Justiça ordena apreensão e backup de e-mails trocados nos últimos 10 anos nas Americanas

Em uma decisão que reforça a importância da preservação de evidências digitais, a Justiça brasileira determinou que a Americanas realize a apreensão e o backup de todos os e-mails corporativos trocados nos últimos dez anos. A ordem, emitida no âmbito de investigações sobre supostas irregularidades financeiras, exige que a empresa preserve integralmente as comunicações eletrônicas, garantindo a integridade e a autenticidade das provas.

O contexto da decisão

A determinação judicial se baseia na necessidade de coletar elementos de prova para apurar possíveis atos ilícitos no âmbito da empresa. A medida abrange não apenas os servidores de e-mail da companhia, mas também backups e registros de comunicação armazenados em serviços terceirizados. O prazo de dez anos reflete o período máximo de prescrição previsto em lei para determinados tipos de ação.

Especialistas apontam que decisões como essa se tornam cada vez mais comuns à medida que as autoridades judiciais reconhecem a relevância das provas digitais em investigações complexas. A Advocacia-Geral da União e o Ministério Público têm utilizado com frequência ordens de busca e apreensão de dados eletrônicos como ferramenta para elucidar crimes financeiros e corporativos.

Fundamentos legais

No Brasil, a obtenção de provas eletrônicas é regulamentada por um conjunto de leis que equilibram o poder investigatório do Estado com a proteção dos direitos fundamentais dos cidadãos. O Código de Processo Civil (Lei 13.105/2015), em seu artigo 396, permite que o juiz determine a exibição de documentos e dados eletrônicos necessários à instrução do processo. Já o Marco Civil da Internet (Lei 12.965/2014) estabelece, no artigo 22, que os provedores de aplicações devem disponibilizar registros de comunicação por prazo superior a seis meses quando houver determinação judicial.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) também desempenha um papel central nesse cenário. Embora a LGPD imponha limites à retenção de dados pessoais, ela própria prevê exceções para o cumprimento de obrigações legais e regulatórias. Assim, a empresa obrigada a preservar os e-mails deve adotar medidas para minimizar o impacto sobre a privacidade dos titulares, como a segregação de dados pessoais e a adoção de protocolos de segurança.

Impactos para a segurança da informação

O cumprimento de uma ordem de apreensão de e-mails exige que a empresa tenha processos maduros de governança de dados. A área de segurança da informação deve atuar em conjunto com o jurídico para garantir que os dados sejam extraídos de forma forense, sem alteração ou destruição. Ferramentas de e-discovery e backup corporativo tornam-se essenciais para atender a esse tipo de demanda.

Além disso, a empresa deve assegurar a continuidade das operações enquanto atende à determinação judicial. A extração de grandes volumes de e-mails pode impactar o desempenho dos servidores e exigir planejamento técnico. A contratação de especialistas em forense digital é recomendada para garantir a cadeia de custódia e a validade jurídica das provas.

Como as empresas devem se preparar

Diante do aumento de ordens judiciais envolvendo dados eletrônicos, as empresas precisam adotar uma postura proativa. Abaixo, listamos as principais recomendações:

  • Política de retenção de dados: Defina prazos claros para a retenção de e-mails e outros registros eletrônicos, em conformidade com a legislação aplicável (LGPD, Marco Civil, legislação tributária e trabalhista).
  • Backup regular e imutável: Mantenha backups periódicos dos sistemas de e-mail, preferencialmente em mídias imutáveis (WORM) para evitar alterações posteriores.
  • Plano de resposta a ordens judiciais: Estabeleça um procedimento operacional padrão que envolva as áreas jurídica, de TI e de segurança da informação, com papéis e responsabilidades definidos.
  • Ferramentas de e-discovery: Invista em soluções tecnológicas que permitam a busca, preservação e exportação de mensagens de forma rápida e forense.
  • Treinamento e conscientização: Capacite os funcionários sobre a importância da preservação de evidências digitais e as consequências do descumprimento de ordens judiciais.
  • Documentação da cadeia de custódia: Registre todas as etapas do processo de extração e entrega dos dados, desde a identificação até a transferência, para garantir a integridade probatória.

A importância da conformidade com a LGPD

Embora a ordem judicial autorize o acesso a dados pessoais contidos nos e-mails, a empresa deve adotar medidas para minimizar o impacto sobre a privacidade dos titulares. A LGPD permite o compartilhamento de dados para cumprimento de obrigação legal (art. 7º, II), mas recomenda-se a anonimização quando possível. A transparência com os titulares também deve ser observada, salvo quando houver sigilo judicial.

Empresas que já possuem um programa de privacidade estruturado, com mapeamento de dados e avaliação de impacto, conseguem atender a ordens judiciais com mais agilidade e menor risco de violação regulatória. A integração entre as equipes de segurança da informação e privacidade é fundamental.

Perguntas frequentes (FAQ)

A empresa pode se recusar a cumprir a ordem?

Não. O descumprimento de uma ordem judicial pode configurar crime de desobediência (art. 330 do Código Penal) e gerar multas diárias (astreintes) fixadas pelo juiz.

Os e-mails pessoais dos funcionários estão incluídos?

Depende da decisão. Geralmente, a ordem abrange apenas e-mails corporativos, mas a empresa deve segregar adequadamente as contas pessoais eventualmente armazenadas em seus servidores. A invasão de comunicações pessoais sem autorização pode violar o sigilo de correspondência (art. 5º, XII, da Constituição).

Por quanto tempo os e-mails devem ser mantidos?

Não há prazo único. Cada empresa deve definir sua política de retenção com base em requisitos legais (trabalhista, tributário, societário) e de negócio. A ordem judicial, no caso específico, determinou a preservação de dez anos, mas isso pode variar.

Como garantir que os backups não serão alterados?

Utilizando soluções de backup imutável (WORM), registrando logs de acesso e mantendo uma cadeia de custódia documentada. A auditoria independente também pode ser contratada para atestar a integridade dos dados.

O que fazer se a empresa não tiver infraestrutura para atender à ordem?

Buscar assessoria jurídica e técnica para negociar prazos com o juízo e, se necessário, contratar serviços especializados de forense digital e computação forense. O importante é não ignorar a determinação.

A decisão envolvendo a Americanas serve como um alerta para todas as empresas que mantêm comunicações eletrônicas. A prevenção, por meio de políticas sólidas de gestão de dados e segurança da informação, é o melhor caminho para evitar riscos legais e danos à reputação.