A utilização de softwares espiões na persecução penal enfim chegou à pauta do Supremo Tribunal Federal (STF). O debate já era incontornável em razão das notícias de que agências de inteligência mundo afora estão utilizando esses aplicativos sem qualquer autorização legal em investigações.
No Brasil, a matéria de fundo da ação que acaba de chegar ao Supremo (ADO 84) é o risco à privacidade dos usuários de dispositivos informáticos (computadores, celulares, tablets etc.), o que por si só já levanta preocupação generalizada. No entanto, a forma com a qual o tema foi alçado ao debate público reflete um problema ainda mais grave, expresso pela posição da Procuradoria-Geral da República (PGR).
Os chamados softwares espiões (spywares) são aplicativos que invadem dispositivos informáticos e abrem acesso total ao aparelho infiltrado, podendo o invasor manipular câmeras, microfones, informações, aplicativos etc. O mais conhecido mundialmente é o israelense “Pegasus”, que permite uma invasão “zero clique” – o usuário nem precisa “morder a isca” para que o dispositivo seja explorado pelo agente/invasor. O diferencial do aplicativo já levou ao menos 14 países da União Europeia a adquiri-lo, segundo recente relatório do Conselho da Europa.
Dispositivos informáticos se tornaram uma extensão da vida privada, de modo que o acesso desmedido a seus dados coloca em risco o livre desenvolvimento da personalidade dos usuários, que não possuem espaços seguros para expressão de individualidades. No Brasil, o PL 1515/2022 busca regulamentar a proteção de dados no âmbito público, a exemplo da Lei Geral de Proteção de Dados (LGPD). Nestes termos, esta regulação seria o primeiro passo dentro de uma ampla discussão necessária sobre o regramento do fluxo informacional entre as agências de inteligência e persecução penal.
Uma eventual LGPD penal seria um arcabouço abrangente de regramento de coleta, tratamento e transmissão de dados entre órgãos públicos. Mas, para fins de persecução penal e para a possibilidade de utilização de spywares como medida cautelar, o tema requereria lei específica sobre o âmbito de aplicação, os limites temporais, requisitos especiais de deferimento judicial e atores legitimados, tendo em vista o potencial lesivo à privacidade dos alvos.
O debate sobre a proteção de dados e o regramento da medida cautelar de invasão é iminente e necessário, mas nossa reflexão parte do que tem de concreto no debate público brasileiro no momento: o ajuizamento da Ação Direta de Inconstitucionalidade por Omissão (ADO) 84, no STF, pela PGR. Neste caso, os argumentos apresentados são sintomas de uma doença mais grave, qual seja o desprezo sistemático da reserva legal como princípio norteador do direito público no Brasil. Ainda que a regra pareça comezinha, na prática, não é.
Ajuizada pela PGR, a referida ação de inconstitucionalidade por omissão legislativa requer o reconhecimento de que o Congresso Nacional tem a obrigação legal de regular a utilização de spywares para persecução penal. Além disso, em pedido liminar, a PGR requereu que o STF aplique o Marco Civil da Internet (Lei 12.965, de 2014), a LGPD e a Lei de Interceptação Telefônica (Lei 9.296, de 1996) por analogia, até que seja editada uma lei específica para regular o assunto. Nas inúmeras alíneas do pedido ao Supremo, a forma de regulação temporária é exaustivamente explicada pela PGR.
Esta petição inicial não se assemelha a uma peça jurídica tradicional; formalmente, seria mais adequado que os fundamentos da ação fossem intitulados de justificativa de Projeto de Lei, enquanto os pedidos seriam o texto legislativo da iniciativa. A intenção da PGR é forçar uma autorização judicial – reguladora –, a ser concedida pelo STF, para usurpar o espaço de decisão de política criminal que cabe ao Congresso Nacional.
