jurisprudência.pt - Pesquisa de jurisprudência Portuguesa

O acórdão foi guardado em

Ups... Isto não correu muito bem. Por favor experimente outra vez.

CONVENÇÃO DE BUDAPESTE

LEI DO CIBERCRIME

INTERPRETAÇÃO DA LEI

ELEMENTOS ESSENCIAIS

JURISPRUDÊNCIA INTERNACIONAL

PRINCÍPIO DA TERRITORIALIDADE

SISTEMA INFORMÁTICO

DADOS PESSOAIS

ACESSO A DADOS

LEGALIDADE

Sumário

I - Contextualizando-se a interpretação com um sentido atualista dos art.ºs 19º, 22º e 32º da Convenção sobre o Cibercrime, adotada em Budapeste em 23 de novembro de 2001, à luz dos respetivos objeto e fim, tendo-se devidamente em conta os elementos sistemático e teleológico, assim como a jurisprudência internacional relevante, nomeadamente os Acórdão do Supremo Tribunal Federal Suíço, de 24/05/2017, e do Supremo Tribunal da Noruega, de 29/03/2019 (caso Tidal), cujos países são Partes naquela Convenção, não haverá violação do princípio da territorialidade no acesso e recebimento de dados informáticos armazenados em Cloud Computing, num servidor localizado em território estrangeiro, quando, de harmonia com a legislação interna, os dados pesquisados, ainda que localizados fora do respetivo território, o foram através de credenciais que em si permitiam o acesso legítimo a esses mesmos dados por parte da entidade investigada, a partir do seu próprio território, não assumindo ademais a busca informática realizada uma dimensão que pudesse materialmente pôr em causa o princípio da soberania de outro Estado.
II - O princípio da territorialidade, nos termos previstos na Convenção de Budapeste, assim como o princípio do primado do direito internacional convencional sobre o direito ordinário interno, não terão possibilidade de aplicação quando a busca informática a realizar tiver por objeto dados de um sistema informático situado num “espaço virtual” relativamente ao qual se desconhece o local geográfico das máquinas ou dos materiais físicos de suporte onde tal sistema informático e respetivos dados se encontram guardados, ou, conhecendo-se esse local, o respetivo país não tenha ratificado, aceitado ou aprovado aquela Convenção, nos termos dos art.ºs 2º da Convenção de Viena sobre o Direito dos Tratados e 36º da Convenção sobre o Cibercrime.
III – Concomitantemente não haverá qualquer questão de ilegalidade por confrontação de normas de direito internacional convencional com as normas de direito ordinário interno, e assim também qualquer violação do art.º 8º, nº 2, da Constituição da República Portuguesa.
IV - A determinação pelo Ministério Público, na qualidade de autoridade judiciária, no sentido de se proceder cautelarmente à realização de cópias digitalmente encriptadas, devidamente seladas, sendo uma delas para entregar ao Juiz de instrução criminal, de cujo conteúdo virá este a ter conhecimento em primeiro lugar, tendo em vista a apreciação da existência ou não de grande interesse da mesma para a descoberta da verdade ou para a prova, harmoniza-se com o regime legalmente previsto na Lei do Cibercrime, nomeadamente no seu art.º 17º, relativo à apreensão de correio eletrónico, mostrando-se ademais devidamente salvaguardado o sigilo da correspondência, bem como a garantia de reserva de juiz na tutela dos direitos fundamentais com ela relacionados, tal como sucederá quando no decurso de uma busca informática venham a ser detetados dados suscetíveis de revelar informação de natureza pessoal ou íntima dos visados, nos termos do artigo 16º, nº 3, daquela Lei.
V - A envergadura da investigação, a sua dimensão e a quantidade de dados a pesquisar, torna proporcional e justificada a pesquisa informática sem a utilização de ‘palavras-chave’, sob pena de ficar inabalavelmente prejudicada a pesquisa a realizar e com ela a descoberta da verdade.

(sumário da responsabilidade do relator)

Texto Integral

Processo n.º 5722/22.2T9AVR-A.P1 - 4ª Secção

Relator: Francisco Mota Ribeiro

Acordam, em conferência, no Tribunal da Relação do Porto

1. RELATÓRIO

1.1. Por despacho de 22/05/2024, proferido no Processo de Inquérito n.º 5722/22.2T9AVR, que corre termos no Departamento de Investigação e Ação Penal, Procuradoria da República da Comarca de ..., no qual são arguidas as ora recorrentes A... SUPPLY, S.A. e A... BIO, S.A, pela Senhora Juíza de Instrução Criminal do Juízo de Instrução Criminal ..., Juiz 2, Tribunal Judicial da Comarca ..., na sequência de requerimentos apresentados pelas recorrentes, foi decidido o seguinte:
“(…)
Considerando a extensa dimensão de ficheiros e dados informáticos a pesquisar, a natureza dos crimes em investigação, afigura-se que a interpretação das arguidas carece correspondência com as regras da experiência comum da realização de tal tipo de diligências, porquanto parece impor que as autoridades investigantes antecipem, no momento em que procedem às pesquisas e apreensões, todas as “palavras-chave” que possam ser relevantes para a investigação em curso, o que sempre importaria a realização de diligências muito mais demoradas, impondo-se a suspensão da atividade das próprias arguidas enquanto não fossem selecionadas cada uma das “palavras chave” potencialmente relevantes.
Termos em que, improcede a alegada invalidade das pesquisas informáticas efetuadas.
Por fim, as arguidas invocam ainda a nulidade da eventual extração e/ou apreensão de correios eletrónicos e demais correspondência eletrónica, confundindo a pesquisa e apreensão de dados informáticos – realizadas, como se disse, em obediência ao disposto nos artigos 15.º e 16.º da Lei do Cibercrime – com o momento do seu conhecimento em primeiro lugar pelo Juiz de Instrução competente, a fim de aferir da sua pertinência/relevância para a prova ou, ainda, aferir se revelam dados pessoais ou íntimos que possam colocar em causa a privacidade do respetivo titular ou de terceiro (artigo 16.º, n.º 3 da Lei do Cibercrime), ou se incluem correio eletrónico e registos de comunicações de natureza semelhante (artigo 17.º da Lei do Cibercrime).
Ora, a pesquisa e apreensão não se confunde com o conhecimento em primeiro lugar pelo Juiz de Instrução, para os fins previstos no disposto nos artigos 16.º, n.º 3 e 17.º da Lei do Cibercrime, o qual foi devidamente observado – cfr. despachos proferidos por este Juízo de Instrução Criminal em 17 de abril de 2024 (fls 753 a 755) e em 26 de abril de 2024 (fls 792 a 793), e auto de leitura de correio eletrónico (a fls 795) – encontrando-se os autos a aguardar a elaboração dos respetivos relatórios de análise com vista à seleção de mensagens e/ou dados/registos de comunicação relevantes para a prova.
Termos em que, pelas razões supra expostas, julga-se não verificada a nulidade arguida.
Notifique as arguidas, com cópia dos despachos proferidos em 17 de abril de 2024 (fls 753 a 755) e em 26 de abril de 2024 (fls. 792 a 793), e do auto de leitura de correio eletrónico (a fls 795) e bem assim da promoção que antecede.”
1.2. Não se conformando com tal decisão, dela vieram interpor recurso as arguidas, apresentando motivação que termina com as seguintes conclusões (transcrição apenas das que verdadeiramente poderão traduzir um resumo das razões do pedido à luz do art.º 412º, nº 1, do CPP):
“(…)
8. EM PRIMEIRO LUGAR, os atos de extração, cópia e pesquisa informática de dados informáticos (incluindo correios eletrónicos) armazenados em servidor informático localizado fora de Portugal são nulos, por violação das regras de competência/jurisdição.
9. Com efeito, está em causa a cópia, extração e pesquisas informáticas de dados informáticos, incluindo correios eletrónicos, armazenados num sistema informático em cloud Microsoft Azure inserida em servidor localizado no estrangeiro disponibilizado pela Microsoft Ireland Operations Limited ao Grupo A..., ao abrigo co contrato entre a A... Energy, S.A. e a Microsoft Ireland Operations Limited, do qual as ora Arguidas beneficiam.
10. Esta circunstância gera a nulidade das diligências de busca, pesquisas informáticas e atos materiais de extração e cópia dos dados informáticos armazenados no aludido servidor localizado no estrangeiro, incluindo e-mails (e mesmo apreensão material de correio eletrónicos), por falta de competência/jurisdição das Autoridades Judiciárias, por força dos artigos 118º, nº 1, 119º - al. e) e 122º do CPP, e, subsidiariamente, irregularidade, por força dos artigos 118º, nº 2 - in fine, e 123º do CPP, também por violação dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime, atentos as conclusões elencadas de seguida.
Primeiro (…)
12. O entendimento internacional quanto ao facto de que as buscas, extração e cópia de dados informáticos armazenados no sistema informático no estrangeiro por parte de outro Estado implica o recurso aos mecanismos de cooperação internacional, quando os arguidos não consentem no acesso transfronteiriço e este é feito coercivamente (como foi o caso dos presentes autos).
13. Segundo: ao contrário do que foi referido no Despacho recorrido, a atual Convenção sobre o Cibercrime (Budapeste) não autoriza que um Estado aceda remotamente a dados informáticos (incluindo nomeadamente e-mails) armazenados num sistema informático localizado noutro Estado, na ausência de consentimento do titular dos dados informáticos ou no caso de os dados não estarem publicamente disponíveis, tal como é o caso.
14. Tanto assim é que, a Comissão da Convenção sobre o Cibercrime preparou um Segundo Protocolo Adicional à Convenção sobre o Cibercrime (cfr. artigo 7º, nº 1) que visa autorizar a emissão de "extraterritorial production orders" (isto é, ordens ou mandados de buscas transfronteiriças emitidas por um Estado para obtenção de dados informáticos armazenados noutro Estado), que se encontra aberto à assinatura e ratificação desde Maio de 2022, mas apenas a Sérvia e o Japão ratificaram este Segundo Protocolo Adicional, mas a sua entrada em vigor requer um mínimo de 6 ratificações e Portugal não ratificou este Segundo Protocolo (artigo 16º, nºs 1 a 3, do Segundo Protocolo Adicional à Convenção sobre o Cibercrime).
(…)
16. Por conseguinte, o Despacho recorrido não pode pretender aplicar uma regra material constante do artigo 7º, nº 1, do Segundo Protocolo Adicional à Convenção sobre o Cibercrime que não está em vigor e nem foi ratificada por Portugal, ao contrário do que o Despacho recorrido fez.

