Cadeia de custódia da prova digital e a ilegalidade do uso de prints de tela como elementos de prova no processo penal
Por Eduardo Titão Motta
Parte da praxe policial na formação do conjunto probatório em casos criminais, as ordens de busca apreensão de materiais eletrônicos requeridas em investigações policiais e a consequente determinação acesso aos dados de celulares e outros aparelhos eletrônicos ganharam novas nuances com a aprovação da Lei Anticrime (Lei 13.964/2019) e a consequente inserção da norma dos Artigos 158-A a 158-F no Código de Processo Penal.
Trazendo os procedimentos para disciplinar a Cadeia de Custódia da prova, definida como os “procedimentos utilizados para manter e documentar a história cronológica do vestígio”[1], a norma visa à manutenção da integridade da prova, desde a coleta da evidência, dos fragmentos, da análise da cena do crime, da transferência da coleta para o laboratório, até a disciplina da identificação, controle e descarte do material coletado.
Vigorando para todos os processos já em curso, a norma complementa o já previsto nos Art. 169 e 170 do CPP (com redação de 1941) reforçando a importância do método na manipulação da prova criminal, evitando a contaminação da evidência, com a matéria pericial perpassando o processo penal e tangenciando as ciências exatas e biológicas.
Em relação à prova eletrônico-digital, informática, entendida como “toda informação de valor probatório contida ou transferida por meio eletrônico”[2] e usualmente associada às tecnologias que utilizam lógica binária, a maior preocupação que deve-se ter diz respeito à fragilidade do conjunto probatório, em face da “grande possibilidade de contaminação dos dados que se pretende coletar”[3].
Essa contaminação pode-se dar especialmente pelo manuseio inadequado dos aparelhos pelas autoridades policiais alinhadas na cadeia de custódia, comprometendo a confiabilidade da prova pela possibilidade de alteração dos dados contidos no material apreendido. Isso vai desde o acesso a registros de conversas em aplicativos de comunicação, pesquisa de histórico em mecanismos de busca, até registros de localização via GPS.
No caso do acesso a registros de mensagens em aplicativos de comunicação, a criptografia de ponta-a-ponta adotada pelos principais softwares permite que “somente o emissor e o receptor tenham as chaves que decodificam os dados”, o que inviabiliza a interceptação telemática tradicional[4], pois somente o extrato da remessa e recebimento de mensagens é acessível às autoridades legais, não seu conteúdo.
Para acessar o texto das mensagens, a saída tradicional das autoridades policiais é a requisição da quebra do sigilo dos e-mail vinculados às contas de mensagens[5], para os quais por padrão é feito o backup de mensagens regularmente (cloud storage). Quando o acesso a dados contidos na nuvem não é possível, faz-se o acesso aos dados armazenados na mídia física (aparelho celular). E é aí que a discussão sobre a cadeia de custódia se intensifica, especialmente em face da manipulação dos aparelhos a fim de apresentar a evidência em fase processual.
Com frequência o que se observa é que os dados de aparelhos apreendidos são apresentados com fotografias ou prints de tela com os dados que se deseja exibir; sejam eles o conteúdo de conversas em aplicativos, registros de histórico de navegação ou dados de trânsito por GPS. A questão reside no procedimento para coletar esses elementos visuais de prova, que pressupõe o manuseio e operação do aparelho apreendido, não garantindo a integralidade e originalidade da prova que, por isso, não pode ser admitida como válida no processo penal, por absoluta falha procedimental e metodológica.
Acerca da integralidade da prova, tem-se como necessária, para sua comprovação, que as evidências disponibilizadas estejam íntegras, com seus devidos hashes, cadeias alfanuméricas geradas matematicamente para cada evidência[6], as quais têm a finalidade de documentar a manutenção da integridade dos arquivos, ou seja, registrar que eles não foram alterados após a apreensão.
Normalmente, a hash é fornecida juntamente com a quebra disponibilizada pelos provedores no caso dedos armazenados na nuvem. No caso da mídia física, o procedimento é diferente. As medidas são normatizadas na ISO/IEC 27037:2013 (Tecnologia da Informação – Técnicas de Segurança – Diretrizes para identificação, coleta, aquisição e preservação de evidência digital) e na RFC 32271[7]. Ao receber um aparelho apreendido, a polícia científica somente faz a análise dos dados forenses após um espelhamento do aparelho por software específico, usualmente as ferramentas UFED Ultimate, UFED 4PC ou UFED Infield, da empresa israelense Cellebrite[8], com uso restrito às instituições públicas de persecução criminal.
Assim, a partir de imagens digitais (espelhamento) geradas dos aparelhos, procedendo-se a devida apresentação da prova sem alterar suas características, sem gerar novos logs e mantendo a hash, se garante a integridade dos dados no aparelho alvo com os dados que continha no momento de sua apreensão, possibilitando inclusive o refazimento da perícia.
A adoção de tais procedimentos dá a segurança que os arquivos não foram alterados por ninguém e garante a manutenção da cadeia de custódia digital, de maneira que o procedimento de manipulação dos aparelhos após sua coleta inviabiliza a prova, a tornando imprestável, por absoluta falta de confiança.
