Background

Artigo - Base de dados eletrônica requer cuidados para valer como prova – Por Lorenzo Parodi

Desde os primórdios da informática, sistemas que administram bases de dados são utilizados em atividades de todos os tipos. Servem para armazenar os dados mais variados tanto com intuito de memorizar eles de forma organizada, quanto para busca ou consulta rápida ou ainda para realização de operações (quais cálculos, cruzamentos, etc.).

Pense-se que bases de dados são utilizadas, por exemplo, para armazenar registros de transações financeiras (em contas bancárias ou cartões de crédito), registros fiscais, registros de ligações com telefones, e-mails enviados e recebidos, registros de acesso a locais etc. Até os processos eletrônicos (Lei 11.419/2006) são administrados por sistemas de bases de dados.

Por óbvio, com a expansão da informática para todos os aspectos da vida moderna, as bases de dados iniciaram a ser utilizadas também para ajudar na estruturação e organização de atividades ilícitas de todo os tipos.

Isso explica o sempre maior número de apreensões de equipamentos informáticos contendo bases de dados, em operações policiais e, sobretudo, o porquê bases de dados, em vários formatos (SQL Server, MySQL, Oracle, MS Access etc.), sejam cada vez mais presentes no acervo probatório de processos cíveis e criminais.

É entendimento bastante consolidado (há inclusive uma recente decisão nesse sentido do ministro Rogerio Schietti, do Superior Tribunal de Justiça, em um processo ligado à operação "lava jato") que uma base de dados, presente como prova em um processo, deva ser considerada como “documento”.

Sendo assim, se deduz que, para sua validade, inclusive probatória, uma base de dados deva ter todas as características esperadas de um qualquer outro documento para comprovar sua autenticidade.

Em especial, entendo que não pode haver sinais de omissões ou alterações pois, neste caso, de acordo com o artigo 299 CP, poderia ser tipificada a falsidade ideológica do documento.

Evidentemente a arguição de falsidade de tais documentos, no processo cível, deve seguir as regras do artigo 430 CPC, enquanto no processo criminal não haverá tal prazo, podendo a falsidade ser arguida a qualquer tempo.

É importante observar que, diversamente do que acontece em documentos físicos ou com características gráficas, neste tipo de documento (a base de dados), por sua natureza estritamente eletrônico, é extremamente fácil fazer alterações ou omitir (cancelar) informações.

Não parece ser de muita utilidade, para definir a questão, o artigo 441 do CPC/2015, que reza “serão admitidos documentos eletrônicos produzidos e conservados com a observância da legislação específica”, isso porque, na prática, não existe ainda legislação específica (fora a MP 2.200-2/2001 que trata do ICP-Brasil, pouco relevante para o caso). Por essa razão, tal artigo, por enquanto, serve somente para indicar a importância de se atentar às modalidades e detalhes da produção do documento eletrônico e da sua conservação.

Feitas essas considerações, há diversas situações, bastante comuns, que podem gerar discussão quanto a validade de uma base de dados como prova e até quanto a sua autenticidade como documento.

Me deparei, por exemplo, com um caso no qual uma base de dados cujos registros possuíam um numerador automático (ou seja um campo do registro com um código numérico progressivo e automático) apresentava mais de 30% dos números progressivos faltantes. Ou seja, por exemplo, havia o código 100 e depois passava para o código 103, indicando que os registros correspondentes aos códigos 101 e 102 haviam sido removidos. Considerando que uma base de dados, usada como documento de prova, deve conter dados completos e não omissos (ex. artigo 299 CP), parece-me que esta situação poderia ser motivo mais que suficiente para arguição de falsidade, em função da comprovada remoção (e consequente omissão no documento “base de dados”) de informações possivelmente relevantes que nele constavam.

