A Lei do Cibercrime

Actualmente, a prova digital é regulada, na sua essencialidade, pela Lei do Cibercrime. No dia 15 de Setembro de 2009, o legislador português reagiu aos inúmeros desafios causados pela lacuna legislativa quanto à matéria da obtenção de prova digital, por via da publicação da Lei do Cibercrime – Lei n.º 109/2009, de 15 de Setembro (em vigor desde 15 de Outubro de 2009). Cerca de 8 anos após a assinatura da Convenção sobre o Cibercrime120, foram publicados em Diário da República a Resolução da Assembleia da

119 _{George/Mason, 2015: 250.}

120 _{A Convenção sobre o Cibercrime é o primeiro tratado internacional sobre criminalidade contra sistemas} de computadores, redes ou dados e conta com três objectivos principais: pretende harmonizar legislações e os crimes nelas previstos; pretende estender às jurisdições de Estados Parte determinados instrumentos processuais e de produção de prova modernos e adequados à investigação da cibercriminalidade; por último, pretende facilitar a cooperação internacional e viabilizar investigações. Para tal a Convenção está compartimentada em quatro capítulos distintos: Cap. I – Terminologia; Cap. II – Medidas a tomar ao nível

República n.º 88/2009, que aprova a Convenção, o Decreto do Presidente da República n.º 92/2009, que a ratifica, e ainda a já acima referida Lei n.º 109/2009, que adapta o direito interno à Convenção e à Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação.

Do ponto de vista sistemático, a Lei do Cibercrime tem uma estrutura tripartida, entre disposições materiais, processuais e relativas à cooperação internacional em matéria penal, à semelhança do consagrado na Convenção sobre o Cibercrime. A nossa atenção desviar-se-á, obviamente, para o Capítulo III, dedicado às disposições processuais, nomeadamente: a preservação expedita de dados (artigo 12.º), a revelação expedita de dados de tráfego (artigo 13.º), a injunção para a preservação ou concessão de acesso a dados (artigo 14.º), a pesquisa de dados informáticos (artigo 15.º), a apreensão de dados informáticos (artigo 16.º), a apreensão de correio electrónico e de registos de comunicações de natureza semelhante (artigo 17.º), a intercepção de comunicações (artigo 18.º), as acções encobertas (artigo 19.º) e, ainda, a cooperação internacional (artigos 20.º a 26.º).

Estas disposições processuais penais contidas na Lei do Cibercrime aplicam-se, segundo o artigo 11.º do referido diploma (em consonância com o determinado no artigo 14.º da Convenção sobre o Cibercrime) aos crimes aí previstos: a) crimes informáticos stricto sensu (al. a); b) “crimes cometidos por meio de um sistema informático”121 independentemente da previsão típica do crime (al. b); c) e, por fim, a quaisquer crimes sempre que “seja necessário proceder à recolha de prova em suporte electrónico” (al. c). Podemos concluir, na esteira do defendido por Paulo Dá Mesquita, que as regras de direito probatório previstas no diploma não são assim meras normas processuais sobre cibercrimes ou sequer apenas relativas a crimes praticados em sistemas informáticos, mas

nacional: Secção I – Direito Material; Secção II – Direito Processual; Cap. III – Cooperação internacional; e, por último, Cap. IV – Cláusulas Finais. Cf. Ramalho, 2014: 134.

121 _{Sistema informático significa nesta sede “qualquer dispositivo ou conjunto de dispositivos interligados} ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, protecção e manutenção” (al. a) do artigo 1.º da Lei do Cibercrime, cuja primeira parte corresponde à previsão da al. a) do artigo 1.º da Convenção sobre o Cibercrime e no essencial similar à al. a) do artigo 1.º da Decisão-Quadro n.º 2005/222/JAI (sistema de informação), onde, contudo, não se prevê de forma especificada a rede que suporta a comunicação entre dados informáticos).

correspondem a um regime consideravelmente mais abrangente sobre prova electrónica em processo penal aplicável a qualquer crime122.

Voltando ao nosso caso concreto, cumpre referir que, a alínea c) do artigo 11.º da Lei do Cibercrime, ao abranger todos os crimes em relação aos quais seja necessário proceder à recolha de prova em suporte electrónico, acaba por alargar o âmbito de aplicação da lei a quaisquer casos de recolha de prova em smartphones. Uma vez que o smartphone é caracterizado como um “suporte electrónico”, toda a recolha de prova feita com recurso a este dispositivo será regulada pela Lei do Cibercrime, de acordo com o consagrado na alínea c) do seu artigo 11.º.

