V O T O

O EXCELENTÍSSIMO SENHOR DESEMBARGADOR FEDERAL JOSÉ LUNARDELLI:

Pedi vista dos autos para melhor refletir acerca da questão central nele trazida. Após meditar com detença sobre o tema, entendo assistir razão ao e. Relator.

O ponto fulcral da controvérsia se dá, a meu ver, quanto à própria abrangência, no contexto normativo em tela, do verbo “violar” [sigilo], contido no tipo do art. 18 da Lei 7.492/86) “Violar” é palavra com ampla denotação, abarcando conceitos que, por si sós, já gozam de razoável amplitude semântica, como os de infringir, devassar, desrespeitar, divulgar algo indevidamente (e isso já excluindo as acepções ligadas a violações de ordem religiosa ou sexual, que são impertinentes prima facie ao caso em análise).

O uso de verbo dessa largueza e o contexto normativo em que se encontra inserido apontam para uma razão finalística central que guia a intelecção do tipo penal do art. 18 da Lei 7.492/86: a de proibir e punir a conduta aqueles que, tendo acesso inicialmente lícito a dados bancários ou financeiros protegidos por sigilo (sigilo este constitucionalmente garantido, como se sabe), infrinjam o dever jurídico de respeitar a privacidade de clientes do sistema financeiros e o segredo de operações ou dados de terceiros, pelos quais devem zelar as instituições financeiras e aqueles que nelas exercem emprego, função ou ofício (nos termos e limites do ordenamento).

Pois bem.

O caso concreto traz situação que escapa aos exemplos doutrinários comuns acerca de práticas em tese amoldadas ao art. 18 da Lei 7.492/86 (ou ao art. 10 da Lei Complementar 105/2001, que pune condutas similares, no que ali denomina “quebra de sigilo”). Isso porque, aqui, não se tem a imputação, ao acusado, de um ato de divulgação a terceiros, de revelação a uma ou mais pessoas, de dados protegidos por sigilo. O que o denunciado teria feito, de acordo com a preambular ministerial, seria um acesso a dados sensíveis e sigilosos de clientes, com posterior compilação desses dados (mediante uso de programa que realizava tal manejo). O arquivo resultante teria sido criptografado e enviado pelo acusado a seu e-mail pessoal. O acusado teve acesso aos dados no exercício da função de profissional de informática empregado pela empresa 3CON CONSULTORIA E SISTEMAS S/A, que prestava serviços nessa área à instituição financeira MODAL DTVM LTDA.

Apesar de a denúncia falar em acesso indevido e não autorizado do denunciado aos dados, extrai-se da narrativa e dos elementos colacionados ao feito que o acusado podia, em tese, ter acesso aos dados no exercício de sua função. Não há relato ou prova de que tenha invadido dispositivo ou utilizado senha alheia para o acesso; este apenas foi “indevido” no sentido de não ter justificativa concreta no contexto das atividades exercidas naquele momento pelo profissional.

Tampouco há relato de que o denunciado tenha divulgado o conteúdo, ou seja, que tenha dado conhecimento dos dados sigilosos a terceiro(s). Devido a isso, a denúncia foi rejeitada: no entendimento da e. sentenciante, o tipo penal em questão exige que o autor da conduta divulgue os dados a terceiros, que revele aquilo de que tomou ciência para alguém ou para contingente indeterminado.

Entendo, porém, que “violar” o caráter sigiloso de um dado ou operação protegidos por sigilo bancário é algo que abarca outros atos, os quais também estão compreendidos no conceito de infringir, quebrar, desrespeitar o referido sigilo (e, portanto, contidos no âmbito semântico do conceito de “violar” sigilo). É o caso, em tese, da prática descrita na denúncia. O acesso do acusado aos dados, em si, teria se dado no exercício de seu ofício (ainda que de maneira impertinente a suas tarefas naquele momento). Ele era, ao que parece, ao menos potencialmente autorizado a acessar arquivos e dados sigilosos; tratava-se, afinal, de profissional de informática que atuava junto aos sistemas de instituição financeira, conforme descrito nos autos. Tanto que os diretores da instituição financeira que o ouviram em reunião reduzida a termo em ata notarial (pp. 53 e ss. do ID 264538488) não questionaram a mera possibilidade de ele acessar os dados, mas sim a forma concreta com que isso se deu e a finalidade. 