(…)
18. Assim, os atos de extração, cópia, pesquisas informáticas e apreensão material dos dados informáticos, incluindo e-mails, do sistema informático em cloud Microsoft Azure inserida em servidor localizado no estrangeiro disponibilizado peia Microsoft Ireland Operations Limited ao Grupo A..., ao abrigo do contrato entre a A... Energy, S.A. e a Microsoft Ireland Operations Limited (do qual as ora Arguidas beneficiam), praticados nas diligências de 10 e 18 de Abril de 2024, nos Escritórios do Grupo A... estão feridos de nulidade, por falta de competência das Autoridades Judiciárias, por força dos artigos 118º, nº 1, 119º - al. e) e 122º do CPP, e, subsidiariamente, irregularidade, por força dos artigos 118º, nº 2 - in fine, e 123º do CPP, também por violação dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime (Budapeste), o que determina a revogação do Despacho recorrido que enferma dos mesmos vícios.
19. Terceiro: ao ter entendido que as regras de competência ou jurisdição internacional não foram violadas, o Despacho recorrido incorreu na violação dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime atualmente em vigor, estando em causa direito internacional que vigora na ordem jurídica interna (aprovada pela Resolução da Assembleia da República nº 88/2009), por força do nº 2 do artigo 8º da Constituição da República Portuguesa.
20. Na medida em que resulta da conjugação dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime que o acesso e a obtenção transfronteiriça de dados informáticos implicam o recurso aos mecanismos de cooperação internacional, quando não existe consentimento do respetivo titular ou os dados não são públicos (como é o caso dos presentes autos), as Autoridades Judiciárias portuguesas não podiam aceder e extrair, diretamente, os dados informáticos constantes do sistema informático em cloud Microsoft Azure inserida em servidor localizado no estrangeiro disponibilizado pela Microsoft Ireland Operations Limited ao Grupo A..., incluindo às ora Arguidas.
(…)
22. Ora, no caso concreto, os ficheiros informáticos acedidos e extraídos da aludida cloud Microsoft Azure localizada no estrangeiro não estão, naturalmente, disponíveis em fonte aberta, nem há consentimento voluntário por parte das ora Arguidas Buscadas para proceder à sua disponibilização/entrega, o que, aliás, ficou, expressamente, consignado nos requerimentos apresentados pelas ora Arguidas em anexo aos autos de "pesquisas informáticas" aquando das diligências nos Escritórios do Grupo A..., em 10 e 18 de Abril de 2024.
23. Por conseguinte, as Autoridades Judiciárias portuguesas tinham de ter, necessariamente, recorrido aos mecanismos de cooperação internacional para pesquisa, extração e/ou apreensão dos ficheiros informáticos arquivados em servido- localizado no estrangeiro (i.e., da cloud Microsoft Azure constante de servidor localizado no estrangeiro), nomeadamente ao abrigo dos artigos 29º e 31º da Convenção sobre o Cibercrime, o que não foi observado no caso dos presentes autos.
24. Os artigos 29º, 31º e 32º da Convenção sobre o Cibercrime reportam-se às situações em que se pretende preservar, pesquisar ou obter prava/dados informáticos de servidores que se encontram no estrangeiro, por oposição às situações em causa no nº 1 do artigo 19º desta Convenção que visa apenas a busca e apreensão de dados informáticos por um Estado num sistema informático "no seu território", tal como está previsto na parte final desta norma.
(…)
27. Quarto: por força do nº 2 do artigo 8º da Constituição da República Portuguesa (CRP), os artigos 29º, 31º e 32º da Convenção sobre o Cibercrime vigoram na ordem jurídica portuguesa e, inclusivamente, prevalecem sobre a lei interna portuguesa, inclusivamente sobre a Lei do Cibercrime (Lei n.° 109/2009, de 15 de setembro, sucessivamente alterada), até porque, neste contexto, a lei interna deve ser interpretada à luz do Direito internacional.
28. Assim, à luz do primeiro do Direito Internacional, o artigo 15º, nº 5, da Lei do Cibercrime (Lei nº 109/2009) não permite a pesquisa, extração e/ou apreensão de dados informáticos (ficheiros e e-mails) localizados num servidor estrangeiro, mesmo que o acesso seja feito a partir de Portugal, porquanto o artigo 15º, nº 5, da Lei do Cibercrime está sujeito e restrito ao poder jurisdicional exercido unicamente em Portugal, não permitindo a pesquisa, extração e/ou apreensão de dados armazenados em servidores localizados no estrangeiro.
29. Até porque o artigo 15º da Lei do Cibercrime tem como pressuposto a existência de um acesso legítimo ao sistema informático, o que não ocorre caso se aceda a um sistema informático localizado no estrangeiro desde Portugal, sem qualquer ordem das autoridades do Estado em que se encontra localizado esse servidor, nem sem consentimento do respetivo titular (no caso de os dados informáticos não estarem disponíveis em fonte aberta).
30. E, bem assim, o artigo 15º, nº 5, da Lei do Cibercrime está subjugado e tem de ser interpretado em conformidade com os artigos 19º, 29º, 31º e 32º da Convenção sobre o Cibercrime, por força do artigo 8º, nº 2, da Constituição da República Portuguesa, de onde resulta o primado do direito internacional sobre o direito interno.
31. O artigo 15º, nº 5, da Lei do Cibercrime interpretado e aplicado no sentido de que as autoridades judiciárias portuguesas podem determinar a busca e apreensão de dados informáticos armazenados em sistema informático localizado no estrangeiro com acesso remoto a partir de Portugal, viola o artigo 8º, nº 2, da CRP, que consagra o primado do Direito Internacional, designadamente dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime.
(…)
34. EM SEGUNDO LUGAR, acresce que os dados informáticos pesquisados, extraídos e copiados pelo OPC do aludido sistema informático em cloud Microsoft Azure localizado no estrangeiro (aquando das diligências no Escritório do Grupo A..., em 10 e 18 de abril de 2024) violaram o artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º nº 1. 122º, 126º, nº 3. e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC;
35. Nas diligências de 10 e 18 de abril de 2018, nos Escritórios do Grupo A..., foram extraídos, copiados pela Autoridade Tributária (enquanto OPC) correios eletrónicos e correspondência eletrónica do aludido servidor (incluindo designadamente das pessoas indicadas na página 2 do auto de pesquisa informática da diligência de 10 de Abril de 2024 nos escritórios do "Grupo A..."), tendo sido nomeadamente copiados para os discos externos que foram levados coercivamente pela Autoridade Tributária para fora do Escritório das ora Arguidas Buscadas.
36. Estas circunstâncias determinam as invalidades (maxime nulidade) resultantes da violação do artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC, foram, tempestivamente, invocadas nas aludidas diligências realizadas no Escritório do Grupo A... em 10 e 18 de abril de 2024.
(…)
38. Primeiro: a acolher-se o sentido do Despacho recorrido, isto implicaria uma verdadeira "revolução" e abnegação da interpretação da lei e da prática judiciária, porquanto a posição adotada neste caso concreto do Ministério Público e do Despacho recorrido levaria ao entendimento inadmissível de que, em caso algum, seria necessário Despacho e Mandado prévios do JIC para realizar buscas que implicassem a extração e cópias de correios eletrónicos de sistemas informáticos, o que vai contra a lei, a jurisprudência e a prática judiciária.
39. Isto determina a procedência do presente recurso e a declaração de nulidade das pesquisas, extração e cópia dos aludidos correios eletrónicos pelo Ministério Público e OPC e, bem assim, o Despacho recorrido, por violação do artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP.
40. Segundo, mesmo as pesquisas informáticas de correio eletrónico carecem de Despacho Judicial prévio - que, neste caso, não existiu -, porquanto se afigura aplicável o regime da apreensão de correspondência, nomeadamente o artigo 17º da Lei do Cibercrime.
41. Por conseguinte, as pesquisas informáticas, extração e cópia de correspondência eletrónica realizada pelo Ministério Público e OPC do aludido sistema informático em cloud Microsoft Azure localizado no estrangeiro (aquando das diligências realizadas no Escritório do Grupo A..., em 10 e 18 de abril de 2024) violou o artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC, o que determina a sua nulidade, o que se requer que seja declarado,
42. Terceiro: acresce que o artigo 17º da Lei do Cibercrime refere e exige a autorização judicial no que diz respeito à correspondência eletrónica, pelo que esta norma não distingue entre autorização "inicial" ou "final", pelo que a extração e cópia de e-mails pelo OPC e Ministério Público depende, efetivamente, de Despacho judicial prévio.
43. Assim, o Despacho recorrido e as pesquisas informáticas, extração e cópia de correspondência eletrónica realizada pelo Ministério Público e OPC do aludido sistema informático em cloud localizado no estrangeiro (aquando das diligências realizadas no Escritório do Grupo A..., em 10 e 18 de abril de 2024) violaram o artigo 17º da Lei do Cibercrime (Lei nº 109/2009). conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, n ° 1, do CPP, por falta de Despacho e Mandado prévios do JIC, o que determina a sua nulidade, o que se requer que seja declarado.
46. Por conseguinte, os Despachos posteriores proferidos pela Meritíssima JIC, nomeadamente em 17 de abril de 2024, afiguram-se insuficientes para obstar à nulidade da extração, cópia e apreensão material (ainda que provisória) correios eletrónicos realizadas pelo Ministério Público e OPC do aludido sistema informático em cloud Vlicrosoft Azure localizado no estrangeiro.
(…)
48. EM TERCEIRO LUGAR, acresce que as diligências de buscas, apreensão e pesquisas de dados informáticos realizadas pelo OPC em 10 de Abril de 2024 nos aludidos Escritórios do Grupo A... em ... (que, neste caso, a diligência foi concluída em 18 de abril de 2024) e na sede da Arguida A... Supply, S.A. estão feridas de irregularidade, por terem excedido o âmbito do respetivo despacho e mandado de buscas, apreensão e pesquisas informáticas do Ministério Público, nomeadamente em virtude de que os atos de extração, cópia, pesquisa e apreensão foram realizados sem o recurso à utilização de palavras-chave para delimitar a apreensão dos ficheiros informáticos e e-mails no âmbito dos Despachos de Busca, Apreensão e Pesquisa Informática do Ministério Público, ainda que tenham sido utilizadas limitações temporais e uma lista de utilizadores.
(…)
51. Primeiro: os artigos 15 a 17º da Lei do Cibercrime estão fundados na base que assenta em que, quando no decurso do processo se tornar necessária a produção de prova, tendo em conta a descoberta da verdade, procede-se à apreensão dos dados informáticos em causa, sendo que, no caso de correio eletrónicos, a lei requer inclusivamente um critério mais exigente no sentido de que a apreensão apenas pode ter lugar relativamente aos correios eletrónicos que "se afigurem ser de grande interesse para a descoberta da verdade ou para a prova".
52. Daqui resulta que a lei impõe dois critérios para a realização das buscas, apreensões e pesquisas de dados informáticos: (i) que a produção da prova dos dados informáticos seja necessária (princípio da necessidade); e (ii) que a produção de prova vise a descoberta da verdade no caso de dados informáticos e, de forma mais exigente, que seja de "grande interesse para a descoberta da verdade ou para a prova ",
53. Estes dois requisitos (necessidade e descoberta da verdade) acima referidos implicam, necessariamente, que se tenham em consideração os indícios em causa no processo e no despacho / mandado de buscas, apreensão e pesquisas informáticas, em função dos quais os atos de execução de buscas, apreensão e pesquisas informáticas se devem conformar e devem ser sindicados.
54. Caso não sejam utilizadas palavras-chaves na execução das diligências de buscas, apreensão e pesquisas informáticas, então afigura-se impossível assegurar a conformidade destas diligências face ao âmbito do despacho/mandado que as ordenou e face à lei.
55. Assim, as diligências de busca e apreensão e pesquisas informáticas realizadas nos Escritórios do Grupo A... e na sede da Arguida A... Supply, S.A. incorreram em irregularidade, nos termos dos artigos 118º, nº 2 in fine, e 123º do CPP, por violação dos artigos 16º a 18º da Lei do Cibercrime, e, bem assim, o Despacho recorrido, o que se requer que seja declarado.
56. Segundo, note-se que a designada "busca per varrimento" no sentido de busca "em que se procurem determinados documentos por termos ou palavras chave" (expressão usada no Acórdão do Tribunal da relação de Lisboa, de 12 de novembro de 2019, processo nº 71 /18.3YUSTR.J.L.1) é admissível, "desde que tal busca tenha conexão com a conduta que se investiga".
(…)
58. Terceiro, o artigo 16º da Lei do Cibercrime exige, ainda, que a apreensão dos dados informáticos seja feita de forma adequada e proporcional, D que apenas é possível aferir e sindicar caso tivessem sido usadas palavras-chave nas buscas e apreensões e pesquisas informáticas nas diligências dos Escritórios do Grupo A... e na sede da Arguida A... Supply, S.A., por referência aos indícios sob investigação, tal como foi feito nas diligências realizadas na sede da Arguida A... Bio, S.A.
59. Com efeito, o nº 7 do artigo 16.° da Lei do Cibercrime refere-se, inclusivamente, ao facto de que a apreensão deve ser feita de forma adequada e proporcional, o que está em linha com o princípio da proporcionalidade consagrado no artigo 18.°, nº 2, da Constituição da República Portuguesa.
60. Quarto: o Despacho recorrido não fundamentou, nem deu qualquer explicação legal, para que os procedimentos adotados na diligência de busca e apreensão e pesquisas de dados informáticos nos Escritórios do Grupo A... e na sede da ora Arguida A... Supply, S.A., sem recurso a palavras- chave, pudessem ser distintos das diligências realizadas na sede da Arguida A... Bio, SA., com recurso a palavras-chave.
61. Em face do exposto, a extração, pesquisa e/ou apreensão dos dados informáticos - isto é, os ficheiros informáticos e e-mails - em causa na diligência realizada na sede da Arguida A... Supply, S.A. e nos Escritórios do Grupo A... em 10 e 18 de abril de 2024, sem recurso à utilização de palavras-chave, e bem assim o Despacho recorrido violam o disposto nos artigos nos artigos 15º, 16º, nºs 1 e 7, e 17º da Lei do Cibercrime, o que determina a irregularidade da extração, pesquisa e/ou apreensão destes dados informáticos em causa, por força dos artigos 118º, nº 2 in fine, e 123º do CPP, e do Despacho recorrido que incorreu em erro na aplicação do Direito, o que se requer que seja declarado.
62. Assim, este recurso deve ser julgado procedente, o Despacho recorrido deve ser revogado e, ainda, deve ser declarada a invalidade da extração, pesquisa e/ou apreensão dos dados informáticos - isto é, os ficheiros informáticos e e-mails-em causa na diligência realizada na sede da ora Arguida A... Supply, S.A. e nos Escritórios do Grupo A... em 10 e 18 de abril de 2024.
63. EM QUARTO LUGAR, afigura-se ferido de nulidade o ato de que, aquando das diligências de busca e apreensão e pesquisas informáticas realizadas no Escritório do Grupo A... em ..., em 10 e 18 de abril de 2024, foram extraídas e realizadas cópias das caixas de correio eletrónico (armazenadas no sistema informático em cloud Microsoft Azure inserida em servidor localizado no estrangeiro) de AA e BB que têm o domínio "@B....es" (e não "@A....pt" ou "@A...energy.com").
64. Sucede que a extração e cópia e, acrescente-se mesmo, apreensão material (ainda que provisória) das aludidas caixas de correio eletrónico com o domínio "@B....es" não se enquadram no âmbito dos indícios sob investigação, que foi excedido, o que determina a nulidade da extração, cópia e mesmo apreensão material (ainda que provisória) destas caixas de correio eletrónico, por força do disposto no artigo 17º da Lei de Cibercrime, conjugado com os artigos 118º nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC e por excesso do âmbito dos indícios que legitimaram as referidas diligências, o que se requer que seja declarado.
65. Para além de nem sequer existir Mandado e Despacho prévios do JIC a autorizar a apreensão material de e-mails e correspondência eletrónica, a extração e apreensão material de e-mails destas contas de correio eletrónico "@B....es" excedem o âmbito do mandado de pesquisas informáticas do Ministério Público e do Despacho do Ministério Público que deu origem a esse mandado, porquanto os presentes autos se referem às Arguidas A... Bio, S.A. e A... Supply, S.A. e não ao Grupo B....
66. Primeiro: os fundamentos invocados acima quanto às invalidades associadas à busca, extração e cópia dos e-mails determinam e abrangem, igualmente, a invalidade na extração, cópia, pesquisas informáticas e apreensão material (ainda que provisória).
67. Segundo: resulta da conjugação dos artigos 15º a 17º da Lei do Cibercrime que as pesquisas informáticas e apreensão de correio eletrónico exige que estas diligências sejam "necessárias", "se afigurem ser de grande interesse para a descoberta da verdade ou para a prova" e, ainda, respeitem os princípios da proporcionalidade e adequação, o que não se verifica relativamente à extração, cópia, pesquisas ou apreensão material (ainda que provisória) de caixas de correio eletrónico com um domínio que não seja do Gripo A... (mas sim, em particular, do Grupo B...).
68. Com efeito, nos indícios que motivaram a emissão dos Despachos de busca e apreensão e pesquisas informáticas estão em causa indícios, única e exclusivamente, relativos às ora Arguidas A... Bio, S.A. e A... Supply, S.A., e não indícios relativos ao Grupo B....
69. Por conseguinte, a extração e cópia, as pesquisas informáticas e/ou apreensão material (ainda que provisória) não são "necessárias", nem se afiguram de grande interesse para a descoberta da verdade, não sendo, por isso, proporcionais, nem adequadas.
70. O que viola a conjugação dos artigos 15º a 17º da Lei do Cibercrime, com a aplicação da cominação prevista no artigo 17.° da Lei do Cibercrime, que determina a nulidade da extração, cópia, pesquisas informáticas e apreensão material (ainda que provisória) dos correios eletrónicos de AA e BB, que têm o domínio "@B....es", o que se requer que seja declarado.
71. Assim, o Despacho recorrido incorreu em erro na interpretação e aplicação destas normas de Direito, com a consequente nulidade deste Despacho, por força da aplicação conjugada dos artigos 15º a 17º da Lei do Cibercrime, o que implica a procedência do presente recurso, com a consequente invalidade da extração, cópia, pesquisas e/ou apreensão material das caixas de correio eletrónico de AA e BB, com o domínio "@B....es".
1.3. O Ministério Público respondeu, concluindo pela negação de provimento ao recurso
1.4. A Exma. Senhora Procuradora-Geral-Adjunta, junto deste Tribunal, emitiu douto parecer, no qual concluiu pela improcedência do recurso.
1.5. Foi cumprido o art.º 417º, nº 2, do CPP, tendo as arguidas respondido ao parecer, concluindo como no recurso interposto.
1.6. Tendo em conta o objeto do recurso, as questões a resolver são as seguintes:
1.6.1. Saber se as buscas informáticas realizadas nas instalações das recorrentes padecem ou não de nulidade, ou de irregularidade, com fundamento na violação da Convenção de Budapeste, mais precisamente das regras de competência territorial dos Estados aí estabelecidas, assim como na violação do princípio do primado do direito internacional sobre o direito interno, com a consequente violação do art.º 8º, nº 2, da CRP;
1.6.2. Inconstitucionalidade da interpretação dada pelo Tribunal a quo ao art.º 15º, nº 5, da Lei do Cibercrime;
1.6.3. Violação do artigo 17º da Lei do Cibercrime, conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por as buscas não terem sido precedidas de um despacho do juiz de instrução criminal;
1.6.4. Irregularidade das buscas efetuadas por nelas não se ter recorrido à utilização de palavras-chave para delimitar o âmbito da apreensão dos ficheiros informáticos e e-mails;
1.6.5. Irregularidade das mesmas buscas por a extração de algumas cópias das caixas de correio eletrónico não se enquadrar no âmbito dos indícios sob investigação, que as recorrentes consideram ter sido excedido.

