Raquel Saraiva, presidenta do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec)
A discussão sobre o uso de criptografia e a possibilidade de excepcionalizar o acesso a comunicações criptografadas no âmbito de investigações criminais não é nova por aqui. Nós já falamos bastante sobre o tema e o Observatório da Criptografia(Obcrypto) vem fazendo um extenso trabalho de analisar as condições técnicas e políticas desta discussão, não só no Brasil, mas em outras partes do mundo. Além disso, fazemos uma defesa incondicional do uso de criptografia como forma de exercer direitos fundamentais como a privacidade, a proteção de dados pessoais, a liberdade de expressão, o direito de associação e de reunião, entre outros. No mesmo sentido, entendemos que a criptografia se mostra uma importante ferramenta na defesa de grupos sociais vulnerabilizados, como mulheres, crianças e adolescentes, pessoas negras e LGBTQIA+, especialmente, mas não só, em contextos de atuação política.
Aqui no Brasil, a discussão principal tem se concentrado, por enquanto, nas ações em trâmite no Supremo Tribunal Federal, a ADPF 403 e a ADI 5527, que estão relacionadas aos bloqueios do WhatsApp ocorridos entre 2015 e 2016.
Na ADI, o objeto em julgamento é a interpretação das sanções aos provedores de aplicação e conexão previstas no Marco Civil da Internet (MCI), como “suspensão” e “proibição” dos serviços. Já na ADPF, o objetivo é estabelecer um precedente no sentido de que os bloqueios de aplicativos, como no caso do Whatsapp, violam os direitos fundamentais à comunicação e à liberdade de expressão e de associação da coletividade.
Breve histórico do julgamento
Em 2020, publicamos no blog do IP.rec um texto sobre os votos dos relatores, Ministra Rosa Weber e Ministro Edson Fachin, nas duas ações. Foram votos protetivos à privacidade e aos direitos digitais, reafirmando a importância do uso da criptografia como ferramenta de efetivação de direitos fundamentais e condenando a introdução de vulnerabilidades como forma de acesso excepcional por autoridades.
Mais especificamente, a Ministra Rosa Weber, relatora da ADI, votou pela constitucionalidade do art. 12, incisos III e IV, do Marco Civil da Internet, argumentando que os dispositivos têm por objetivo a proteção contra o descumprimento de normas de proteção de registros de conexão, dados pessoais e comunicações privadas, não devendo ser usados para casos de descumprimento de ordem judicial, como foi o caso em julgamento. Importante mencionar que esse entendimento é prevalente entre os especialistas da área, incluindo esta autora, e consta de diversas manifestações na audiência pública realizada no âmbito das duas ações. E, em apanhado histórico, sabe-se que as discussões e MCI foram profundamente influenciadas pelas revelações de Edward Snowden sobre a vigilância em massa perpetrada pelo governo estadunidense contra cidadãos e cidadãs de todo o mundo, incluindo governantes de alguns países e com auxílio das big techs. Ou seja, as referidas normas e suas consequentes sanções constantes do texto do MCI servem também como limites a quem ultrapassar o aceitável em termos de coleta de dados pessoais. Em termos de arcabouço legal, a Lei Geral de Proteção de Dados (LGPD) completa e aprofunda a questão, impondo regras ainda mais restritivas.
Já no âmbito da ADPF, o Ministro Fachin destacou a importância da criptografia como ferramenta útil especialmente para o desenvolvimento e compartilhamento de opiniões e que não é possível o estabelecimento de backdoors apenas para as autoridades ou para as “pessoas boas”. Argumenta ainda a contradição existente entre segurança pública e a falta de segurança na internet, representada pelo enfraquecimento da criptografia.