Ocorre que, segundo a exordial acusatória, o acusado fez mais do que isso. Ele compilou os dados utilizando um programa apto a fazê-lo, e os reteve consigo. Após, enviou os dados sigilosos a seu e-mail pessoal. Com essa conduta, entendo haver, em tese, descrição de ato de violação de sigilo. Isso porque o sigilo bancário pressupõe que funcionários da instituição financeira (ainda que terceirizados, a depender do contexto) acessem de forma eventual e pontual os dados dos clientes. A instituição, afinal, é quem guarda esses dados, os trata e tem o dever de protegê-los; sua atuação se dá, obviamente, por meio das pessoas físicas a ela vinculadas (funcionários em sentido amplo). Se um funcionário de uma instituição financeira acessa dados de cliente no curso e nos limites do relacionamento ordinário entre a empresa e o correntista, não há violação; o acesso acidental tampouco constituiria uma violação para fins penais. Até mesmo o acesso sem justificativa imediata, mas totalmente eventual, rápido e sem registro dos dados (pela pessoa) por qualquer meio, poderia ser entendido como uma irregularidade que não caracteriza uma infringência direta do sigilo. Ainda se trata, nessa circunstância imaginada, de acesso sem retenção da informação pela pessoa física, ou seja, sem que se traia o dever fundamental de que os dados sejam cuidados e guardados apenas pela instituição financeira como pessoa jurídica, sem que seus funcionários possam individualmente ter ciência permanente e indevida de amplo conjunto de elementos sigilosos da vida de clientes.

Diversa é a hipótese em que um funcionário da instituição acessa dados sigilosos de clientes (por exemplo, valores de aplicações e elementos sobre operações financeiras) e os registra de alguma maneira, retirando-os da esfera exclusiva de guarda da instituição. Nesse caso, a pessoa física do funcionário, ainda que legitimada pelo ofício a acessar eventualmente os dados para atividades internas (ou para presentação da instituição financeira junto ao cliente), passou a detê-los para si. A isso nenhum funcionário, diretor ou controlador de instituição financeira está autorizado. É apenas a instituição enquanto tal que pode guardar e tratar os dados sigilosos dos clientes. Aquele que, a partir do exercício de um ofício em instituição, captura para si registros de dados sigilosos de clientes, viola o sigilo bancário, ao retirar da esfera de controle do cliente e da instituição a guarda de tais dados, sem autorização do interessado e sem qualquer respaldo normativo.

Portanto, a violação de sigilo se dá sempre que há infringência ou quebra, por qualquer meio, do caráter restrito das operações, o que pode se dar em tese, inclusive, quando um funcionário (autorizado ou não a ver os dados dentro  da instituição para fins específicos) retém consigo registros permanentes desse jaez.

A diferença entre o acesso eventual, rápido e justificado e aquele seguido de um registro permanente é que, no último, o funcionário deixou de manter sob a guarda exclusiva da instituição os dados: a instituição deixou de ser seu repositório único. Isso, por si, pode constituir violação do sigilo, inclusive na medida em que gera o risco permanente de acesso à informação pelo próprio funcionário (o que não ocorre no acesso eventual, visto que este permite, no máximo, a memorização temporária de alguns elementos esparsos, mas não a compilação permanente, acessível e organizada de grande quantitativo de dados, como datas, valores, natureza de transações e saldos/extratos).