2.2. Fundamentação
2.2.1. Factos a considerar
1. A 25/03/2024, por determinação da Senhora Procuradora da República, a exercer funções no Departamento de Investigação e Ação Penal, 1ª Secção, da Procuradoria da República ..., foi determinada a emissão de mandado de busca e apreensão, nos seguintes termos:
“MANDADO DE BUSCA E APREENSÃO
A Procuradora da República, Dra. CC, do MINISTÉRlO PÚBLICO - Procuradoria da República da Comarca ... - Departamento de Investigação e Ação Penal – 1ª Secção ...:
MANDA que, nos termos dos art.ºs 174º, nºs 1 a 3, 176º, nº 1 e 178º, nºs 1, 3 e 4, todos do C. P. Penal, seja passada BUSCA às instalações abaixo identificadas, PARA EFECTIVA APREENSÃO de todos os elementos que possam esclarecer a investigação e instrução do processo, a cumprir no prazo máximo de 30 DIAS.
Antes de se proceder a busca, é entregue cópia do despacho que a determinou a quem tiver a disponibilidade do lugar, fazendo-se menção de que pode assistir à diligência e fazer-se acompanhar ou substituir por pessoa de sua confiança, que se apresente sem delonga. Faltando as pessoas referidas, a cópia do despacho pode ser entregue, sempre que possível, a um parente, vizinho ou porteiro ou alguém que o substitua - art.º 176º, nºs 1 e 2, do C.P. Penal.
Nos termos do nº 3 do mesmo preceito legal, juntamente com a busca ou durante ela pode proceder-se a revista de pessoas que se encontrem no lugar, se quem ordenar ou efetuar a busca tiver razões para presumir que alguém oculta na sua pessoa quaisquer objetos relacionados com um crime ou que possam servir de prova.
No que dispõe o art.º 173º do referido diploma legal, a autoridade competente pode determinar que alguma ou algumas pessoas não se afastem do local do exame e obrigar, com o auxílio da força pública, se necessário, as que pretenderem afastar-se a que nele se conservem, enquanto o exame não terminar e a sua presença for indispensável.
De tudo se lavrará auto.
LOCAL DA DILIGÊNCIA: Instalações e sede da Sociedade “A... BIO, S.A.’, sitas no Lote ..., ..., ... ...”
2. Na mesma data, pela mesma autoridade judiciária, foi determinada a emissão de um outro mandado de busca e apreensão, com o mesmo teor do anteriormente descrito, mas tendo como local de realização da diligência as “Instalações/Escritórios do ‘GRUPO A...’, sitas na Rua ..., Piso 2, ... ...”;
3. Também a 25/03/2024, pela mesma autoridade judiciária foi determinada a emissão de mandado de pesquisa informática, nos seguintes termos:
“MANDADO DE PESQUISA INFORMÁTICA
A Procuradora da República, Dra. CC, do MINISTÉRIO PÚBLICO - Procuradoria da República da Comarca ... - Departamento de Investigação e Ação Penal – 1ª Secção ...:
MANDA que, nos termos do artigo 11º, nº 1, aI, b) e c) e 15º, nº 1, da Lei nº 109/2009, de 15 de setembro (Lei do Cibercrime), seja efetuada PESQUISA INFORMÁTICA de todo o material informático pertencente/utilizado pelos suspeitos que, eventualmente, venha a ser encontrado aquando da realização das buscas anteriormente determinadas, podendo a pesquisa ser estendida a outros sistemas informáticos, ou em partes diferentes do sistema primeiramente pesquisado, a cumprir no prazo máximo de 30 DIAS — nº 2 do artigo 15º da Lei do Cibercrime.
Tais dados deverão ser extraídos nos termos do artigo 16º, nº 7, alínea b) e nº 8, da Lei do Cibercrime, efetuando cópias em duplicado, digitalmente encriptadas, as quais serão seladas, uma para entrega ao secretário judicial e outra para ser junta ao processo.
Caso venham a ser detetados, no decurso da pesquisa informática dados cujo conteúdo, para além daquele que se revele fundamental para a prova nos autos, possa igualmente incluir, em abstrato, dados suscetíveis de revelar informação de natureza pessoal ou íntima dos visados, nos termos do artigo 16º, nº 3, da referida lei, aqueles deverão ser extraídos nos termos do artigo 16º, nº 7, alínea b) e nº 8, efetuado cópias em duplicado, digitalmente encriptadas, as quais serão seladas, uma para entrega ao secretário judicial e outra para entregar para apreensão e posterior apresentação de tais dados informáticos ao Juiz de Instrução Criminal.
Após a realização da pesquisa será efetuado o competente relatório da mesma a apresentar para validação da preensão dos dados informáticos, no prazo de 72 horas, nos termos do artigo 16º, nº 4, da Lei do Cibercrime e artigo 178º, nº 5, do Código de Processo Penal, com a elaboração do relatório previsto no artigo 253º, do Código de Processo Penal.
De tudo se lavrará auto.
LOCAL DA DILIGÊNCIA: Instalações e sede da Sociedade “A... BIO, S.A.’, sitas no Lote ..., ..., ... ...”
4. Pela mesma autoridade judiciária, na mesma data, foi determinada a emissão de um outro mandado de pesquisa informática, com o mesmo teor do anteriormente descrito, mas tendo como local de realização da diligência as “Instalações e sede da Sociedade A..., S.A.’, sitas no Lote ..., ..., ... ...”
5. Pela mesma autoridade judiciária, na mesma data, foi determinada a emissão de um outro mandado de pesquisa informática, com o mesmo teor do anteriormente descrito, mas tendo como local de realização da diligência as Instalações/Escritórios do “GRUPO A...”, sitas na Rua ..., Piso 2, ... ...”
6. Na sequência do cumprimento dos mandados de busca informática emitidos, pelo Órgão de Polícia Criminal competente foram lavrados os respetivos autos de busca, que têm o seguinte teor:
6.1.
“Processo de Inquérito nº 5722/22.2TAVR
AUTO DE PESQUISA INFORMÁTICA
Tendo-se acedido ao sistema informático das instalações, na presença dos representantes da buscada, foi feita a análise dos mesmos com base nos factos objeto da investigação, resultando daí a criação de Evidências Digitais.
As evidências digitais assumem a forma de Evidências Digitais Lógicas (Contentor de Ficheiros) que contém os ficheiros selecionados.
Das Evidências Digitais Lógicas criadas, foi calculada a assinatura de HASH (SHA1), de cada um dos ficheiros resultantes, garantindo-se assim a preservação, autenticação e inalterabilidade da prova.
Origem das Evidências Digitais Lógicas
- Backups das seguintes bases de dados, alojadas num servidor virtual presente na plataforma Cloud AZURE:
• bilanciai;
• bilanciaiv2;
• LabWay_LIMS_A..._2020;
• LabWayLIMS_A..._2022;
• acp_msa_A...;
• acp_msa_A...;
• acpj3rio;
• ....
EVIDÊNCIAS DIGITAIS:

