Antes de iniciar o artigo, gostaria de registrar o orgulho de integrar a UMA, um coletivo que tem sido fundamental para o apoio, a troca de experiências e o fortalecimento das mulheres advogadas em um ambiente jurídico ainda majoritariamente masculino. Agradeço o espaço para discutir tecnicamente uma questão de grande relevância para o Direito e processo criminal: a (i)legalidade do compartilhamento de RIFs - Relatórios de Inteligência Financeira pelo Coaf a pedido de autoridades de persecução penal.

Como é de conhecimento de quem acompanha a matéria, essa discussão tem sido objeto de intensos debates judiciais. Em 2019, ao julgar o RE 1.055.941 (Tema 990), o STF admitiu o compartilhamento, sem autorização prévia, de RIFs e de procedimentos da Receita Federal, desde que respeitados quatro requisitos: (i) sigilo; (ii) existência de procedimento formalmente instaurado; (iii) possibilidade de controle judicial posterior; e (iv) uso de canais oficiais.

Após o julgamento, remanesceu a dúvida sobre a legalidade do compartilhamento dos RIFs nas hipóteses em que a iniciativa não parte do Coaf, mas das próprias autoridades de persecução penal, que solicitam diretamente tais informações ao órgão.

No âmbito do STJ, as turmas com competência criminal apresentavam entendimentos divergentes sobre o tema. A 6ª turma considerava ilícito o compartilhamento de RIFs mediante solicitação direta das autoridades de persecução penal, sem prévia autorização judicial¹. Já a 5ª turma admitia o intercâmbio de informações, desde que houvesse um procedimento de investigação formalmente instaurado, afastando a licitude em casos de procedimentos de apuração prévios às investigações criminais².

Diante da divergência, a matéria foi afetada à 3ª seção do STJ, no julgamento conjunto do agravo no REsp 2.150.571, do RHC 196.150 e do RHC 174.173. Por maioria, a seção concluiu pela ilegalidade do compartilhamento, sem autorização judicial, de relatórios de inteligência financeira pelo Coaf a pedido de autoridades penais. Nos termos do acórdão no AgRg no REsp 2.150.571:

3. O compartilhamento de dados financeiros por meio de solicitação direta pelos órgãos de persecução penal sem autorização judicial não é permitido, conforme interpretação do art. 15 da lei 9.613/1998. 4. A decisão do STF no Tema 990 da repercussão geral não abrange a solicitação direta de dados financeiros por autoridades de persecução penal, mas apenas o compartilhamento de informações do Coaf e da Receita Federal para esses órgãos. 5. A autorização judicial constitui elemento material necessário para a solicitação direta de informações sigilosas, sobrepondo-se a qualquer discussão sobre a natureza jurídica de um procedimento formal.

No âmbito do STF, o tema ainda não foi uniformizado. A 1ª turma entende que o compartilhamento dos RIFs a pedido das autoridades foi objeto de deliberação pelo plenário no julgamento do Tema 990, constando expressamente do voto dos ministros naquela oportunidade³. Além disso, admite a licitude desse compartilhamento mesmo antes da instauração de procedimentos investigativos, abrangendo fases preliminares como "notícia-crime em verificação" e "notícia de fato"⁴.

A 2ª turma do STF, por seu turno, ao tratar do compartilhamento de dados entre a Receita Federal e as autoridades penais, matéria que também integrou o julgamento do Tema 990, decidiu ser ilegal a solicitação direta de dados fiscais pelo Ministério Público, utilizando o precedente citado como referência⁵.

Após a uniformização do entendimento na 3ª seção do STJ, a matéria já é objeto de dois processos conhecidos no STF, que questionam o entendimento do Tribunal Superior: a Rcl 79.982/SP e o RE 1.537.165, este último com repercussão geral já reconhecida.

Adicionalmente, está pendente de julgamento no STF a ADI 7624 ajuizada pelo CFOAB - Conselho Federal da Ordem dos Advogados do Brasil, por meio da qual se pleiteia a interpretação conforme à Constituição Federal ao art. 15 da lei 9.613/1998 (LLD - lei de lavagem de dinheiro), que trata da possibilidade de compartilhamento de informações do Coaf com os órgãos de persecução penal.

Diante desse contexto, o STF deverá, em breve, definir os contornos constitucionais da matéria.

