‘Geofencing’ como técnica de investigação criminal

‘Geofencing’ como técnica de investigação criminal

Vladimir Aras*

27 de agosto de 2020 | 11h22

Vladimir Aras. FOTO: DIDA SAMPAIO/ESTADÃO

Em 26 de agosto de 2020, ao julgar o RMS 62.143/RJ, a 3ª Seção do Superior Tribunal de Justiça (STJ) decidiu por larga maioria que o Google deve cumprir ordem judicial proferida por juiz de Direito fluminense, que determinou o fornecimento de dados estáticos (tráfego e metadados) de usuários dos serviços Google e Waze, que passaram pela via Transolímpica, no Rio de Janeiro, num período de 15 minutos no dia 2 de dezembro de 2018.

O objetivo do Ministério Público e da Polícia Civil do Rio de Janeiro é identificar pessoas envolvidas no crime praticado contra Marielle Franco e seu motorista, no Rio de Janeiro, em 14 de março de 2018. O ministro Rogério Schietti Cruz foi o relator do RMS.

A decisão judicial atacada pelo Google foi considerada proporcional e fundamentada e proferida para um fim legítimo. O STJ também considerou que a ordem baseou-se na lei e atinge apenas dados digitais de tráfego, não se equiparando a escuta telefônica, regulada pela Lei 9.296/1996.

Segundo o art. 22 do Marco Civil da Internet (Lei 12.965/2014), com o fim de formar conjunto probatório em processo cível ou criminal, pode o juiz ordenar “ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet.”. O pedido, em matéria civil ou penal, deve conter “fundados indícios da ocorrência do ilícito”; indicar a justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e delimitar o “período ao qual se referem os registros”.

Como técnica especial de investigação, o geofencing é um mero mapeamento de presença digital, numa área delimitada num específico período de tempo. Mutatis mutandi, é semelhante a obter o registro da portaria de um clube para saber quem estava naquele ambiente em determinada janela de tempo, na qual ocorreu um crime. Noutro exemplo, corresponderia a saber de uma concessionária de rodovia que veículos passaram pelos guichês de um específico pedágio no dia tal às tantas horas, período de interesse específico para uma investigação criminal.

Esses parâmetros podem corresponder ao dia, hora e local do crime, ou a coordenadas de espaço e tempo de uma ação vinculada a esse crime grave.
Uma vez conhecido tal universo de usuários – sem invasão a conteúdo de diálogos –, outros indícios já existentes na investigação serão usados para separar o joio (suspeitos) do trigo (terceiros). Somente aquele(s) estarão sujeitos a outras medidas investigativas, como buscas e apreensões, aprofundamento de quebras de sigilo de comunicações ou prisões.

O geofencing é largamente utilizado por empresas comerciais como ferramenta de marketing digital direcionado a usuários específicos, sem qualquer controle judicial ou interesse público (GPS-based ad targeting). No caso concreto, trata-se de investigação de um crime grave, um homicídio qualificado contra duas vítimas, uma delas uma parlamentar defensora de direitos humanos. Houve determinação judicial para o acesso aos dados, decisão esta controlada na instância recursal. Invocando precedentes do sistema interamericano, o ministro Rogério Schietti Cruz, relator do RMS, ressaltou os deveres estatais do País de investigar, processar e punir graves violações de direitos humanos, o que se pode alcançar mediante tal medida proporcional e prevista em lei.

Torres de telefonia móvel (ERBs) também servem a esse mesmo propósito, para responder à pergunta: que aparelhos celulares estavam nas proximidades da cena do crime no momento do homicídio? Não há interceptação telefônica nem acesso ao conteúdo de diálogos realizados por meio das linhas que sejam plotadas naquela área, no horário indicado. Somente após a aferição de indícios sobre A ou B no universo mapeado, é que outras medidas intrusivas podem ser adotadas contra pessoas determinadas, sempre com ordem judicial.

No caso concreto, pelo mapeamento digital (geofencing) pretende-se saber quem estava no veículo Cobalt, de placas clonadas KPA-5923, no dia 2 de dezembro de 2018, na avenida Transolímpica, no Rio de Janeiro. Meses antes, este carro foi usado na execução da vereadora Mariele Franco e de seu motorista.

Explica o Ministério Público do Rio de Janeiro nas contrarrazões ao recurso do Google: “(…) desde a data do crime, embora diversos atos de investigação tenham sido dinamizados, o fato é que o veículo Cobalt clonado e utilizado no crime, somente foi visto novamente no dia 02.12.2018 passando pelo pedágio da Transolímpica. Resulta do exposto, que é importante promover a identificação da pessoa que meses após o crime se encontrava em poder do carro clonado, ou seja, o veículo utilizado para ceifar a vida da Vereadora e do seu motorista. Seguindo tal alheta, a investigação realizada, de uma forma absolutamente restrita, traçou um polígono das coordenadas do local em que o veículo foi visto (pedágio da Transolímpica), naquela data específica, em um curto lapso temporal – apenas 15 minutos (11h05min até 11h20min). diversamente do afirmado pela GOOGLE.”

