Teoria geral da investigação criminal tecnológica: fundamentos, método e limites constitucionais – Higor Vinicius Nogueira Jorge
Higor Vinicius Nogueira Jorge
Autor e coordenador de dezenas de obras jurídicas publicadas pela Editora Juspodivm. Delegado de Polícia (Polícia Civil do Estado de São Paulo), professor concursado da Academia de Polícia (Acadepol/SP), mestre em Educação pela Universidade Estadual do Mato Grosso do Sul (UEMS) e graduado em Direito pelo Centro Universitário Toledo de Araçatuba (UniToledo/SP). É titular da Cadeira nº 30 da Academia de Ciências, Artes e Letras dos Delegados de Polícia do Estado de São Paulo e Diretor de Relações Institucionais da Associação dos Delegados de Polícia do Estado de São Paulo (gestão 2024–2026).
Possui pós-graduação em Polícia Comunitária (Unisul), Repressão e Prevenção à Corrupção (Faculdade Estácio), VANTs e Drones: Legislação, Planejamento e Aplicações (Uniminas), Cybercrime e Cybersecurity: Prevenção e Investigação de Crimes Digitais (Uniminas) e Investigação Digital (WB Educação). É membro da Associação Internacional de Informática Forense (ASIIF) e da Associação Internacional de Investigação de Crimes de Alta Tecnologia (HTCIA), atuando como docente em programas de pós-graduação e em formações especializadas voltadas à inteligência cibernética e à investigação criminal tecnológica, incluindo participações em ações formativas no âmbito do Ministério da Justiça e Segurança Pública (MJSP).
Entre 2017 e 2025, foi reconhecido, em nove edições consecutivas, na categoria “Jurídica”, entre os “Melhores Delegados de Polícia do Brasil”, segundo o Portal Nacional dos Delegados & Revista da Defesa Social.
Em 2015, criou a disciplina Investigação Criminal Tecnológica, concebida para sistematizar, com rigor técnico e jurídico, a integração entre tecnologia aplicada, metodologia policial e dogmática penal na produção qualificada da prova. A proposta evidencia que recursos tecnológicos, quando bem empregados, não se limitam à criminalidade digital: operam como instrumentos transversais de eficiência investigativa, aplicáveis a qualquer modalidade delitiva, desde ocorrências rotineiras e de menor complexidade até investigações sensíveis e de alta sofisticação. Em abordagem essencialmente prática, a disciplina desenvolve competências como OSINT, geointeligência, análise e correlação de dados, rastreamento digital, reconstrução de trajetórias, gestão de evidências e fundamentos para o uso responsável de inteligência artificial no contexto investigativo, orientada à rastreabilidade e à solidez probatória.
Nos últimos anos, ampliou sua atuação em cursos, palestras e capacitações voltadas à Investigação Criminal Tecnológica, crimes cibernéticos, educação digital e preparação para concursos das carreiras policiais. Seu trabalho conecta teoria e prática para transformar complexidade tecnológica em decisões investigativas mais seguras, documentadas e sustentáveis do ponto de vista probatório.
Resumo
O presente estudo sustenta que a investigação criminal tecnológica deve ser compreendida como disciplina autônoma da persecução penal contemporânea, e não como simples atualização instrumental da atividade policial. A sua autonomia não deriva da mera presença de computadores, programas ou bases de dados na rotina investigativa, mas da formação de um método próprio de identificação, preservação, obtenção, tratamento, correlação, interpretação e apresentação de vestígios informacionais juridicamente relevantes. Em uma ordem social marcada pela hiperconectividade, pela plataformização das interações, pela circulação massiva de dados e pela crescente complexidade da prova, a reconstrução dos fatos penalmente relevantes exige técnica, controle normativo e prudência inferencial. O artigo examina o conceito, o objeto, a linguagem própria, os eixos metodológicos e os limites constitucionais da investigação criminal tecnológica, destacando a centralidade da cadeia de custódia, da integridade da prova digital, da proporcionalidade, da reserva de jurisdição e da proteção dos direitos fundamentais. Ao final, defende-se que a legitimidade da investigação criminal tecnológica não está em ampliar, a qualquer custo, a capacidade estatal de conhecer, mas em permitir que o Estado conheça melhor sem romper a moldura constitucional que torna a prova juridicamente admissível e democraticamente legítima.