*Num*	*ORIGEM*	*Tipo*	*Evidência* *Digital*	*Hash (SHA1)*
*ED 1*	Base de dados (Servidor virtual Plataforma AZURE)	DADOS	BDs_A....LO1	....

Devido à morosidade na exportação das caixas de correio eletrónico e das contas OneDrive da plataforma Cloud AZURE, cuja conclusão não se consegue tecnicamente determinar, fica consignado que esta informação será entregue, pela buscada, até ao final do dia 18 de abril de 2024, ou logo que a mesma fique disponível, (contactando para o efeito o funcionário do NIF DD, tlm: ...27) conforme o acordado com o responsável Administrador de Sistemas EE (tlm: ...78) dos seguintes utilizadores:
• FF
• GG
• HH
• II
• JJ
• KK
• LL
• MM
• NN
• OO
• PP
• QQ
• RR
• BB
• AA
• FF
• SS
• TT
• UU
• VV
• WW
• XX
• YY
As evidências digitais lógicas, foram colocadas no seguinte dispositivo, afeto ao presente Processo de Inquérito para posterior análise:
- Pen Drive da marca MediaRange, com o número de série ...01, com 128 GB de capacidade.
No decurso da diligência, foi apresentado requerimento pela defesa da buscada, o qual segue em anexo ao presente auto.
No final da diligência, foi testemunhado pelo representante da buscada o normal funcionamento de todos os equipamentos intervencionados.”
6.2.
AUTO DE PESQUISA INFORMÁTICA
PROCESSO NUIPC: 5722/22.2T9AVR
Aos 10 dias do mês de abril de 2024, pelas 11 horas e 30 minutos, os funcionários que executam a busca ZZ, AAA, BBB, em serviço na Divisão Operacional do Norte da Direção de Serviços Antifraude Aduaneira, tendo-se dirigido ao local sito no Lote ..., ... ... ... sede da sociedade A... SUPPLY, SA NIF: ...27, onde se deslocaram no exercício das suas funções, acompanhados pelo(s) funcionário(s) CCC, em serviço, no Núcleo de Informática Forense, e por DDD funcionário da ..., observadas as formalidades legais, nomeadamente, as menções previstas no nº 1 e 2 do Artigo 176º do C.P.P, iniciaram a diligência entregando a AA, natural de ..., nacionalidade espanhola, nascido em ../../1968, filho de EEE e de FFF, estado civil casado, com a profissão de Economista, com o numero de telefone ...83, contribuinte n° ...64, portador do documento de identificação (Passaporte) ... emitido em/com validade até ../../2027, detentor da disponibilidade do local, o duplicado do MANDADO DE BUSCA E APREENSÃO, bem como a cópia do Despacho de 14/02/2024 da Autoridade Judiciária que ordenou a diligência.
E no seguimento da diligência CERTIFICAM que procederam à apreensão dos documentos e objetos a seguir discriminados nos termos do disposto nos artigos 178º e 183º do Código de Processo Penal e à identificação das seguintes pessoas que no local se encontravam:
1- PESSOAS IDENTIFICADAS
Por se encontrarem no local identificaram-se as seguintes pessoas:
-AA, CEO (Chief Executive Officer) da A... BIO SA;
- GG, NIF: ...92, com as funções de COO (Chief Operating Officer) na A... BIO, SA;
- GGG, Nff ...65, com funções de COO (Chief Operating Officer) na A... SIJPPLY, SA;
-FF, NIF ...06..., com funções de Diretor ... na A... SUPPLY, SA;
- Dra HHH, OA n° ...;
- Dr. III, OA n° ...20...;
II- DOCUMENTOS E OBJECTOS DE PESQUISA
No âmbito da diligência de busca tendo-se acedido ao sistema informático das instalações e nos postos de trabalho a seguir identificados, na presença dos representantes da buscada, foi feita a análise dos mesmos com base nos factos objeto da investigação, resultando daí a criação de Evidencias Digitais Lógicas.
Os ficheiros selecionados foram incluídos em Evidencias Digitais Lógicas, (Contentor de Ficheiros), sendo calculada posteriormente a assinatura de HASH, (SHAI), de cada urna daquelas Evidencias Digitais, garantindo-se assim a preservação, autenticação e inalterabilidade da prova.
As Evidencias Digitais Lógicas contendo dados foram colocadas numa PEN Driver da marca MEDIARANGE, com o número de série ...21, com 128 GB de capacidade, afeto ao presente Processo de Inquérito para posterior análise.
Origem das Evidencias Digitais Lógicas
- ED1: Posto de Trabalho de GG - COO (Chief Operating Officer) na A... RIO, SA, identificado na rede como ... da marca LENOVO, modelo ... e sn: ...;
- ED2: Posto de Trabalho de GGG - COO (Chief Operating Officer) na A... SUPPLY, SA, identificado na rede corno ..., da marca LENOVO, modelo ... e sn:...;
- ED3: Posto de Trabalho de FF - Diretor ... na A... SUPPLY, SA, identificado na rede corno ..., da marca LENOVO, modelo ... e sn:...;
EVIDÊNCIAS DIGITAIS:

Num	ORIGEM	Tipo	Evidência Digital	Hash (SHA1)
ED1	...	DADOS	...	...
ED2	...	DADOS	...	...
ED3	...	DADOS	..._DADOS.LO1	...

No final da diligência, foi testemunhado pelo representante da buscada o normal funcionamento de todos os equipamentos intervencionados.
III — DESTINO DOS ELEMENTOS
Os elementos apreendidos destinam-se a ser juntos aos autos de inquérito supra identificados, a correr termos no Departamento de Investigação e Ação Penal (DIAP) ... — 1 secção.
IV — ENCERRAMENTO
Terminada a diligência às 19 horas e 20 minutos do dia 10 de abril de 2024, e para constar foi lavrado o presente Auto que, depois de lido, vai ser encerrado, rubricado e assinado pelos intervenientes, tendo sido facultada cópia do mesmo ao detentor da disponibilidade do local.
V-NOTA
Consiga-se que o defensor da sociedade arguida A... SUPPLY, SA, NIF: ...27, Dr. III, OA no ...20..., juntou requerimento que se anexa ao presente auto.
Consigna-se por fim que AA se ausentou do local buscado cerca das 18H50, por motivos inadiáveis, tendo indicado para o substituir o Dra HHH, CC ...16, Diretora de Serviços Jurídicos da A....
6.3.
Processo de Inquérito nº 5722/22.2TAVR
AUTO DE PESQUISA INFORMÁTICA
Tendo-se acedido ao sistema informático das instalações, na presença dos representantes da buscada, foi feita a análise dos mesmos com base nos factos objeto da investigação, resultando daí a criação de Evidências Digitais, usando-se para o efeito as seguintes palavras-chave fornecidas pelo responsável do Processo:
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...04
...25
...09
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
BIOCOMBUSTIVEL ...
As evidências digitais assumem a forma de Evidências Digitais Lógicas (Contentor de Ficheiros) que contém os ficheiros selecionados.
Das Evidências Digitais Lógicas criadas, foi calculada a assinatura de HASH (SHAI), de cada um dos ficheiros resultantes, garantindo-se assim a preservação, autenticação e inalterabilidade da prova.
Origem das Evidências Digitais Lógicas
• Posto de Trabalho do LABORATÓRIO, identificado na rede como ..., sem marca, modelo e S/N visíveis;
• Posto de Trabalho identificado na rede como ..., da marca LENOVO, modelo ...... e ...: ...;
• Posto de Trabalho de LL, identificado na rede como ..., da marca LENOVO, modelo ...... e ...: ...;
• Posto de Trabalho de MM, identificado na rede como ..., da marca LENOVO, modelo ...... e ...: ...;
• Posto de Trabalho de NN, identificado na rede como ..., da marca LENOVO, modelo ...00 e ...: PF4778F1;
• Servidor identificado na rede como ... — Pasta ....

