Mariana Canto, diretora do IP.rec
Luana Batista, pesquisadora do IP.rec
A recente decisão da Apple de desativar a função de criptografia de ponta a ponta do iCloud (serviço de nuvem da Apple) para usuários no Reino Unido gerou intensa polêmica no setor de tecnologia e direitos digitais. A medida foi tomada em resposta à legislação britânica, a Lei de Poderes de Investigação (Investigatory Powers Act – IPA), que exige que empresas de tecnologia forneçam acesso a dados mediante solicitação governamental. Essa ação levanta questões profundas sobre privacidade digital, segurança de dados e o futuro da criptografia em escala global.
Contextualização do Caso
A IPA foi implementada no Reino Unido em 2016 e concede amplos poderes de vigilância ao governo britânico. Em sua versão atual, a legislação estabelece normas sobre como as autoridades de segurança e inteligência do país podem realizar interceptações legais, acessar equipamentos, obter dados de comunicação em grande escala e possibilita que empresas de tecnologia sejam obrigadas a fornecer acesso a dados antes da aplicação da criptografia (prática conhecida como “client-side scanning” ou “backdoor by design“). Por meio de ordens secretas chamadas Notificações de Capacidade Técnica (Technical Capability Notices – TCNs), as autoridades britânicas podem exigir que empresas de tecnologia façam alterações em seus serviços e produtos, potencialmente reduzindo a segurança, incluindo a remoção de proteção eletrônica, como a criptografia, para facilitar o uso dos poderes investigativos do Reino Unido.
Após o recebimento de um TCN, em fevereiro de 2025, a Apple anunciou que desativaria sua funcionalidade de Proteção Avançada de Dados (Advanced Data Protection – ADP) do iCloud para usuários do Reino Unido, citando a pressão regulatória do governo britânico. Essa funcionalidade permitia que dados armazenados no iCloud fossem protegidos por criptografia de ponta a ponta, impedindo o acesso por terceiros. Com sua remoção, informações como Backups do iCloud, iCloud Drive, Fotos, Notas e Lembretes passam a estar sujeitos a acesso governamental mediante ordens judiciais.
A decisão surge em um momento em que governos mundiais pressionam empresas de tecnologia a enfraquecerem a criptografia em seus sistemas, alegando a necessidade de acesso aos dados para investigações criminais. Em resposta, mais de 200 especialistas em segurança cibernética e organizações, incluindo o IP.rec, assinaram uma carta aberta da Global Encryption Coalition contra a exigência do governo britânico, alertando que qualquer enfraquecimento da criptografia – mesmo que supostamente limitado a fins legítimos – inevitavelmente compromete a segurança de todos os usuários.
A Opacidade das TCNs e os Riscos para os Direitos Fundamentais
O regime jurídico que regula as notificações relacionadas à IPA é altamente confidencial: as TCNs e outros instrumentos semelhantes não são divulgados ao público, e os destinatários dessas notificações são proibidos de compartilhar qualquer tipo de informação. Apesar dessa confidencialidade, graças a whistleblowers e aos vazamentos de informações, os eventos ligados a essas notificações têm sido amplamente discutidos em diversos meios de comunicação e comentados por políticos e especialistas em criptografia.
No caso da Apple, ao se recusar a cumprir a ordem, a empresa decidiu levar a questão ao Investigatory Powers Tribunal, – tribunal secreto do Reino Unido que lida com casos envolvendo serviços de inteligência como GCHQ, MI5 e MI6 que foi instaurado pela Lei de Regulação dos Poderes Investigativos (Regulation of Investigatory Powers Act – RIPA) em 2000. Além disso, foi também nesse momento que a Apple decidiu por retirar seu sistema de ADP do Reino Unido.
Em janeiro de 2025, a ONG Privacy International já havia alertado sobre os riscos das TCNs, que poderiam ser usadas para “facilitar práticas de vigilância invasivas, colocando em risco os direitos das pessoas”. De acordo com especialistas, o uso dessas notificações, ou até mesmo a simples ameaça de seu uso, não só comprometeria a segurança da criptografia, mas também direitos humanos fundamentais protegidos por essa tecnologia, como o direito à privacidade e à liberdade de expressão. Também é importante destacar que, no cenário internacional, essa decisão coloca o Reino Unido na contramão de regras e diretrizes estabelecidas pela Convenção Europeia de Direitos Humanos (CEDH) e melhores práticas recomendadas por instituições como a ONU.
Um dos maiores obstáculos em relação à transparência e responsabilidade no que diz respeito às TCNs é como essa lei pode obrigar as empresas a modificar seus serviços e produtos, bem como o nível de segurança que oferecem, sem o conhecimento dos usuários, já que ela impede que as empresas notifiquem ou divulguem essas mudanças. Além disso, há uma clara barreira ao acesso e à participação de partes externas em julgamentos relacionados às TCNs. No caso da Apple, apesar de veículos de mídia do Reino Unido, como The Guardian, BBC, Financial Times e Computer Weekly, terem solicitado acesso à imprensa ao tribunal com base no interesse público, o pedido foi negado. O processo é completamente opaco para jornalistas e membros da sociedade civil.
Recentemente, as organizações Liberty e Privacy International apresentaram recursos ao Investigatory Powers Tribunal, pedindo a remoção das ordens de sigilo e defendendo que a audiência fosse realizada publicamente. Esses grupos também contestam o processo das TCNs, que são emitidas secretamente, alegando que isso viola os direitos à privacidade e à liberdade de expressão. As organizações argumentam que a audiência, que só se tornou conhecida por meio de vazamentos na mídia, deveria ser aberta ao público, com seus procedimentos sujeitos à fiscalização pública.
A Falta de Proteções Adequadas Sob Análise do Tribunal Europeu
Esta não é a primeira vez em que as ações do governo britânico são legalmente questionadas no campo da vigilância digital. Em 2021, a Grande Câmara do Tribunal Europeu dos Direitos Humanos proferiu uma decisão significativa, afirmando que os amplos poderes do governo do Reino Unido para interceptar comunicações “careciam de proteções adequadas de ‘ponta a ponta’, não oferecendo salvaguardas eficazes e significativas contra a arbitrariedade e o potencial de abuso”, o que levou a violações dos direitos à privacidade e à liberdade de expressão.
O caso foi movido por organizações como a Anistia Internacional, Liberty, Privacy International e outros grupos de direitos humanos, após as revelações de Edward Snowden, em 2013, de que o GCHQ do Reino Unido estava secretamente coletando e analisando as comunicações privadas de milhões de pessoas diariamente. Em 2014, o Investigatory Powers Tribunal concluiu que essas atividades poderiam, em princípio, estar em conformidade com as obrigações do país em relação aos direitos humanos. Essa decisão foi posteriormente contestada no Tribunal Europeu dos Direitos Humanos, que parcialmente decidiu contra o Reino Unido em 2018. No entanto, o julgamento não abordou completamente a questão, levando a coalizão a levar o caso à Grande Câmara.
A Grande Câmara condenou a falta de supervisão independente para as ordens de interceptação em massa, a insuficiência de detalhes fornecidos nas solicitações de mandados, a ausência de autorização adequada sobre como as comunicações foram selecionadas e a supervisão inadequada para garantir proteção contra abusos.
A Ameaça à Segurança Digital Global
A imposição de backdoors em sistemas criptografados não é apenas uma questão de segurança nacional, mas um problema global de cibersegurança. Um backdoor é um mecanismo que permite acesso oculto a sistemas, contornando as medidas normais de autenticação e segurança. Quando governos exigem que empresas de tecnologia implementem backdoors, a justificativa oficial costuma ser o combate a crimes cibernéticos e atividades ilegais. No entanto, especialistas alertam que qualquer brecha criada se tornará inevitavelmente um ponto frágil explorável não apenas por autoridades, mas também por hackers, grupos criminosos e agentes estatais mal-intencionados.
Além disso, se outros países seguirem essa tendência e exigirem backdoors semelhantes, a segurança digital global poderá enfrentar uma erosão progressiva. Entre os principais riscos estão:
- Vulnerabilidades de segurança: Backdoors são vulnerabilidades intencionais que podem ser exploradas por hackers, resultando em roubo de dados e ataques cibernéticos.
- Precedente para abuso governamental: Backdoors possibilitam a vigilância em massa e monitoramento ilegal de cidadãos, ameaçando a privacidade e liberdade de expressão.
- Erosão da segurança global: A implementação em um país pode criar um efeito dominó, comprometendo redes globais.
- Conflitos Regulatórios: Empresas enfrentam desafios ao lidar com legislações contraditórias entre países, aumentando custos e complexidade operacional.
- Riscos para Grupos Vulneráveis: Jornalistas, ativistas e minorias ficam expostos a perseguições e repressão devido à falta de proteção nas comunicações.
Conclusão
Diversas organizações ao redor do mundo expressam preocupação de que ordens como essa possam comprometer a criptografia de ponta a ponta, uma proteção essencial para direitos humanos como a privacidade e a liberdade de expressão e associação. É importante enfatizar que as proteções oferecidas pela criptografia são vitais para a segurança pessoal e profissional não só de usuários de uma forma geral mas especialmente de indivíduos que atuam em profissões de risco ou pertencem a grupos vulneráveis.
Além disso, as implicações das ordens das autoridades britânicas vão além das suas fronteiras, podendo afetar outras jurisdições do mundo. Esta decisão torna-se extremamente preocupante à medida que pode ser caracterizada como o primeiro caso de uma grande democracia ordenando que uma empresa de tecnologia comprometa intencionalmente a criptografia de ponta a ponta.
A decisão também ressalta a necessidade urgente de uma maior transparência e supervisão em relação às políticas de vigilância e às práticas governamentais que impactam a segurança digital. A falta de transparência nas ordens de vigilância e a opacidade das TCNs geram um ambiente onde abusos podem ocorrer sem a devida fiscalização pública. Nesse contexto, a defesa da criptografia de ponta a ponta não é apenas uma questão técnica, mas um compromisso com a proteção dos direitos humanos e a preservação das liberdades civis.
À medida que o debate sobre criptografia e vigilância digital continua a se intensificar, é fundamental que governos e empresas de tecnologia busquem soluções que equilibrem de forma justa a segurança pública e a proteção dos direitos dos indivíduos. O futuro da privacidade digital e a integridade da criptografia dependerão de um compromisso global para garantir que as tecnologias sejam usadas de maneira responsável, sem comprometer as liberdades essenciais que sustentam as democracias modernas. O caso da Apple no Reino Unido é apenas um exemplo das questões que surgem quando políticas de segurança mal formuladas colocam em risco a proteção de dados e direitos fundamentais, e será crucial monitorar os desdobramentos desse e de outros casos semelhantes para proteger a segurança digital em uma escala global.