Palavras-chave: investigação criminal tecnológica; prova digital; cadeia de custódia; direitos fundamentais; persecução penal.
1 Introdução
A investigação criminal contemporânea já não se desenvolve em um ambiente composto apenas por vestígios físicos, testemunhos presenciais e diligências materiais lineares. Em número crescente de casos, a prática delitiva é planejada por mensagens, viabilizada por dispositivos, registrada por sistemas, mediada por plataformas, escondida por camadas técnicas de anonimização e, depois, reconstituída a partir de metadados, registros de acesso, dados de localização, arquivos eletrônicos, transações, vínculos relacionais e outros rastros informacionais. O fato penalmente relevante continua sendo humano, histórico e jurídico; o que se altera é o modo como ele deixa marcas no mundo.
Essa transformação produziu um efeito mais profundo do que a simples modernização de ferramentas. Ela deslocou o centro cognitivo da investigação. O investigador não precisa apenas encontrar objetos, ouvir pessoas e ordenar cronologias empíricas. Precisa, também, mapear fontes digitais relevantes, compreender a arquitetura informacional dos fatos, distinguir o que é publicamente acessível do que é juridicamente protegido, selecionar meios lícitos de obtenção, preservar a integridade do material colhido, documentar o percurso do vestígio e apresentar o resultado em linguagem inteligível ao processo penal.
É por isso que a investigação criminal tecnológica não deve ser tratada como mero capítulo acessório da informática forense, nem como técnica restrita aos chamados crimes cibernéticos. Seu campo é mais amplo. Ela alcança toda investigação em que dados, dispositivos, sistemas, redes, plataformas, registros técnicos ou fluxos informacionais possuam relevância para a reconstrução do fato. Seu problema central não é apenas operacional; é dogmático e metodológico: como converter vestígios digitais e informacionais dispersos em conhecimento probatório confiável, controlável e constitucionalmente legítimo?
A resposta a essa pergunta não pode ser dada apenas pelo entusiasmo com a tecnologia. O direito brasileiro impõe balizas firmes. A Constituição tutela a intimidade, a vida privada e o sigilo das comunicações; o Código de Processo Penal positivou a cadeia de custódia; a Lei nº 9.296/1996 condiciona a interceptação à ordem judicial; o Marco Civil da Internet protege, entre outros bens, as comunicações privadas armazenadas; e a produção administrativa recente, em âmbito ministerial, reforça exigências de legalidade, necessidade, proporcionalidade, rastreabilidade, auditabilidade e responsabilização no uso de tecnologias investigativas.
A tese deste trabalho é a seguinte: a investigação criminal tecnológica constitui disciplina autônoma porque possui objeto próprio, linguagem técnica específica, método particular de tratamento do vestígio informacional e um regime de limites constitucionais que não se confunde com o da investigação tradicional. Sua autonomia, portanto, não nasce do fascínio pela inovação, mas da necessidade de organizar juridicamente uma nova forma de conhecer fatos penalmente relevantes.
2 A autonomia conceitual da investigação criminal tecnológica
A autonomia da investigação criminal tecnológica não resulta de escolha terminológica ornamental. Ela decorre da alteração real do ambiente investigativo. Quando a criminalidade se projeta em dispositivos, contas, redes, bancos de dados, serviços em nuvem, registros telemáticos e padrões relacionais, o problema investigativo deixa de ser apenas o da procura de vestígios materiais clássicos e passa a incluir a leitura metodicamente controlada de fragmentos informacionais distribuídos em múltiplas camadas.
