Por Fernando Ameno.
Em julho de 2020, a Polícia Civil do Rio Grande do Norte divulgou com estardalhaço uma operação contra o tráfico. Batizada de operação Estrondo, a ação resultou na prisão de oito pessoas, apreensões de drogas e 20 pessoas denunciadas por associação com tráfico de entorpecentes. Na época, o Ministério da Justiça surfou a onda: o governo divulgou que a operação havia sido realizada com a colaboração da Secretaria de Operações Integradas do órgão, a Seopi, por meio de um tal Projeto Excel.
Segundo o Ministério da Justiça, a operação aconteceu depois de três meses de investigações. Era tudo o que a Seopi precisava para validar seu recém-lançado projeto, que visa oferecer aos estados ferramentas de extração e análise de dados de celulares. De acordo com a portaria que criou o Excel, publicada em julho de 2020, equipar polícias para bisbilhotar celulares tem como finalidade “a criação de uma base de dados constituída por dados extraídos por ferramenta própria”. O objetivo declarado, segundo o texto, é auxiliar no combate ao crime organizado.
Na prática, o governo federal ofereceu os equipamentos de extração de dados; em troca, ganhou acesso a todas as informações de celulares apreendidos em investigações das polícias civis dos estados. Essas informações alimentam uma base de dados, utilizada para investigações na esfera federal. A Seopi também criou um laboratório de análise de dados para fazer essas análises, o Datalab.
Em julho de 2020, quando o Projeto Excel foi anunciado, a Seopi estava em xeque. O setor, praticamente desconhecido até então, entrou em evidência quando veio a público o dossiê de inteligência contra policiais e professores ligados a movimentos antifascistas produzido ali. O fato da Seopi estar sendo usada para investigações políticas foi um escândalo e motivou a queda do então diretor de Inteligência do órgão, Gilson Libório.
Naquela mesma época, o Projeto Excel, que estendeu às polícias civis estaduais os tentáculos de investigação do Ministério da Justiça, começou a operar discretamente. No fim de julho, a Operação Estrondo caiu como uma luva para justificar o projeto: traficantes presos, apreensões de drogas e dezenas de indiciamentos viabilizados pela nova parceria garantiriam boas manchetes e releases de divulgação.
Mas o governo omitiu um detalhe: quando houve a operação, o Rio Grande do Norte não havia aderido formalmente ainda ao programa como manda a legislação. O uso daquelas informações para investigações aconteceu sem controle e supervisão.
Até Pokemon Go
As principais ferramentas utilizadas no Projeto Excel são os softwares da empresa israelense Cellebrite, notória por desenvolver programas forenses e de espionagem utilizados em 150 países. A empresa fornece diversas soluções – há softwares que permitem extração de dados de computadores, celulares e armazenados na nuvem, e também ferramentas que permitem o cruzamento e integração desses dados.
Com essas tecnologias, é possível, por exemplo, acessar aparelhos bloqueados ou criptografados, histórico de localização e redes Wi-Fi, registros de chamadas, aplicativos de mensagens, informações apagadas (inclusive metadados), informações de redes privadas (conhecidas pela sigla VPN) e até jogos, como o Pokemon Go.
Segundo o próprio regulamento do Projeto Excel, o Cellebrite e outros programas de análise só podem ser utilizados com prévia autorização judicial. O mesmo vale para o compartilhamento da base de dados com a Seopi. A portaria prevê também que a participação dos estados no projeto se dará mediante a adesão prévia, em que cada estado assume o compromisso de cumprir as regras do programa.
No caso do Rio Grande do Norte, no entanto, o termo de adesão ao projeto só foi formalizado após a deflagração da operação Estrondo. O secretário estadual de Segurança Pública e Defesa Social à época, Francisco Canindé de Araújo Silva, assinou o termo em 24 de julho de 2020. Já o Secretário de Operações Integradas do Ministério da Justiça, Jeferson Lisbôa Gimenez, colocou sua asisnatura ainda mais tarde, em 20 de agosto de 2020 – 20 dias após a Estrondo, realizada em 31 de julho.
Boa parte das provas que embasaram os pedidos de busca e apreensão e de prisão estão no relatório de análise dos dados extraídos de celulares apreendidos na investigação. A decisão mostra que as conversas e fotos extraídas do celular foram fundamentais para a polícia formular sua tese acusatória e o juiz formar sua convicção. Apesar de nele não constar a data em que foi elaborado, o relatório foi juntado ao processo entre novembro de 2019 e fevereiro de 2020, data em que foram formalizados os pedidos de prisão e busca e apreensão à justiça. O juiz autorizou as prisões e buscas em 8 de julho de 2020, ou seja, antes mesmo da publicação da legislação que criou o Excel, em 9 de julho de 2020.
