Zero trust no processo penal: superação do paradigma ‘la garantía soy yo’

1. Ponto de partida: ‘La garantia soy yo!’

O comercial da Semp Toshiba durou menos de um minuto (assista aqui). Um vendedor de aparência paraguaio-japonesa tentava convencer um comprador a levar um videocassete sem nota fiscal e sem garantia. Quando o cliente hesitava e perguntava pelo documento, o vendedor disparava em portunhol improvisado: “no necesita la garantía. La garantía soy yo!”. A Semp Toshiba lançou a campanha na década de 1990 (o publicitário Paulo Bione assinou a criação) para ironizar o mercado de eletrônicos contrabandeados que chegavam de Ciudad del Este sem assistência técnica oficial. O bordão atravessou três décadas. Virou meme. Virou metáfora política e jurídica. No processo penal, continua funcionando como diagnóstico preciso de um problema que persiste além do videocassete: a substituição da verificação quanto à confiança objetiva pela confiança subjetiva na autoridade.

Modelo que o bordão descreve

Toda arquitetura de segurança parte de uma premissa sobre de onde vem a ameaça. O modelo tradicional (chamado na segurança da informação de Castle-and-Moat ou Segurança Perimetral) assume que o perigo está do lado de fora. Quem cruza o fosso já está dentro do castelo, tem livre trânsito e dispensa reavaliação ou controles supervenientes. Na persecução penal brasileira, o fosso é o cargo público. Uma vez que o agente passa pelo perímetro institucional (veste a farda, toma posse, assina o termo de compromisso), os atos praticados gozam de suposta presunção de legalidade irrestrita. A fé pública opera como cheque em branco epistêmico. O relato policial basta. O print de WhatsApp juntado sem cadeia de custódia entra nos autos com aparência de suficiência. O reconhecimento feito com foto única no balcão da delegacia sustenta a pronúncia ou a condenação. A frase que resume o paradigma é a mesma do vendedor: “confie em mim, a garantia sou eu”.

O problema não é moral; é estrutural. Agentes públicos não são menos ou mais confiáveis do que qualquer agente humano em posição de poder. A questão é que sistemas desenhados sobre confiança subjetiva (na honestidade, na técnica, na imparcialidade do agente público) não possuem mecanismo de detecção de falha. O erro e o viés cognitivo ficam invisíveis precisamente porque o sistema não os procura. Trata cada anomalia como exceção, não como dado estrutural. Assume ingenuamente a conformidade do conteúdo.

Zero Trust: nunca confiar, sempre verificar

John Kindervag formulou o modelo Zero Trust em 2010 para resolver exatamente o problema no ambiente cibernético. A premissa do modelo é inversa à do Castle-and-Moat: não existe perímetro seguro; qualquer nó da rede pode estar comprometido; cada pedido de acesso deve ser autenticado independentemente de quem o faz. O axioma operacional é preciso: nunca confiar, sempre verificar.

A transposição para o processo penal não é metafórica. O processo penal é um sistema de processamento de informação para tomada de decisão sobre a liberdade de alguém. Cada etapa produz um dado (a abordagem policial, a apreensão do celular, o reconhecimento do suspeito, a extração do conteúdo, o laudo, a instrução, a sentença etc.) e cada dado pode estar corrompido antes de chegar ao nó seguinte (processo penal como gateway: nó ou dispositivo que atua como um ponto de entrada e saída de dados e informações). O modelo Zero Trust aplicado ao processo penal estabelece que nenhum elemento informativo, ato administrativo ou declaração de agente público goza de validade automática. A conformidade de cada ato é o resultado de verificação contínua, não pressuposto de quem o praticou.

Modelo opera sobre três premissas analíticas primárias

Conformidade: a forma como garantia

A primeira premissa é a conformidade processual: aderência estrita dos atos estatais às formas e procedimentos estabelecidos pelo ordenamento. A forma jurídica no processo penal não é burocracia. É o mecanismo pelo qual o sistema controla, de modo objetivo e auditável, se o ato ou procedimento foi executado corretamente. Sem forma verificável, o controle retorna à confiança subjetiva no agente que praticou o ato, reduzindo o espaço de controle e verificação.

O reconhecimento de pessoas exemplifica o ponto. O artigo 226 do CPP estabelece rito detalhado: descrição prévia do suspeito pela testemunha, exibição em conjunto com pessoas de características semelhantes, vedação de qualquer indicação ao reconhecedor sobre quem é o investigado. Durante décadas, a jurisprudência tratou o dispositivo como “mera recomendação”. O STJ revisou a posição no HC 598.886, ministro Rogerio Schietti Cruz, 6ª Turma, 27/10/2020, DJe 18/12/2020; aqui): as formalidades do artigo 226 do CPP constituem garantia mínima para quem está na condição de suspeito, sendo que a inobservância torna inválido o reconhecimento como suporte à condenação ou de decretação de prisão cautelar. A forma não é sugestão e sim o critério de conformidade do próprio ato de reconhecimento.