Por isso, é insuficiente reduzir esse campo à informatização da polícia. Uma instituição pode dispor de programas avançados, plataformas de integração, sistemas de consulta e ferramentas sofisticadas de extração de dados e, ainda assim, investigar mal. Investiga mal quando formula hipóteses sem lastro, quando coleta mais do que precisa, quando não distingue acesso lícito de devassa indevida, quando não preserva a integridade do material obtido e quando apresenta ao processo meras correlações como se fossem prova segura.
Também é insuficiente identificar a investigação criminal tecnológica com a informática forense. A informática forense permanece relevante, mas representa apenas um dos segmentos dessa disciplina. A investigação criminal tecnológica é mais ampla porque articula teoria da prova, processo penal, criminalística, análise criminal, inteligência de segurança pública, tratamento de dados, governança da informação e tutela de direitos fundamentais. O seu núcleo distintivo está em transformar essa convergência em método.
A autonomia, em síntese, não se explica por um novo objeto material isolado, como se a simples presença de um celular ou de um computador bastasse para inaugurar uma disciplina. Ela se explica por uma nova racionalidade de investigação. Em ambiente de hipercomplexidade informacional, a apuração já não depende apenas de encontrar um vestígio; depende de saber localizar, depurar, contextualizar e testar o significado jurídico de vestígios cuja relevância quase nunca é autoevidente.
3 Objeto, categorias e linguagem própria
O objeto material da investigação criminal tecnológica não é a tecnologia em si. É o vestígio informacional juridicamente relevante. Esse vestígio pode assumir a forma de mensagem, imagem, arquivo, metadado, registro de conexão, histórico de acesso, dado de localização, identificador técnico, transação, padrão de contato ou correlação extraída de múltiplas fontes. O que importa não é o suporte, mas a sua aptidão para integrar, com confiabilidade, a reconstrução do fato.
Para que a disciplina tenha rigor, é necessário trabalhar com distinções conceituais básicas. Dado é o registro bruto. Informação é o dado situado em um contexto mínimo de significado. Conhecimento é o resultado de tratamento crítico que permite compreender relações e formular juízos. Inteligência, no plano estatal, é o conhecimento produzido para orientar decisão, priorização ou ação. Nem toda inteligência é prova; muitas vezes ela serve apenas para orientar diligências.
Também é indispensável diferenciar indício, evidência e prova. Indício é o fato conhecido a partir do qual se pode inferir outro fato. Evidência, em acepção funcional, é o elemento que reforça ou enfraquece uma hipótese. Prova, em sentido processual, é o elemento produzido ou incorporado validamente ao procedimento, apto a influir no convencimento judicial sob contraditório. A consequência é decisiva: dado não é prova por natureza. Ele pode ser apenas ruído, coincidência, pista, vetor investigativo ou elemento robusto, a depender de sua origem, de sua integridade, do modo como foi obtido e da possibilidade de controle sobre ele.
A prova digital, por sua vez, deve ser compreendida como aquela que nasce, circula, é armazenada ou é apresentada em ambiente informacional, exigindo cautelas específicas de autenticidade, integridade, contexto e rastreabilidade. Nela, alguns conceitos técnicos são centrais. Metadados são dados sobre os próprios dados, como data, origem, modificação e características do arquivo. Logs são registros automáticos de eventos de sistema, acesso ou operação. Hash ou resumo criptográfico é um resultado matemático gerado a partir de um arquivo, utilizado para verificar se seu conteúdo permaneceu íntegro. Cadeia de custódia é o conjunto de procedimentos destinados a manter e documentar a história cronológica do vestígio, permitindo o controle sobre sua coleta, guarda, processamento e apresentação. O CPP consagrou expressamente essa lógica ao definir a cadeia de custódia e disciplinar suas etapas.
Essa linguagem própria revela por que a investigação criminal tecnológica não pode ser improvisada. A disciplina não se contenta com a apreensão física de um aparelho ou com a simples exibição de uma captura de tela. O que lhe interessa é a possibilidade de demonstrar, de forma tecnicamente inteligível e juridicamente controlável, de onde veio o elemento, o que foi feito com ele, por quem, em que momento e com qual garantia de integridade.