Esse troca-troca de informações entre a polícia potiguar e a Seopi não aparece em qualquer lugar do processo judicial. Se o auxílio do Ministério da Justiça nas investigações se deu com fornecimento dos equipamentos de extração, essa ajuda ocorreu pelo menos seis meses antes da adesão do Rio Grande do Norte ao Excel. Se houve, além da entrega de equipamentos, cruzamento de dados feitos pela Seopi, essa informação também não aparece nos autos.
Além disso, não há no processo pedido expresso feito pela polícia ou Ministério Público para que os dados extraídos dos celulares apreendidos fossem compartilhados com a Seopi, como manda a portaria que regulamenta o Excel.
Perguntei à Seopi como se deu o auxílio do órgão à operação Estrondo. A secretaria respondeu que “a participação consistiu em disponibilizar treinamento e equipamentos” aos órgãos de segurança pública estaduais, “mediante adesão prévia ao projeto”. Adesão prévia que, neste caso, não aconteceu.
Extrações a todo vapor
No Rio Grande do Norte, a Secretaria de Operações Integradas colaborou em 2020 com uma força-tarefa que extraiu dados de 605 aparelhos, segundo o Relatório de Gestão daquele ano do Ministério da Justiça. Em todo Brasil, só em 2020, foram realizadas aproximadamente 2.640 extrações de dispositivos móveis nos estados pelo Projeto Excel. Esses dados são processados por um software próprio da Seopi, que permite a conversão dessas informações em planilhas e a análise de vínculos entre as extrações. De acordo com o órgão, 26 estados já aderiram ao programa, com exceção de São Paulo.
Em uma reunião do Comitê de Governança Estratégica do Ministério da Justiça em outubro de 2020, o diretor de inteligência da Secretaria de Operações Integradas, Thiago Marcantonio Ferreira, confirmou que o Projeto Excel está em nível avançado de implementação e que a Seopi recebe os dados extraídos dos aparelhos apreendidos e faz o cruzamento. De acordo com a secretaria, o projeto “dá celeridade à extração e análise de celulares apreendidos” e já “causou prejuízo de mais de R$ 1 bilhão às organizações criminosas”.
Segundo o governo, em todo país foram mais de 2.350 ordens judiciais autorizando o uso dos equipamentos de extração, principalmente em investigações de tráfico de drogas e roubos, totalizando mais de 4.700 pessoas investigadas. Desde 2019, foram 130 policiais civis capacitados, apesar do Projeto Excel só ter sido aprovado em 2020, o que reforça que ele está em operação antes de ser formalizado. Foram mais de R$ 18 milhões investidos, segundo o Ministério da Justiça.
Os resultados foram repercutidos com entusiasmo nas redes sociais de Jair Bolsonaro, que se limitou a dizer que o projeto “auxilia as polícias no combate ao crime organizado”.
Por meio da Lei de Acesso à Informação, fiz algumas perguntas à Secretaria de Operações Integradas para entender melhor como funciona o Excel. O órgão foi evasivo em suas respostas, limitando-se a reproduzir trechos das legislações que regulamentam o projeto. Também alegou sigilo. Perguntei se no âmbito do projeto é utilizada alguma técnica que tome decisões automatizadas que poderia ser classificada como inteligência artificial. Essas análises possibilitam, por exemplo, o policiamento preditivo, que usa análise de grande volume de dados para tentar prever crimes com base em padrões de comportamento — o que pode reproduzir vieses racistas e outros problemas. O órgão se negou a responder.
Questionei também aos estados sobre a implementação do Excel e quando se deu a sua adesão ao projeto. Alguns alegaram sigilo para negar acesso às informações. Pelo menos seis estados apresentaram respostas praticamente idênticas às da Seopi, indicando um possível assessoramento por parte do órgão do Ministério da Justiça, e confirmaram que não há banco de dados do Projeto Excel sendo operado naqueles estados. O Amapá afirmou que não aderiu ao Excel. Entretanto, a própria Seopi deu a entender que o Amapá estaria entre os 26 estados aderentes ao projeto, além de aparecer como beneficiário dos equipamentos adquiridos.