Neste cenário, o objetivo deste artigo é contribuir com a resposta a duas questões centrais: (a) a legalidade do compartilhamento de RIFs a pedido de autoridades de persecução penal e sem autorização judicial foi efetivamente decidida no julgamento do Tema 990? E, caso positivo, (b) os fundamentos adotados naquela ocasião permanecem adequados ou há razões jurídicas supervenientes que justifiquem um overruling desse entendimento?

Para responder ao primeiro questionamento, é necessário atentar à distinção entre ratio decidendi e oibter dictum. Como ensina Danyelle Galvão, no primeiro caso, considera-se "a tese jurídica utilizada para solucionar o caso concreto, construindo uma norma jurídica geral e abstrata que poderá ser utilizada em casos futuros, a depender da similitude fática"⁶. Ainda segundo a autora, a ratio decidendi "não se confunde com a fundamentação da decisão judicial, apesar de nela se encontrar"⁷. O obter dictum, por sua vez, consiste em "um argumento incidental, lateral ou comentário/observação tangencial de passagem que não possui importância para a solução do caso concreto ou que não é objeto da causa"⁸.  Em outras palavras, fica claro que nem tudo o que é mencionado em um precedente adquire força vinculante: apenas a ratio decidendi deve ser observada em casos futuros.

Fixadas essas premissas, a leitura do acórdão proferido no julgamento do Tema 990 permite concluir que, embora alguns Ministros tenham feito referências ao compartilhamento de relatórios de inteligência a pedido das autoridades penais, essa questão não integrou a ratio decidendi da decisão. O objeto fático-jurídico efetivamente julgado dizia respeito ao compartilhamento de informações sigilosas por iniciativa da Receita Federal e do Coaf - e não à via inversa.

Adicionalmente, a menção ao fluxo inverso (autoridade ? Coaf) surgiu apenas de forma incidental, em razão de nota explicativa encaminhada pelo próprio Coaf durante o trâmite do processo. Tal referência foi acessória e não essencial para o deslinde da controvérsia, o que reforça seu caráter de obiter dictum.

Nada obstante, ainda que fosse possível considerar que o compartilhamento dos RIFs a pedido das autoridades integrou a ratio decidendi e formou a tese vinculante, é necessário investigar se há modificações no cenário social e/ou jurídico que permitam avaliar a necessidade de superação do precedente (overruling).

No cenário jurídico, a mudança é evidente. Como ensina Heloísa Estellita⁹, ao tempo do julgamento do Tema 990 (ano de 2019), ainda não havia sido promulgada a EC 115/22 - que incluiu expressamente a proteção de dados pessoais no rol dos direitos fundamentais (art. 5º, LXXIX) - nem entrado em vigor a LGPD - lei 13.709/18).

Esta alteração jurídica tem impacto significativo e direto sobre a questão aqui tratada. O reconhecimento expresso do direito à proteção de dados como direito fundamental subordina a intervenção estatal e penal nesta esfera de direitos à regra da abstenção e exceção de intervenção, que, conforme Heloísa Estellita, possui três pressupostos: um formal, que exige que toda "intervenção tem de ser veiculada em lei em sentido formal, ou seja, uma autorização democrática dada pelo legislador"¹⁰ e dois materiais, que consistem na vedação de atingir o núcleo dos direitos fundamentais e na necessidade de proporcionalidade¹¹.

Não há dúvidas de que a elaboração de RIFs pelo Coaf pressupõe diversas operações de tratamento de dados dos cidadãos¹²- sejam financeiros, sensíveis ou protegidos pelo sigilo -, como a coleta e recepção, o processamento, a avaliação, o armazenamento e a comunicação de dados¹³. Todas essas atividades devem observar, de forma estrita, os limites e as condições estabelecidos em lei em sentido formal.

Ao se analisar a LLD, verifica-se que o sistema de prevenção ali instituído autoriza apenas operações específicas de tratamento de dados, em um fluxo informacional único.

Nos termos dos arts. 10 e 11 da LLD, os sujeitos obrigados devem coletar e avaliar dados de seus clientes, monitorar as operações realizadas com ou por eles e, ao identificarem situações suspeitas, comunicar tais operações ao Coaf¹⁴. Este, por sua vez, recebe, processa e avalia essas informações (art. 3º da lei 13.974/20) e, caso identifique indícios de crime, encaminha-as às autoridades de persecução penal, nos termos do art. 15 da LLD. Essa comunicação ocorre via sistema próprio (SEI-C), por meio dos RIFs - Relatórios de Inteligência Financeira.