Visto que o cerne do nosso estudo se centra na desencriptação de smartphones para obtenção de prova em processo penal, torna-se fundamental nesta etapa fazer uma breve análise a algumas destas medidas processuais, nomeadamente, à injunção para apresentação ou concessão do acesso a dados (artigo 14.º), à pesquisa de dados informáticos (artigo 15.º), à apreensão de dados informáticos (artigo 16.º) e à apreensão de correio electrónico e registos de comunicações de natureza semelhante (artigo 17.º). No entanto, antes de passarmos à análise destas medidas, importa esclarecer que, em sede de Lei do Cibercrime, há que fazer a distinção entre a apreensão de dados informáticos e a apreensão de registos de comunicações. Como já deixámos claro nas páginas anteriores da presente investigação, o smartphone armazena os mais variados ficheiros electrónicos, incluindo mensagens de texto (SMS) e mensagens de multimédia (MMS), e-mails, contactos telefónicos, fotografias, gravações de vídeo e áudio, entre outros. O tratamento destes ficheiros vai depender da sua natureza, nomeadamente, se estes comportam algum tipo de comunicação ou não. Assim, se por um lado a apreensão de fotografias, vídeos, gravações áudio, contactos, entre outros, pode ser tratada como apreensão de meros dados informáticos (artigo 16.º da Lei do Cibercrime), a apreensão de mensagens de texto, mensagens de multimédia e e-mails, por se tratarem de ficheiros de comunicação electrónica, deve ser tratada como apreensão de correio electrónico e registos de comunicações de natureza semelhante (artigo 17.º da Lei do Cibercrime). Analisaremos em maior detalhe esta distinção nos próximos parágrafos.

No que respeita à injunção para apresentação ou concessão do acesso a dados, prevista no artigo 14.º da Lei n.º 109/2009, o legislador veio, desta forma, criar uma ordem a ser

122 _{Mesquita, 2010: 98.}

emitida por autoridade judiciária, dirigida a quem tenha disponibilidade ou controlo sobre determinados dados informáticos, no sentido de que os comunique ao processo em causa, ou que permita o acesso aos mesmos123_.

No entanto, esta medida é apenas aplicada a fornecedores de serviços, proibindo, o número 5 do referido artigo, que seja dirigida contra suspeito ou arguido no processo. Desta forma, o fornecedor de serviço pode ser ordenado a comunicar ao processo dados relativos aos clientes ou assinantes, neles se incluindo qualquer informação, desde que não inserida na categoria dos dados relativos ao tráfego ou ao conteúdo. Voltaremos, em maior detalhe, a esta questão da proibição de injunção dirigida a arguido e suspeito mais adiante no nosso estudo.

As razões que estão subjacentes à criação desta medida prendem-se, em primeira medida, com a imensidade de espaço de armazenamento dos modernos suportes digitais, que dificulta a investigação e, em segunda medida, com as diversas possibilidades de ocultar a informação ou de bloquear o acesso a ela (por exemplo, por via da encriptação do smartphone), que podem igualmente tornar malsucedida a procura de informação, sem a colaboração de quem tem o domínio sobre ela.

O artigo 15.º da Lei do Cibercrime, que consagra a pesquisa de dados informáticos, veio criar uma forma de acesso coercivo ao sistema informático objecto de um processo criminal. Assim, esta pesquisa pode perfeitamente ser comparada a uma busca tradicional, mas num ambiente digital. Desta forma, sempre que, numa investigação criminal, as entidades judiciárias, verificarem que se afigura oportuno e necessário, para a produção de prova, com vista à descoberta da verdade material, que se obtenham certos dados124_,

armazenados num determinado sistema informático, a autoridade judiciária competente autoriza ou ordena, por despacho, que se proceda a uma pesquisa nesse sistema informático125.