O julgamento das duas ações foi interrompido pelo pedido de vistas do Ministro Alexandre de Moraes, que devolveu os processos para julgamento neste ano de 2023. A ADI 5527 foi, então, incluída em julgamento no plenário virtual do STF agendado para o período entre 22/09/2023 e 29/09/2023. Vale ressaltar que a Ministra Rosa Weber, relatora da ADI, se aposenta do seu cargo nos próximos dias, mas o seu voto permanece no processo, já que foi juntado aos autos e lido aos seus pares com antecedência.
Contexto atual
PL 2630/2020
Muita coisa mudou desde 2020, quando se iniciou o julgamento das ações, até hoje. No Brasil, em especial no contexto sobre regulação de plataformas, materializada nas discussões do PL 2630/2020. Globalmente, destacamos as discussões em torno do Online Safety Bill, no Reino Unido, e sua recente aprovação pelo parlamento britânico.
O PL 2630/2020, conhecido como PL das Fake News, teve seu início pautado no combate à circulação de informações falsas na Internet, mas depois se tornou um grande projeto de regulação das plataformas digitais, atribuindo-lhes obrigações de transparência e responsabilização, na medida da sua culpabilidade, pela circulação de conteúdo malicioso em suas estruturas.
Na primeira fase de sua tramitação, no Senado Federal, o PL incluía um dispositivo de rastreabilidade de mensagens instantâneas, aplicável a todas as plataformas desta natureza que se enquadrassem nos critérios de aplicação da lei. Nós também já escrevemos detidamente sobre os riscos da rastreabilidade, e existe farta literatura técnica sobre o enorme problema que a rastreabilidade acarreta para as mensagens privadas, em especial para os ambientes criptografados. A rastreabilidade não pode ser implementada em ambientes criptografados sem que a sua implementação represente a quebra da criptografia, ou, no mínimo, de suas propriedades, quais sejam, integridade, sigilo e autenticidade das mensagens, já que, para rastrear uma mensagem “indevida”, seu conteúdo deve estar acessível plenamente legível pela ferramenta, o que não ocorre em mensagens criptografadas.
Apesar disso, o PL foi aprovado no Senado com esse dispositivo, constante do art. 10 do texto. Mas ao chegar na Câmara dos Deputados, após duas rodadas de audiências públicas em que os aspectos do PL foram debatidos à exaustão, inclusive a rastreabilidade, o dispositivo caiu e não esteve mais presente em nenhuma das versões posteriores apresentadas pelo relator.
Nesse sentido, consideramos que esta foi uma grande vitória da mobilização da sociedade civil em torno da defesa da criptografia forte como um direito. Mas, como o projeto ainda não foi aprovado e sua tramitação depende de acordos políticos mais complexos, é preciso que a mobilização continue e seja fortalecida, a fim de que não haja a mínima chance da referida medida retornar ao texto.
Online Safety Bill (UK)
Esta semana, mais precisamente no dia 19 de setembro de 2020, o parlamento britânico aprovou a Online Safety Bill, lei extremamente controversa cujo objetivo é obrigar as plataformas a remover conteúdo que seja danoso a crianças e adolescentes. Segundo publicação do próprio governo britânico, “o projeto de lei adota uma abordagem de tolerância zero para proteger as crianças e garante que as plataformas de mídia social sejam responsabilizadas pelo conteúdo que hospedam.”
Entretanto, tal abordagem é vista por especialistas, conforme publicamos mais cedo este ano, como desalinhadas dos padrões internacionais de proteção dos direitos humanos. Isso porque o texto adota uma linha de intrusão nas comunicações e de vigilância em massa, algo tradicionalmente associado a regimes autoritários, que têm como objetivo vigiar a população e censurar ou restringir a circulação de informações.
