A área de Law Enforcement (ou Aplicação da Lei) é bastante comum em alguns segmentos de empresa, mas como aplica-la sem ferir a Lei Geral de Proteção de Dados (LGPD), que explicamos aqui. Especialmente aqueles que detém informações que podem ser importantes para o andamento de processos judiciais, frequente na área criminal.

Empresas como operadoras de telefonia. E provedores de acesso à internet e de aplicações de internet já estão acostumados a ter uma área exclusivamente dedicada a receber, analisar e atender (ou não) ofícios oriundos de diversas autoridades. Especialmente policiais e judiciárias.

No entanto, com a entrada em vigor da LGPD. Esse problema não apenas irá se transformar em regra para muitas outras empresas. Mas também se tornará ainda mais complexo, uma vez que a depender do caso, o atendimento a um ofício pode violar o direito à privacidade de alguém.

Quais os requisitos de um ofício válido? Quais os limites da quebra de privacidade? Onde a Law Enforcement se encaixa? Como conduzir uma situação em que a ordem é manifestamente violadora da LGPD?

Esses e muitos outros temas trataremos, ao longo deste artigo!

TREINAMENTO DOS COLABORADORES DA EMPRESA

Antes de mais nada, a primeira medida que uma empresa precisa adotar para estar preparada é providenciar o treinamento de todos os colaboradores da empresa. Especialmente aqueles que podem ter contato direto com ofícios de autoridades. Tais como recepção, secretárias, segurança e departamento jurídico.

Essa medida é essencial porque, em muitos casos, o prazo para atendimento da ordem é de 24/48 horas. E o descumprimento do prazo estipulado pela autoridade pode ensejar em crime de desobediência. Previsto no Código Penal no art. 330 e que pode resultar na pena de detenção, de quinze dias a seis meses, e multa.

Além do constrangimento pessoal do responsável (que inclusive pode ser o CEO da empresa) em enfrentar um processo criminal. Muitas vezes a repercussão do caso pode trazer prejuízos para a imagem e reputação da empresa. O que pode ser ainda mais danoso.

REQUISITOS DE UM OFÍCIO VÁLIDO EM TEMPOS DE LGPD

Há diversos tipos de ofícios que podem ser emitidos por uma autoridade para uma empresa. Mas nesse artigo analisaremos aqueles que ordenam o fornecimento de informações sobre uma determinada pessoa. Que geralmente é conhecida como “alvo”.

Para exemplificar, alguns tipos de informações solicitadas são dados cadastrais (nome, RG, CPF, endereço), endereço IP (internet protocol). Onde a pessoa acessa a internet, compras realizadas, palavras pesquisadas em um site de busca, itinerário percorrido em aplicativo de transporte, entre muitas outras.

Pode não parecer, mas um ofício de autoridade pode apresentar diversos vícios que, se não sanados e a empresa realizar a quebra da privacidade da pessoa envolvida. Pode representar um grande risco de violação da Lei Geral de Proteção de Dados (LGPD).

Não vamos esgotar todas as hipóteses aqui, pois resultaria em um artigo demasiadamente grande. Porém os exemplos mencionados darão uma ótima perspectiva sobre o que deve ser analisado em um primeiro momento.

• Erro no endereçamento do destinatário

É muito comum a autoridade colocar como destinatário do ofício uma entidade diferente daquela que tem que cumprir a ordem. Bem como também é comum haver um equívoco na razão social mencionada. E até mesmo algumas que são encaminhadas ao serviço que a empresa fornece e não à empresa em si.

Pode parecer algo simples, mas na realidade se torna muito grave na LGPD, que os dados pessoais de um titular sejam transferidos ou compartilhados sem o devido cuidado.

Se, por exemplo, a entidade que realmente trata os dados pessoais que a autoridade quer ter acesso é a empresa controladora que fica fora do Brasil. O ofício deve ser endereçado a essa entidade, mesmo que para fins de entrega ele seja encaminhado ao escritório brasileiro da companhia.