Esta autorização tem uma validade de 30 dias, sob pena de nulidade nos termos do n.º 2 do artigo 15.º da Lei do Cibercrime. Nos casos de obtenção de consentimento por quem tenha a disponibilidade ou controlo dos dados, de terrorismo, criminalidade violenta ou

123 _{Venâncio, 2011: 107.}

124 _{Contrariamente à injunção para apresentação ou concessão do acesso a dados, na pesquisa de dados} informáticos a lei não coloca quaisquer restrições relativamente aos conteúdos dos dados que podem ser pesquisados.

altamente organizada e quando haja fundados indícios da prática iminente de crime que ponha em grave risco a vida ou a integridade de qualquer pessoa, os órgãos de polícia criminal poderão proceder à pesquisa sem prévia autorização da autoridade judiciária, devendo a diligência ser-lhe de imediato comunicada e elaborado um relatório em tudo semelhante ao disposto no artigo 253.º do Código de Processo Penal (nos termos dos n.os

3 e 4 do artigo 15.º).

Pode ainda acontecer que, no decurso da pesquisa, aos órgãos de polícia criminal, executores da medida, surja a convicção de que os dados procurados se encontram noutro sistema informático, ou numa parte diferente do sistema pesquisado, mas que tais dados são legitimamente acessíveis a partir do sistema inicial, então, por força do n.º 5 do artigo 15.º da Lei do Cibercrime, haverá lugar à extensão da medida àqueles outros sistemas ou lugares, mediante autorização ou ordem da autoridade competente, nos termos dos n.os 1 e 2 do artigo 15.º da citada lei126.

No caso concreto de as autoridades judiciárias encontrarem um smartphone armazenado com e-mails, mensagens de texto, mensagens de multimédia, fotografias, gravações áudio ou vídeo, histórico de navegação na internet, documentos electrónicos, dados relacionados com as redes sociais, dados relacionados com aplicações, entre outros, estamos claramente perante dados informáticos, definidos pela al. b) do artigo 2.º da Lei do Cibercrime como “qualquer representação de factos, informações ou conceitos sob uma forma susceptível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função”. Assim, a pesquisa destes dados, armazenados no smartphone, por parte das autoridades judiciárias, deverá ser regulada pelo citado artigo 15.º da Lei do Cibercrime.

Por seu turno, a apreensão de dados informáticos vem prevista no artigo 16.º da Lei do Cibercrime, que vem estabelecer a possibilidade de os investigadores pedirem à autoridade judiciária competente que autorize ou ordene, por despacho, a apreensão dos dados ou documentos informáticos que, no decurso de uma pesquisa informática ou de outro acesso legítimo a um sistema informático, forem encontrados e que se afigurem necessários à produção da prova, tendo em vista a descoberta da verdade127.

126 _{Rodrigues, 2010: 449-450.} 127 _{Rodrigues, 2010: 451.}

No entanto, nos casos em que tenha sido um órgão de polícia criminal a realizar a pesquisa (artigo 15.º da Lei do Cibercrime), existe a possibilidade de o órgão de polícia criminal levar igualmente a cabo a apreensão dos dados informáticos (sem prévia autorização da autoridade judiciária), ficando estas diligências sujeitas a validação pela autoridade judiciária, no prazo máximo de setenta e duas horas128_{. Assim, a título de exemplo, se}

durante uma busca domiciliária, promovida pelo Ministério Público e autorizada pelo Juiz de Instrução competente, for encontrado um smartphone – que não estaria incluído no despacho judicial -, os órgãos de polícia criminal, executores da medida, poderão apreender validamente o conteúdo do dispositivo, de acordo com o n.º 2 do artigo 16.º da Lei do Cibercrime, ficando esta diligência sujeita a validação pela autoridade judiciária, no prazo máximo de setenta e duas horas.

O n.º 3 do artigo 16.º da Lei do Cibercrime vem consagrar a obrigatoriedade de intervenção do juiz de instrução sempre que forem apreendidos para junção ao processo dados ou documentos informáticos cujo conteúdo seja susceptível de revelar dados pessoais ou íntimos, que possam pôr em causa a privacidade do respectivo titular ou de terceiros. Nestas situações, os dados informáticos apreendidos – que possam por em causa a privacidade do respectivo titular ou de terceiros (v.g. fotografias, gravações de vídeo ou áudio, entre outros) - serão apresentados ao juiz que ponderará a sua junção aos autos, tendo em conta os interesses do caso concreto. A não observância destas formalidades legais tem como consequência a nulidade da prova obtida por esta via129_.

Por fim, cabe-nos fazer uma análise mais detalhada do artigo 17.º da Lei do Cibercrime, que consagra a apreensão de correio electrónico e registos de comunicações de natureza semelhante. A criação desta norma é uma das grandes novidades da Lei do Cibercrime, não só por estabelecer um regime especial para a apreensão de correio electrónico e registos de comunicação de natureza semelhante (aqui incluindo as SMS e MMS) em matéria de criminalidade informática e obtenção de prova em suporte electrónico, mas também por estabelecer um regime que não encontra correspectivo directo na Convenção sobre o Cibercrime.

