Brasil

Introdução 1

O debate brasileiro sobre acesso governamental a dados criptografados foi conduzido de maneira distinta dos demais países. Enquanto a maior parte dos debates acontece na esfera legislativa, o debate brasileiro foi prontamente levado a mais alta corte do judiciário: o Supremo Tribunal Federal. Os eventos desencadeadores do debate foram os sucessivos bloqueios judiciais ao aplicativo WhatsApp, impostos como sanção ao não fornecimento do conteúdo de mensagens de seus usuários. O argumento principal para este não fornecimento foi a incapacidade técnica da empresa, uma vez que seus sistema de segurança era dotado de criptografia ponta-a-ponta, inviabilizando o acesso da aplicação ao conteúdo das mensagens. No momento, aguarda-se a decisão do STF acerca da legalidade ou ilegalidade dos bloqueios - algo que deve influenciar diretamente na condução do debate sobre regulação de criptografia no país.

Acontecimentos recentes e regulação existente

Bloqueio de Aplicações e Criptografia

O gatilho inicial para o surgimento do debate sobre a relação entre direito e criptografia no Brasil foram as sucessivas sanções impostas ao aplicativo de comunicação WhatsApp ao final de 2015 até meados de 2016. No total, o serviço foi bloqueado em todo o território brasileiro em três ocasiões (i. dezembro de 2015 , ii. maio de 2016 e iii. julho de 2016 ). O país já possui um histórico de bloqueio de aplicações como forma de sanção 2 , mas os bloqueios do WhatsApp se diferenciam por serem frutos de determinadas interpretações do Marco Civil da Internet (“MCI”, Lei n. 12.965/14), diploma normativo que dispõe sobre os direitos e deveres relativos ao uso da Internet no Brasil.

Os bloqueios ocorreram em represália à recusa do fornecimento do conteúdo de mensagens de usuários do aplicativo. Alegava-se que o WhatsApp estava sendo utilizado para auxiliar a comissão de crimes e, portanto, era necessário que autoridades de investigação tivessem acesso ao conteúdo das conversas para conduzir suas atividades. O Facebook Brasil (empresa do mesmo grupo econômico do WhatsApp, que não tem representação em território brasileiro per se) foi notificado, não atendeu a solicitação, e a medida de bloqueio foi imposta.

É importante, no entanto, entender o por quê deste não atendimento. Em um primeiro momento (mais especificamente antes de abril de 2016), o WhatsApp alegou que não armazenava o conteúdo das conversas de seus usuários, indicando que não há previsão legal para tal no ordenamento brasileiro. O argumento tomou nova roupagem após abril de 2016 3 , quando a empresa implementou criptografia ponta-a-ponta 4 em seu sistema de segurança - neste sentido, ainda que houvesse ordem judicial determinando que a empresa armazenasse e fornecesse o conteúdo da comunicação de determinados usuários, ela seria tecnicamente incapaz de cumprir a demanda. Esta última alteração técnica impactou os dois últimos bloqueios da plataforma.

Os bloqueios foram amplamente contestados judicialmente e duas ações de destaque foram apresentadas e recebidas pelo Supremo Tribunal Federal: a ADIn 5527 5 e a ADPF 403 6 - esta última foi apreciada em caráter liminar de forma a suspender os bloqueios até a decisão final do Tribunal 7 . Ambas as ações tratam, de forma geral, da constitucionalidade dos bloqueios como medida sancionatória frente aos direitos fundamentais de liberdade de expressão e comunicação 8 . A questão da impossibilidade técnica, no entanto, tomou protagonismo na discussão, e o STF realizou, em junho de 2017, uma audiência pública 9 para debater ambas as ações, contando com representantes de diversos setores - em especial a comunidade técnica - buscando entender o funcionamento da tecnologia e os limites do direito frente a ela.

Aguarda-se, até o momento, a decisão do Tribunal. Não é possível prever se haverá algum tipo de impacto imediato na regulação da criptografia no país caso os bloqueios sejam declarados constitucionais ou não, mas é algo que irá orientar o debate no país posteriormente.

Posição atual do país

Não há, no ordenamento jurídico brasileiro, dispositivo normativo que trate diretamente de acesso a dados criptografados por autoridades de investigação.Não está clara, ainda, a aplicabilidade das previsões legais sobre interceptação telefônica a esse tipo de comunicação 10 . Curiosamente, o decreto regulamentador do Marco Civil da Internet (Decreto n. 8.771/16) sugere técnicas de encriptação como medida de proteção a ser adotada por provedores na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas 11 . Não se trata especificamente de uma norma que promove o desenvolvimento ou implementação da criptografia, mas ressalta no próprio texto da lei a sua importância na segurança e privacidade dos usuários.

Após os acontecimentos que desencadearam na Audiência Pública conduzida pelo STF, alguns projetos de lei sobre o tema foram propostos na Câmara dos Deputados.

O primeiro deles é o PL 9.808/18 12 , propõe duas alterações no Marco Civil da Internet: a primeira visa garantir à autoridade policial o direito de acessar os conteúdos de dispositivo móvel sem necessidade de autorização judicial específica, quando tratar-se de “ situação flagrante de crimes definidos em lei como hediondo, tráfico de drogas ou terrorismo ”. A segunda alteração 13 responde diretamente à questão suscitada pelo WhatsApp: propõe-se que os "aplicativos de comunicação" (em específico) forneçam a "chave criptográfica" às autoridades policiais para que elas consigam acessar os conteúdos.

