STJ e a importância de profissionalizar investigações corporativas. O Superior Tribunal de Justiça (STJ) divulgou decisão importante para os profissionais que atuam com investigações corporativas.
A edição 763 do seu Informativo de Jurisprudência destacou decisão da Corte no sentido de que são inadmissíveis provas digitais sem registro documental acerca dos procedimentos adotados para a preservação da integridade, autenticidade e confiabilidade dos elementos informáticos.
No caso, uma investigação penal, a defesa sustentou que a polícia não documentou nenhum de seus procedimentos no manuseio dos computadores apreendidos na casa do investigado. Por isso, o STJ, pautado no artigo 158 do Código de Processo Penal, invalidou as evidências oriundas de tais computadores, considerando a ausência de procedimentos técnicos que garantam sua cadeia de custódia.
Apesar de a decisão versar sobre um caso de investigação oficial e não corporativa, seus fundamentos são centrais também para quem atua no mundo privado. Isso ocorre porque a decisão do STJ reforça a necessidade de procedimentos adequados de tecnologia forense (e-Discovery) para que uma prova digital tenha validade jurídica.
Cabe refletir que se o STJ repisa que tais procedimentos são fundamentais para a validade da prova produzida por autoridades públicas, que detêm as presunções de veracidade inerentes à profissão, há de se inferir inclusive que a decisão é ainda mais relevante para os investigadores privados, que não gozam de fé pública e — assim — têm necessidade ainda maior de garantir a confiabilidade das evidências que produzem.
Em igual sentido, mesmo que cite o Código de Processo Penal como fundamento legal, a base da argumentação do tribunal é de teoria da prova, ponto bastante simples e universal em todas as áreas do Direito: uma evidência digital sem procedimentos forenses adequados não pode ser considerada prova, pois não pode ser repetida em juízo e, consequentemente, em sede de contraditório, bem como não possui requisitos mínimos que lhe garantam relação com o caso. Assim, a decisão deve ser encarada como relevante também para nortear procedimentos de outras matérias, como cíveis e trabalhistas.
O julgado ganha importância no âmbito de uma tendência que se verifica hoje no Brasil: ao passo que as grandes investigações corporativas sobre casos de corrupção arrefeceram após terem seu ápice durante a Operação Lava-Jato, é fato que o número de tais procedimentos internos têm escalado o País. A cada ano, mais empresas instituem e realizam medidas de apuração.
Tal fato decorre de múltiplos fatores, como a implementação da Lei Anticorrupção e a popularização dos programas de integridade por ela incentivados, a disseminação da compreensão de que investigações internas podem ajudar as empresas a defenderem seus direitos em juízo e o estabelecimento de normas que as obrigaram a implantar canais de denúncia, procedimentos para investigações internas de diversas naturezas entre outros processos e controles. É o que se nota, por exemplo, na recente Lei 14.457/22, que, em linhas gerais, tornou mandatório que qualquer empresa com mais de 20 funcionários tenha canais de reporte e o estabelecimento de procedimentos para investigações de assédio.
A popularização das apurações internas é ótima notícia para o ambiente de governança corporativa brasileiro e global, fortalecendo a integridade do setor privado. Porém, tal movimento apresenta um efeito colateral natural dos momentos de expansão: o Brasil tem especialistas em investigações corporativas dentre os mais preparados do mundo, mas também é fato que diversas empresas e profissionais estão executando procedimentos de investigação sem adequada formação ou sem a devida atenção aos cuidados técnicos necessários.
Os riscos da condução inadequada de investigações corporativas são variados e podem incluir o agravamento de ameaças reputacionais ou de exposição legal das empresas e até dos próprios investigadores e executivos. Há uma questão, porém, que merece especial cuidado, pois se destaca como a mais comum em investigações corporativas sem adequada profissionalização: a possibilidade de que sejam destruídas evidências que poderiam ser úteis a uma futura defesa dos interesses da empresa ou dos seus dirigentes.
Não raro, têm-se visto investigações corporativas que utilizam procedimentos que invalidam, às vezes permanentemente, seu objeto de análise. Investigadores corporativos, geralmente bem-intencionados e buscando reduzir custos ou ganhar tempo, estão anulando as próprias evidências de sua apuração antes mesmo do início do procedimento. Isso ocorre com adoção de práticas pouco cuidadosas, como a avaliação de um computador corporativo de um funcionário investigado se utilizando de um back-up comum dos dados; a análise de e-mails corporativos da empresa sem uma extração forense; ou até mesmo o simples ato de ligar o celular corporativo de um ex-funcionário suspeito de má-conduta sem que se use a devida cautela.
É por isso que a decisão do STJ é tão relevante. Sua fundamentação dialoga justamente com o risco que bons profissionais de tecnologia forense têm repisado nos últimos anos: a ausência de procedimentos adequados de preservação forense interrompe a cadeia de custódia dos dados analisados e impede sua repetibilidade em juízo, invalidando-os (algumas vezes sem possibilidade de reparação) para qualquer fim de prova em sede judicial ou arbitral.
Para quem realiza investigações corporativas com adequado suporte técnico forense, a decisão do STJ é muito bem-vinda. Ao dizer, por exemplo, que o investigador deve “copiar integralmente (bit a bit) o conteúdo do dispositivo, gerando uma imagem dos dados: um arquivo que espelha e representa fielmente o conteúdo original” e que deve “realizar a técnica de algoritmo hash” para obter uma assinatura única para cada arquivo, o tribunal mostra familiaridade técnica com o tema e reforça que os procedimentos que vêm sendo executados pelos bons especialistas forenses do nosso mercado são corretos e confiáveis. Ou seja, indiretamente legitima os procedimentos já adotados pelos especialistas do setor privado no tema.
Assim, o julgado deve ser interpretado como um alerta sobre os riscos das investigações não profissionais. Estas, ao inadvertidamente tentarem conduzir alguma prova ou informação à luz, podem acabar por condená-las à escuridão permanente.
Por: Emerson Melo é economista e sócio-líder da Prática de Forense e Suporte a Litígios da KPMG no Brasil e André Kersten é especialista em Tecnologia Forense e sócio-diretor da Prática de Tecnologia Forense da KPMG no Brasil.
Veja também:
- ChatGPT: mundo nunca mais será como antes depois da ferramenta
- ChatGPT o que significa para Segurança de Dados
- Como prevenir ataques DDoS como ocorreram no programa Bolsa Família
- Consumidores ameaçam boicotar empresas por falta de higiene de dados
- Como a ISO 27001 pode ajudar as empresas no quesito segurança da informação?
- Empresas que negligenciam a SI correm riscos que vão além do vazamento de dados
- Sanções reforça fiscalização da LGPD e intensifica necessidade da ISO 27001
- Oito dicas para proteger os dados na Internet
- Ataques cibernéticos em nuvem tiveram aumento de 95% em 2022
- Confira mitos e verdades sobre a metodologia DevOps
- Dia Mundial do Backup: 31 de março
- A evolução do ransomware: dados não criptografados são mais valiosos
Deixe sua opinião!