4 Método: da hipótese ao conhecimento probatório
O centro de gravidade da investigação criminal tecnológica é o método. A tecnologia fornece meios; o método decide o que procurar, por que procurar, até onde ir e como transformar achados em resultado juridicamente utilizável.
O primeiro passo é a formulação de hipóteses investigativas. Toda investigação séria precisa saber o que pretende testar. Isso inclui, desde logo, o controle de viés. Ao lado da hipótese principal, deve-se formular ao menos uma hipótese alternativa plausível, indicar o elemento que poderia sustentá-la e definir a diligência capaz de confirmá-la ou afastá-la. Sem esse exercício, a massa informacional disponível em ambiente digital tende a reforçar a leitura inicial do investigador, e não a submetê-la a prova.
O segundo passo é a delimitação das necessidades informacionais do caso. Aqui reside uma das maiores diferenças em relação ao modelo intuitivo de investigação. Não se deve começar pela coleta máxima, mas pela pergunta juridicamente relevante. Que dado é necessário? Para qual finalidade probatória? Há meio menos intrusivo? A fonte é aberta, pública, comercialmente disponível ou protegida por reserva jurídica específica? A boa investigação tecnológica começa pela contenção metodológica, e não pela expansão indiscriminada da coleta.
O terceiro passo é a seleção do meio lícito de obtenção. A tutela constitucional da intimidade, da vida privada e do sigilo das comunicações, somada ao regime legal da interceptação e às garantias do Marco Civil da Internet, impede que a utilidade prática de uma informação seja confundida com a sua disponibilidade jurídica. A distinção entre apreender um dispositivo e acessar seu conteúdo, ou entre visualizar um conteúdo publicamente exposto e invadir esfera comunicacional protegida, é decisiva para a validade da prova.
O quarto passo é a preservação e a documentação. Na prova digital, o modo de obtenção integra o próprio valor epistemológico do resultado. Isso porque arquivos, mensagens, registros e conteúdos eletrônicos podem ser alterados, reordenados, apagados, reenviados, recompactados ou descontextualizados com relativa facilidade. Preservar significa adotar procedimento apto a reduzir o risco de contaminação. Documentar significa registrar quem acessou, o que foi extraído, por qual técnica, em qual momento e com quais controles de integridade.
O quinto passo é a correlação crítica dos elementos obtidos. Em ambiente digital, correlação é tentadora e perigosa. Proximidade temporal não equivale a causalidade. Frequência de contato não demonstra, por si, vínculo criminoso. Geolocalização aproximada não é presença inequívoca. Resultado algorítmico não substitui inferência humana justificada. O método, aqui, precisa ser mais exigente precisamente porque o volume de informação aumenta a ilusão de certeza.
O último passo é a tradução do resultado técnico para a linguagem do processo penal. Não basta que o analista compreenda o achado; é necessário que o juiz, o Ministério Público, a defesa e os demais sujeitos processuais possam compreender de onde ele veio, o que ele significa e quais são os seus limites. A boa investigação criminal tecnológica não termina na extração do dado. Ela termina na construção de uma narrativa probatória controlável.
5 Fontes abertas, dados acessíveis e gradações de intrusão
Um dos equívocos mais frequentes na prática é supor que tudo aquilo que se encontra na internet possa ser utilizado sem maior reflexão jurídica. Essa premissa é falsa. A investigação criminal tecnológica precisa distinguir, com nitidez, quatro categorias que nem sempre se sobrepõem.