O artigo 17.º da Lei n.º 109/2009, determina que é possível apreender mensagens de correio electrónico ou registos de comunicações de natureza semelhante que se encontrem armazenados no sistema informático (v.g. smartphone) que tenha sido alvo de pesquisa

128 _{Morais, 2012: 101-102.}

informática ou outro acesso legítimo, desde que: a) seja o juiz a autorizar ou ordenar a apreensão; b) e, esta seja de grande interesse para a descoberta da verdade ou para a prova130_.

Dois comentários iniciais sobre este dispositivo: primeiro, podemos afirmar que há aqui um aumento substancial das exigências para esta medida, dado que a mesma só poderá ser autorizada se for de grande interesse para a descoberta da verdade ou para a prova; segundo, importa também referir que não estamos aqui perante um meio de obtenção de prova autónomo e independente, mas sim perante uma possibilidade decorrente de uma pesquisa informática (artigo 15.º da Lei do Cibercrime) já em curso que tenha sido regularmente executada131. Efectivamente, consagra esta disposição normativa que “Quando, no decurso de uma pesquisa informática ou outro acesso legítimo a um sistema informático, forem encontrados, armazenados nesse sistema informático ou noutro a que seja permitido o acesso legítimo a partir do primeiro, mensagens de correio electrónico ou registos de comunicações de natureza semelhante, o juiz pode autorizar ou ordenar, por despacho, a apreensão daqueles que se afigurem ser de grande interesse para a descoberta da verdade ou para a prova, aplicando-se correspondentemente o regime da apreensão de correspondência previsto no Código de Processo Penal”.

Relativamente à remissão feita no final do referido artigo para o regime da apreensão de correspondência, estamos com Rita Castanheira Neves quando afirma que se compreende que, em respeito pelo artigo 11.º da Lei do Cibercrime, “a remissão para o regime da apreensão de correspondência não abranja a exigência de se tratar de crime punível com pena de prisão superior a três anos. Esta remissão para o regime da apreensão de correspondência parece, pois, realizada a quatro aspectos do regime: à referência à nulidade no caso de não respeito pelos requisitos estabelecidos (n.os _{1 e 2 do artigo 179.º}

do Código de Processo Penal); ao facto de ter que estar em causa correio electrónico e registos de comunicações de natureza semelhante enviados ou recebidos pelo suspeito, mesmo que de/a partir de endereço electrónico ou outros registos de pessoa diversa (alínea a) do n.º 1 do mesmo artigo 179.º); à proibição da apreensão de correio electrónico e registos de comunicações de natureza semelhante trocado entre arguido e defensor, salvo se o juiz tiver fundadas razões para crer que aquele correio electrónico ou aqueles registos constituem objecto ou elemento do crime (n.º 2 do artigo 179.º); e finalmente ao facto de

130 _{Neves, 2011: 273.}

ter que ser o juiz que tiver autorizado ou ordenado a diligência a primeira pessoa a tomar conhecimento do conteúdo do correio electrónico e demais registos de comunicações apreendido, mandando-o juntar ao processo se o considerar relevante […] – n.º 3 do artigo 179.º”132_.

Quanto a esta última questão, parece-nos necessário focar em especial dois aspectos distintos: primeiro, a necessidade ou não de despacho judicial para a apreensão das mensagens de correio electrónico e registos de comunicação de natureza semelhante (n.º 1 do artigo 179.º do Código de Processo Penal); segundo, a necessidade de ter que ser o juiz a primeira pessoa a ler o correio electrónico ou as mensagens de texto ou multimédia apreendidas e a decidir da sua junção ou não ao processo (n.º 3 do artigo 179.º do Código de Processo Penal).

Tendo em conta que a única exigência do artigo 17.º da Lei do Cibercrime para a apreensão de correio electrónico e registos de comunicação de natureza semelhante é a existência de uma forma legítima de acesso ao meio informático, concordamos com Pedro Verdelho quando defende que a referida medida permite fazer uma apreensão provisória de mensagens de correio electrónico, de texto ou multimédia, no decurso de pesquisas, realizadas, por exemplo, com a autorização do Ministério Público, devendo todavia tais mensagens ser presentes ao juiz, para que ordene a respectiva apreensão definitiva e junção ao processo. Ou seja, não se requererá, para a apreensão provisória de e-mails, SMS ou MMS, que haja uma prévia decisão judicial133.