• Erro na identificação do solicitante

Com o intuito de implementar um processo ágil e eficiente de atendimento aos ofícios de autoridades. Muitas empresas implementam um canal de comunicação que recebe tais demandas e responde também em formato online.

No entanto, é muito comum que em alguns casos a autoridade solicitante utilize um e-mail diferente do funcional para encaminhar o ofício para a empresa. O que dificulta a verificação da identidade de quem está pedindo informações sobre o alvo.

Como se trata de um procedimento por escrito, é muito fácil para uma pessoa falsificar um documento para que se passe por um ofício judicial. Por exemplo, criar uma conta de e-mail falsa para se fazer passar por uma autoridade.

Nesses casos é recomendável que a empresa responda ao e-mail informando que não será possível fornecer os dados solicitados. Até que o ofício seja encaminhado através do endereço funcional da autoridade.

• Falta de assinatura da autoridade solicitante

Outra situação muito comum é o recebimento de ofício sem assinatura da autoridade solicitante. Como é sabido, as ordens judiciais são elaboradas na secretaria da vara e depois são levadas para o gabinete do juiz para revisão e assinatura.

Ocorre que, muitas vezes, esse processo não é seguido e o ofício não é assinado.

Pode parecer um vício simples, mas a revisão do juiz é essencial para verificar se aquele referido ofício apresenta todos os requisitos legais. Se não há qualquer risco de excesso ou abuso de poder, entre tantas outras coisas. E sua assinatura é a comprovação de que tal ofício passou por essa análise da autoridade solicitante.

• Desconhecimento Técnico

Em outras ocasiões, é possível que a autoridade desconheça tecnicamente o que ela pretende obter e/ou talvez não saiba exatamente o que precisa. Assim, realiza um pedido que pode ir desde o incompreensível até o impossível de ser executado tecnicamente. Passando pelo genérico que também dificulta o atendimento, além de expor desnecessariamente o alvo.

Nesses casos, é preciso que a empresa entre em contato com a autoridade solicitante e esclareça a situação. Muitas vezes, será necessária a emissão de um novo ofício para corrigir o erro. De forma que a empresa afaste quaisquer riscos, seja de descumprimento da ordem. Seja de violação dos direitos de privacidade do alvo.

Outra iniciativa que é muito interessante, nesses casos, é o trabalho de educação que a empresa pode fazer perante as autoridades. Palestras e cartilhas explicando as questões técnicas que envolvem o serviço são muito eficientes para melhorar essa comunicação entre as autoridades e a empresa.

• Extrapolação de limitações legais

Há situações em que o fornecimento de determinados dados pessoais é condicionado a verificação de condições previstas em lei.

Um dos exemplos é o Marco Civil da Internet. A lei que regula o uso da internet no Brasil é clara ao determinar que para a obtenção do fluxo de comunicações pela internet de conteúdo das comunicações armazenadas; registro de acesso a aplicações de internet (IP de acesso). Bem como de dados pessoais (não confundir com dados cadastrais), é necessária ordem judicial.

Ou seja, se a empresa receber um ofício emitido por uma autoridade policial solicitando esse tipo de informação. Se não estiver acompanhado de uma ordem judicial, esse ofício não poderá ser cumprido.

Outro ponto abordado no Marco Civil da Internet, que foi reforçada na Lei Geral de Proteção de Dados (LGPD), é o fornecimento de dados de pessoa estrangeira. O assunto é muito mais abrangente e envolve questões profundas de direito internacional, mas, de forma bastante sintética. Nos parece que ambas as leis (MCI e LGPD) remetem a competência ao País em que estiver localizado fisicamente a pessoa investigada.

• Falta de segurança no procedimento de entrega das informações, como afeta a Lei Geral de Proteção de Dados)

Um ponto que é negligenciado pelas empresas é a implementação de um processo seguro para o atendimento aos ofícios das autoridades. Isto é, não basta apenas cumprir o ofício no prazo e fornecer as informações solicitadas sobre o alvo, mas é preciso fazê-lo de uma forma segura. De modo que minimize o risco de vazamento de informações tão sensíveis.