Num	ORIGEM	Tipo	Evidência Digital	Hash (SHAI)
ED1	...	DADOS	... DADOS.LO 1	...
ED2	...	DADOS	21 ..._DADOS. LO 1	...
ED3	...	DADOS	..._DADOS.LO 1	...
ED4	...	DADOS	..._DADOS. LO 1	...
ED5	...	DADOS	..._DADOS.LO 1	...
ED6	...	DADOS	... 1 ...	...

EVIDÊNCIAS DIGITAIS:

. Dos diversos Shares de rede existentes no posto de trabalho de LL, atrás melhor identificado, procedemos à seleção e criação das seguintes evidências digitais lógicas:

Num	ORIGEM	Tipo	Evidência Digital	Hash (SHAI)
ED7	Share em ...	DADOS	..._DADOS.L0 1	...
...	Share em ...	DADOS	..._DADOS.L0 1	...
...	Share em ...	DADOS	..._DADOS.LO1	...
...	Share em ...	DADOS	..._3_2024_DADOS.LO1	...
ED11	Share em ...	DADOS	3_Soapstocks_facts_DADOS.LO1	...
ED12	Share em ...	DADOS	... dos ...01	...

. Por solicitação do responsável do processo, a D. LL, no seu posto de trabalho, forneceu-nos a seguinte informação proveniente do SAP, que deu lugar à criação da seguinte evidência digital lógica:

Num		ORIGEM		Tipo		Evidência Digital		Hash (SHAI)
...		... - SAP		DADOS		...		...

As evidências digitais lógicas, foram colocadas no seguinte dispositivo, afeto ao presente Processo de Inquérito para posterior análise:
• PEN da Marca MediaRange, com o número de série ...91, com 32 G13 de capacidade.
Devido à morosidade na seleção da informação existente no servidor ..., cuja conclusão não se consegue, tecnicamente, determinar, fica consignado que esta informação será entregue; pela buscada, até ao final do dia 18 de abril de 2024, ou logo que a mesma fique disponível, (contactando para o efeito o funcionário do NIF CCC, tlm: ...98), conforme o acordado com o responsável Administrador de Sistemas JJJ, (tlm: ...00).
No final da diligência, foi testemunhado pelo representante da buscada o normal funcionamento de todos os equipamentos intervencionados.”
6.4.
“Processo de Inquérito nº 5722/22.2T9AVR
AUTO DE PESQUISA INFORMÁTICA
Aos dezoito dias do mês de abril de 2024, deu-se por concluído a pesquisa e extração de dados informáticos (que não emails) do servidor “...” (acedido a partir das instalações da A... Bio, SA). Iniciada a 10 de abril de 2024 e na presença de um representante da cada, JJ CC ...82, com a função de Diretora de Produção e Melhoria Contínua, resultando daí a criação de Evidências Digitais, usando-se para o efeito as seguintes palavras-chave fornecidas pelo responsável do Processo:
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
BIOCOMBUSTIVEL ....
As evidências digitais assumem a forma de Evidências Digitais Lógicas (Contentor de Ficheiros) que contém os ficheiros selecionados.
Das Evidências Digitais Lógicas criadas, foi calculada a assinatura de HASH (SHA1), de cada um dos ficheiros resultantes, garantindo-se assim a preservação, autenticação e inalterabilidade da prova.
Origem das Evidências Digitais Lógicas
• Servidor identificado na rede como ... acedido através do Posto de trabalho de JJJ - Gestor de infraestruturas, identificado na rede como ..., da marca LENOVO, modelo ... e sn:....

Num	ORIGEM	Tipo	Evidência Digital	Hash (SHAI)
...	...	DADOS	... .LO1	...

EVIDÊNCIAS DIGITAIS:

Processo de Inquérito nº 5722/22.2T9AVR
AUTO DE PESQUISA INFORMÁTICA
Aos dezoito dias do mês de abril de 2024, pelas 9h00, deu-se por concluído a exportação das (…) de correio eletrónico e das contas OneDrive da plataforma Cloud AZURE, das (…) infra referenciadas, iniciada a 10 de abril de 2024 (acedido a partir Dos escritórios (…) A...”, sitos na rua ..., ...) e na (…) de um representante da buscada, EE CC ...65, com a função de (…) Sistemas de Informação, resultando daí a criação de Evidências Digitais.
(…) das caixas de correio eletrónico e das contas OneDrive da plataforma Cloud Azure, de:
• FF
• GG
• HH
• II
• JJ
• KK
• LL
• MM
• NN
• OO
• PP
• QQ
• RR
• BB
• AA
• FF
• SS
• TT
• UU
• VV
• WW
• XX
• YY

EVIDÊNCIAS DIGITAIS:

Num	ORIGEM	Tipo	Evidência Digital	Hash (SHAI)
ED1	OneDrive Cloud Azure	DADOS	Onedrive.zip	...
ED2	Exchange Cloud Azure	MAIL	MaiIzip	...

As evidências digitais lógicas, foram colocadas no seguinte dispositivo, afeto ao presente Processo de Inquérito para posterior análise:
- Disco Externo da marca Toshiba, com o número de série ......, com 4 TB de capacidade.
Porque foram selecionados ficheiros que correspondem a caixas de correio eletrónico, o dispositivo, acima identificado, foi devidamente selado em saco de prova identificado com o número ...83 para posterior apreciação da relevância do seu conteúdo pelo senhor Juiz de Instrução Criminal.
A presente diligência foi acompanhada pela mandatária da buscada, Dra. KKK, com Cédula Profissional ...23..., com domicílio profissional, sita na Praça ... ... ....
No decurso da diligência, foi apresentado requerimento pela defesa da buscada, o qual segue em anexo ao presente auto.
No final da diligência, foi testemunhado pelo representante da buscada o normal funcionamento de todos os equipamentos intervencionados.
O presente auto foi encerado às 12Horas e 15 minutos do dia 18 de abril de 2024.
7. Na sequência das buscas realizadas, as ora recorrentes, a 10 e 18 de abril de 2024, aquando das referidas diligências nos Escritórios do "Grupo A..." e na sede da Arguida A... Supply, arguiram irregularidades, assim como a invalidade das mesmas, com os fundamentos seguintes: a) o facto de a extração e cópia de dados informáticos (incluindo e-mails) ter sido realizada em servidor localizado fora de Portugal; b) ter a extração e cópia de correios eletrónicos sido obtida sem despacho judicial para tal efeito; c) extração e cópia de dados informáticos, incluindo emails, sem utilização de palavras-chave associadas aos indícios sob investigação, cujo âmbito foi excedido; d) extração e cópias das caixas de emails de AA e BB com o domínio "@B....es" (e não "@A....pt" ou @A...energy.com") que não se enquadram no âmbito dos indícios sob investigação, que foi excedido.
8. Sobre tais requerimentos recaiu o seguinte despacho (transcrição dos excertos mais relevantes):
“Alegam as arguidas que foram violadas as disposições referentes ao acesso transfronteiriço a sistemas e dados informáticos previstas nos artigos 29.º a 32º da referida Convenção.
Neste conspecto, cumpre referir que tais normas regulam o auxílio mútuo entre Estados em matéria de medidas cautelares tendo por base a circunstância da existência de dados informáticos armazenados através de um sistema informático situado no território de um outro Estado parte, que não o Estado que pretende a busca, apreensão ou a divulgação dos dados.
No caso concreto, independentemente da localização geográfica dos respetivos servidores, os sistemas informáticos encontravam-se em território português e, portanto, acessíveis às autoridades judiciárias portuguesas, carecendo de fundamento legal a invocada necessidade de recurso às medidas previstas na aludida Convenção, as quais visam, como se disse, uma cooperação internacional intensa, rápida e eficaz e que não se compadece com a interpretação efetuada pelas arguidas, considerando que as normas ali previstas visam assegurar a conservação de dados informáticos armazenados através de sistema informático situado em território de outro Estado.
Termos em que, improcede a alegada violação das regras relativas à competência previstas na Convenção do Cibercrime.
Mais invocam as arguidas que os atos de execução das pesquisas informáticas e respetiva extração/apreensão material ocorridos nas instalações do GRUPO A... e da arguida A... SUPPLY, S.A. (nomeadamente nos computadores portáteis dos trabalhadores GGG, GG e FF) são inválidos porquanto os ficheiros informáticos foram extraídos, pesquisados e/ou apreendidos sem o recurso à utilização de palavras-chave para delimitar a apreensão dos ficheiros informáticos, ainda que tenham sido utilizadas limitações temporais e uma lista de utilizadores.
Resulta do disposto no artigo 15.º, n.º 1, da Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime), sob a epígrafe “Pesquisa de dados informáticos” o seguinte: «Quando no decurso do processo se tornar necessário à produção de prova, tendo em vista a descoberta da verdade, obter dados informáticos específicos e determinados, armazenados num determinado sistema informático, a autoridade judiciária competente autoriza ou ordena por despacho que se proceda a uma pesquisa nesse sistema informático, devendo, sempre que possível, presidir à diligência.»
Por outro lado, do disposto no artigo 16.º, n.º 1 e n.º 7 da Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime), sob a epígrafe “Apreensão de dados informáticos” o seguinte:
«1. Quando, no decurso de uma pesquisa informática ou de outro acesso legítimo a um sistema informático, forem encontrados dados ou documentos informáticos necessários à produção de prova, tendo em vista a descoberta da verdade, a autoridade judiciária competente autoriza ou ordena por despacho a apreensão dos mesmos.
(…)
7. A apreensão de dados informáticos, consoante seja mais adequado e proporcional, tendo em conta os interesses do caso concreto, pode, nomeadamente, revestir as formas seguintes:
a) Apreensão do suporte onde está instalado o sistema ou apreensão do suporte onde estão armazenados os dados informáticos, bem como dos dispositivos necessários à respectiva leitura;
b) Realização de uma cópia dos dados, em suporte autónomo, que será junto ao processo;
c) Preservação, por meios tecnológicos, da integridade dos dados, sem realização de cópia nem remoção dos mesmos; ou
d) Eliminação não reversível ou bloqueio do acesso aos dados.»
Volvendo ao caso dos autos, o Ministério Público (que é a autoridade judiciária competente nesta fase processual) por despacho proferido a fls. 538 a 540 (ponto II), tendo sido previamente ordenada a realização de busca às instalações e sede das sociedades “A... BIO, S.A.” e “A... SUPPLY, S.A.” e às instalações/escritórios do “GRUPO A...” e existindo no caso em apreço uma forte possibilidade de os suspeitos deterem elementos relacionados com a prática do crime em investigação armazenados em suportes de natureza digital ou eletrónica, mormente computadores, tablets, telemóveis e outros suportes de armazenamento de dados informáticos, ordenou que, aquando da realização daquelas buscas, se procedesse a pesquisa informática (e eventual, apreensão) dos sistemas ou dispositivos que viessem a ser encontrados nos locais determinados para realização das ditas buscas, em respeito pelo preceituado nos citados artigos 15.º e 16.º da Lei do Cibercrime.
Ora, não existe na legislação em vigor uma imposição às autoridades investigantes que efetuem a pesquisa mediante a utilização de “palavras-chave”, sendo essa uma técnica de investigação recorrentemente utilizada para “filtrar” as pesquisas, porém que não é legalmente imposta, aliás como decorre do aludido artigo 16.º, n.º 7 da Lei do Cibercrime.
A este propósito veja-se a recente jurisprudência do Tribunal da Relação de Lisboa, de 25 de janeiro de 2024, no âmbito do Processo n.º 1/21.5ICLSB-A.L1-9, onde pode ler-se que: «I. O legislador da Lei do Cibercrime, com a menção feita no seu art.º 15.°, n.°1, à obtenção de dados informáticos específicos e determinados, não pretendeu certamente abarcar uma exigência legal de pré-identificação exata e rigorosa dos dados informáticos a pesquisar, no decurso de buscas, mas tão-só pretendeu que houvesse uma interligação entre os dados informáticos pesquisados e a sua relevância probatória para a descoberta da verdade material. II. O procedimento que tem vindo a ser genericamente denominado de “cópia cega”, não é, só por si e de forma imediata, reprovável ou inadmissível, podendo encontrar-se justificada a necessidade de se proceder à pesquisa dos dados informáticos (art.º 15º da LCC), em local externo, relativamente ao local buscado, por recurso, excecional, à “cópia cega” de tais ficheiros. III. É que, a “cópia cega” a que apenas se lançou mão na sequência da grande extensão dos ficheiros a pesquisar, não constitui uma apreensão, em sentido estrito, mas, antes, uma diligência prévia necessária, uma actuação meramente “facilitadora”, com vista a permitir um extenso trabalho posterior: a efectivação da pesquisa devida e autorizada pelo JIC - a qual, pela circunstância excepcional referida, deverá ter lugar num local externo.»
Considerando a extensa dimensão de ficheiros e dados informáticos a pesquisar, a natureza dos crimes em investigação, afigura-se que a interpretação das arguidas carece correspondência com as regras da experiência comum da realização de tal tipo de diligências, porquanto parece impor que as autoridades investigantes antecipem, no momento em que procedem às pesquisas e apreensões, todas as “palavras-chave” que possam ser relevantes para a investigação em curso, o que sempre importaria a realização de diligências muito mais demoradas, impondo-se a suspensão da atividade das próprias arguidas enquanto não fossem selecionadas cada uma das “palavras chave” potencialmente relevantes.
Termos em que, improcede a alegada invalidade das pesquisas informáticas efetuadas.
Por fim, as arguidas invocam ainda a nulidade da eventual extração e/ou apreensão de correios eletrónicos e demais correspondência eletrónica, confundindo a pesquisa e apreensão de dados informáticos – realizadas, como se disse, em obediência ao disposto nos artigos 15.º e 16.º da Lei do Cibercrime – com o momento do seu conhecimento em primeiro lugar pelo Juiz de Instrução competente, a fim de aferir da sua pertinência/relevância para a prova ou, ainda, aferir se revelam dados pessoais ou íntimos que possam colocar em causa a privacidade do respetivo titular ou de terceiro (artigo 16.º, n.º 3 da Lei do Cibercrime), ou se incluem correio eletrónico e registos de comunicações de natureza semelhante (artigo 17.º da Lei do Cibercrime).
Ora, a pesquisa e apreensão não se confunde com o conhecimento em primeiro lugar pelo Juiz de Instrução, para os fins previstos no disposto nos artigos 16.º, n.º 3 e 17.º da Lei do Cibercrime, o qual foi devidamente observado – cfr. despachos proferidos por este Juízo de Instrução Criminal em 17 de abril de 2024 (fls 753 a 755) e em 26 de abril de 2024 (fls 792 a 793), e auto de leitura de correio eletrónico (a fls 795) – encontrando-se os autos a aguardar a elaboração dos respetivos relatórios de análise com vista à seleção de mensagens e/ou dados/registos de comunicação relevantes para a prova.
Termos em que, pelas razões supra expostas, julga-se não verificada a nulidade arguida.
Notifique as arguidas, com cópia dos despachos proferidos em 17 de abril de 2024 (fls 753 a 755) e em 26 de abril de 2024 (fls 792 a 793), e do auto de leitura de correio eletrónico (a fls 795) e bem assim da promoção que antecede.
Devolva ao DIAP.”

