Sobre a cadeia de custódia das provas digitais
Em processos cíveis ou criminais, é comum a formulação de pedidos de busca e apreensão de dispositivos informáticos (computadores, laptops etc.) ou telemáticos (smartphones) para fins de obtenção de provas. Do mesmo modo, é recorrente a formulação de diligências investigativas com reserva de jurisdição, voltadas à obtenção de provas digitais “na internet”, ou seja, em suporte físico (servidores) não pertencentes à pessoa investigada, sem a necessidade de apreensão de dispositivos.
No primeiro caso (apreensão de dispositivos), questão relevante consiste em saber se, apreendido o bem, seria necessária a formulação de novo pedido, voltado à extração do conteúdo já armazenado. Quanto a isso, a jurisprudência do Superior Tribunal de Justiça é sólida no sentido de que, se ocorreu a busca e apreensão da base física dos aparelhos de telefone celular, ante a relevância para as investigações, “não há óbice para se adentrar ao seu conteúdo já armazenado, porquanto necessário ao deslinde do feito, sendo prescindível nova autorização judicial para análise e utilização dos dados neles armazenados“[1].
Por outro lado, o STJ considera ilícito o acesso aos dados do celular extraídos do aparelho celular apreendido em flagrante delito, “quando ausente de ordem judicial para tanto, ao entendimento de que, no acesso aos dados do aparelho, se tem a devassa de dados particulares, com violação à intimidade do agente“[2].
Apreendido o dispositivo mediante ordem judicial, a atividade pericial exige cuidados relativos à cadeia de custódia da prova, assim compreendido “o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte” (art. 158-A do CPP).
Bem pensadas as coisas, as preocupações relativas à metodologia empregada para fins de registro da cadeia de custódia devem estar presentes em qualquer caso envolvendo provas digitais, com ou sem prévia apreensão de dispositivos físicos de terceiros que lhes dêem suporte. Seja num caso envolvendo a busca a apreensão de um laptop, seja na transferência de dados diretamente pelo Google ou outro provedor de aplicações às autoridades que investigam o caso, o conteúdo digital será sempre armazenado em um suporte físico, com as cautelas necessárias à preservação da sua integridade.
Como assinala Badaró, entre tantos temas novos e difíceis da prova digital, duas são as grandes diferenças, em comparação às provas tradicionais: uma ontológica (ou seja, em essência) e outra metodológica)[3].
Ontologicamente, as provas digitais se diferenciam das demais na medida em que seus dados são conservados e transmitidos em linguagem digital (em bits), sem uma materialidade constatável de imediato. Elas são marcadas pela desmaterialização e dispersão de dados, resultando em considerável fragilidade. Disso decorre uma especial preocupação com as múltiplas possibilidades de falsificação.
Sob o aspecto metodológico, o que se observa é a incompatibilidade da disciplina da cadeia de custódia estabelecida no Código de Processo Penal, introduzida pela Lei 13.964/2019, bem como uma enorme dificuldade em se fixar, pela via legislativa, uma técnica exclusiva para que seja assegurada sua integridade, tendo em vista a rica dinâmica dos avanços tecnológicos.
O art. 158-A do CPP fixa o conceito de cadeia de custódia: “considera-se cadeia de custódia o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte”. Como bem apontado por Badaró, não se trata propriamente de uma definição da cadeia de custódia em si, mas sim da documentação da cadeia de custódia. De fato, embora até mesmo a doutrina costume conceituá-la um método[4], a cadeia é, em verdade, uma sucessão de fatos, ou melhor, a “sucessão encadeada de pessoas que tiveram contato com a fonte de prova real, desde que foi colhida, até que seja apresentada em juízo”[5].
