nacional no momento da coleta (art. 3º, III e §1º).

Assim, os agentes de tratamento de dados pessoais que se enquadram nessas hipóteses deverão observar a LGPD nas suas práticas.

A LGPD, porém, é silente quanto ao procedimento de requisição judicial de dados por autoridade brasileira. O Marco Civil da Internet (Lei nº 12.965/2014 – MCI), por sua vez, foi claro ao determinar, em seu artigo 11, que “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.”

Essa regra segue a mesma lógica da regra da LGPD. A lei, ciente da existência de afiliadas e subsidiárias em variados locais do mundo, reforça ainda que essa regra se aplica “mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.” (art. 11, §2º).

Assim, é certo que a lei brasileira se aplica em qualquer um desses casos. Porém, observar a lei brasileira implica também em cumprir trâmites e procedimentos que respaldam legalmente a transferência de dados localizados no exterior mediante requisição judicial.

É isso que determina o próprio MCI quando, em seu artigo 2º, I, dispõe que a disciplina do uso da Internet no Brasil tem como fundamento “o reconhecimento da escala mundial da rede”. Além disso, o artigo 3º, parágrafo único, ressalta a aplicabilidade de outros tratados que versem sobre matérias afins nos quais o Estado brasileiro seja parte.

Se, por qualquer motivo, o Estado brasileiro julgar o mecanismo do MLAT ineficiente, a solução não deve ser buscar vias “alternativas” (e que desembocam em um vácuo jurídico no que tange ao enforcement da requisição), mas sim rever os procedimentos acordados com outros países.

Ignorar os procedimentos previstos de cooperação internacional não significa favorecer as empresas que operam na rede e que, por análises negociais legítimas, selecionaram localizar seus servidores em país estrangeiro. Significa seguir um atalho que (i) potencialmente viola garantias processuais do titular de dados e (ii) gera desestímulos econômicos para operações com brasileiros.

Não à toa, o anteprojeto de legislação específica para o tratamento de dados pessoais no âmbito da segurança pública, investigações penais e repressão de infrações penais, elaborado por Comissão de Juristas específica e publicado em outubro do ano passado, dispõe, sobre a cooperação internacional no domínio da proteção de dados pessoais, que: “Art. 55. Em relação a países estrangeiros e a organizações internacionais, os agentes responsáveis pelo tratamento adotarão as medidas necessárias destinadas a: I – estabelecer procedimentos internacionais de cooperação que visem facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais; e II – prestar assistência mútua em matéria de aplicação da legislação de proteção de dados pessoais, nomeadamente através da notificação, da transmissão de reclamações, da assistência na investigação e do intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e dos outros direitos e liberdades fundamentais;”

É aqui que a decisão do STF na ADC nº 51 pode representar um passo importante com o reconhecimento da constitucionalidade do Decreto que incorporou o MLAT ao ordenamento jurídico nacional. Recusar a sua constitucionalidade lançaria incertezas sobre o cumprimento de cartas rogatórias e sobre a cooperação judicial entre Brasil e Estados Unidos.

Mas será que o STF, além de reconhecer a constitucionalidade do MLAT, não pode também fazer um aceno sobre o debate envolvendo as requisições diretas de dados? Aqui corremos o risco do chancelamento do MLAT pelo Supremo se tornar uma verdadeira vitória de Pirro, já que o prestígio da mais alta Corte à interpretação comentada do artigo 11 do MCI poderia colocar o Brasil em uma situação inconveniente.

Requisições diretas às empresas estrangeiras que violem legislação local não devem prosperar. Recentemente o Senado debateu o PL nº 2630/2020 que, sob o pretexto de combater a desinformação, obrigava empresas estrangeiras a garantir acesso em seus servidores para a requisição de dados por autoridades brasileiras (incluindo conteúdo de comunicações, o que viola as leis norte-americanas). A redação não foi mantida no texto que chegou à Câmara dos Deputados.

Da mesma forma, obrigar empresas estabelecidas no Brasil a entregar dados manipulados por outra empresa do mesmo grupo econômico esbarra em sensíveis obstáculos. O artigo 11 do MCI comanda que nesses casos deve ser aplicada a lei brasileira, mas em nenhum momento afirma que o modelo de requisição de dados deve ser outro que não o do MLAT (que, vale lembrar, é lei brasileira).

Caso a interpretação pela possibilidade de requisição direta prevalecesse para empresas do mesmo grupo econômico, seria possível que autoridades brasileiras passassem a pedir dados para empresas que não apenas não os manipulam, mas como também não fazem nem mesmo parte da mesma área de atuação?

Por exemplo, caso fosse necessário acessar um dado cuja controladora fosse a Comcast nos Estados Unidos, e considerando que não exista escritório da mesma por aqui, seria possível obrigar a Universal Pictures do Brasil a fornecer os dados desejados, já que fazem parte do mesmo grupo econômico?

Ou ainda, caso fosse preciso acessar um dado relativo a usuário que fez postagens ofensivas em fórum da America Online, que não está mais no Brasil, seria possível endereçar a requisição ao Yahoo! Brasil (ou à Verizon do Brasil)? Logo se percebe que esses pedidos seriam recebidos por empresas que nada têm a ver com os dados buscados, ainda que façam parte do mesmo grupo.

O Brasil é conhecido mundialmente por sua posição de vanguarda na criação de soluções de governança da rede que respeitam o multissetorialismo e que procuram criar um ambiente regulatório que protege direitos e estimula a inovação. A decisão do STF na ADC nº 51 vem em boa hora para consolidar essa trajetória, possivelmente reconhecendo a constitucionalidade das vias diplomáticas para cooperação judiciária em matéria penal.

Por falar em vias diplomáticas, com o ingresso do Brasil na Convenção de Budapeste, são abertas ainda outras possibilidades de cooperação entre os países signatários no combate aos crimes cibernéticos.

Mais um motivo para que não se abandone o caminho da cooperação em prol de medidas unilaterais e que apenas contribuem para afastar investimentos, retardar a inovação, atropelar o devido processo, isolando ainda mais o país em um momento em que o mundo, por motivos outros, olha com preocupação para o nosso instabilidade institucional e os riscos que isso acarreta para muito além de nossas fronteiras.

[1] Economic Commission for Latin America and the Caribbean (ECLAC)/Internet & Jurisdiction Policy Network (I&JPN), Internet & Jurisdiction and ECLAC Regional Status Report 2020 (LC/TS.2020/141), Santiago, 2020, pp.60-61. Disponível em: <https://www.cepal.org/en/publications/46421-internet-jurisdiction-and-eclac-regional-status-report-2020>.

[2] Como argumentou-se em outra oportunidade: “A Internet é uma rede global. Se cada país passar a exigir que empresas tenham escritórios nos países em que seus apps são disponibilizados, ou mesmo que os dados de nacionais sejam armazenados no país correspondente, pode-se caminhar para um futuro de fragmentação incremental da rede, com dificuldades operacionais que podem causar importante impacto na inovação.” (Carlos Affonso Souza e Christian Perrone. ‘Fake news’ e acesso a dados armazenados no exterior. JOTA, junho de 2020. Disponível em: <https://www.jota.info/coberturas-especiais/liberdade-de-expressao/fake-news-e-acesso-a-dados-armazenados-no-exterior-30062020>).