Compelled decryption (descriptografia compelida)

Compelled decryption é uma das fronteiras mais sensíveis do direito penal digital contemporâneo, com lições dogmáticas estruturais.

(i) Posição brasileira majoritária — proteção robusta: jurisprudência brasileira tem caminhado para vedação à compulsão de senha. Argumentos: (a) direito ao silêncio (art. 5º, LXIII, da CF); (b) vedação de autoincriminação; (c) o Estado deve buscar acesso por meios técnicos próprios ou cooperação voluntária; (d) silêncio sobre senha não pode ser interpretado como confissão. STJ tem decisões nesse sentido, ainda que sem súmula consolidada.

(ii) Distinção senha vs biometria — controversa: ponto dogmático sensível. Algumas decisões americanas (não brasileiras) sustentam que (a) senha é "testimonial" — produto da mente do investigado, protegido pela Quinta Emenda; (b) biometria (impressão digital, face) é "characterístico físico" — não testimonial, podendo ser compelida.

Distinção é criticada por (a) artificialidade — desbloqueio biométrico produz mesmo resultado que senha; (b) instrumentalização — autoridade pode forçar fisicamente desbloqueio biométrico. STJ brasileiro tem decisões críticas a essa distinção, com tendência a proteger ambos.

(iii) Casos americanos paradigmáticos: (a) In re Boucher (Vermont, 2007-2009) — admitiu compulsão de senha quando autoridade já tinha visto conteúdo (foregone conclusion doctrine); (b) United States v. Doe (11th Circuit, 2012) — vedou compulsão; (c) Commonwealth v. Gelfgatt (Mass., 2014) — admitiu; (d) State v. Andrews (NJ, 2020) — admitiu compulsão de senha com salvaguardas. Ausência de consenso é estrutural.

(iv) Encriptação moderna e impossibilidade técnica: ponto operacional. Dispositivos modernos com full-disk encryption (Android, iOS, BitLocker, FileVault, LUKS) são, na prática, tecnicamente inacessíveis sem chave quando configurados adequadamente. UFED Premium e GrayKey operam com vulnerabilidades específicas, com vida útil limitada. Apple e Google atualizam constantemente para frustrar bypass. Resultado é que, sem cooperação do investigado, parcela significativa dos casos é tecnicamente bloqueada.

(v) Caso Apple-FBI San Bernardino — 2016: caso paradigmático global. Após atentado em San Bernardino (dezembro de 2015), FBI apreendeu iPhone do atirador. Apple recusou-se a criar versão modificada do iOS que permitisse bypass de senha. FBI obteve ordem judicial; Apple contestou publicamente. Caso terminou em março de 2016 com FBI obtendo acesso por vendor terceiro (presumidamente Cellebrite, sem confirmação oficial). Tim Cook (CEO Apple) defendeu posição como precedente para proteção robusta de criptografia para todos. Caso é referência para debate sobre backdoors estatais.

(vi) Lawful access e backdoors: debate correlato. Governos (EUA, Reino Unido, Austrália, China) periodicamente propõem backdoors obrigatórios em criptografia para acesso estatal. Comunidade técnica (criptógrafos, segurança) responde uniformemente que backdoors comprometem segurança para todos — não há "backdoor para os bons sem backdoor para os maus".

Apple, Google, Signal, WhatsApp resistem publicamente. Australia adotou em 2018 lei controvertida (Assistance and Access Act); UK Investigatory Powers Act tem dispositivos análogos. Brasil tem debates esporádicos, sem adoção consolidada.

(vii) Compelled decryption e CSAM: zona especialmente sensível. Em casos com forte indício de CSAM em dispositivo cifrado, tensão entre proteção robusta de criptografia e proteção integral de menores é aguda. Posição brasileira majoritária mantém vedação à compulsão, com argumento de que Estado deve ter capacidade técnica e operacional para esses casos sem comprometer princípio geral.

(viii) Notwithstanding senha — outras vias: investigação pode buscar acesso por (a) vulnerabilidades técnicas — UFED, GrayKey, exploração; (b) dados em backup não cifrados — iCloud Backup, Google Drive Backup com chaves do provedor; (c) dispositivos vinculados — iCloud Keychain, sincronização entre dispositivos; (d) conhecimento contextual — senhas conhecidas por familiares, ex-parceiros, com cooperação voluntária; (e) engenharia social — pretexting com engenharia. Estado tem alternativas, ainda que com fricção.

(ix) Defesa técnica e compelled decryption: o advogado em casos com pressão para entrega de senha deve (a) invocar art. 5º, LXIII, da CF; (b) instruir cliente sobre direito ao silêncio robusto; (c) impugnar quaisquer interpretações de silêncio como elemento de prova; (d) impugnar decisões judiciais que ordenem entrega; (e) considerar que falha em fornecer não é "obstrução" no direito brasileiro; (f) explorar precedentes de proteção.

(x) Implicações dogmáticas: compelled decryption é categoria que força explicitação dogmática do nemo tenetur se detegere em ambiente digital. Posição brasileira majoritária — proteção robusta — é congruente com tradição garantista nacional. A pressão internacional por relativização (especialmente vinda de jurisdições anglo-saxãs) deve ser resistida em nome de coerência sistêmica. Dispositivos cifrados são fronteira da proteção do indivíduo contra Estado — abandoná-la em casos específicos compromete princípio geral.