Para ilustrar, vejamos uma situação em que o ofício é recebido por oficial de justiça na recepção da empresa e a resposta da empresa é enviada por correios, para uma autoridade que fica em outro Estado. Quantas pessoas terão acesso a esse envelope até que chegue às mãos da autoridade solicitante, o juiz, por exemplo?

Para resolver essa situação, há diversas soluções que podem ser aplicadas a depender do caso, do tipo de informação necessária, da frequência, entre muitos outros aspectos a serem considerados.

• Falta de elementos identificadores do alvo

Em algumas situações, pode ser que a empresa enfrente muitas dificuldades ou até fique impossibilitada de atender ao ofício por não conseguir ter certeza sobre a identidade do alvo. Ou seja, da pessoa a quem se referem as informações solicitadas.

E é importante ter em mente que não se trata de ter os dados do alvo, como número de RG ou CPF, mas sim de ter os dados que o alvo forneceu para a empresa e que são aptos a fazer com que a empresa o localize.

Um bom exemplo de situação como essa são os serviços gratuitos de e-mail. Nenhuma empresa solicita que o usuário forneça RG ou CPF ao abrir uma conta gratuita de e-mail. Até mesmo o nome fornecido pode ser diferente ou pode ser um apelido.

Dessa forma, não há como a empresa identificar quem é a pessoa alvo com base no número de RG ou CPF. A autoridade precisará indicar diretamente a conta de e-mail sobre a qual pretende obter informações.

• Falta de indicação do tipo legal que embasa a investigação da Lei Geral de Proteção de Dados.

Muitas autoridades policiais e judiciais emitem ofícios para as empresas sem a indicação do crime que está sendo investigado.

Embora a preocupação com o sigilo da investigação seja relevante. A indicação do tipo legal é importante por dois motivos principais.

O primeiro tem relação com previsões legais, no Brasil e no exterior. Que limitam a quebra da privacidade do alvo, mesmo em casos de investigação criminal. Um exemplo é a Lei de Interceptação Telefônica e Telemática (Lei 9.296/96) que não autoriza que a interceptação seja realizada quando o fato investigado for punido. No máximo, com pena de detenção.

Além disso, outro fator importante é a atribuição de prioridade ou urgência para o caso. Há empresas que recebem centenas de ofícios todos os dias. E que seguem um fluxo ordenado de tratamento conforme a ordem de chegada. Se um caso envolve, por exemplo, sequestro ou terrorismo, a autoridade solicitante pode informar esse fato no ofício e pedir prioridade.

• Solicitação de dados não tratados pelas empresas

Essa situação poderia até ter sido incluída no tópico sobre desconhecimento técnico, mas achamos interessante destacar em um item próprio. Uma vez que sua ocorrência e mais comum do que deveria ser.

Nesse caso, a autoridade solicita para a empresa um conjunto de dados pessoais do alvo ao qual ela não tem acesso. Um dos casos mais comuns é acreditar que a empresa que fornece a aplicação de internet detém dados telefônicos da pessoa. Ou seja, qual foi a linha telefônica utilizada para acessar a internet e acessar o site, por exemplo.

Esse tipo de informação apenas a companhia telefônica que fornece tal serviço para o alvo é capaz de fornecer. O ofício deveria ter sido encaminhado à operadora de telefonia.

CONCLUSÃO

Em resumo, a regra geral que as empresas devem observar é a proteção da privacidade e dos dados pessoais dos seus clientes. Direito garantido pela Constituição Federal e agora reforçado pela Lei Geral de Proteção de Dados (LGPD). Ou seja, em caso de dúvida, adote os cuidados necessários para não violar a privacidade da pessoa.

Com o tempo, a empresa passará a ter um conhecimento acumulado e essa análise não será um problema. Mas é importante implementar um processo adequado de tratamento de ofícios de autoridades desde já. Evitando assim, cair nas multas que a LGPD prevê.

Caso tenha qualquer dúvida, o PK advogados possui mais de 15 anos de experiência nesse assunto. E pode orientar a sua empresa.

Autores:

Tayana Yuri Oikawa Michiura

Eduardo Hideki Inoue