Fonte aberta é a fonte cujo acesso se dá, em regra, sem violação de barreira técnica ou jurídica, como páginas institucionais, registros públicos, publicações ostensivas e conteúdos voluntariamente expostos. Conteúdo publicamente acessível é a informação que, de fato, pode ser visualizada pelo usuário comum, embora isso não elimine o dever de exame sobre autoria, contexto, temporalidade e confiabilidade. Dado comercialmente disponível é a informação obtida por fornecedores, agregadores ou serviços privados, hipótese que exige atenção redobrada à base legal, à finalidade e à confiabilidade da origem. Medida intrusiva, por sua vez, é aquela que penetra esfera protegida de privacidade, sigilo ou autodeterminação informativa, reclamando fundamento jurídico mais denso e, em muitos casos, reserva de jurisdição.
Essa distinção importa porque a aparência de publicidade não resolve, por si, o problema da legitimidade. Uma postagem aberta pode ser falsa, manipulada, descontextualizada ou atribuída a perfil inautêntico. Um dado comercialmente ofertado pode ter origem obscura ou tratamento incompatível com garantias básicas. Uma informação tecnicamente acessível pode continuar juridicamente protegida. A ostensividade do acesso não dispensa crítica metodológica.
Por isso, a pesquisa em fontes abertas só é legítima, em chave tecnicamente séria, quando acompanhada de registro de origem, data, contexto, modo de captura e pertinência para a hipótese investigativa. A diferença entre curiosidade institucional e investigação profissional está justamente aí: não basta encontrar; é preciso saber qualificar o que foi encontrado.
6 Limites normativos e jurisprudenciais da obtenção probatória
A investigação criminal tecnológica opera em ambiente de possibilidades ampliadas, mas sob limites jurídicos rígidos. O ponto de partida continua sendo constitucional: intimidade, vida privada e sigilo das comunicações não são obstáculos contingentes à eficiência, mas condições estruturais da legitimidade da persecução penal. O sistema legal brasileiro reforça esse desenho ao exigir ordem judicial para a interceptação de comunicações, ao proteger as comunicações privadas armazenadas no Marco Civil e ao disciplinar formalmente a cadeia de custódia no CPP.
Nesse cenário, a LGPD exige uma leitura cuidadosa. O tratamento de dados para segurança pública e para atividades de investigação e repressão de infrações penais está excluído do âmbito de incidência direta da lei, nos termos do art. 4º, III, “d”. Isso não significa espaço livre de garantias. Significa apenas que a disciplina específica da persecução penal não se confunde com o regime geral da proteção de dados. Ainda assim, finalidade, necessidade, segurança, minimização e rastreabilidade permanecem relevantes como parâmetros constitucionais e de boa governança informacional.
A jurisprudência do Superior Tribunal de Justiça, considerada em suas linhas gerais, tem sido consistente em três direções. A primeira é a rejeição do acesso policial direto, sem ordem judicial, a conteúdo comunicacional armazenado em aplicativos de mensagens quando esse acesso implica devassa da esfera privada protegida. A segunda é a exigência de método idôneo e documentação suficiente para demonstrar a integridade da prova digital extraída de dispositivos. A terceira é a recusa em tratar a cadeia de custódia como automatismo abstrato de nulidade: a confiabilidade do vestígio e o prejuízo processual devem ser examinados concretamente, sem banalização nem da exclusão nem da admissão da prova.
Essas linhas interpretativas são relevantes porque demonstram algo maior do que soluções pontuais de casos. Elas confirmam que, em matéria digital, a validade da prova depende menos do brilho da ferramenta utilizada e mais da legalidade do acesso, da integridade do procedimento e da possibilidade de controle posterior do percurso probatório.
7 Inteligência artificial, automação e responsabilidade humana
A investigação criminal tecnológica também se projeta sobre o uso de sistemas de automação e de inteligência artificial. Essas ferramentas podem auxiliar triagem, classificação, agrupamento, busca de padrões, identificação de anomalias e priorização de hipóteses em grandes massas de dados. Seu valor operacional é inegável. O erro está em convertê-las, por comodidade institucional, em produtoras autônomas de verdade processual.