Para os fins deste texto, sobre o tema da criptografia, é importante ressaltar que a OSB caracteriza a criptografia de ponta a ponta como uma tecnologia que “anula os controles atuais que ajudam a manter as crianças seguras”. A Presidente do Signal, Meredith Whittaker, alerta que a lei considera plataformas de redes sociais e serviços de mensageria como equivalentes e afirma que as mensagens protegidas por E2EE minam os esforços para mitigar o compartilhamento e a transmissão de materiais de exploração sexual infantil, o que, na opinião dela, é falso. Ela ainda manifestou a intenção de que o Signal pare de operar no Reino Unido se for obrigado pelas autoridades a implementar backdoor que comprometa a segurança e a privacidade dos usuários.
A comunidade técnica da criptografia já alertou, por diversas vezes, que não é possível que um backdoor sirva apenas para propósitos legítimos, assim como escanear conteúdo de dispositivos antes da criptografia não garante legitimidade da busca e continua sendo um mecanismo de vigilância, ao mesmo tempo sem qualquer garantia de prevenir crimes. No mesmo sentido, não é possível escanear conteúdo depois da aplicação de criptografia, pois trata-se de mecanismo que, se bem implementado, garante o sigilo das comunicações mesmo contra a investida dos próprios provedores do serviço. Ou seja, a criptografia é a melhor e mais eficaz ferramenta na garantia de segurança e privacidade online.
Ao fim, a lei que pretende tornar o Reino Unido “o lugar mais seguro do mundo para estar online, especialmente para crianças”, nas palavras do Lord Parkinson of Whitley Bay, pode tornar o país um local onde a vigilância impera e as crianças não estão tão seguras assim.
A influência do Online Safety Bill no debate brasileiro
Como tem se visto nos últimos anos, há uma tendência dos membros do Legislativo e do Judiciário brasileiros de tomar as iniciativas regulatórias europeias como base para a regulação aplicada aqui. Isso ocorreu com a LGPD, que sofreu forte influência do regulamento europeu para a proteção de dados; vem sendo muito visto também durante o debate de regulação de plataformas digitais, já que muito das últimas redações do PL 2630/2020 se espelha no DSA e na NETZDG, lei alemã com a mesma finalidade; além do AI Act, regulamento sobre inteligência artificial, que vem sendo usado como referência para os debates aqui no Brasil em torno do mesmo tema.
Ocorre que, caso a OSB seja usada como padrão de referência para o debate sobre criptografia no Brasil, estar-se-á cometendo um enorme equívoco, que vai vulnerabilizar toda a experiência de uso da Internet no país. O recado que se passa é de alinhamento com regimes totalitários, ao se implementar medidas de vigilância em massa e controle das comunicações. Além disso, há que se afirmar a soberania do Poder Legislativo brasileiro, que já foi capaz de produzir o Marco Civil da Internet, lei que se tornou referência mundial em regulação das relações online pelo equilíbrio com que tratou de questões tão espinhosas da época, servindo também para impor limites às atividades de empresas e do próprio Estado, principalmente em matéria de coleta de dados. Neste sentido, é esperado que o país seja vanguarda mais uma vez na proteção de seus cidadãos do potencial persecutório que ferramentas de vigilância podem promover, ao contrário de simplesmente importar soluções jurídicas que não são adequadas ao país e que apenas nos colocam no papel de importadores acríticos de legislação internacional.
Por isso, entendemos que o julgamento em curso no Supremo Tribunal Federal deve prezar, em primeiro lugar, pela confirmação e efetivação dos direitos fundamentais à privacidade, à proteção de dados pessoais, à liberdade de expressão, à associação e à reunião, dentre outros. Julgar contra o uso de criptografia é condenar brasileiros e brasileiras ao uso de uma Internet insegura, que privilegia a atividade de persecução penal em detrimento dos direitos fundamentais de cidadãos e cidadãs e, pior, sem evidências de que o uso de criptografia impede a atividade das forças investigativas do Estado. Portanto, o STF, como guardião da Constituição, deve sim sopesar direitos, mas entender que segurança e privacidade não são antagônicos, pelo contrário, são complementares. E que a criptografia é a melhor aliada que se pode ter na busca de um ambiente online mais seguro para todes.