2.2.2. Fundamentação fáctico-conclusiva jurídica
A primeira questão suscitada pelas recorrentes respeita ao facto de as diligências de pesquisa informática e a extração de cópia de dados informáticos, incluindo correios eletrónicos, terem por objeto dados que estavam armazenados num sistema informático em Cloud Microsoft Azure, inserida em servidor localizado no estrangeiro, disponibilizado pela Microsoft Ireland Operations Limited ao Grupo A..., ao abrigo do contrato entre a A... Energy, S.A. e a Microsoft Ireland Operations Limited, do qual as ora Arguidas beneficiam. E daí concluem as recorrentes padecerem de “nulidade as diligências de busca, pesquisas informáticas e atos materiais de extração e cópia dos dados informáticos armazenados no aludido servidor localizado no estrangeiro, incluindo e-mails (e mesmo apreensão material de correio eletrónico), por falta de competência/jurisdição das Autoridades Judiciárias, por força dos artigos 118º, nº 1, 119º - al. e) e 122º do CPP, e, subsidiariamente, irregularidade, por força dos artigos 118º, nº 2 - in fine, e 123º do CPP, também por violação dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime.”
Fundamentam tal pretensão invocando a Convenção sobre o Cibercrime, adotada em Budapeste em 23 de novembro de 2001, aprovada pela Resolução da Assembleia da República n.º 88/2009, e ratificada pelo Decreto do Presidente da República n.º 91/2009, publicados no Diário da República Série I, n.º 179, de 15 de setembro de 2009, a qual, nos termos do n.º 4 do seu artigo 36.º, entrou em vigor para a República Portuguesa no dia 1 de julho de 2010 (Cf. Aviso do Ministério dos Negócios Estrangeiros nº 97/2013, publicado Diário da República, 1.ª série - N.º 209 - 29 de outubro de 2013), e mais precisamente o seu art.º 19º, o qual limita expressamente as buscas e apreensões de dados informáticos ao território dos Estados, admitindo a competência destes para atuarem fora dos seus territórios nacionais apenas nos casos previstos no art.º 32º, cujo complexo normativo está inserido no âmbito das disposições normativas sobre o auxílio mútuo em matéria de medidas cautelares, e especificamente do acesso transfronteiriço a dados armazenados num computador, em caso de consentimento, ou de se tratar de dados acessíveis ao público.
Diz o art.º 32º da referida Convenção o seguinte: “Uma Parte pode, sem autorização de uma outra Parte: a) Aceder a dados informáticos acessíveis ao público (fonte aberta), independentemente da sua localização geográfica; b) Através de um sistema informático situado no seu território, aceder a dados informáticos no território de uma outra Parte, ou recebê-los, se obtiver o consentimento legal e voluntário da pessoa com legitimidade para lhe divulgar os dados através desse sistema informático.”
A norma relevante para a questão colocada pelos recorrentes, à luz da qual as autoridades nacionais poderiam atuar nos termos em que o fizeram, seria, portanto, a referida na alínea b) do art.º 32º, pois, no seu entendimento, relativamente aos dados informáticos constantes do sistema informático em Cloud Microsoft Azure, não estando disponíveis em fonte aberta, e sendo disponibilizados pela Microsoft Ireland Operations Limited ao Grupo A..., as autoridades portuguesas só poderiam ter o acesso àqueles dados informáticos, assim como ao seu recebimento, caso tivessem obtido previamente o consentimento legal e voluntário da pessoa com legitimidade para divulgar os dados através desse sistema informático. E nos presentes autos, não tendo sido obtido tal consentimento, as autoridades judiciárias portuguesas seriam incompetentes para determinar o acesso e a recolha daqueles dados, por força das disposições normativas constantes da referida Convenção, nomeadamente os art.ºs 19º e 32º, al. b), e assim também incompetentes para apreciar e decidir (o que só poderia ocorrer em sede de auxílio mútuo) sobre a legalidade da efetivação de tal acesso e recolha de dados, incompetência que implicaria a verificação da nulidade prevista no art.º 119º, al. e), do CPP (ao estabelecer como nulidade insanável “A violação das regras de competência, sem prejuízo do disposto no nº 2 do art.º 32º”), e concomitantemente a nulidade de todos os atos praticados, por força do art.º 122º do CPP, ao dizer que “as nulidades tornam inválido o ato em que se verificarem, bem como os que dele dependerem e aqueles que puderem afetar”.
É com base, portanto, na prevalência das normas da Convenção de Budapeste sobre as fontes de direito interno, nomeadamente as invocadas pelo Tribunal a quo na decisão recorrida, fundamentalmente a constante do art.º 15º, nº 5, da Lei do Cibercrime (ao estabelecer que “Quando, no decurso de pesquisa, surgirem razões para crer que os dados procurados se encontram noutro sistema informático, ou numa parte diferente do sistema pesquisado, mas que tais dados são legitimamente acessíveis a partir do sistema inicial, a pesquisa pode ser estendida mediante autorização ou ordem da autoridade competente, nos termos dos nºs 1 e 2)”, que as recorrentes vêm também invocar a violação do art.º 8º, nº 2, da Constituição da República (CRP), preceito que diz que “As normas constantes de convenções internacionais regularmente ratificadas ou aprovadas vigoram na ordem interna após a sua publicação oficial e enquanto vincularem internacionalmente o Estado Português.” Acrescentando que o primado do direito internacional impõe que o art.º 15º, nº 5, da Lei do Cibercrime seja interpretado em conformidade com os art.ºs 19º, 29º, 31º e 32º da Convenção sobre o Cibercrime, por força do artigo 8º, nº 2, da CRP, de onde resulta o primado do direito internacional sobre o direito interno, e que a interpretação do art.º 15º, nº 5, da Lei do Cibercrime, no sentido de que “as autoridades judiciárias portuguesas podem determinar a busca e apreensão de dados informáticos armazenados em sistema informático localizado no estrangeiro com acesso remoto a partir de Portugal, viola o artigo 8º, nº 2, da Constituição da República Portuguesa, que consagra o primado do Direito Internacional, designadamente dos artigos 29º, 31º e 32º da Convenção sobre o Cibercrime (Budapeste).” Concluindo que tal interpretação é inconstitucional.
Comecemos por dizer que, nesta parte, o recurso é manifestamente improcedente.
Importa, porém, dizer antes de mais o seguinte.
Não é de meridiana linearidade a prevalência da norma do art.º 32º da Convenção de Budapeste sobre as normas de direito interno, nomeadamente a constante do art.º 15º, nº 5, da Lei do Cibercrime (Lei nº 109/2009, de 15/09), nos termos em que as recorrentes a pretendem sustentar. A dicotomia entre as referidas normas pressupõe necessariamente a sua interpretação, isto é, uma tarefa de mediação que lhes apure o específico sentido normativo, para depois com o devido rigor se determinar se essa dicotomia efetivamente existe, ou se as respetivas normas são entre si incompatíveis, ou em que circunstâncias, sabendo-se desde logo que o art.º 31º, nº 1, da Convenção de Viena sobre o Direito dos Tratados, nos diz que os tratados devem ser interpretados “de boa fé, de acordo com o sentido comum a atribuir aos termos do tratado no seu contexto e à luz dos respetivos objeto e fim”. Logo acrescentando no nº 3, al. b), que “Ter-se-á em consideração, simultaneamente com o contexto: (…) b) Toda a prática seguida posteriormente na aplicação do tratado pela qual se estabeleça o acordo das Partes sobre a interpretação do tratado”.
Um dos objetivos essenciais que presidiram à adoção da Convenção do Cibercrime, como resulta do respetivo Preâmbulo, partiu da “necessidade de prosseguir, com carácter prioritário, uma política criminal comum, com o objetivo de proteger a sociedade do cibercrime, nomeadamente através da adoção de legislação adequada e do fomento da cooperação internacional”, sendo este desiderato que deve contextualizar a interpretação das normas, à luz dos respetivos objeto e fim, com recurso aos instrumentos necessários, e dois deles fundamentais, como refere o professor Jorge Bacelar Gouveia: o sistemático, tendo-se em conta “’além do texto, preâmbulo e anexos incluídos’, outros acordos celebrados e que com o mesmo possuam uma relação específica”; o teleológico, pelo qual se deve procurar alcançar “o sentido normativo do tratado… ‘à luz dos respetivos objeto e fim’”^[1]. Logo acrescentando o mesmo autor: “No conjunto de originalidades que se detetam de interpretação dos tratados internacionais, frise-se o facto de a CVDTE (Convenção de Viena sobre o Direito dos Tratados) ainda fazer apelo a princípios específicos, que também devem ser levados em conta, depois de aplicados os elementos gerais de interpretação, como é o princípio da boa fé, que se desdobra em vários corolários: como o do efeito útil ou o de que a interpretação não pode conduzir ao absurdo, além de acrescentar o princípio da admissão dos efeitos implícitos do tratado, como o princípio da interpretação teleológica, este sobreposto ao elemento teleológico.”^[2] (sublinhado nosso)
É nesta linha de alusão aos princípios da interpretação dos tratados que se tem vindo a afirmar, tando na doutrina como na jurisprudência, posições que divergem das agora sustentadas pelas recorrentes.
O próprio autor Cedric Ryngaert, no artigo citado pelas recorrentes (Extraterritorial Enforcement Jurisdiction in Cyberspace: Normative Shifts), expõe conclusões sobre a questão da extraterritorialidade das buscas informáticas realizadas pelas autoridades de um Estado, ao abrigo do art.º 32º, que são diversas das que agora as recorrentes pretendem apresentar. Questiona desde logo a falta de clareza da norma do art.º 32º, al. b), da Convenção de Budapeste. Por um lado, dado tal normativo não fornecer uma base legal para buscas extraterritoriais em sistemas informáticos, não resultando claro quem deve prestar o consentimento nela previsto. Na hipótese de se considerar que é o prestador de serviço, afirma o autor que este pode não dispor de base legal para facultar o acesso, e se for o próprio suspeito da prática do crime sob investigação, é pouco provável que ele dê qualquer autorização^[3].
São estas dificuldades e a necessidade de investigação eficaz contra o crime que levam alguns autores a defender, numa posição assumidamente mais radical, que não se estará perante buscas extraterritoriais, naqueles casos em que as autoridades nacionais levam a cabo as buscas informáticas, mantendo-se ao fazê-las no seu próprio território. Posição que é contestada, por não ser possível ignorar que a busca, na sua própria realização, se vai consumar entrando em sistemas informáticos que estão situados fora do território daquele Estado.
Em todo o caso, as aporias inerentes à aplicação do art.º 32º da Convenção, nomeadamente face ao objeto e aos fins por esta visados, têm sido superadas com decisões jurisprudenciais que procuram salvaguardar a legalidade das buscas e apreensões de dados informáticos em sistemas que se situem para além do seu território, desde que realizadas em determinadas condições. Assim entendeu, por exemplo, o Supremo Tribunal da Noruega, no caso Tidal, ao considerar irrelevante que os dados pesquisados estivessem localizados fora do território da Noruega, uma vez que a busca efetuada tinha na sua origem o uso das credenciais de acesso fornecidos por uma determinada empresa, sendo que esta e os seus trabalhadores estavam sediados na Noruega e o processo em causa tinha sido instaurado contra essa mesma empresa, concluindo por isso o mesmo Tribunal que a busca assim realizada não assumia uma dimensão que pudesse pôr em causa o princípio da soberania de outro Estado^[4].
A tal decisão não é alheia a circunstância de ser irrelevante o local onde se encontram armazenados os dados. Importante será, portanto, quem e a partir de onde é que se tem acesso a esses dados, os quais, por sua natureza, se encontram num “espaço virtual”, sendo a maioria das vezes desconhecido para o titular do acesso aos dados o local geográfico das máquinas ou dos materiais físicos de suporte onde os mesmos se encontram guardados.
Na Suíça (país que é Parte da Convenção de Budapeste, tal como a Noruega), no acórdão do Supremo Tribunal Federal Suíço, de 24/05/2017 ^[5], as autoridades suíças de investigação, tendo entrado na posse de dados de acesso do suspeito, procederam a investigações na internet a partir de computadores, servidores e infraestruturas informáticas localizadas na Suíça, considerando aquele Tribunal não ter sido violado o princípio da territorialidade, num caso em que o Ministério Público utilizou um serviço de internet derivado, facultado por uma empresa estrangeira, através de um acesso à internet em território nacional, concluindo que aquele, ao proceder assim, não estava a agir ou a atuar no estrangeiro. E ainda que a mera circunstância de os dados eletrónicos do serviço derivado de internet se situarem em servidores geridos em sistema de Cloud administrado no estrangeiro não fazia com que uma pesquisa online feita a partir da Suíça em conformidade com a lei suíça de pesquisas online fosse considerada um ato de investigação não admitido em território estrangeiro.
Face ao exposto, é bom de ver que a linearidade com que as recorrentes pretendem ver a aplicação das normas da Convenção de Budapeste, nomeadamente os seus art.ºs 19º, 29º, 31º e 32º, para com base nela porem em causa as disposições de direito interno sobre a realização das buscas informáticas e sobretudo as circunstâncias de tempo e modo com que elas foram realizadas no caso dos presentes autos, não tem lógica ou pelo menos pacífica sustentação.
Aliás, seria interessante colocar a questão de saber sobre a que país se iria deduzir o pedido de auxílio mútuo, em circunstâncias como aquelas em que foram realizadas as pesquisas informáticas no presente processo, nas quais se desconheça em que lugar da geografia do globo se encontram efetivamente instalados os sistemas informáticos.