Seja como for, nota-se que a legislação faz referência a “vestígios” e “manuseio” das provas, algo que não se aplica às evidências digitais. O art. 158-B do CPP, ao aprofundar a disciplina, estabelece as dez etapas do rastreamento “do vestígio” que compõem a preservação da cadeia de custódia:
Art. 158-B. A cadeia de custódia compreende o rastreamento do vestígio nas seguintes etapas:
I - reconhecimento: ato de distinguir um elemento como de potencial interesse para a produção da prova pericial;
II - isolamento: ato de evitar que se altere o estado das coisas, devendo isolar e preservar o ambiente imediato, mediato e relacionado aos vestígios e local de crime;
III - fixação: descrição detalhada do vestígio conforme se encontra no local de crime ou no corpo de delito, e a sua posição na área de exames, podendo ser ilustrada por fotografias, filmagens ou croqui, sendo indispensável a sua descrição no laudo pericial produzido pelo perito responsável pelo atendimento;
IV - coleta: ato de recolher o vestígio que será submetido à análise pericial, respeitando suas características e natureza;
V - acondicionamento: procedimento por meio do qual cada vestígio coletado é embalado de forma individualizada, de acordo com suas características físicas, químicas e biológicas, para posterior análise, com anotação da data, hora e nome de quem realizou a coleta e o acondicionamento;
VI - transporte: ato de transferir o vestígio de um local para o outro, utilizando as condições adequadas (embalagens, veículos, temperatura, entre outras), de modo a garantir a manutenção de suas características originais, bem como o controle de sua posse;
VII - recebimento: ato formal de transferência da posse do vestígio, que deve ser documentado com, no mínimo, informações referentes ao número de procedimento e unidade de polícia judiciária relacionada, local de origem, nome de quem transportou o vestígio, código de rastreamento, natureza do exame, tipo do vestígio, protocolo, assinatura e identificação de quem o recebeu;
VIII - processamento: exame pericial em si, manipulação do vestígio de acordo com a metodologia adequada às suas características biológicas, físicas e químicas, a fim de se obter o resultado desejado, que deverá ser formalizado em laudo produzido por perito;
IX - armazenamento: procedimento referente à guarda, em condições adequadas, do material a ser processado, guardado para realização de contraperícia, descartado ou transportado, com vinculação ao número do laudo correspondente;
X - descarte: procedimento referente à liberação do vestígio, respeitando a legislação vigente e, quando pertinente, mediante autorização judicial.
Considerado caráter “desmaterializado” das provas digitais, e não sendo compatível o regime do CPP, que metodologia deverá ser utilizada? Como assinada Badaró, “não existe um standard ou uma metodologia para o tratamento da prova digital forense, mas apenas um conjunto de procedimentos mais ou menos consolidados e testados através da experiência”[6].
Há, portanto, um conjunto de melhores práticas reconhecidas nacional e internacionalmente. É o caso dos standards técnicos ISO/IEC 27000, publicados pela ISO (International Organization for Standardization) e pela IEC (International Electrotechnical Commission). No Brasil, destaca-se a norma técnica da ABNT - NBR ISO/IEC 27037:2013, que estabelece diretrizes para identificação, coleta, aquisição e preservação de evidência digital - família ISO 27000 – Gestão da Segurança da Informação[7].
De uma forma geral, a dinâmica da computer forensics é composta das seguintes etapas: 1ª – individualização do suporte informático que contém o dado digital útil ao caso (ex.: disco rígido, aparelho celular etc.) ou da fonte digital na rede (ex.: provedor de aplicações de internet); 2ª – obtenção/extração do dado pela técnica adequada (interceptação de fluxo de dados, sequestro, cópia, espelhamento do suporte etc.); 3ª – conservação dos dados digitais em suporte que assegure a integridade; 4ª – análise dos dados, por intermédio do suporte em cópia; 5ª – apresentação dos resultados em laudo pericial ou de análise, conforme o caso, com os eventuais esclarecimentos.
Todos esses passos devem ser formalmente registrados, com indicação dos agentes que participaram das etapas respectivas. Por óbvio, o registro da da cadeia de custódia é de responsabilidade das pessoas que têm contato com a fonte de prova custodiada[8].
Um dos mais importantes elementos é certamente a conservação os dados, ou seja, a garantia da sua integridade, de forma a autenticá-la (ou, como preferem alguns, princípio da “mesmidade”). Um método valioso para tanto consiste no uso de ferramentas de hashing. Cuida-se de operação realizada por meio de aplicativo que cria um código único (hash) para quaisquer dados que sejam nele inseridos, tornando-se extremamente relevante para fins de preservação da integridade de uma evidência digital coletada. A título de exemplo, ao se utilizar o aplicativo de hashing no conteúdo de um disco rígido (HD) externo ou no conteúdo armazenado por um aparelho celular, será gerado um número de hash único. Se um único arquivo daquela base de dados for modificado, o número hash será diverso. Assim, qualquer alteração no conteúdo poderá ser identificada pela comparação entre o número hash inicial e o número após a suposta alteração, tornando-se inservível a prova[9].
Questiona-se: qual é a consequência da ausência de registro integral da cadeia de custódia, também conhecida como “quebra da cadeira de custódia”?