Entretanto, a lógica da regulação não se aplica ao processo penal, pois aquilo que não é objeto de lei autorizadora e que afeta direitos fundamentais está proibido. Como alerta o professor Luís Greco, o ato de regular pressupõe que a atividade seja lícita em si previamente, sendo a discussão sobre o “como” regular. No caso das ações investigativas, a discussão é sobre “se” determinada ação deve ser autorizada.[1]
Além disso, a argumentação da PGR é bastante peculiar. Na referida ADO, embora reconheça que agências de inteligência compraram softwares invasivos sem autorização legal, a Procuradoria, com base no direito constitucional à privacidade, solicita a permissão para que os spywares continuem sendo usados, quando o esperado seria pedir sua suspensão. É realmente contra intuitivo, a PGR requer uma espécie de autorização judicial para prática de atos ilegais.
Ao que tudo indica, parece haver a certeza de que atos processuais penais prescindem de norma autorizativa. Talvez essa convicção da PGR seja confirmada na prática, dada a inexistência de controle informacional no processo penal brasileiro, apesar dos riscos a direitos fundamentais. Os dados colhidos por agências de inteligência – como o Conselho de Controle de Atividades Financeiras (Coaf) e a Receita Federal – há anos têm sido transmitidos para órgãos de investigação sem regramento específico, ainda que sejam os pilares do direito penal econômico.
Os exemplos são abundantes. O Coaf funciona há mais de 20 anos sem regras básicas (como prazos para apagamento de dados) e, a cada nova decisão judicial, o órgão é confirmado como repositório de dados à disposição dos ministérios públicos e polícias, afastando-se da função de inteligência e prevenção. Concomitantemente, a Receita Federal se autorregula com portarias sobre temas que afetam diretamente o sigilo fiscal dos cidadãos brasileiros, e conquistou há bastante tempo a prerrogativa de acessar dados fiscais sem decisão judicial.
A defesa da regulação do tema empurra como obrigação algo que é uma possibilidade, escondendo o real debate a ser realizado. A pergunta a ser feita é se, enquanto sociedade, desejamos que as agências de investigação tenham acesso a spywares. Em outras palavras, a eventual introdução desta medida investigativa no ordenamento seria tão drástica que sua conveniência necessariamente precisa ser objeto de uma decisão de política criminal a ser feita no âmbito legislativo. O argumento é basilar, mas necessita ser dito, tendo em vista a atual normalização de atos processuais investigativos sem norma autorizadora.
Até o momento, os acertos são da relatoria do caso no STF, que convocou audiência pública para fomentar o debate. Ademais, o relator-ministro Cristiano Zanin reconheceu a inexistência de norma impositiva que crie o dever de legislar sobre os spywares, portanto não há que se falar em omissão legislativa. Ademais, destacou que o uso não autorizado de spywares justifica o conhecimento da ADO como Arguição de Descumprimento de Preceito Fundamental (ADPF), indicando a interpretação de que a atual prática é ilegal.
Por fim, a ação da PGR evidencia a naturalização de que a reserva de legalidade é norma programática no direito processual brasileiro, chegando-se ao ponto de defender que haveria omissão legislativa por não ter autorizado o uso de aplicativos espiões, como se a conveniência desse uso não estivesse condicionada a uma decisão política. A ADO, agora ADPF 1143, tenta suprimir a liberdade política da sociedade de discutir a conveniência dessa prática investigativa, com base em um principiologismo constitucional que ignora a estrita legalidade.
[1] Greco, Luís. “O inviolável e o intocável no direito processual penal: Considerações introdutórias sobre o processo penal alemão (e suas relações com o direito constitutional, o direito de polícia e o direito dos serviços de inteligência”, in: Wolter, Jürgen. O inviolável e o intocável no direito processual penal: reflexões sobre dignidade humana, proibições de prova, proteção de dados (e separação informacional de poderes) diante da persecução penal, São Paulo, 2018, p. 40. Disponível em https://core.ac.uk/download/pdf/211944427.pdf.