Eis a ementa do acórdão no RMS 62.143/RJ, proposta pelo ministro Schietti:

RECURSO EM MANDADO DE SEGURANÇA. DIREITO À PRIVACIDADE E À INTIMIDADE. IDENTIFICAÇÃO DE USUÁRIOS EM DETERMINADA LOCALIZAÇÃO GEOGRÁFICA. IMPOSIÇÃO QUE NÃO INDICA PESSOA INDIVIDUALIZADA. AUSÊNCIA DE ILEGALIDADE OU DE VIOLAÇÃO DOS PRINCÍPIOS E GARANTIAS CONSTITUCIONAIS. FUNDAMENTAÇÃO DA MEDIDA. OCORRÊNCIA. PROPORCIONALIDADE. RECURSO EM MANDADO DE SEGURANÇA NÃO PROVIDO.

1. Os direitos à vida privada e à intimidade fazem parte do núcleo de direitos relacionados às liberdades individuais, sendo, portanto, protegidos em diversos países e em praticamente todos os documentos importantes de tutela dos direitos humanos. No Brasil, a Constituição Federal, no art. 5o, X, estabelece que: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. A ideia de sigilo expressa verdadeiro direito da personalidade, notadamente porque se traduz em garantia constitucional de inviolabilidade dos dados e informações inerentes a pessoa, advindas também de suas relações no âmbito digital.

2. Mesmo com tal característica, o direito ao sigilo não possui, na compreensão da jurisprudência pátria, dimensão absoluta. De fato, embora deva ser preservado na sua essência, este Superior Tribunal de Justiça, assim como a Suprema Corte, entende que é possível afastar sua proteção quando presentes circunstâncias que denotem a existência de interesse público relevante, invariavelmente por meio de decisão proferida por autoridade judicial competente, suficientemente fundamentada, na qual se justifique a necessidade da medida para fins de investigação criminal ou de instrução processual criminal, sempre lastreada em indícios que devem ser, em tese, suficientes à configuração de suposta ocorrência de crime sujeito à ação penal pública.

3. Na espécie, a ordem judicial direcionou-se a dados estáticos (registros), relacionados à identificação de usuários em determinada localização geográfica que, de alguma forma, possam ter algum ponto em comum com os fatos objeto de investigação por crimes de homicídio.

4. A determinação do Magistrado de primeiro grau, de quebra de dados informáticos estáticos, relativos a arquivos digitais de registros de conexão ou acesso a aplicações de internet e eventuais dados pessoais a eles vinculados, é absolutamente distinta daquela que ocorre com as interceptações das comunicações, as quais dão acesso ao fluxo de comunicações de dados, isto é, ao conhecimento do conteúdo da comunicação travada com o seu destinatário. Há uma distinção conceitual entre a quebra de sigilo de dados armazenados e a interceptação do fluxo de comunicações. Decerto que o art. 5o, X, da CF/88 garante a inviolabilidade da intimidade e da privacidade, inclusive quando os dados informáticos constarem de banco de dados ou de arquivos virtuais mais sensíveis. Entretanto, o acesso a esses dados registrados ou arquivos virtuais não se confunde com a interceptação das comunicações e, por isso mesmo, a amplitude de proteção não pode ser a mesma.

5. Os dispositivos que se referem às interceptações das comunicações indicados pelos recorrentes não se ajustam ao caso sub examine. O procedimento de que trata o art. 2o da Lei n. 9.296/1996, cujas rotinas estão previstas na Resolução n. 59/2008 (com alterações ocorridas em 2016) do CNJ, os quais regulamentam o art. 5o, XII, da CF, não se aplica a procedimento que visa a obter dados pessoais estáticos armazenados em seus servidores e sistemas informatizados de um provedor de serviços de internet. A quebra dosigilo de dados, na hipótese, corresponde à obtenção de registros informáticos existentes ou dados já coletados.

6. Não há como pretender dar uma interpretação extensiva aos referidos dispositivos, de modo a abranger a requisição feita em primeiro grau, porque a ordem é dirigida a um provedor de serviço de conexão ou aplicações de internet, cuja relação é devidamente prevista no Marco Civil da Internet, o qual não impõe, entre os requisitos para a quebra do sigilo, que a ordem judicial especifique previamente as pessoas objeto da investigação ou que a prova da infração (ou da autoria) possa ser realizada por outros meios.