O sistema legal é, portanto, de mão única: os dados são coletados e avaliados pelos sujeitos obrigados e comunicados ao Coaf, que, após processamento e análise, pode compartilhá-los com as autoridades de persecução penal, sempre por iniciativa própria do órgão de inteligência.

A via oposta - ou seja, o fluxo de informações das autoridades de persecução penal para o Coaf, com pedidos de compartilhamento - envolve um conjunto de operações de tratamento de dados sem base legal, disciplinadas apenas por normas infralegais. Essa prática, surgida na rotina institucional, foi posteriormente incorporada por atos normativos como a resolução BCB 427/24 e o decreto 9.663/19. Tais instrumentos ampliaram, sem respaldo em lei formal, a competência do Coaf para receber comunicações de autoridades públicas e do público em geral, além de autorizarem o compartilhamento de informações mediante solicitação dos órgãos de persecução penal - atividades que não encontram previsão nem autorização na LLD.

Ante o exposto, uma análise atenta da LLD permite concluir que o compartilhamento de RIFs pelo Coaf a pedido de autoridades penais, sem autorização judicial, não cumpre sequer o primeiro requisito do regime jurídico de proteção de dados, qual seja, a existência de base legal em sentido formal.

Adicionalmente, como afirmaram Heloisa Estellita e Orlandino Gleizer em parecer juntado no Resp 2.150.571, o compartilhamento de RIFs a pedido das autoridades, além de ilegal fere o princípio da separação informacional:

"Franquear ao Ministério Público ou à Polícia a provocação para o acesso a dados, cobertos ou não por sigilo financeiro, armazenados pelo Coaf (...) anularia o regime constitucional (e infraconstitucional) de proteção de dados ao criar uma verdadeira fusão informacional entre órgãos que têm finalidades e autorizações distintas para o tratamento de dados. Por essa via, Ministério Público e/ou Polícia Judiciária teriam acesso a um imenso conjunto de dados que o legislador outorgou apenas ao Coaf, e o faria igualmente contornando a reserva de jurisdição prevista na LC 105/2001"¹⁵.

Trata-se, portanto, de uma violação direta ao direito fundamental à proteção de dados pessoais.

Quanto à elaboração dos RIFs e seu encaminhamento de ofício, a embora exista regramento legal sobre a matéria, entendemos que as normas atualmente vigentes são insuficientes para assegurar a proporcionalidade dessa intervenção estatal. Não há, por exemplo, qualquer previsão sobre o conteúdo dos RIFs - se podem conter, por exemplo, informações de terceiros ou dados sobre a investigação interna realizados pelos sujeitos obrigados ou dados de fontes abertas.

Além dessas lacunas, chama atenção o fato de que as hipóteses de coleta ativa de dados pelo Coaf também são bastante restritas do ponto de vista legal, embora tenham sido ampliadas por resoluções infralegais e pela prática administrativa. As únicas previsões expressas encontram-se no art. 10, V, e no art. 14, § 2º, da LLD. O primeiro impõe aos sujeitos obrigados o dever de atender às requisições do órgão, desde que observados os critérios de forma, periodicidade e condições previamente estabelecidos. O segundo autoriza o Coaf a requisitar informações cadastrais, bancárias e financeiras exclusivamente a órgãos da Administração Pública. O decreto 9.663/19, contudo, ampliou ilegalmente essas hipóteses ao prever, em seu art. 11, V, a possibilidade de requisição de informações a quaisquer órgãos e entidades públicas e privadas - extrapolando os limites fixados pela legislação em sentido formal.

Por fim, inexiste qualquer previsão legal sobre a exclusão de dados das bases do Coaf, que, segundo informações oficiais do próprio órgão, já acumula mais de 57 milhões de comunicações de operações suspeitas¹⁶.

Diante desse quadro, o STF tem, agora, a oportunidade de revisar o tema de forma mais ampla e sistemática, estabelecendo parâmetros que adequem o fluxo de informações dos cidadãos às garantias constitucionais de proteção de dados, devido processo legal e proporcionalidade na intervenção estatal sobre direitos fundamentais.