A argumentação tecida pelas recorrentes em torno do Segundo Protocolo à Convenção de Budapeste, para sustentar a tese que defendem para a ilegalidade das buscas informáticas realizadas, exacerbando um sentido de interpretação que se apoia exclusivamente na letra da norma da Convenção, olvida que esse mesmo Protocolo vem reforçar a interpretação que a jurisprudência internacional vem dando no sentido de não considerar violado o princípio da territorialidade, nos casos em que à luz da legislação interna os dados pesquisados, ainda que localizados fora do respetivo território, o foram a partir de credenciais que permitiam o acesso a esses dados desde o seu próprio território, não assumindo ademais a busca uma dimensão que pudesse pôr em causa o princípio da soberania de outro Estado
É por isso que também o Segundo Protocolo Adicional pode ser visto mais como uma medida de salvaguarda da vigência plena do Direito da Convenção e especificamente fazê-la corresponder melhor aos seu objeto e fins, e assim também produzir luz no sentido de uma interpretação atualista da norma do art.º 32º. Ou nas palavras do Professor Jorge Bacelar Gouveia, aqui plenamente aplicáveis, uma interpretação “atualista, porque se pretende surpreender as normas no seu contexto atual, não uma vontade normativa só exteriorizada no momento em que entrou em vigor, o que seria uma orientação historicista, presa ao passado e muitas vezes totalmente inútil”.
De grande inutilidade, como já se deixou acima denunciado, seria o sentido normativo linear e absoluto, baseado exclusivamente no texto da norma, que as recorrentes pretendiam dar ao art.º 32º da Convenção, conjugado com o art.º 19º do mesmo diploma, e assim, por essa via, neutralizar a norma do art.º 15º, nomeadamente o seu nº 5, da Lei do Cibercrime, invocando o princípio da primazia do direito convencional internacional sobre o direito interno.
Mas onde o recurso claudica manifestamente, como já adiantámos supra, é na invocação que as recorrentes fazem de normas de uma Convenção Internacional que não vemos como possam ter aplicação no caso dos autos.
A Microsoft Ireland Operations Limited tem como sede ..., Ireland^[6], e o seu centro de dados em ..., ..., ..., ..., Irlanda. Onde também se situa o centro de dados da Microsoft Azure: ... Ltd (...), ..., ..., ..., Ireland.
Ora, nos termos do art.º 2º da Convenção de Viena sobre o Direito dos Tratados, assinada em 23 de maio de 1969, aprovada para retificação pela Resolução da Assembleia da República n.º 67/2003 e ratificada pelo Decreto do Presidente da República n.º 46/2003, e que entrou em vigor relativamente a Portugal em 07/03/2004, os conceitos de «Ratificação», «aceitação», «aprovação» e «adesão» designam, conforme o caso, o ato internacional assim denominado pelo qual um Estado manifesta, no plano internacional, o seu consentimento em ficar vinculado por um tratado;” (sublinhado nosso).
Dispõe o art.º 36º, nº 3, da Convenção de Budapeste o seguinte:
“A presente Convenção entrará em vigor no primeiro dia do mês seguinte ao termo de um período de três meses após a data na qual cinco Estados, incluindo pelo menos três Estados membros do Conselho da Europa, tenham manifestado o seu consentimento em ficar vinculados pela Convenção, em conformidade com as disposições dos nºs 1 e 2”. Ou seja, assinando, aceitando ou aprovando a Convenção. É o que resulta do art.º 36º, nºs 1 e 2, em consonância, aliás com as definições da Convenção de Viena acima referida: “1 - A presente Convenção está aberta à assinatura dos Estados membros do Conselho da Europa e dos Estados não membros que tenham participado na sua elaboração. 2 - A presente Convenção está sujeita a ratificação, aceitação ou aprovação. Os instrumentos de ratificação, aceitação ou aprovação deverão ser depositados junto do Secretário-Geral do Conselho da Europa.”
Ou seja, o Estado português só está vinculado perante outros Estados, desde que estes sejam Partes (Parties) na Convenção. E só serão Partes aqueles Estados que, além de terem assinado a Convenção, a tenham também ratificado, ou aceitado, ou aprovado, ou a ela aderido. Neste último caso, nos termos previstos no art.º 36º da Convenção de Budapeste.
Consultado o sitio da internet do Conselho da Europa, e mais precisamente a página relativa à Convenção sobre o Cibercrime, ou Convenção de Budapeste, disponível em https://www.coe.int/en/web/cybercrime/the-budapest-convention, é fácil de ver, porque aí se documenta, que a República da Irlanda apenas assinou a referida Convenção, aí constando da lista denominada “signatários e convidados a aderir” (signatories and invited to acede) e não na lista das Partes da Convenção, na qual, entre outros países, se encontra Portugal, mas não a Irlanda do Norte.
Ou seja, a Irlanda não se encontra vinculada à Convenção de Budapeste por nela não ser Parte, mas apenas signatária, e não estando vinculada, nem sendo parte, também relativamente à Irlanda não se encontra Portugal vinculado ao cumprimento da Convenção.
Assim sendo, são plenamente aplicáveis ao caso dos autos as normas da Lei do Cibercrime, sem que relativamente a elas se possa dizer que prevalece a Convenção de Budapeste, porquanto esta não é aplicável ao caso dos autos. E não sendo aplicável não tem sentido pôr-se a questão de ter sido violado o art.º 8º, nº 2, da CRP, que as recorrentes consideram e usam para sustentar a existência de uma questão normativa de inconstitucionalidade, mas que o Professor Jorge Bacelar Gouveia, em casos como este, considera ser de ilegalidade, por estar “em causa um confronto direto entre normas não constitucionais, não com a CRP.”^[7]
De qualquer modo, improcederá, também neste segmento, o recurso interposto.
Outra questão colocada pelas recorrentes respeita ao facto de estas entenderem que “os dados informáticos pesquisados, extraídos e copiados pelo OPC do aludido sistema informático em Cloud Microsoft Azure localizado no estrangeiro (aquando das diligências no Escritório do Grupo A..., em 10 e 18 de abril de 2024) violaram o artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC”.
Também aqui não cremos que tenham razão.
O art.º 15º, nº 1, da Lei do Cibercrime atribui à autoridade judiciária competência para autorizar ou ordenar por despacho que se proceda a uma pesquisa em sistema informático, tendo em vista a descoberta da verdade, a fim de obter dados informáticos específicos e determinados, armazenados num determinado sistema informático. Acrescentando-se no art.º 16º, nº 1, do mesmo diploma que “Quando, no decurso de uma pesquisa informática ou de outro acesso legítimo a um sistema informático, forem encontrados dados ou documentos informáticos necessários à produção de prova, tendo em vista a descoberta da verdade, a autoridade judiciária competente autoriza ou ordena por despacho a apreensão dos mesmos”. E no nº 3 do mesmo artigo que “Caso sejam apreendidos dados ou documentos informáticos cujo conteúdo seja suscetível de revelar dados pessoais ou íntimos, que possam pôr em causa a privacidade do respetivo titular ou de terceiro, sob pena de nulidade esses dados ou documentos são apresentados ao juiz, que ponderará a sua junção aos autos tendo em conta os interesses do caso concreto.”
Como resulta referido no Ac. do Tribunal da Relação de Lisboa, de 11/05/2023^[8], “A Lei do Cibercrime é uma legislação especial que veio estabelecer disposições penais materiais e processuais relativas ao domínio do cibercrime e da recolha de prova em suporte eletrónico (secundarizando o Código de Processo Penal) para fazer face a novas realidades e inerentes especificidades, tais como dos dados informáticos e do correio eletrónico, justificando-se o sacrifício do interesse individual numa comunicação livre de interferências alheias, em prol do exercício do “ius puniendi” estadual”.
No caso dos autos, o Ministério Público, enquanto autoridade judiciária competente, titular do inquérito, nos termos já supra referidos, determinou a emissão de mandados de pesquisa informática nos quais se fez consignar o seguinte: “Caso venham a ser detetados, no decurso da pesquisa informática dados cujo conteúdo, para além daquele que se revele fundamental para a prova nos autos, possa igualmente incluir, em abstrato, dados suscetíveis de revelar informação de natureza pessoal ou íntima dos visados, nos termos do artigo 16º, nº 3, da referida lei, aqueles deverão ser extraídos nos termos do artigo 16º, nº 7, alínea b) e nº 8, efetuado cópias em duplicado, digitalmente encriptadas, as quais serão seladas, uma para entrega ao secretário judicial e outra para entregar para apreensão e posterior apresentação de tais dados informáticos ao Juiz de Instrução Criminal.”
Como resulta do auto de pesquisa informática acima transcrito, “Porque foram selecionados ficheiros que correspondem a caixas de correio eletrónico, o dispositivo, acima identificado, foi devidamente selado em saco de prova identificado com o número ...83 para posterior apreciação da relevância do seu conteúdo pelo senhor Juiz de Instrução Criminal.”
Ora, não foi determinada a apreensão daqueles ficheiros, para que fiquem à ordem ou à disposição em termos probatórios do processo, mas foram simplesmente tomadas medidas cautelares de preservação desses ficheiros, os quais foram selados, para que depois o Juiz de Instrução, após análise, inteirando-se do respetivo conteúdo, em cumprimento do disposto no art.º 17º do Cibercrime, decida se os mesmos devem ou não ser apreendidos, por se lhe afigurarem serem de grande interesse para a descoberta da verdade ou para a prova.
Ou seja, o procedimento adotado harmoniza-se com o regime legalmente previsto na Lei do Cibercrime para as buscas e apreensões de dados informáticos, nomeadamente sobre apreensão de correio eletrónico, e com ele ficou garantido o sigilo da correspondência assim como a garantia de reserva de juiz na tutela dos direitos fundamentais com ela relacionados. Em consonância ademais, portanto, com o disposto no art.º 17º do mesmo diploma.
Como bem foi referido na decisão recorrida, “a pesquisa e apreensão não se confunde com o conhecimento em primeiro lugar pelo Juiz de Instrução, para os fins previstos no disposto nos artigos 16.º, n.º 3 e 17.º da Lei do Cibercrime, o qual foi devidamente observado – cfr. despachos proferidos por este Juízo de Instrução Criminal em 17 de abril de 2024 (fls 753 a 755) e em 26 de abril de 2024 (fls 792 a 793), e auto de leitura de correio eletrónico (a fls 795) – encontrando-se os autos a aguardar a elaboração dos respetivos relatórios de análise com vista à seleção de mensagens e/ou dados/registos de comunicação relevantes para a prova”.
Razão por que não se vislumbra fundamento para se considerar ter havido violação do artigo 17º da Lei do Cibercrime (Lei nº 109/2009), conjugado com os artigos 118º, nº 1, 122º, 126º, nº 3, e 179º, nº 1, do CPP, por falta de Despacho e Mandado prévios do JIC, como pretendem as recorrentes.
Questionam ainda as recorrentes o facto de nas buscas efetuadas não se ter recorrido “à utilização de palavras-chave para delimitar a apreensão dos ficheiros informáticos e e-mails no âmbito dos Despachos de Busca, Apreensão e Pesquisa Informática do Ministério Público, ainda que tenham sido utilizadas limitações temporais e uma lista de utilizadores”.
Mais uma vez, bem, o Tribunal a quo, considerou não haver qualquer irregularidade, não só porque “não existe na legislação em vigor uma imposição às autoridades investigantes que efetuem a pesquisa mediante a utilização de ‘palavras-chave’, sendo essa uma técnica de investigação recorrentemente utilizada para ‘filtrar’ as pesquisas, porém que não é legalmente imposta, aliás como decorre do aludido artigo 16.º, n.º 7 da Lei do Cibercrime”, mas também considerando “a extensa dimensão de ficheiros e dados informáticos a pesquisar, a natureza dos crimes em investigação”, circunstâncias que fazem com que a pretensão das recorrentes seja irrealista, isto é, ficaria inabalavelmente prejudicada a pesquisa e com ela a descoberta da verdade, porquanto seria muito difícil senão mesmo impossível conceber todas as palavras-chave que cobrissem todos os dados que pudessem ser essenciais à investigação, tornando esta assim contingente, tanto quanto aos meios como quanto aos resultados a alcançar. Sendo por isso a envergadura da investigação, a sua dimensão e a quantidade de dados a pesquisar, que torna proporcional e justificada a pesquisa informática, nos termos em que a mesma concretamente foi realizada, não se vendo onde a decisão recorrida possa ter violado o princípio da proporcionalidade a que alude o art.º 16º, nº 7, da Lei do Cibercrime e 18º, nº 2, da CRP ou em que medida o mesmo despacho possa ter violado o disposto nos artigos nos artigos 15º, 16º, nº 1, e 17º da Lei do Cibercrime, em termos de se poder determinar a irregularidade da pesquisa e extração de dados informáticos efetuada, por força dos artigos 118º, nº 2 in fine, e 123º do CPP.
Finalmente, não se descortina fundamento para se considerar nula a extração de cópias das caixas de correio eletrónico (armazenadas no sistema informático em cloud Microsoft Azure inserida em servidor localizado no estrangeiro) de AA e BB que têm o domínio "@B....es" (e não "@A....pt" ou "@A...energy.com"), na medida em que não se pudessem enquadrar no âmbito dos indícios sob investigação, que as recorrentes consideram ter sido excedido. Mas sem razão, porquanto a selagem dos ficheiros contendo correio eletrónico, como se deu nota supra, ocorreu no âmbito das buscas informáticas competentemente determinadas nas instalações das arguidas, nos computadores aí existentes e utilizados pelos seus funcionários, ou seja na esfera de disponibilidade empírica das recorrentes, sendo certo que apurar se esses emails estão ou não relacionados com a prática dos factos sob investigação, só o juiz de instrução criminal o poderá dizer, quando deles tiver conhecimento em primeiro lugar, e assim depois também de apurar quais aqueles que são ou não de grande interesse para a descoberta da verdade ou para a prova.
Razão por que irá ser negado provimento ao recurso interposto pelas recorrentes.