A mesma situação pode-se apresentar realizando uma análise forense dos registros de “log” (ou seja registros, internos ao sistema, das operações realizadas na base de dados) que, mesmo não sendo abertamente acessíveis, podem, em muitos casos, ser consultados com apropriadas ferramentas forenses. Entendo que num documento na forma de base de dados, no qual se possa comprovar, através do “log”, que houve a remoção de registros (as vezes ainda ocorrida em datas suspeitas), seria igualmente possível a arguição de falsidade, pela omissão ou alteração de registros.

Os registro de “log” podem ainda fornecer outras importantes informações. Imagine-se por exemplo o caso de uma base de dados oferecida como prova em uma “delação premiada” e na qual seja possível, através do "log", comprovar que houve qualquer tipo de atividade (inserção de novos registros, cancelamentos ou alterações) em data posterior aquela da delação ou ainda aquela da eventual prisão dos delatores. Evidente que a credibilidade desta prova estaria prejudicada. Isso independente de outras óbvias considerações e implicações no que diz respeito à cadeia de custodia de tal “documento”.

Há casos nos quais é possível comprovar que uma base de dados, que contém dados supostamente relativos a operações realizadas em determinada época, na realidade foi criada em época muito sucessiva aquela das supostas operações registradas. Isso pode se fazer através da análise de meta-dados presentes em alguns tipos de bases de dados, ou ainda analisando os arquivos que contêm os dados armazenados, entre outras técnicas.

Evidente que, mesmo não sendo possível, neste caso, comprovar omissões ou alterações que poderiam tipificar o crime do artigo 299 CP, a credibilidade e autenticidade de tal base de dados, como “registro de operações”, seria totalmente prejudicada.

Outra situação não incomum, sobretudo em se tratando de bases de dados complexas, com várias tabelas entrelaçadas, é aquela de incongruências e erros lógicos nos cruzamentos. Nesse caso, quando uma base de dados foi de alguma forma adulterada ou editada, é comum que o autor de tais alterações não tenha se atentado a todas as referências do dado alterado (ou cancelado) presentes nas demais tabelas. Imaginem, por exemplo, que a soma total dos valores de um campo de determinados registros em uma tabela, seja armazenada num registro de uma outra tabela, se for alterado ou cancelado um dos valores na primeira tabela e não for atualizado o total na segunda tabela, teremos uma prova ou forte indício de alteração ou cancelamento.

É normalmente possível, com adequadas ferramentas e procedimentos, realizar cruzamentos rigorosos deste tipo, que evidenciem tais incongruências comprovando que houve edição ou cancelamento de dados. No caso, o documento “Base de Dados”, como já detalhado anteriormente, poderia ser objeto de arguição de falsidade pela evidente omissão ou alteração de registros.

Bases de dados são, frequentemente, hospedadas em servidores que podem, inclusive, ser acessados remotamente por quem possua as necessárias autorizações e senhas. Uma base de dados pode ser “baixada”, localmente ou remotamente, a partir de um desses servidores e salva em um formato qualquer.

Neste caso analisar detalhes quanto a sua efetiva origem pode ser de extrema relevância, por exemplo, considerando quanto disposto pelo artigo 154-A CP (invasão de dispositivo informático), pois tal origem deverá ser lícita para que o documento “base de dados” possa ser utilizado como prova (artigo 5, inciso LVI, CF).

Há diversas outras verificações que, dependendo do tipo de sistema, podem ser feitas em bases de dados e que podem ser relevantes para a determinação de sua validade probatória, isso sempre levando em conta que as mesmas são classificadas como documentos.

Reputo interessante, ainda, observar que cada base de dados (entendida como conjunto de tabelas relacionadas) deve ser considerada como um único documento, sendo que, por consequência, a comprovação de adulterações em uma de suas tabelas comportaria a falsidade do documento como um todo.

Concluindo, uma base de dados pode ser uma prova poderosa mas sua autenticidade e validade como tal requerem muitos cuidados quanto à origem e custódia, e uma detalhada análise prévia para verificar sua criação e consistência sob diversos aspectos.

* Lorenzo Parodi é perito em fraudes, falsificações e forense digital.


Fonte: Consultor Jurídico (ConJur)