7. Os arts. 22 e 23 do Marco Civil da Internet, que tratam especificamente do procedimento de que cuidam os autos, não exigem a indicação ou qualquer elemento de individualização pessoal na decisão judicial. Assim, para que o magistrado possa requisitar dados pessoais armazenados por provedor de serviços de internet, mostra-se satisfatória a indicação dos seguintes elementos previstos na lei: a) indícios da ocorrência do ilícito; b) justificativa da utilidade da requisição; e c)período ao qual se referem os registros. Não é necessário, portanto, que o magistrado fundamente a requisição com indicação da pessoa alvo da investigação, tampouco que justifique a indispensabilidade da medida, ou seja, que a prova da infração não pode ser realizada por outros meios, o que, aliás, seria até, na espécie – se houvesse tal obrigatoriedade legal – plenamente dedutível da complexidade e da dificuldade de identificação da autoria mediata dos crimes investigados.

8. Logo, a quebra do sigilo de dados armazenados, de forma autônoma ou associada a outros dados pessoais e informações, não obriga a autoridade judiciária a indicar previamente as pessoas que estão sendo investigadas, até porque o objetivo precípuo dessa medida, na expressiva maioria dos casos, é justamente de proporcionar a identificação do usuário do serviço ou do terminal utilizado.

9. Conforme dispõe o art. 93, IX, da CF, “todos os julgamentos dos órgãos do Poder Judiciário serão públicos, e fundamentadas todas as decisões, sob pena de nulidade, podendo a lei limitar a presença, em determinados atos, às próprias partes e a seus advogados, ou somente a estes, em casos nos quais a preservação do direito à intimidade do interessado no sigilo não prejudique o interesse público à informação”. Na espécie, tanto os indícios da prática do crime, como a justificativa quanto à utilização da medida e o período ao qual se referem os registros foram minimamente explicitados pelo Magistrado de primeiro grau.

10. Quanto à proporcionalidade da quebra de dados informáticos, ela é adequada, na medida em que serve como mais um instrumento que pode auxiliar na  elucidação dos delitos, cuja investigação se arrasta por dois anos, sem que haja uma conclusão definitiva; é necessária, diante da complexidade do caso e da não evidência de outros meios não gravosos para se alcançarem os legítimos fins investigativos; e, por fim, é proporcional em sentido estrito, porque a restrição a direitos fundamentais que dela redundam – tendo como finalidade a apuração de crimes dolosos contra a vida, de repercussão internacional – não enseja gravame às pessoas eventualmente afetadas, as quais não terão seu sigilo de dados registrais publicizados, os quais, se não constatada sua conexão com o fato investigado, serão descartados.

11. Logo, a ordem judicial para quebra do sigilo dos registros, delimitada por parâmetros de pesquisa em determinada região e por período de tempo, não se mostra medida desproporcional, porquanto, tendo como norte a apuração de gravíssimos crimes cometidos por agentes públicos contra as vidas de três pessoas – mormente a de quem era alvo da emboscada, pessoa dedicada, em sua atividade parlamentar, à defesa dos direitos de minorias que sofrem com a ação desse segmento podre da estrutura estatal fluminense – não impõe risco desmedido à privacidade e à intimidade dos usuários possivelmente atingidos pela diligência questionada.

12. Recurso em mandado de segurança não provido.

Trata-se de uma decisão muito importante para legitimar técnicas de obtenção de provas digitais para o rastreamento e determinação de autoria de crimes graves. O julgado do STJ contribui para o estabelecimento de balizas para investigações criminais por meios tecnológicos no Brasil. Tais técnicas, cruciais para o enfrentamento da criminalidade grave – especialmente de grupos de extermínio, associações criminosas, grupos terroristas, tráfico humano, tráfico de armas, sequestro extorsivo e latrocínio – podem ser aperfeiçoadas pelo legislador, especialmente na perspectiva do tratamento de dados pessoais.

Que parâmetros deveriam estar no art. 22 do MCI? Critérios temporais, espaciais e de proporcionalidade devem ser claramente especificados pelo legislador. Além da exigência de decisão judicial, que ali já consta, o acesso a tais dados deve ser limitado para fins penais, na investigação de crimes “graves”, identificados por um critério de limiar de pena (requisito de proporcionalidade). O acesso a dados para fins de mapeamento deve ocorrer em relação a um período de tempo delimitado, devidamente justificado pelo contexto fático (requisito temporal). O mapeamento digital deve visar uma região devidamente delimitada, com fundamentação adequada ao objeto da investigação (requisito geográfico). Todos esses elementos devem ser considerados pela autoridade judicial ao decidir. Concluída a apuração, o investigado e os usuários (terceiros) atingidos pela medida devem ser cientificados de que suas informações foram tratadas numa investigação criminal e, em seguida, tais dados, quando não interessem ao processo, devem ser devidamente apagados (requisitos de tratamento de dados).

*Vladimir Aras é professor de Ciências Criminais da UFBA e do IDP, membro do Ministério Público desde 1993, mestre em Direito Público (UFPE) e doutorando em Direito (Uniceub).

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências: