O Supremo Tribunal Federal, ao julgar o Recurso Extraordinário (RE) nº 1.055.941/SP, sob a sistemática da repercussão geral (Tema 990), fixou a tese no sentido de que é válido o compartilhamento dos relatórios de inteligência financeira (RIFs) com o Ministério Público e a polícia, para fins criminais, independentemente de prévia autorização judicial.

“1. É constitucional o compartilhamento dos relatórios de inteligência financeira da UIF e da íntegra do procedimento fiscalizatório da Receita Federal do Brasil – em que se define o lançamento do tributo – com os órgãos de persecução penal para fins criminais sem prévia autorização judicial, devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional; 2. O compartilhamento pela UIF e pela RFB referido no item anterior deve ser feito unicamente por meio de comunicações formais, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios” [1].

Ficou razoavelmente claro que, uma vez concluído o relatório de inteligência financeira e detectado pelo Coaf indícios de crimes, deverá a nossa UIF, independentemente de autorização judicial, encaminhar o referido relatório para as autoridades competentes. Portanto, não há dúvidas quanto à legitimidade da postura ativa da UIF.

Contudo, não ficou esclarecido, ao menos no teor da tese fixada:

(1) se o compartilhamento do RIF deve ocorrer somente por iniciativa do Coaf (compartilhamento espontâneo) ou se os órgãos de persecução penal podem solicitar a transferência dos dados armazenados pelo Coaf ou requisitar a produção de RIF (compartilhamento a pedido).

(2) caso seja possível a iniciativa do MP e da polícia, considerando a autonomia da UIF afirmada pela Recomendação 29 do Gafi, se o Coaf deve somente compartilhar as informações pré-existentes, já disponíveis em seu banco de dados, ou diligenciar no sentido de obter outras informações junto aos sujeitos obrigados;

(3) em relação aos dados pré-existentes, uma vez que o Coaf tenha concluído não haver informação relevante, se estaria obrigado a compartilhá-los quando houvesse pedido do MP ou da polícia;

(4) se as expressões para a instauração dos procedimentos cabíveis, contida no artigo 15, da Lei nº 9.613/98, e para fins criminais, constante do teor da tese fixada, contemplam a possibilidade de uso efetivo dos dados financeiros pessoais compartilhados para fins de persecução penal, independentemente de autorização judicial.

Spacca

Pairam, portanto, dúvidas sobre até que ponto deve ir a UIF em razão da iniciativa do Ministério Público e da autoridade policial, e até que ponto as autoridades de persecução penal podem ir a partir das informações compartilhadas pelo Coaf.

Divergência jurisprudencial

Tanto é assim, que o Superior Tribunal de Justiça entendeu que a solicitação direta do RIF ao Coaf/UIF, pela autoridade policial, sem prévia autorização judicial, não estaria albergada pela tese fixada no julgamento do RE nº 1.055.941/SP (Tema 990). “O presente recurso em habeas corpus deve ser provido para declarar a ilicitude dos relatórios de inteligência financeira solicitados diretamente pela autoridade policial ao Coaf“ [2] (grifos do articulista).

Todavia, examinando reclamação interposta pelo Ministério Público em face do julgamento supra, a 1ª Turma do Supremo Tribunal Federal entendeu que, “no Tema 990/RG, o Supremo Tribunal Federal reconheceu constitucional o compartilhamento de Relatórios de Inteligência Financeira (RIF) entre o Coaf e as autoridades de persecução penal sem necessidade de prévia autorização judicial inclusive com a possibilidade de solicitação do material ao órgão de inteligência financeira“ [3] (grifos do articulista).

A 2ª Turma do STF, por sua vez, concluiu que a tese fixada no julgamento do RE nº 1.055.941/SP (Tema 990) não permitiu que o Ministério Público requisitasse diretamente dados bancários ou fiscais para fins de investigação ou ação penal sem autorização judicial prévia (STF. 2ª Turma. RE 1.393.219, relator ministro Edson Fachin, julgado em 2/7/2024).

E, recentemente, a 3ª Seção do STJ, ao examinar o AgRg no Resp nº 2.150.571, fixou a seguinte tese:

“1. A solicitação direta de relatórios de inteligência financeira pelo Ministério Público ao COAF sem autorização judicial é inviável. 2. O tema 990 da repercussão geral não autoriza a requisição direta de dados financeiros por órgãos de persecução penal sem autorização judicial.” (Agravo Regimental no Recurso Especial nº 2.150.571.Rel. Min. Messod Azulay, j. 14.05.2025) (grifos do articulista).

Princípio da autonomia operacional da UIF: solicitação x requisição

A partir da leitura dos votos proferidos nos três julgamentos realizados no âmbito do STF, acima citados, parece haver uma tendência no sentido de se permitir o compartilhamento a pedido dos órgãos de persecução penal, desde que se trate de uma solicitação de transferência de dados armazenados pelo Coaf — e não de requisição (ordem) para confecção de RIF (fishing expedition) —, a qual será analisada e respondida pelo Coaf à luz do princípio da autonomia operacional da UIF.

Tal entendimento, ao que tudo indica, decorre do teor da nota interpretativa à Recomendação 29/Gafi:

“4. A UIF deverá ser capaz de disseminar, espontaneamente ou a pedido, as informações e os resultados de suas análises para as autoridades competentes relevantes. Devem ser usados canais dedicados, seguros e protegidos para a disseminação. Disseminação Espontânea: A UIF deverá ser capaz de disseminar as informações e resultados de suas análises para as autoridades competentes quando houver suspeita de lavagem de dinheiro, crimes antecedentes ou financiamento do terrorismo. Com base na análise da UIF, a disseminação das informações deverá ser seletiva e permitir que as autoridades destinatárias se concentrem em casos/informações relevantes. Disseminação a pedido: A UIF deverá ser capaz de responder a pedidos de informações de autoridades competentes de acordo com a Recomendação 31. Quando a UIF receber um pedido de uma autoridade competente, a decisão de conduzir a análise e/ou disseminar as informações para as autoridades solicitantes será da própria UIF. (…) E. INDEPENDÊNCIA OPERACIONAL. 8. A UIF deverá ser operacionalmente independente e autônoma, o que significa que a UIF deverá ter autoridade e capacidade de desenvolver suas funções livremente, inclusive tomar por conta própria a decisão de analisar, solicitar e/ou disseminar informações específicas. Em todos os casos, isso significa que a UIF tem o direito independente de encaminhar ou disseminar informações para autoridades competentes” [4] (grifos do articulista).

Direito fundamental à proteção de dados pessoais

Há, contudo, que ser levado em consideração outro aspecto, o qual pode ser considerado fato novo em relação ao julgamento do RE nº 1.055.941/SP (Tema 990). Trata-se da promulgação da Emenda Constitucional nº 115/2022, que inseriu o inciso LXXIX no artigo 5º da Constituição Federal e assegurou, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

Como salientado pela doutrina especializada, “com o reconhecimento da autodeterminação informacional como um direito fundamental, todo tratamento de dados pessoais pelo Estado implica uma intervenção em direitos fundamentais, e toda intervenção exige autorização por lei” [5].

Além disso, em obediência ao princípio da vinculação finalística do dado “a alteração de finalidade é considerada um ato interventivo autônomo. Sendo assim, este novo ato também carece de expressa autorização legal. É dizer, a ideia de vinculação finalística não cria obstáculo insuperável, senão um importante limite ao desvio de finalidade: a exigência de fundamento legal autônomo” [6].

Grosso modo, significa que um dado pessoal coletado para determinado fim, o qual fora previamente definido em lei, não poderá receber tratamento diverso. Vale dizer que, em princípio, o dado pessoal coletado para fins de informação de inteligência não pode ser utilizado para fins de persecução penal se não houver previsão legal para tanto.

Nesse sentido, é importante ter em mente que “cada forma ou fase do tratamento de dados — a obtenção, o armazenamento, a utilização, a transferência etc. — configura uma intervenção autônoma no direito à autodeterminação informacional, um direito que garante ao seu titular o controle sobre cada uso (tratamento) que é feito de seus dados. Por isso, como destacado, cada forma de tratamento tem de ser objeto de autorização legal autônoma. Assim, como a alteração de finalidade é um ato interventivo autônomo, que necessita de expressa autorização legal, tanto a coleta de um dado para fins de inteligência ou segurança pública (uma finalidade) como, por exemplo, a sua transmissão e utilização para fins de persecução penal (outra finalidade) têm de estar autorizadas em lei” [7].

À primeira vista, portanto, considerando que as hipóteses de tratamento dos dados pessoais financeiros por parte do Coaf, conforme os artigos 14 e 15, da Lei nº 9.613/98, limitam-se ao recebimento, exame, identificação das ocorrências suspeitas de atividades ilícitas e comunicação às autoridades competentes para a instauração dos procedimentos cabíveis, e que não há lei formal autorizando o uso direto desses dados pelos órgãos de persecução penal, salvo melhor juízo, e com as vênias devidas, tem-se o indicativo de que o julgamento do RE nº 1.055.941/SP necessita ser revisitado pelo STF para melhor definição quanto às possibilidades de tratamento dos dados pessoais financeiros compartilhados pelo Coaf com Ministério Público e polícia.