No Rio Grande do Sul, o Projeto Excel resultou em extrações de dados em dez dispositivos, segundo o governo estadual. Os dados extraídos dos aparelhos pelas autoridades estaduais são compartilhados “em sua totalidade” com o Ministério da Justiça, após pedido específico dirigido ao Poder Judiciário para autorizar o compartilhamento com a Seopi. Ainda segundo o governo gaúcho, o tratamento dos dados – ou seja, garantir que eles estejam seguros e sejam utilizados de acordo com a lei – é “responsabilidade do Ministério da Justiça”.
O Pará também confirmou que o termo de adesão “amarra” o compartilhamento dos dados com a Seopi e que a responsabilidade pelo tratamento dos dados é do órgão do Ministério da Justiça. Naquele estado, as bases de dados são processadas e armazenadas em um computador que está incluso no projeto, segundo o governo estadual.
Margem para abusos
Apesar do oba-oba dos órgãos de investigação, a utilização dessas técnicas forenses e de espionagem nas atividades investigativas deve ser melhor acompanhada e monitorada pelas autoridades para que a tecnologia não crie condições para que se extrapole a legalidade das investigações, inclusive para fins políticos, alerta Alcides Peron, pesquisador do Núcleo de Estudos da Violência da USP.
Para o professor, que estuda a utilização de técnicas de vigilância no Brasil e na América Latina, os processos de emprego dessas ferramentas “precisam ser devidamente transparentes e esclarecidos, e devem obedecer um critério de proporcionalidade e necessidade do uso dessas ferramentas que justifiquem sua aquisição”. O pesquisador cita ainda que “essas tecnologias contribuem para que se torne mais turvas as linhas entre o que é uma investigação e o que é uma atividade de inteligência, e isso pode suscitar potenciais abusos”.
A Lei de Organizações Criminosas, de 2013, prevê que órgãos de investigação só podem manejar dados cadastrais, endereço, cartão de crédito, registros de viagem e ligações telefônicas – e apenas no contexto de crimes supostamente praticados por organizações criminosas. Para todo o resto, como as informações extraídas com o Cellebrite, é necessário autorização judicial expressa.
Mas, apesar do Projeto Excel ter sido criado para o combate ao crime organizado, a própria portaria permite que os equipamentos para extração e análise de dados sejam utilizados sem que haja investigação criminal em curso – “em hipóteses excepcionais, mediante despacho fundamentado do Diretor de Inteligência” da Seopi. Não está claro quais são, exatamente, essas hipóteses.
“Não faz sentido, você mesmo, dentro de uma unidade do Ministério da Justiça, ter o poder de criar uma regra absolutamente excepcional para extração de dados de um dispositivo, habilitando o seu diretor que está lado a lado com você na mesma unidade de governo. É a criação da regra do jogo por quem é o dono da bola”, me disse Rafael Zanatta, diretor da Associação Data Privacy Brasil de Pesquisa.
No caso do Projeto Excel, não há transparência na forma em que o Ministério da Justiça utiliza os dados extraídos e nem com qual finalidade esses dados estão sendo tratados. Também não se sabe como a Seopi acompanha e supervisiona as empresas fornecedoras na execução desses contratos.
Perguntei à Seopi se os bancos de dados são armazenados e operados exclusivamente pelo órgão. O governo disse que não – ou seja, há participação de outros órgãos ou empresas –, mas não detalhou sobre como funciona o armazenamento desses dados.
R$ 100 milhões para ‘soluções forenses’
O uso do Cellebrite explodiu no Brasil nos últimos anos. Segundo dados dos Portais de Transparência, de 2018 até hoje foram firmados, pelo menos, 102 contratos da Techbiz Forense Digital, única fornecedora da solução israelense, com órgãos de governos estaduais e federal. O valor total é de mais de R$ 100 milhões.
No governo federal, a Secretaria Nacional de Segurança Pública, o Conselho Administrativo de Defesa Econômica, o Cade, a Aeronáutica, a Marinha e a Polícia Rodoviária Federal já usam as ferramentas da empresa. Também há contratos com a maioria dos estados: só a Secretaria de Segurança Pública do Rio Grande do Sul acabou de fechar um contrato de mais de R$ 20 milhões, contemplando diferentes licenças de uso dos softwares da Cellebrite.
Os dados públicos mostram que, nos últimos dois anos, houve um boom na aquisição das ferramentas israelenses: pelo menos 60 contratos foram firmados em 2020 e 2021. Nem todos estão no âmbito do Projeto Excel – porém, pode ser que os dados extraídos pelos órgãos de investigações locais sejam compartilhados com o Ministério da Justiça para investigações, já que a Seopi busca integrar as atividades de segurança pública em todo o Brasil.