Em regra, antes de uma busca ainda não se tem conhecimentos bastantes para certificar que se encontrará ou não um smartphone. Assim, na prática, seria inviável um sistema que exigisse, antes de toda e qualquer busca, a obtenção de autorização judicial para a eventual possibilidade de vir a ser encontrado, no decurso de uma busca, um smartphone, e que tal smartphone contivesse registos de comunicações, e que tais comunicações fossem prova necessária à investigação do caso concreto.

De salientar, no entanto, que esta apreensão será meramente uma apreensão cautelar, cuja validade (definitiva) e consequente valoração no processo em curso estará sempre dependente do despacho do juiz (n.º 1 do artigo 179.º do CPP).

132 _{Neves, 2011: 274-275.}

Neste sentido vai também a jurisprudência, ao afirmar que “a apreensão de mensagens de telemóvel (SMS), mesmo que resultante de uma pesquisa de dados informáticos validamente ordenada pelo Ministério Público, deve depois ser autorizada pelo JIC. Embora o MP deva tomar conhecimento em primeira mão das mensagens, ordenando a apreensão provisória, deve depois ser o juiz a ordenar a apreensão definitiva – artigo 17.º da Lei do Cibercrime”134_.

No entanto, nos casos de apreensão de mensagens decorrentes da autorização do seu destinatário (por exemplo, quando é o próprio a facultar o telemóvel para a obtenção das mensagens), a jurisprudência tem sido unânime quanto à desnecessidade de intervenção judicial na obtenção e junção ao processo desses registos135.

Assim, concluímos no sentido de não carecer de autorização judicial a mera apreensão provisória/cautelar de mensagens de correio electrónico, de texto ou de multimédia encontradas, no decurso de uma pesquisa informática (artigo 15.º da Lei do Cibercrime) ou outro acesso legítimo, num smartphone136. Sem embargo, a validade definitiva desta apreensão e a sua consequente valoração no processo em curso dependerá sempre do despacho do juiz (n.º 1 do artigo 179.º do CPP).

No que concerne à questão da necessidade de ter que ser o juiz a primeira pessoa a ler o correio electrónico e outros registos de comunicações de natureza semelhante apreendidos (n.º 3 do artigo 179.º do Código de Processo Penal), importa trazer à colação a posição defendida por dois Autores nacionais.

Rita Castanheira Neves defende a tese de que, dada a dificuldade prática de ser o juiz a primeira pessoa a tomar conhecimento do conteúdo de todas as mensagens, cuja quantidade pode ser bastante significativa, se deveria proceder a uma inversão da lógica das coisas. Assim, a Autora afirma que “não há que deixar de exigir que seja o juiz o primeiro a tomar conhecimento do conteúdo do correio electrónico […]”, mensagens de texto e multimédia, “[…] pelas dificuldades práticas de atribuir a um só juiz essa tarefa,

134 _{Acórdão do Tribunal da Relação de Guimarães, de 29 de Março de 2011, disponível em:}

http://www.dgsi.pt/jtrg.nsf/86c25a698e4e7cb7802579ec004d3832/6aa96edf91e899b2802578a00054631f ?OpenDocument [consultado em 29.08.2016].

135 _{Acórdão do Tribunal da Relação de Lisboa, de 11 de Janeiro de 2011, disponível em:}

http://www.dgsi.pt/jtrl.nsf/33182fc732316039802565fa00497eec/e5ed1936deb44eb180257824004ab09d ?OpenDocument [consultado em 29.08.2016].

136 _{Acórdão do Tribunal da Relação de Guimarães, de 29 de Março de 2011, disponível em:}

http://www.dgsi.pt/jtrg.nsf/86c25a698e4e7cb7802579ec004d3832/6aa96edf91e899b2802578a00054631f ?OpenDocument [consultado em 29.08.2016].

mas sim exigir que durante a diligência se tenha sempre em atenção que para a eficácia da mesma devem-se seguir estritos critérios de abrangência, apenas apreendendo os e- mails […]”, mensagens de texto e de multimédia “[…] que se afiguram realmente determinantes para a prova”137_.

Em sentido semelhante, Pedro Verdelho, vem apoiar-se na letra da lei que, segundo o