Privilégio mínimo: escopo restrito ao autorizado

A segunda premissa é o princípio do privilégio mínimo: limitação dos poderes instrutórios ao estritamente autorizado pela autoridade competente. No processo penal, traduz-se na vedação a devassas genéricas e a fishing expeditions probatórias. O acesso a dados telemáticos, domiciliares ou financeiros exige motivação prévia adequada e delimitação de tempo, alvo e objeto. O mandado que autoriza a extração de mensagens sobre tráfico de drogas, p.ex., não abre o dispositivo inteiro para navegação livre.

A Corte Especial do STJ enfrentou o ponto no Inquérito 1.674, ministra Nancy Andrighi, em 6/5/2026 (Informativo 891/STJ): consolidando que a cópia por espelhamento de dados digitais, autenticada por função hash, é o instrumento hábil para garantir integridade e auditabilidade, impondo que o acesso deve ser documentado de modo a permitir o contraditório sobre o que foi coletado, o que foi selecionado e o que foi omitido. Sem registro do escopo, não há como verificar se houve fishing expedition.

Suposição de violação: o erro como premissa

A terceira premissa é a mais contraintuitiva: assume breach, suposição de violação. O sistema não opera na hipótese de que os agentes públicos são confiáveis até prova em contrário (invertendo o ônus da prova). Opera na hipótese de que qualquer etapa pode estar comprometida por erro técnico, viés cognitivo ou pressão institucional, motivo pelo qual cria mecanismos redundantes para detectar e bloquear a falha antes que contamine o resultado.

No processo penal, a suposição de violação tem dois desdobramentos estruturais. O primeiro é o juiz de garantias, introduzido pelo artigo 3º-B do CPP pela Lei 13.964/2019 (STF, ADIs 6.298, 6.299, 6.300 e 6.305). A lógica do dispositivo é a do firewall: o órgão julgador que controlou a legalidade da investigação não julga o mérito. A separação não é decorativa: impede que elementos de informação produzidos sob regime inquisitório, ainda sem contraditório, contaminem cognitivamente o órgão julgador do mérito da imputação.

O segundo desdobramento é a cadeia de custódia digital. Os artigos 158-A a 158-F do CPP, também introduzidos pelo Pacote Anticrime, documentam cronologicamente cada intervenção no vestígio (quem tocou, quando, com qual ferramenta, com qual resultado). A função hash é a ferramenta matemática da suposição de violação: qualquer alteração posterior ao registro original produz código distinto, tornando a adulteração detectável independentemente da boa-fé de quem a praticou.

A 5ª Turma do STJ, no AgRg no HC 828.054, ministro Joel Ilan Paciornik, 23/4/2024, DJe 29/4/2024; aqui), declarou inadmissíveis provas obtidas por prints de WhatsApp sem metodologia técnica de preservação. O HC 1.036.370 reafirmou: é ônus do Estado comprovar a integridade e confiabilidade das fontes de prova por si apresentadas. A frase do acórdão sintetiza a inversão paradigmática: “no processo penal, a atividade do Estado é o objeto do controle de legalidade, e não o parâmetro do controle.”

Fé pública ressignificada

O argumento da fé pública não desaparece no modelo Zero Trust. Ressignifica-se. Na versão perimetral (Castle-and-Moat), fé pública era cheque em branco: o cargo validava o ato antes de qualquer verificação. Na versão Zero Trust, fé pública é o resultado de um procedimento auditado: o relato do agente estatal vale o quanto sobrevive ao escrutínio técnico do método que o produziu.

Por exemplo, a câmera corporal não serve para desconfiar do policial; serve para que a palavra do policial não precise ser simplesmente acreditada, especialmente quanto existe disponibilidade técnica para implementação sem risco pessoal e ampliação da transparência e conformidade dos atos (aqui). O código hash não serve para suspeitar do perito; serve para que a integridade da prova seja verificável independentemente da idoneidade do perito. A separação de funções entre Juiz de Garantias e Juiz de Mérito não serve para desqualificar magistrados e sim para assegurar que a imparcialidade cognitiva, como dissemos com Aury Lopes Jr (aqui), não dependa da virtude individual de quem exerce a função de julgador.