Em algumas oportunidades, o Superior Tribunal de Justiça analisou a questão. Conforme destacado no julgamento do AgRg no RHC 174156/SC (DJe 24/04/2023), “a configuração da quebra da cadeia de custódia pressupõe a existência de irregularidades no procedimento de colheita e conservação da prova”.
Nessas situações, a jurisprudência consolidada da corte informa que "as irregularidades constantes da cadeia de custódia devem ser sopesadas pelo magistrado com todos os elementos produzidos na instrução, a fim de aferir se a prova é confiável" (HC n. 653.515/RJ, relator Ministro Rogerio Schietti Cruz, Sexta Turma, julgado em 23/11/2021, DJe de 1/2/2022 ). Em outras palavras, eventuais irregularidades no registro da cadeia de custódia não devem conduzir, de imediato, à inadmissibilidade da prova, cabendo ao juízo a análise da sua confiabilidade. Não se trata necessariamente, portanto, de prova ilícita ou ilegítima, como defendem alguns. Em síntese, a questão há de ser resolvida no campo da valoração da prova, especialmente porque é possível que a irregularidade seja de menor relevância. Sobreleva-se, em tal hipótese, a noção de “metaprova”, ou seja, “prova sobre prova”, com o objetivo de demonstrar a autenticidade e a integridade da prova pelos meios possíveis.
Como destacado no voto do ministro Schietti, "se é certo que, por um lado, o legislador trouxe, nos arts. 158-A a 158-F do CPP, determinações extremamente detalhadas de como se deve preservar a cadeia de custódia da prova, também é certo que, por outro, quedou-se silente em relação aos critérios objetivos para definir quando ocorre a quebra da cadeia de custódia e quais as consequências jurídicas, para o processo penal, dessa quebra ou do descumprimento de um desses dispositivos legais. No âmbito da doutrina, as soluções apresentadas são as mais diversas”.
Além disso, também prevalece o entendimento no sentido de que, para que se possa falar em “nulidade decorrente da inobservância da cadeia de custódia pelas instâncias ordinárias”, não sendo ela perceptível de plano, cabe à defesa apontar “elemento capaz de desacreditar a preservação das provas produzidas” (AgRg no HC n. 744.556/RO, Relator Ministro RIBEIRO DANTAS, Quinta Turma, julgado em 6/9/2022, DJe de 13/9/2022).
[1] HC 372.762/MG, 5ª T., rel. Ministro Felix Fischer, DJe 16.10.2017.
[2] AgRg no HC 542940/SP, 6ª T., rel. Nefi Cordeiro, DJe 10.03.2020.
[3] BADARÓ, Gustavo. A cadeia de custódia da prova digital. In: Direito probatório. Londrina: Thoth, 2023.
[4] É o entendimento de Geraldo Prado, para quem a cadeia de custódia seria um "método por meio do qual se pretende preservar a integridade do elemento probatório e assegurar sua autenticidade em contexto de investigação e processo" (PRADO, Geraldo. A cadeia de custódia da prova no processo penal. 2. ed. Rio de Janeiro: Marcial Pons, 2021, p. 162).
[5] BADARÓ, Gustavo. A cadeia de custódia da prova digital. In: Direito probatório. Londrina: Thoth, 2023.
[6] BADARÓ, Gustavo. A cadeia de custódia da prova digital. In: Direito probatório. Londrina: Thoth, 2023.
[7] Diz Badaró: “Do ponto de vista operacional, e no que se refere à mobile forensics, podem ser citados: o NIST Guidelines on Mobile Forensics, de 2014, sob responsabilidade do National Institute for Standards and Technology (NIST), o SWGDE Best Practices for Mobile Devices Evidence Collection and Preservation, Handling, and Acquisition, de 2019, sob responsabilidade do Scientific Working Group on Digital Evidence, e o INTERPOL Global Guidelines for Digital Forensics Laboratory, da INTERPOL, que, de uma maneira geral, são guias com indicação das melhores práticas para recolhimento, conservação, aquisição, análise e apresentação de relatório em dispositivos móveis” (BADARÓ, Gustavo. A cadeia de custódia da prova digital. In: Direito probatório. Londrina: Thoth, 2023).
[8] BADARÓ, Gustavo. A cadeia de custódia da prova digital. In: Direito probatório. Londrina: Thoth, 2023.
[9] Truong, Tri. Hashing in the Cloud: The Private Search Defense Is Active and Potent. MU Law Review, v. 72, p. 343-350, 2019; Branham, Rebekah. Hash it out: fourth amendment protection of electronically stored child exploitation. Akron Law Review, v. 53, p. 217-244, 2019.