Até que o STF defina essa questão ou até que seja editada a lei geral de proteção de dados para fins de persecução penal — prevista no artigo 4º, § 1º, da LGPD —,  a melhor compreensão sobre o tema parece ser no sentido de que os dados sigilosos de operações financeiras detidos pelo Coaf (1) podem ser compartilhados diretamente com os órgãos de persecução penal, via RIF, independentemente de autorização judicial; (2) espontaneamente ou a pedido (solicitação); (3) respeitando-se o princípio da autonomia operacional da UIF, e (4) preservando-se o sigilo e a formalidade na transmissão dos dados, com registro da cadeia de custódia.

Contudo, uma vez que esses órgãos pretendam dar novo tratamento aos dados de inteligência compartilhados, utilizando-os para fundamentar a instauração de uma investigação ou para solicitar medidas cautelares em investigações em andamento, diante da ausência de autorização normativa específica nesse sentido, caberá ao Poder Judiciário realizar o controle diferido quanto à forma de obtenção do RIF e, especificamente em relação ao compartilhamento a pedido, perquirir quanto à sua oportunidade, necessidade, adequação e proporcionalidade, na forma do artigo 1º, § 4º, da Lei Complementar 105/2001.

É que, considerando a vinculação finalística das informações recebidas e armazenadas pelo Coaf — no caso, informação de inteligência financeira —, não nos parece que a autorização legal para o compartilhamento contemple, automaticamente, a possibilidade de uso dos dados para fins de persecução penal. Faz-se necessária lei formal autorizativa ou, na sua falta, decisão judicial fundamentada.

As expressões para a instauração dos procedimentos cabíveis, contida no artigo 15, da Lei nº 9.613/98, e para fins criminais, constante do teor da tese fixada, salvo melhor juízo, não contemplam a possibilidade de uso efetivo dos dados financeiros pessoais para fins de persecução penal. Nas palavras de Wolter, [8] não é permitido sobreinterpretar os dispositivos legais.

Conclusão

Em resumo: (1) não há necessidade de prévia autorização judicial para que a autoridade policial ou o MP possam solicitar ao Coaf o compartilhamento de dados pessoais financeiros recebidos e armazenados pelo conselho; (2) em atenção ao princípio da autonomia operacional da UIF, (2.1) o Coaf deverá responder à solicitação se considerar que existem fundados indícios da prática de crime de lavagem de capitais ou de qualquer outro ilícito (artigo 15, da Lei nº 9.613/98); (2.2) o Coaf não pode ser obrigado a confeccionar RIF se entender que não existem indicativos suficientes para fazê-lo, e (3) caso a autoridade policial ou o MPF entendam por bem utilizar os dados compartilhados pelo Coaf para fins de persecução penal, diante da ausência de norma expressa nesse sentido, tal tratamento deverá ser precedido de autorização judicial, em atenção aos vetores da vinculação finalística, da separação informacional e da reserva legal, que conformam o direito fundamental à proteção de dados pessoais, inscrito no artigo 5º, LXXIX, da CF.

[1] RE 1055941, Relator Min. DIAS TOFFOLI, Tribunal Pleno, julgado em 04/12/2019.

[2] RHC 147.707-PA, Rel. Min. Antonio Saldanha Palheiro, julgado em 15/8/2023.

[4] Disponível em: <https://www.fatf-gafi.org/content/dam/fatf-gafi/translations/Recommendations/FATF-40-Rec-2012-Portuguese-GAFISUD.pdf.coredownload.inline.pdf> Acesso em: 08 de junho de 2025.

[5] GLEIZER, Orlandino; MONTENEGRO, Lucas; VIANA, Eduardo. O direito de proteção de dados no processo penal e na segurança pública. Rio de Janeiro: Marcial Pons, 2021, p. 60-61.

[7] ESTELLITA, Heloisa. O RE 1.055.941: um pretexto para explorar alguns limites à transmissão, distribuição, comunicação, transferência e difusão de dados pessoais pelo COAF. RDP, Brasília, Volume 18, n. 100, 606-636, out./dez. 2021.

[8] WOLTER, Jünger. O inviolável e o intocável no direito processual penal: reflexões sobre dignidade humana, proibições de prova, proteção de dados (e separação informacional dos poderes) diante da persecução penal. Luís Greco (org.) São Paulo: Marcial Pons, 2018, p. 165.