“Celular é uma ferramenta muito poderosa, que não só expõe uma quantidade vastíssima de informações sobre você, mas também expõe uma vastíssima quantidade de informações sobre os outros”, diz Rafael Zanatta. Para ele, considerando que o Excel coleta todos os dados dos aparelhos apreendidos, é possível que essa quantidade de dados coletados tenha potencial de extrapolar os limites da investigação em curso.
Quando se olha a capacidade de extração de dados dos softwares da Cellebrite, é possível ter noção da dimensão de informações em poder da Seopi. Todas as fotos, vídeos, mensagens em aplicativos — inclusive as apagadas — histórico de geolocalização e metadados dos celulares apreendidos são compartilhados com o Ministério da Justiça. Esses dados revelam uma série de informações dos investigados e das pessoas que se relacionaram virtualmente com eles.
Zanatta alerta que a utilização de provas digitais para fins de investigações criminais deveria seguir práticas e princípios já adotadas em outros países que têm regulamentações sobre o tema, como a utilização de técnicas menos intrusivas de raspagem de dados, coleta do mínimo necessário e descarte das informações não essenciais para a investigação em curso. “Nesse modelo [do Excel] não há nenhuma aderência a esses princípios, porque em tese pode raspar tudo. Não há o dever de justificar sobre a necessidade, não há procedimento de descarte imediato e, se isso é feito, é feito de forma discricionária. E pelo jeito a própria Diretoria de Inteligência teria esse poder, o que é estranho”, afirma o advogado.
O uso de ferramentas forenses e de espionagem para fins de investigação está em um limbo legal. Isso porque a Lei Geral de Proteção de Dados Pessoais, a LGPD, não se aplica a atividades de investigação, de segurança pública e de inteligência. Ela, no entanto, define os conceitos básicos da área e prevê algumas regras para essas atividades.
Além disso, desde fevereiro de 2022, a proteção de dados pessoais é um direito fundamental protegido pela Constituição. Isso significa que cidadão passar a ter o direito de contestar abusos no tratamento dos seus dados, mesmo numa investigação criminal, em decorrência da proteção constitucional, explica Zanatta.
Em todos os contratos celebrados entre a Techbiz e os estados e órgãos que compõem o governo federal aos quais tivemos acesso, não havia nenhuma cláusula sobre proteção de dados – mesmo entre aqueles firmados após a vigência da LGPD. Somente no contrato com o Ministério Público Federal se menciona o tema, mas em cláusulas genéricas, que se limitam a obrigar as partes ao cumprimento da LGPD e ao sigilo dos dados tratados.
Os contratos também não deixam claro como é a relação entre os órgãos do governo e das empresas que operam os softwares de extração de dados, Cellebrite e Techbiz. Conforme regras da LGPD, só pode haver o tratamento de dados pessoais para fins de segurança pública e investigação penal por empresas quando há acompanhamento e supervisão do poder público.
Em resposta aos questionamentos feitos, a Techbiz informou que só é possível utilizar os produtos da Cellebrite com autorização judicial, pois eles dependem de mandado de busca e apreensão, sem esclarecer como se dá esse controle. Afirmou também que a empresa não tem acesso a quaisquer informações sobre as operações policiais. Quando questionada sobre cuidados que a empresa tem com os dados pessoais nas relações com os órgãos estatais, ela limitou-se a afirmar que sua atuação é mercantil através da venda dos seus produtos.
A preocupação com o uso de ferramentas tecnológicas em investigação criminal foi externada pela comissão de juristas que elaborou a primeira versão da LGPD Penal, projeto de lei com objetivo de regulamentar a proteção de dados pessoais para fins de segurança pública e persecução penal.
Na exposição de motivos da legislação, ponderou-se que “há um enorme déficit de proteção dos cidadãos, visto que não há regulação geral sobre a licitude, a transparência ou a segurança do tratamento de dados em matéria penal”. Também se afirmou que o “crescimento vertiginoso de novas técnicas de vigilância e de investigação e a ausência de regulamentação sobre o tema gera uma assimetria de poder muito grande entre os atores envolvidos”.
Mas o avanço da discussão sobre a proteção de dados caminha a passos muito mais lentos do que a compra de ferramentas de vigilância por parte do Estado.
—