2.3. Responsabilidade pelo pagamento de custas

Uma vez que as recorrentes decaíram totalmente no recurso interposto, são responsáveis pelo pagamento da taxa de justiça, nos termos previstos nos art.º 521º, nº 2, do CPP, e 8º, nº 9, do Regulamento das Custas Processuais e a Tabela III a ele anexa, a qual deverá ser fixada entre 3 e 6 UC, tendo em vista a complexidade da causa.
Tendo em conta a complexidade da causa, e concretamente o recurso interposto pelas Recorrentes, julga-se adequado fixar essa taxa em 5 UC.

3. DISPOSITIVO

Face ao exposto, acordam os juízes da 2ª Secção Criminal (4ª Secção Judicial) deste Tribunal da Relação do Porto, em negar provimento ao recurso interpostos pelas arguidas A... SUPPLY, S.A. e A... BIO, S.A.

Custas do recurso a cargo das recorrentes, fixando-se a taxa de justiça devida por cada uma em 5 UC.

Porto, 2024-12-11

(Francisco Mota Ribeiro)
(Elsa Paixão)
(José Piedade)

___________________________________
^[1] Jorge Bacelar Gouveia, Manual de Direito Internacional Público, 3ª Edição Atualizada e Ampliada, 2ª Reimpressão, Almedina, Coimbra, 2012, p. 280.
^[2] Idem, p. 281.
^[3] Cf. Cedric Ryngaert, Extraterritorial Enforcement Jurisdiction in Cyberspace: Normative Shifts, disponível em https://wmcambridqe.orci/cor&/iour^
^[4] Cf. Cedric Ryngaert, Idem
^[5] Processo nº 143IV270, disponível em www.bger.ch.
^[6] Conforme pesquisa efetuada na internet, acesso livre, in core.cro.ie/e-commerce/company/292044.
^[7] Idem, p. 463.
^[8] Proferido no processo nº 215/20.5T9LSB-C.L1-9, disponível em www.dgsi.pt.