No processo penal democrático, a inferência algorítmica não substitui o juízo humano. Sistemas podem sugerir relevâncias, ranquear probabilidades ou apontar conexões estatísticas; não podem, por si, fundamentar legitimamente uma imputação, uma medida invasiva ou uma conclusão probatória sem explicação, revisão e responsabilização humanas. Em ambiente investigativo, opacidade técnica e autoridade institucional formam combinação perigosa: quanto menos se explica a lógica do sistema, maior a tentação de tratá-lo como oráculo objetivo.
É nesse ponto que a regulação administrativa recente tem utilidade, ainda que não deva ocupar o centro da análise. Ao fixar diretrizes de legalidade, necessidade, auditabilidade, rastreabilidade e prevenção de riscos no uso de soluções tecnológicas, inclusive com preocupação com revisão humana e controle institucional, a normatividade infralegal indica uma direção correta: automação relevante para direitos fundamentais exige contenção, supervisão e justificativa. A Portaria MJSP nº 961/2025 vale, aqui, menos como fundamento exclusivo e mais como sintoma institucional de maturação do tema.
A disciplina autônoma da investigação criminal tecnológica, portanto, não se mede pela capacidade de automatizar o máximo possível, mas pela capacidade de manter o método, a responsabilidade e os direitos fundamentais mesmo quando o volume de dados e a velocidade das ferramentas convidam à delegação acrítica.
8 Conclusão
A investigação criminal tecnológica deve ser reconhecida como disciplina autônoma da persecução penal contemporânea. Não se trata de simples informatização da atividade policial, nem de repertório assistemático de programas, plataformas e equipamentos. O que a define é a organização de um método próprio para localizar, preservar, obter, tratar, correlacionar, interpretar e apresentar vestígios informacionais juridicamente relevantes.
Sua autonomia decorre de quatro fatores. Primeiro, de um objeto específico: o vestígio informacional inserido em ecossistemas digitais complexos. Segundo, de uma linguagem própria, composta por categorias como metadados, logs, hash, integridade e cadeia de custódia. Terceiro, de um método investigativo que exige formulação de hipóteses, seleção criteriosa de fontes, proporcionalidade na obtenção, documentação do percurso e tradução técnica para o processo penal. Quarto, de limites constitucionais e processuais que condicionam a validade da prova e impedem que eficiência operacional se converta em arbítrio.
A grandeza da investigação criminal tecnológica não reside em prometer onisciência estatal. Reside em oferecer um modelo mais qualificado de apuração em uma sociedade profundamente informacional, sem abdicar do devido processo, da reserva de jurisdição, da rastreabilidade e do controle contraditório. Em processo penal, tecnologia sem método produz aparência de sofisticação; tecnologia sem integridade produz fragilidade; tecnologia sem limites produz ilegitimidade. A disciplina somente se justifica quando a potência técnica do Estado permanece subordinada à Constituição.
Referências
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988.
BRASIL. Decreto-Lei n. 3.689, de 3 de outubro de 1941. Código de Processo Penal. Brasília, DF: Presidência da República, 1941.
BRASIL. Lei n. 9.296, de 24 de julho de 1996. Regulamenta o art. 5º, XII, da Constituição Federal. Brasília, DF: Presidência da República, 1996.
BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. Brasília, DF: Presidência da República, 2014.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República, 2018.
BRASIL. Ministério da Justiça e Segurança Pública. Portaria MJSP n. 961, de 24 de junho de 2025. Estabelece diretrizes sobre o uso de soluções de tecnologia da informação aplicadas às atividades de investigação criminal e inteligência de segurança pública. Diário Oficial da União: seção 1, Brasília, DF, 30 jun. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA. A interceptação telefônica como meio de prova. Brasília, DF: STJ, 8 out. 2017.
SUPERIOR TRIBUNAL DE JUSTIÇA. Entendimentos do STJ sobre a quebra da cadeia de custódia. Brasília, DF: STJ, 17 ago. 2023.
SUPERIOR TRIBUNAL DE JUSTIÇA. Provas digitais devem ser colhidas com metodologia adequada. Brasília, DF: STJ, 2 maio 2024.