O armazenamento de dados dessa natureza por um funcionário trai os dois bens jurídicos objeto de tutela do tipo: o direito constitucional de sigilo como esfera privada do indivíduo (não acessível por terceiros sem seu consentimento ou fora das regulamentações jurídicas que permitam tal acesso); e a confiabilidade do próprio sistema financeiro como repositório hígido desses dados, justamente com a garantia de que apenas as instituições autorizadas a operar retenham as informações, que não podem ser retiradas por qualquer pessoa física enquanto tal sem autorização do cliente titular dos dados.

Tendo em vista que a denúncia narra conduta que, em tese, se deu dessa maneira, há tipicidade aparente nos termos do art. 18 da Lei 7.492/86. O mesmo ocorre com relação ao art. 10 da Lei Complementar 105/2001 (se se entender que esta revogou integralmente o art. 18 da Lei 7.492/86), visto que a expressão “quebra de sigilo”, constante desse tipo penal, tem a amplitude e finalidade similares, referindo-se justamente à violação, infringência, desrespeito da natureza sigilosa dos dados, por qualquer forma.

Com essas considerações, e havendo elementos iniciais de autoria e materialidade delitiva, bem como descrição suficiente das circunstâncias de modo, tempo e lugar de cometimento de potencial infração penal por pessoa específica (o acusado GUSTAVO POGGIONI MARINS), restam preenchidos os requisitos para recebimento da denúncia.

Ante o exposto, acompanho o e. Relator, dando provimento ao recurso em sentido estrito interposto pelo Ministério Público Federal.

É como voto.

E M E N T A

PENAL. PROCESSO PENAL. DENÚNCIA. REJEIÇÃO. ART. 18 DA LEI Nº 7.492/86. ART. 10, LC 105/2001. VIOLAÇÃO DE SIGILO. DESNECESSIDADE DA INDICAÇÃO DADA AOS DADOS INDEVIDAMENTE VIOLADOS. RECURSO PROVIDO.

1 – Trata-se de recurso em sentido estrito interposto pelo Ministério Público Federal em face de decisão que rejeitou denúncia ofertada pela suposta prática do delito tipificado no art. 18 da Lei nº 7.492/86.

2 – A respeito da tipificação da conduta atribuída na denúncia, há que ser registrado que se trata de questão de menor importância nesta fase procedimental, uma vez que se exige da denúncia a descrição da conduta típica, sendo certo que até a prolação da sentença a peça inicial pode ser aditada e, na própria sentença o magistrado deve conferir a definição jurídica adequada aos fatos, com a aplicação da regra do art. 383 do CPP (emendatio libelli), se for o caso.

3 – Tem-se notado que doutrina e jurisprudência tem reconhecido na espécie que o art. 10 da LC 105/2001 conferiu uma continuidade normativo-típica ao delito do art. 18 da Lei nº 7.492/86, não estabelecendo nova conduta ilícita, apenas regulamentando as hipóteses de quebra de sigilo bancário previstas na Lei nº 7.492/86. Precedentes.

4 - Independentemente da tipificação conferida na denúncia, o certo é que o delito em comento permanece tipificado na lei penal vigente, de modo que, no presente caso, há que se aferir se a denúncia atende aos requisitos formais a autorizar a instauração da ação penal.

5 – O delito em comente trabalha com duas perspectivas. A primeira relaciona-se ao agente que não tem acesso ao sistema, incorrendo em uma violação, de modo a obter um acesso indevido. A segunda, diz respeito àquele que por razões de ofício, possui acesso aos dados sigilos e deles se utiliza divulgando-os ou revelando-os indevidamente a terceiros.

6 - Na presente hipótese, a denúncia narra a primeira situação, onde o denunciado acessou dados que devem ser mantidos em sigilo pela instituição financeira, de modo que não se exige a revelação desses dados a terceiros, ainda que seja possível e, eventualmente, tenha sido o objetivo da violação.

7 - Dessa forma, não há que se requerer que a denúncia narre circunstância não exigida para a configuração do delito, qual seja, a destinação conferida aos dados obtidos mediante violação do sigilo, que no caso, pode ser considerado como mero exaurimento.

8 - Recurso em sentido estrito provido. Denúncia recebida.