Observe-se que decisão do Superior Tribunal de Justiça, tangenciando o tema, trata justamente sobre essa confiabilidade e possibilidade de manipulação dos dados pela autoridade policial:
Esta Sexta Turma entende que é invalida a prova obtida pelo WhatsApp Web, pois "é possível, com total liberdade, o envio de novas mensagens e a exclusão de mensagens antigas (registradas antes do emparelhamento) ou recentes (registradas após), tenham elas sido enviadas pelo usuário, tenham elas sido recebidas de algum contato. Eventual exclusão de mensagem enviada (na opção "Apagar somente para Mim") ou de mensagem recebida (em qualquer caso) não deixa absolutamente nenhum vestígio, seja no aplicativo, seja no computador emparelhado, e, por conseguinte, não pode jamais ser recuperada para efeitos de prova em processo penal, tendo em vista que a própria empresa disponibilizadora do serviço, em razão da tecnologia de encriptação ponta-a-ponta, não armazena em nenhum servidor o conteúdo das conversas dos usuários" (RHC 99.735/SC, Rel. Ministra LAURITA VAZ, SEXTA TURMA, julgado em 27/11/2018, DJe 12/12/2018). 4. Agravo regimental parcialmente provido, para declarar nulas as mensagens obtidas por meio do print screen da tela da ferramenta WhatsApp Web, determinando-se o desentranhamento delas dos autos, mantendo-se as demais provas produzidas após as diligências prévias da polícia realizadas em razão da notícia anônima dos crimes. (AgRg no RHC 133.430/PE, Rel. Ministro NEFI CORDEIRO, 6ª Turma , DJe 26/02/2021)
Trata-se aqui de se evitar a excessiva valorização desse tipo de prova simplesmente porque apresentada, “a partir do mito da confiabilidade inquestionável das provas científicas”[9], na qual seu destinatário se convence a partir de um conteúdo técnico-científico em relação ao qual são remotas as perspectivas de erros[10].
Aqui, o método importa, sendo a “observação minuciosa de técnicas e ferramentas adequadas em todo o processo pericial fundamental para uma perícia em mídias (físicas) de armazenamento, como discos rígidos, pendrives e outros dispositivos” [11], evitando-se a seleção, supressão, ou mesmo a inserção de dados incriminadores nos aparelhos apreendidos.
Saliente-se a importância da garantia da formalidade no caso, afinal, segundo LOPES JR, esse tipo de prova acaba “por sedar os sentidos e anular o contraditório. Nestas situações, por serem obtidas ‘fora do processo’, é crucial que se demonstre de forma documentada a cadeia de custódia e toda a trajetória feita, da coleta até a inserção no processo”[12], com garantia de integralidade, higidez e método adequado.
[1] O texto é idêntico ao que trazia a Portaria nº 82/2014, do Ministério da Justiça, que disciplinava os procedimentos a serem observados acerca da cadeia de custódia da prova.
[2] DELGADO-MARTÍN, Joaquin. La prueba electrónica en el proceso penal. Diario La Ley nº 8167. Ano 34, Out. 2013.
[3] MENDES, Carlos Hélder Furtado. Tecnoinvestigação criminal: entre a proteção de dados e a infiltração por software. Salvador: JuPodivm, 2020. P.137
[4] ALVES, Gustavo André; LOURENÇO, Marcus Vinícius. Extração de Mensagens do aplicativo WhatsApp. In: JORGE, Higor Vinicius Nogueira. Tratado de Investigação Criminal Tecnológica, 2ªEd. Salvador: JusPodivum, 2021.P.164.
[5] No caso do WhatsApp, a requisição é feita por meio de sistema de solicitação próprio do Google, chamado de LERS (Law Enforcemento Request System).
[6] Hash é um identificador numérico exclusivo gerado por um algoritmo matemático para verificar se uma imagem é idêntica à mídia de origem (hash verificado). Depois que o processo de espelhamento dos dados de um aparelho apreendido é concluído, a próxima etapa é a verificação de hash para garantir que a imagem forense contenha uma cópia exata dos dados que estão sendo copiados. O primeiro hash é gerado contra a evidência e um segundo hash é gerado contra a imagem forense concluída. No final do processo de criação de imagens, as duas hashes são comparados. Se corresponderem, a imagem é verificada e garantida.
[7] BREZINSKI, Dominique; KILLALEA, Tom. RFC 3227: Guidelines for Evidence Collection and Archiving. fev. 2002. Disponível em: <https://datatracker.ietf.org/doc/html/rfc3227>.
[8] WENDT, Emerson; JORGE< Higor Nogueira. Interceptação Telemática de Contas do WhatApp (bilhetagem, extrato de mensagens) – versão 2019.4. In: JORGE, Higor Vinicius Nogueira. Tratado de Investigação Criminal Tecnológica, 2ªEd. Salvador: JusPodivum, 2021.P.164.P. 140
[9] MENDES, Carlos Hélder Furtado. Tecnoinvestigação criminal: entre a proteção de dados e a infiltração por software. Salvador: JuPodivm, 2020. P.135
[10] EBERHARDT, Marcos. Provas no Processo Penal: Análise crítica, doutrinária e jurisprudencial. Porto Alegre: Livraria do Advogado Editora, 2018. P.99
[11] GALVÃO, Ricardo Kléber. Introdução à análise Forense em Redes de Computadores. São Paulo: Novatec Editora, 2019. P. 142
[12] LOPES JR. Aury. Direito Processual Penal, 15ª Ed. São Paulo: Saraiva, 2018. P.262
Eduardo Titão Motta é Doutorando e Mestre em Direito do Estado pela UFPR e advogado criminalista especializado em Investigação Defensiva. Sócio do Gustavo Alberine Pereira Advocacia Criminal, em Curitiba/PR.
Este artigo reflete a opinião de seus autores e não necessariamente a opinião do IBDPE.
Este espaço é aberto aos Associados do IBDPE! Para submeter seu artigo, envie uma mensagem para contato@ibdpe.com.br.