A transição de confiança subjetiva para confiança objetiva é a mesma que distingue o vendedor do bordão do produto com nota fiscal e assistência técnica certificada. A garantia não está na palavra de quem vende. Está no procedimento documentado que permite a realização adequada do devido processo legal.

Fair play e fair trial: processo como jogo limpo

O fair play e o fair trial (previstos no artigo 8º da Convenção Americana sobre Direitos Humanos) deixam de ser aspirações retóricas quando o processo opera sob arquitetura Zero Trust. O fair play exige que a acusação jogue com as mesmas cartas que a defesa pode ver e contestar. A extração integral do dispositivo com preservação de hash e abertura do arquivo forense original à defesa é a concretização técnica do fair play: não há seleção unilateral de quais mensagens entram nos autos. O fair trial exige igualdade de armas (equality of arms). O juiz de garantias e o procedimento de reconhecimento com duplo-cego são mecanismos de compliance que impedem que o peso institucional da persecução corrija o resultado antes do julgamento.

A conformidade cria o procedimento auditável, proporcionando a verificação racional e orientada por dados e informações providas de “garantia de origem objetiva”. O compliance cria a arquitetura que impede o desvio. A accountability documenta cada intervenção estatal e expõe a falha quando ocorre. Os três, juntos, tornam o devido processo legal (CR, artigo 5º, inciso LIV) operacional em vez de nominal.

Conclusão

O vendedor do comercial confiava no próprio “taco” porque era tudo que havia para controlar a qualidade do produto. Não existia nota fiscal, assistência técnica, fabricante rastreável. A garantia pessoal não era arrogância; era a única garantia disponível naquele design informal.

No Estado democrático de Direito, o design estrutural é outro. Existem formas legais, protocolos técnicos, funções de hash, câmeras corporais, cadeia de custódia documentada, separação de funções entre quem investiga, acusa, defende e julga. O arguido que responde a um processo penal não “confiar subjetivamente” no “taco” de nenhum agente público. A garantia da confiança objetiva no procedimento verificado é o modo de conferir verificabilidade aos atos e decisões judiciais. Aliás, os procedimentos judiciais devem ser públicos, com decisões motivadas e fundamentadas (CR, artigo 93, IX e CPP, artigo 315, § 2º) justamente para garantir o controle sobre a justificação judicial. Por isso, todo o procedimento subordina-se à efetivação da “confiança objetiva” em detrimento da “confiança subjetiva”. A acusação que não consegue demonstrar como obteve a prova, onde a guardou, quem a manuseou e se o conteúdo é o mesmo da origem não tem garantia objetiva nenhuma para oferecer, por mais respeitável que seja o cargo de quem assina o relatório, termo ou petição.

Se você for acusado de um crime em que a única garantia dos meios de prova seja a confiança subjetiva na palavra do agente estatal, quando existem disponíveis meios de confiança objetiva (câmera corporal, hash, cadeia de custódia documentada, reconhecimento com duplo-cego etc.), o resultado seria democraticamente justo? Se a resposta for sim, o argumento se encerra aqui. Se a resposta for não, aceitar o mesmo padrão probatório para o “outro” é contradição ou cinismo, sendo que as duas hipóteses comprometem a legitimidade do sistema. O devido processo legal não é garantia para quem você simpatiza; é garantia estrutural que funciona independentemente de quem ocupa o “banco dos réus”. O ponto preciso do Estado democrático de Direito é: o devido processo legal se preocupa com você, mesmo quando você não se preocupa com o devido processo legal. O vendedor do comercial confiava no próprio “taco” porque era o único instrumento disponível naquele mercado informal. No processo penal do século 21, os instrumentos de verificação objetiva existem, estão positivados (CR, artigo 5º, inciso LIV; CPP, artigos 158-A a 158-F e 226 etc.) e operaram em favor de qualquer arguido. O modelo de processo penal que os ignora não está sendo eficiente; está sendo arbitrária. A garantia não é o cargo de quem assina o relatório ou documento. A garantia é o procedimento Zero Trust: documentado, auditável e verificado.

Na próxima vez que um relato policial chegar aos autos sem cadeia de custódia, sem hash, sem vídeo da abordagem e sem corroboração independente, faça a pergunta do Zero Trust: o que estaria diferente nestes autos se o agente tivesse errado ou mentido? Se a resposta for “nada”, a garantia ainda é pessoal e subjetiva, orientada pelo modelo “la garantia sou yo”. Assim como não se confia no vendedor do videocassete sem documentação idônea que comprove a origem, também não se pode confiar em informações desprovidas de garantias de conformidade quanto à origem, aquisição e preservação. Mas talvez você não acredite ingenuamente que nunca possa ser acusado de nada, nem precise de garantias constitucionais. Boa sorte.