A situação concreta, com
adaptações, foi a seguinte:
Como é do conhecimento geral, em
14/03/2018, a então Vereadora do Rio de Janeiro (RJ) Marielle Franco,
foi assassinada.
Instaurou-se inquérito policial
para apurar o crime e o juiz, a requerimento do Ministério Público e da
autoridade policial, determinou ao Google a identificação dos IPs ou Device IDs
que tenham se utilizado do Google Maps e/ou do Waze no período compreendido
entre 10/3/2018 a 14/3/2018, para realizar consulta do seguinte endereço de
destino: Rua dos Inválidos, 122, ou Rua dos Inválidos, bem como os mesmos dados
referentes a quem tenha se utilizado do Google Busca no período compreendido
entre os mesmos dias, para realizar consultas dos seguintes parâmetros de
pesquisa: Marielle Franco; Vereadora Marielle Franco; Agenda Vereadora Marielle;
Casa das Pretas; Rua dos Inválidos, 122; ou Rua dos Inválidos.
Pouco antes de ser assassinada, Marielle
havia participado um evento no local chamado “Casa das Pretas”, na Rua dos
Inválidos, na Lapa.
A investigação trabalha com a
hipótese de que os autores do crime estavam seguindo a vítima desde esse local,
de forma que sabiam, previamente, que ela estaria no evento.
Alegação da empresa
O Google alegou que o pedido não
encontra amparo no ordenamento jurídico brasileiro, que não admite quebras de
sigilo e interceptações genéricas, desprovidas de individualização razoável dos
investigados.
Afirmou que seria indispensável a
demonstração de indícios concretos de envolvimento de determinada pessoa na
prática de crimes e que não há previsão legal para quebra de sigilo com base em
meras coordenadas geográficas.
Argumentou, ainda, que as
localizações geográficas indicadas pelo magistrado – e que teriam sido consultadas
no Google Maps ou Waze – criam o risco concreto de se afetar um número muito elevado
de pessoas inocentes.
A decisão do magistrado foi
acertada? É possível a determinação de ordem judicial nesses termos?
SIM.
A determinação judicial de quebra de sigilo de dados
informáticos estáticos (registros), relacionados à identificação de usuários
que operaram em determinada área geográfica, suficientemente fundamentada, não
ofende a proteção constitucional à privacidade e à intimidade.
A quebra do sigilo de dados armazenados não obriga a
autoridade judiciária a indicar previamente as pessoas que estão sendo
investigadas, até porque o objetivo precípuo dessa medida é justamente de
proporcionar a identificação do usuário do serviço ou do terminal utilizado.
Logo, a ordem judicial para quebra do sigilo dos
registros, delimitada por parâmetros de pesquisa em determinada região e por
período de tempo, não se mostra medida desproporcional, porquanto, tendo como
norte a apuração de gravíssimos crimes, não impõe risco desmedido à privacidade
e à intimidade dos usuários possivelmente atingidos por tal diligência.
STJ. 3ª
Seção. RMS 61.302-RJ, Rel. Min. Rogerio Schietti Cruz, julgado em 26/08/2020
(Info 678).
Proteção do sigilo pode ser
afastada por decisão judicial fundamentada
Embora deva ser preservado na sua
essência, é possível afastar a proteção ao sigilo quando presentes
circunstâncias que denotem a existência de interesse público relevante,
invariavelmente por meio de decisão proferida por autoridade judicial competente,
suficientemente fundamentada, na qual se justifique a necessidade da medida
para fins de investigação criminal ou de instrução processual criminal, sempre
lastreada em indícios que devem ser, em tese, suficientes à configuração de
suposta ocorrência de crime sujeito à ação penal pública.
Acesso a dados informáticos
estáticos não é o mesmo que interceptação das comunicações
A determinação de quebra de dados
informáticos estáticos, relativos a arquivos digitais de registros de conexão
ou acesso a aplicações de internet e eventuais dados pessoais a eles
vinculados, é absolutamente distinta daquela que ocorre com as interceptações
das comunicações, as quais dão acesso ao fluxo de comunicações de dados, isto
é, ao conhecimento do conteúdo da comunicação travada com o seu destinatário.
Há uma distinção conceitual entre
a quebra de sigilo de dados armazenados e a interceptação do fluxo
de comunicações.
O art. 5º, X, da CF/88 garante a
inviolabilidade da intimidade e da privacidade, inclusive quando os dados
informáticos constarem de banco de dados ou de arquivos virtuais mais
sensíveis. Entretanto, o acesso a esses dados registrados ou arquivos virtuais
não se confunde com a interceptação das comunicações e, por isso mesmo, a
amplitude de proteção não pode ser a mesma.
Desse modo, o procedimento disciplinado
pelo art. 2º da Lei nº 9.296/96 (Lei de Interceptação Telefônica) não se
aplicam quando se busca obter dados pessoais estáticos armazenados em
sistemas informatizados de um provedor de serviços de internet. A quebra do
sigilo desses dados nesse caso na hipótese, corresponde à obtenção de registros
informáticos existentes ou dados já coletados.
Marco Civil da Internet não
exige individualização pessoal na decisão
Vale ressaltar que os arts. 22 e
23 do Marco Civil da Internet (Lei nº 12.965/2014) não exigem a indicação ou
qualquer elemento de individualização pessoal na decisão judicial.
Assim, para que o magistrado
possa requisitar dados pessoais armazenados por provedor de serviços de
internet, mostra-se satisfatória a indicação dos seguintes elementos previstos
na lei:
a) indícios da ocorrência do
ilícito;
b) justificativa da utilidade da
requisição; e
c) período ao qual se referem os
registros.
Não é necessário que o magistrado
fundamente a requisição com indicação da pessoa alvo da investigação, tampouco
que justifique a indispensabilidade da medida, ou seja, que a prova da infração
não pode ser realizada por outros meios.
Logo, a quebra do sigilo de dados
armazenados não obriga a autoridade judiciária a indicar previamente as pessoas
que estão sendo investigadas, até porque o objetivo precípuo dessa medida é
justamente o de tentar identificar o usuário do serviço ou do terminal
utilizado.
Decisão se mostra
proporcional
Assim, a ordem judicial para
quebra do sigilo dos registros, delimitada por parâmetros de pesquisa em
determinada região e por período de tempo, não se mostra medida
desproporcional, considerando que tem por objetivo a apuração de gravíssimos
crimes, além do fato de que não impõe risco desmedido à privacidade e à
intimidade dos usuários possivelmente atingidos por tal diligência.