O segundo deles é o PL 10.372/18 14 , que propõe diversas alterações no ordenamento jurídico brasileiro que trata de Direito Penal e Processo Penal. Com relação a acesso a dados criptografados, o projeto propõe a seguinte alteração no Artigo 10 da Lei de Crimes Organizados (Lei n. /13):

Art. 10 (...) § 6º A infiltração incluirá a possibilidade de acesso, pela autoridade policial, a chave criptográfica de provedores de internet, provedores de conteúdo e autores de aplicativos de comunicação.

O PL não trata do tema posteriormente, mas o dispositivo impõe uma obrigação genérica de fornecimento, por parte dos provedores de serviços da internet, da chave criptográfica relacionada aos seus sistemas de segurança às autoridades de investigação.

Em paralelo a isto, a iminente decisão do STF relacionada ao bloqueio de aplicativos deverá orientar os rumos do debate no país.


  1. Para um análise mais aprofundada do cenário brasileiro, ver o artigo elaborado por nossos pesquisadores: LIGUORI FILHO, Carlos Augusto. SALVADOR, João Pedro Favaretto. Crypto Wars e Bloqueios de Aplicativos : O debate sobre regulação jurídica da criptografia nos Estados Unidos e no Brasil. In Revista de Direito da Universidade Federal do Paraná, v. xx, n. xx (aceito para publicação, 2018).

  2. Ver o portal Bloqueios.Info, do Internetlab, para acesso a informações mais detalhadas sobre o histórico de bloqueios de aplicações de Internet no Brasil desde 2007: < bloqueios.info > Acesso em 28 maio de. 2018.

  3. WhatsApp Encryption Overview. Technical White Paper, 2016. Disponível em: < https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf > Acesso em 20 de setembro de 2018.

  4. A criptografia ponta-a-ponta é um mecanismo técnico que torna o conteúdo das mensagens acessível apenas às “pontas” da comunicação (leia-se: o emissor e o destinatário da mensagem), uma vez que a chave usada para criptografar o conteúdo é gerada e fica contida exclusivamente em seus dispositivos.

  5. A petição inicial da ADIn 5527, apresentada pelo Partido da República (PR), pode ser encontrada aqui: < http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=548294060 > Acesso em 20 de setembro de 2018.

  6. A petição inicial da APDF 403, apresentada pelo Partido Popular Socialista (PPS), pode ser encontrada aqui: < http://www.pps.org.br/wp-content/uploads/2016/07/Peti%C3%A7%C3%A3o-ADPF-403-1.pdf > Acesso em 20 de setembro de 2018.

  7. Medida Cautelar na Ação de Descumprimento de Preceito Fundamental 403, que suspendeu os bloqueios, pode ser encontrada aqui: < http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADPF403MC.pdf > Acesso em 20 de setembro de 2018.

  8. Há algumas particularidades em relação a cada uma das ações. De forma simplificada, a ADIn 5527 questiona a constitucionalidade de uma interpretação dos artigos 11 e 12 do MCI que possibilitaria este tipo de sanção; a ADPF 403, por sua vez, questiona o bloqueio de forma genérica. Para uma análise mais aprofundada, ver: LIGUORI FILHO, Carlos Augusto. O Zap e a Toga : Mapeamento do debate sobre bloqueio de aplicativos e criptografia no STF. Jota (14/06/17). Disponível em: < https://jota.info/colunas/agenda-da-privacidade-e-da-protecao-de-dados/o-zap-e-a-toga-15062017 > Acesso em 20 de setembro de 2018.

  9. O documento de convocação da Audiência Pública pode ser encontrado aqui: < http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/adpf403.pdf >. A transcrição oficial da Audiência Pública pode ser encontrada aqui: < http://www.stf.jus.br/arquivo/cms/audienciasPublicas/anexo/ADI5527ADPF403AudinciaPblicaMarcoCivildaInterneteBloqueioJudicialdoWhatsApp.pdf > Acesso em 20 de setembro de 2018.

  10. Para uma melhor compreensão dessa controvérsia, ver ABREU, Jacqueline de Souza. Passado, presente e futuro da criptografia forte: desenvolvimento tecnológico e regulação. In Revista Brasileira de Políticas Públicas , v. 7, n. 3, 2017. Pp. 25-42.

  11. Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:(...) IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8771.htm > Acesso em 15 de setembro de 2018.

  12. Inteiro teor do projeto de lei disponível em: < http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra;jsessionid=5EF2A77BBA331F8CDDB7B5BF8136CA77.proposicoesWebExterno2?codteor=1645807&filename=PL+9808/2018 > Acesso em 15 de setembro de 2018.

  13. " § 6º - No caso do parágrafo anterior, em se tratando de dados criptografados, poderá o delegado de polícia requisitar, diretamente aos provedores de internet, provedores de conteúdo e autores de aplicativos de comunicação, o fornecimento de chave criptográfica que permita o acesso aos dados e conteúdos de comunicação privada de dispositivo móvel , sem prejuízo do desenvolvimento e emprego, pelas polícias judiciárias, de técnicas e ferramentas tecnológicas que atinjam esse fim específico, incluindo a utilização de dispositivos que possibilitem o acesso a conteúdo anterior à criptografia por meio de aplicativos, sistemas ou outras ferramentas ". (grifos nossos).

  14. Disponível em: < http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra;jsessionid=93E06E6F325CE29604144FCF7B30D5CD.proposicoesWebExterno2?codteor=1666497&filename=PL+10372/2018 > Acesso em 15 de setembro de 2018.